银行技术风险评级体系

第五章　银行技术风险评级体系

银行技术风险评级体系是对银行技术风险监管的有效工具之一。其核心内容是对银行技术风险进行科学的评级。评级的对象是银行及银行IT服务提供商。建立银行技术风险评级体系的目的是为了建立健全银行风险管理系统，使监管部门有能力识别、评估、检测及控制银行技术风险。

银行技术风险评级体系应用具体表现在银行监管部门将存在或潜在技术风险的银行及IT服务提供商作为监管对象，通过一定的技术风险评级模型对监管对象的技术风险状况及技术风险管理能力进行等级划分，从而对监管对象的技术风险表现形态和内部风险控制能力进行科学判断，进而有针对性地采取监管措施，督促有问题的银行或IT服务提供商加强风险管理能力、改善风险状况，增强监管效果，提高监管效率。

银行技术风险评级体系作为银行风险预警工具之一，它的建立有助于完善我国银行技术风险预警体系，早期预警和早期监管，有效利用监管信息，风险防范工作提前部署，有效化解技术风险。

统一技术风险评级体系（Uniform Rating System for Information Technology，URSIT）是由美国联邦金融机构检查委员会（FFIEC）制定的美国金融业统一的技术风险评级体系。它作为一套专门的技术风险监管工具用于美国所有的金融机构和IT服务提供商的技术风险检查中。监管当局既可以利用URSIT来评估金融机构和IT服务提供商的金融技术风险，也可以专门对已经暴露金融技术风险的金融机构和IT服务提供商进行评级。

1978年，FFIEC首次推荐各金融机构采用URSIT。随着信息技术的发展，以及随之带来的金融监管政策和程序的变化，URSIT也相应修订过多次。特别是FFIEC于1998年制定的新URSIT，参考了国际上公认的最先进、最权威的信息系统安全与技术管理和控制标准COBIT（信息及相关技术控制目标，Control Objectives for Information and Related Technology），使URSIT更科学、更易于执行。