Cumplimiento de la directriz B-10 de la OSFI de Canadá

Contactar con un experto

Volver a todos los casos de uso

Directriz B-10 y gestión de riesgos de terceros

La Directriz B-10 sobre gestión de riesgos de tercerosde la Oficina del Superintendente de Instituciones Financieras (OSFI) del Gobierno de Canadá aborda los riesgos operativos y financieros asociados a las relaciones con proveedores y distribuidores.

La Directriz B-10 establece las expectativas para que las instituciones financieras reguladas a nivel federal (FRFI) gestionen los riesgos asociados con los acuerdos con terceros.

La directriz también amplía la definición de tercero para incluir más entidades, como profesionales independientes, corredores y empresas de servicios públicos, y recomienda incluir a todo tipo de terceros en las evaluaciones de riesgos.

El motor de estos nuevos requisitos es el cambio de la materialidad a la criticidad, en el que un tercero desempeña una función que es parte integral de la prestación de una operación, función o servicio significativo por parte de la FRFI, lo que requiere un enfoque doble en el que el riesgo y la criticidad determinan la naturaleza y el alcance de las actividades de diligencia debida.

Requisitos pertinentes

  • Las estructuras de gobernanza y rendición de cuentas son claras y cuentan con estrategias y marcos integrales de gestión de riesgos.

  • Se identifican y evalúan los riesgos que plantean terceros.

  • Los riesgos planteados por terceros se gestionan y mitigan dentro del Marco de Apetito de Riesgo de la FRFI.

  • Se supervisa y evalúa el rendimiento de terceros, y se abordan de forma proactiva los riesgos y las incidencias.

  • El programa de gestión de riesgos de terceros de la FRFI permite a esta identificar y gestionar de forma continua una serie de relaciones con terceros.

  • La tecnología y las operaciones cibernéticas llevadas a cabo por terceros son transparentes, fiables y seguras.

Cumplimiento de la Directriz B-10 de la OSFI

La directriz B-10 presenta seis resultados esperados que las FRFI deben alcanzar mediante la gestión del riesgo de terceros. Estos resultados tienen por objeto contribuir a la resiliencia operativa y financiera de las FRFI y ayudar a salvaguardar su reputación.

Los seis resultados esperados se apoyan en 11 principios que la OSFI describe como mejores prácticas para la gestión de riesgos de terceros. La tabla resumen que figura a continuación relaciona las capacidades de las plataformas de gestión de riesgos de terceros más habituales con estos 11 principios.

NOTA: Esta tabla no debe considerarse una guía exhaustiva y definitiva. Consulte a su auditor para obtener una lista completa de los requisitos.

Directriz B-10 de la OSFI: Principios Cómo ayudamos
Resultado 1: Las estructuras de gobernanza y rendición de cuentas son claras y cuentan con estrategias y marcos integrales de gestión de riesgos.
Principio 1: “The FRFI is ultimately accountable for managing the risks arising from all types of third-party arrangements.”

Principio 2:«La FRFI debe establecer un marco de gestión de riesgos de terceros (TPRMF) que establezca claramente las responsabilidades, las políticas y los procesos para identificar, gestionar, mitigar, supervisar y notificar los riesgos relacionados con el uso de terceros».

 Prevalent se asocia con usted para crear un programa integral de gestión de riesgos de terceros (TPRM) basado en las mejores prácticas probadas y una amplia experiencia en el mundo real.

Nuestrosexpertoscolaboran con su equipo en la definición e implementación de procesos y soluciones de TPRM; la selección de cuestionarios y marcos de evaluación de riesgos; y la optimización de su programa para abordar todo el ciclo de vida del riesgo de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida de la empresa.

Como parte de este proceso, Prevalent puede ayudarle a definir:

  • Funciones y responsabilidades claras (por ejemplo, RACI)
  • Inventarios de terceros
  • Puntuación de riesgos y umbrales basados en la tolerancia al riesgo de su organización.
  • Metodologías de evaluación y supervisión basadas en la criticidad de terceros.
  • Mapeo de cuarta parte
  • Fuentes de datos de supervisión continua (cibernética, empresarial, reputacional, financiera)
  • Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI)
  • Políticas, normas, sistemas y procesos de gobierno para proteger los datos.
  • Requisitos de cumplimiento y presentación de informes contractuales en relación con los niveles de servicio.
  • Requisitos de respuesta ante incidentes
  • Informes sobre riesgos y partes interesadas internas
  • Estrategias de mitigación y remediación de riesgos
Resultado 2: Se identifican y evalúan los riesgos que plantean terceros.
Principio 3:«La FRFI debe identificar y evaluar los riesgos de un acuerdo con terceros antes de celebrarlo y, posteriormente, de forma periódica. Las evaluaciones de riesgos deben ser proporcionales a la importancia crítica del acuerdo. En concreto, la FRFI debe realizar evaluaciones de riesgos para decidir la selección de terceros; (re)evaluar el riesgo y la importancia crítica del acuerdo; y planificar la mitigación y supervisión adecuadas de los riesgos». Prevalent centraliza y automatiza la distribución, comparación y gestión de solicitudes de propuestas (RFP) y solicitudes de información (RFI). Nuestras soluciones también proporcionan información sobre los riesgos empresariales, reputacionales, financieros y de violación de datos para informar y añadir contexto a selección de proveedores decisiones.

Prevalent traslada a cada proveedor seleccionado a las fases de contratación y/o incorporación de la diligencia debida, haciendo avanzar automáticamente al proveedor a través del ciclo de vida de terceros.

Prevalent cuenta con una biblioteca de más de 750 plantillas prediseñadas paraevaluaciones continuasde riesgos de terceros. Estas se integran con capacidades nativas de supervisión de riesgos cibernéticos, operativos, reputacionales y financieros, que validan continuamente los resultados de las evaluaciones y cubren las lagunas entre ellas.

Las recomendaciones de corrección integradas garantizan que los terceros aborden los riesgos de manera oportuna y satisfactoria.

Con esta capacidad, Prevalent evalúa a los terceros antes de celebrar acuerdos con ellos, de forma periódica a lo largo de la relación y siempre que se produzca un cambio significativo en la relación provocado por la supervisión continua.
Principio 4:«La FRFI debe llevar a cabo la debida diligencia antes de celebrar contratos u otros tipos de acuerdos con terceros, y de forma continua, en proporción al nivel de riesgo y la importancia del acuerdo». Prevalent offers a pre-contract due diligence assessment with clear scoring based on eight criteria to capture, track and quantify riesgos inherentes for all third parties. Criteria includes:

  • Tipo de contenido necesario para validar los controles
  • Importancia crítica para el rendimiento y las operaciones empresariales
  • Ubicación(es) y consideraciones legales o normativas relacionadas
  • Nivel de dependencia de terceros (para evitar el riesgo de concentración)
  • Exposición a procesos operativos o de atención al cliente
  • Interacción con datos protegidos
  • Situación financiera y salud
  • Reputación

A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas.

La lógica de clasificación por niveles basada en reglas permite categorizar a los proveedores utilizando una serie de consideraciones relacionadas con la interacción de datos, las finanzas, la normativa y la reputación.

Prevalent cuenta con una biblioteca de más de 750 plantillas prediseñadas para evaluaciones de riesgos de terceros. Las evaluaciones pueden realizarse en el momento de la renovación del contrato o con la frecuencia que se requiera (por ejemplo, trimestral o anualmente). Los cuestionarios de evaluación pueden tener un enfoque global o regional para abordar requisitos legales u operativos específicos.

Prevalent ofrece recomendaciones de corrección integradas basadas en los resultados de la evaluación de riesgos. Estas recomendaciones están respaldadas por funciones de gestión de flujos de trabajo y tareas para garantizar que los terceros aborden los riesgos de manera oportuna y satisfactoria.

Las capacidades integradas y nativasde supervisión de riesgos cibernéticos, operativos, reputacionales y financierosseñalan los cambios significativos entre las evaluaciones periódicas y pueden activar notificaciones, evaluaciones de seguimiento u otras acciones.

Con esta capacidad, Prevalent permite a su organización evaluar los riesgos antes de celebrar el acuerdo, como parte del proceso de renovación del contrato, y periódicamente de forma continua, en proporción al nivel de riesgo y criticidad, o siempre que se produzcan cambios significativos en el acuerdo con terceros.
Principio 5:«La FRFI es responsable de identificar, supervisar y gestionar los riesgos derivados de los acuerdos de subcontratación suscritos por sus terceros». Prevalent puede identificar relaciones de subcontratación de cuarta y enésima parte mediante la realización de una evaluación basada en cuestionarios o mediante el escaneo pasivo de la infraestructura pública del tercero. El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían exponer su entorno a riesgos.

Los proveedores descubiertos a través de este proceso son supervisados continuamente para identificar riesgos financieros, ESG, cibernéticos, comerciales y de violación de datos, así como para la detección de sanciones/PEP.

Este enfoque proporciona información útil para abordar los posibles riesgos tecnológicos o de concentración geográfica.
Resultado 3: Los riesgos planteados por terceros se gestionan y mitigan dentro del Marco de Apetito de Riesgo de la FRFI.
Principio 6:«La FRFI debe celebrar acuerdos por escrito en los que se establezcan los derechos y responsabilidades de cada parte». Prevalent centraliza la distribución, el debate, la retención y la revisión de contratos con proveedores. It also offers workflow capabilities to automate the contract lifecycle from onboarding to offboarding. Key capabilities include:

  • Seguimiento centralizado de todos los contratos y sus atributos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
  • Funciones de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos.
  • Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de contratos.
  • Discusión centralizada de contratos y seguimiento de comentarios
  • Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos.
  • Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión.
  • Permisos basados en roles que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

Con esta capacidad, puede asegurarse de que las responsabilidades estén claramente articuladas en el contrato con el proveedor y que los SLA se supervisen y gestionen adecuadamente.
Principio 7:«Durante toda la vigencia del acuerdo con terceros, la FRFI y el tercero deberán establecer y mantener medidas adecuadas para proteger la confidencialidad, integridad y disponibilidad de los registros y datos». Prevalent delivers a centralized, collaborative platform for conducting evaluaciones de privacidad y mitigando los riesgos de privacidad tanto internos como de terceros. Las capacidades clave de evaluación de la seguridad y la privacidad de los datos incluyen:

  • Evaluaciones programadas y mapeo de relaciones para revelar dónde existen los datos personales, dónde se comparten y quién tiene acceso a ellos, todo ello resumido en un registro de riesgos que destaca las exposiciones críticas.
  • Evaluaciones del impacto sobre la privacidad para descubrir datos empresariales en riesgo e información de identificación personal (PII).
  • Evaluaciones de proveedores con respecto al RGPD y otras normativas de privacidad a través del Marco de Cumplimiento Prevalente (PCF): revela posibles puntos críticos mediante la asignación de los riesgos identificados a controles específicos.
  • Mapeo de riesgos y respuestas del RGPD a los controles. Incluye calificaciones de cumplimiento porcentual e informes específicos para las partes interesadas.
  • Una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas, incluyendo tipos y cantidades de datos robados, cuestiones de cumplimiento normativo y regulatorio, y notificaciones en tiempo real de violaciones de datos de proveedores.
  • Centralización de la incorporación, distribución, discusión, retención y revisión de los contratos con los proveedores: garantiza que las disposiciones de protección de datos se apliquen desde el inicio de la relación.
Principio 8:«Los acuerdos de la FRFI con terceros deben permitir a la FRFI acceder oportunamente a información precisa y completa que le ayude a supervisar el desempeño y los riesgos de los terceros. La FRFI también debe tener derecho a realizar o encargar una auditoría independiente de un tercero». With Prevalent, auditors can establish a program to efficiently achieve and demonstrate compliance. The solution automates Auditoría de cumplimiento de la gestión de riesgos de terceros recopilando información sobre los riesgos de los proveedores, cuantificando los riesgos, recomendando soluciones y generando informes para docenas de normativas gubernamentales y marcos industriales.

Prevalent asigna automáticamente la información recopilada a partir de evaluaciones basadas en controles a ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS y otros marcos normativos, lo que le permite visualizar y abordar rápidamente los requisitos de cumplimiento importantes.

Además, Prevalent revela tendencias de riesgo, estado y excepciones al comportamiento habitual de proveedores individuales o grupos con información integrada obtenida mediante aprendizaje automático. Esto le permitirá identificar rápidamente valores atípicos en evaluaciones, tareas, riesgos, etc., que podrían justificar una investigación más profunda.
Principio 9:«El acuerdo de la FRFI con el tercero debe incluir la capacidad de realizar operaciones durante una interrupción, incluyendo el mantenimiento, las pruebas y la activación de planes de continuidad del negocio y recuperación ante desastres. La FRFI debe contar con planes de contingencia para sus acuerdos críticos con terceros». Prevalent automatiza la evaluación, el monitoreo continuo, el análisis y la corrección de Resiliencia y continuidad empresarial de terceros – al tiempo que se asignan automáticamente los resultados a los marcos de control NIST, ISO y otros.

Para complementar las evaluaciones de resiliencia empresarial y validar los resultados, Prevalent:

  • Automatiza la supervisión cibernética continua que puede predecir posibles impactos comerciales de terceros.
  • Accede a información cualitativa procedente de más de 550 000 fuentes públicas y privadas de información sobre reputación que podrían indicar inestabilidad por parte de los proveedores.
  • Accede a información financiera de una red global de 2 millones de empresas para identificar la salud financiera de los proveedores o los problemas operativos.

Este enfoque proactivo permite a su organización minimizar el impacto de las interrupciones de terceros y mantenerse al día con los requisitos de cumplimiento.

La plataforma Prevalent incluye una evaluación exhaustiva de la resiliencia empresarial basada en las prácticas estándar de la norma ISO 22301, que permite a las organizaciones:

  • Clasificar a los proveedores según su perfil de riesgo y su importancia para el negocio.
  • Esbozar los objetivos de punto de recuperación (RPO) y los objetivos de tiempo de recuperación (RTO).
  • Centralizar el inventario del sistema, las evaluaciones de riesgos, los diagramas RACI y los terceros.
  • Garantizar una comunicación fluida con los proveedores durante las interrupciones del negocio.

Cuando se requiere la rescisión o salida de servicios críticos, Prevalent aprovecha encuestas y flujos de trabajo personalizables para informar sobre el acceso al sistema, la destrucción de datos, la gestión del acceso, el cumplimiento de las leyes pertinentes, los pagos finales y mucho más. La solución también sugiere acciones basadas en las respuestas a las evaluaciones de salida y deriva las tareas a los revisores según sea necesario.
Resultado 4: Se supervisa y evalúa el rendimiento de terceros, y se abordan de forma proactiva los riesgos y las incidencias.
Principio 10:«La FRFI debe supervisar sus acuerdos con terceros para verificar la capacidad de estos para seguir cumpliendo sus obligaciones y gestionar eficazmente los riesgos». Prevalent continuously tracks and analyzes amenazas externas a tercerosLa solución supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes y las iniciativas de respuesta.

Las fuentes de supervisión incluyen:

  • Más de 1500 foros criminales; miles de páginas onion; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550 000 empresas.
  • Una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo.
  • 550 000 fuentes públicas y privadas de información sobre reputación, incluyendo actividades de fusiones y adquisiciones, noticias empresariales, noticias negativas, información normativa y legal, actualizaciones operativas y mucho más.
  • Una red global de 2 millones de empresas con 5 años de cambios organizativos y resultados financieros, incluyendo volumen de negocios, pérdidas y ganancias, fondos de los accionistas, etc.
  • 30 000 fuentes de noticias globales
  • Una base de datos que contiene más de 1,8 millones de perfiles de personas políticamente expuestas.
  • Listas de sanciones globales y más de 1000 listas de ejecución globales y documentos judiciales.
Principio 11:«Tanto la FRFI como su tercero deben contar con procesos documentados para identificar, investigar, escalar, rastrear y remediar incidentes de manera eficaz, a fin de garantizar la resiliencia operativa y financiera continua y mantener los niveles de riesgo dentro del apetito de riesgo de la FRFI». Prevalent permite a su equipo identificar y mitigar rápidamente el impacto delos incidentes de proveedores externosmediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados y el acceso a directrices de corrección.
Resultado 5: El programa de gestión de riesgos de terceros de la FRFI permite a la FRFI identificar y gestionar de forma continua una serie de relaciones con terceros.
Resultado 6: Las operaciones tecnológicas y cibernéticas llevadas a cabo por terceros son transparentes, fiables y seguras. The Prevalent Platform includes a large library of standardized assessments (including those for NIST and ISO best practices frameworks) and customization capabilities to assess third parties with flexibility. For third parties that submit a SOC 2 report instead of a completed third-party risk assessment, Prevalent enables you to map control gaps identified within the SOC 2 report, create risk items against the third party within a central assessment platform, and track and report against deficiencies along with other risks.

Independientemente del marco de ciberseguridad, Prevalent le permite reducir los plazos de evaluación y mitigar los riesgos.
Recursos adicionales
Gobernanza, riesgo y cumplimiento normativo
La PDPA y la gestión de riesgos de terceros
Más información
Gobernanza, riesgo y cumplimiento normativo
Lista de verificación del cumplimiento del RGPD para la gestión de riesgos de terceros
Más información
Gobernanza, riesgo y cumplimiento normativo
Lista de verificación de cumplimiento de la CCPA y la CPRA para la gestión de riesgos de terceros
Más información
Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.