我们发现部分公司业务连续性和灾难恢复实践薄弱,对技术和网络风险的理解程度也参差不齐。我们还发现,对技术和网络的二线监督有限,有些信用评级机构有时没有专门的资源来负责这一领域。控制职能部门通常缺乏对英国特定技术和网络风险的审查。一些技术事件没有及时报告,或者根本没有报告。对于一些依赖母公司或外部第三方提供技术和网络服务的信用评级机构,我们发现第三方管理框架不够完善。我们发现,对支持英国监管实体的数据中心和集团范围的技术项目的监督有限。没有证据表明董事会对外包活动的风险进行了全面审查,也没有充分提供有关服务水平协议 (SLA) 及其监控方式的信息。