斯里兰卡央行出台银行外包业务严规，2027年起全面生效

据《每日镜报》4月9日报道，为应对数字化业务流程及新型银行活动的发展，斯里兰卡中央银行于2026年3月25日正式发布《2026年第01号银行法指引》，针对持牌商业银行和专业银行的外包业务管理推出全新综合监管框架，旨在建立稳健审慎的外包管理机制。

新规将于2027年1月1日正式生效，届时将完全废止2012年发布的原有指引。

根据新规，银行外包业务的适用范围将受到严格监控，确保外包不会削弱银行的风险管理、内部控制及整体声誉。

新框架的重点之一，是明确界定不得外包的核心银行职能。持牌银行被法律禁止外包与存款吸收、取款服务直接相关的业务，以及资产负债管理、合规、风险管理等关键内部职能。此外，战略规划、贷款审批、客户尽职调查（含KYC程序）等核心决策环节也必须完全保留在银行内部。

内部审计职能原则上不得外包。但斯里兰卡央行对小型银行或专项审计提供了有限豁免，前提是所选服务提供商为经批准的审计机构，且不得同时担任该行的外部审计机构。

新规明确将外包业务的最终责任直接归于银行董事会及高级管理层。银行必须制定一项经董事会批准的全面外包政策，涵盖严格的供应商筛选标准、详细的成本收益分析以及对所有潜在服务商的充分尽职调查。该政策还需规定对单一服务商的最高风险敞口上限，以防范集中度风险。此外，所有外包安排必须遵循公平交易原则，尤其当服务商业务中存在关联方或董事重大利益时。

信息技术与安全运营在新规中获得专项关注。银行可外包IT基础设施管理、应用开发及灾备支持，前提是严格遵守央行现行技术风险与韧性相关法规。云计算的运用亦获允许，但须满足严格的前置条件：采用云服务的银行必须保证数据主权、可恢复性与保密性，且服务商须持有经认可的安全认证。

为统筹管理上述技术与运营变革，每家持牌银行须在总行设立专门的业务监测单位，负责对服务质量进行定期评估、处理与外包供应商相关的客户投诉，并确保每年全面测试业务连续性计划。