6號牌持牌人如何準備SFC的突擊現場檢查

2025年6月，證監會（SFC）向一家中資背景的保薦人機構發出為期三日的突擊現場檢查通知，這是SFC根據《證券及期貨條例》（第571章）第185條行使視察權力的最新案例。根據SFC《2024年執法年報》，該年度進行的現場檢查次數較2023年增加約18%，其中針對持牌保薦人（Type 6/6A）的檢查佔比超過四成。SFC行政總裁梁鳳儀在2025年3月的亞洲證券業與金融市場協會（ASIFMA）年會上明確指出，現場檢查已成為「持續監管」的核心工具，而非僅限於調查違規行為後的補救措施。對持牌保薦人而言，突擊檢查不再是一個「是否會發生」的問題，而是「何時發生」以及「如何從容應對」的現實挑戰。本文將從法規依據、實務準備、文件管理及人員應對四個維度，為Type 6/6A持牌人提供具體的操作框架。

法規依據與檢查權力範圍

SFC現場檢查的法律基礎

SFC進行現場檢查的權力源自《證券及期貨條例》第185條，該條款授權SFC在合理通知下（或無需事先通知，若SFC認為必要），進入持牌人的營業場所查閱、複印或提取任何與受規管活動相關的文件及紀錄。2024年修訂的《SFC持牌人操守準則》（Code of Conduct）第9.1段進一步明確，持牌人須確保其所有業務紀錄、會計帳目及客戶資料「即時可供查閱」。這意味著，即使SFC人員在上午9時抵達辦公室，持牌人亦不能以「文件存放於第三方存管機構」或「正在進行內部審計」為由延遲提供。

檢查範圍的實際邊界

根據SFC《2023-24年度監管重點報告》，突擊檢查的範圍通常涵蓋三大類別：第一，客戶盡職審查（CDD）文件，包括開戶文件、風險評估表及持續監控紀錄；第二，交易紀錄及相關通訊，包括電郵、即時訊息（如WhatsApp、WeChat）及電話錄音；第三，內部監控程序及合規手冊的執行情況。值得注意的是，SFC在2025年2月發出的《關於保薦人盡職審查的通函》中特別強調，檢查人員有權要求保薦人提供其對上市申請人進行的「實地考察」紀錄，包括考察日期、參與人員、考察內容及後續跟進事項。SFC亦明確指出，若保薦人使用第三方服務供應商（如法律顧問或行業專家）進行部分盡職審查，相關合約、工作底稿及溝通紀錄均須完整保存。

檢查與調查的區別

持牌人必須清晰區分現場檢查（on-site inspection）與正式調查（investigation）。檢查屬於SFC的持續監管職能，其目的在於評估持牌人的合規水平及內部監控有效性；調查則通常涉及具體的違規指控，並可能導致紀律處分。然而，檢查過程中若SFC人員發現潛在違規跡象，檢查有權即時轉為調查程序，屆時持牌人應立即啟動法律代表介入機制。2024年SFC對一家本地保薦人的檢查中，檢查人員在抽查IPO項目文件時發現一份未經簽署的保薦人聲明，隨即要求該機構提供該項目的完整工作底稿，最終該案轉為正式調查，並於2025年3月作出公開譴責。

實務準備：從合規文化到操作手冊

建立「隨時可查」的文件管理系統

突擊檢查的成敗，往往取決於文件檢索的速度與完整性。SFC在2024年12月發出的《關於電子紀錄保存的指引》中明確要求，持牌人須建立電子化文件管理系統，確保所有受規管活動的紀錄在SFC要求時「能在合理時間內檢索」。合理時間的定義，SFC內部指引通常以四小時為上限。實務上，持牌人應將文件分類至以下層級：第一層為客戶層級文件（開戶文件、風險評估、持續監控紀錄）；第二層為交易層級文件（交易確認、結算紀錄、通訊紀錄）；第三層為項目層級文件（IPO項目工作底稿、盡職審查報告、內部審批紀錄）。每一層級的文件應設立獨立索引，並由合規部門定期進行隨機抽樣測試，確保檢索功能正常運作。

模擬檢查演練（Mock Inspection）的操作框架

持牌人應至少每半年進行一次模擬突擊檢查演練。演練設計應模擬SFC的真實操作流程：合規部門在早上通知業務部門，檢查人員（由內部合規或外部顧問擔任）將在30分鐘內到達。演練重點包括：第一，接待流程——指定一名合規人員作為SFC檢查的唯一聯絡人（Single Point of Contact, SPOC），負責協調所有文件請求和人員訪問；第二，文件提取——測試從提出請求到提供文件的平均時間，目標應低於兩小時；第三，人員應對——模擬SFC人員對項目負責人的提問，包括盡職審查的具體步驟、風險識別過程及內部審批決策的邏輯。2025年4月，一家國際保薦人機構的香港分部在模擬演練中發現，其電子文件系統中約12%的IPO項目文件存在標籤錯誤，導致檢索時間超過五小時。該機構隨即進行系統升級，並在一個月後通過SFC的實際檢查。

合規手冊的動態更新

SFC《操守準則》第9.2段要求持牌人確保其內部合規手冊「反映最新的監管要求及行業最佳實踐」。突擊檢查中，SFC人員經常要求查閱合規手冊的版本歷史，以評估持牌人是否及時更新。持牌人應建立合規手冊的季度審閱機制，重點關注以下領域的變動：第一，SFC通函及指引（如2025年2月的保薦人盡職審查通函）；第二，香港交易所（HKEX）《上市規則》修訂（如2025年1月生效的《GEM上市改革》相關條文）；第三，反洗錢（AML）及反恐融資（CTF）相關法規更新（如《打擊洗錢條例》第615章的最新修訂）。每次更新後，應保留更新紀錄，包括更新日期、更新內容摘要及負責人員簽署。

文件管理：從紙本到電子化的全面覆蓋

通訊紀錄的保存時限與格式

SFC《紀錄保存指引》第4.2段規定，持牌人須保存所有與受規管活動相關的通訊紀錄，保存期不少於七年。對於保薦人而言，這包括與上市申請人、其他專業中介機構（如申報會計師、法律顧問）以及HKEX之間的所有通訊。通訊形式不限於正式電郵，亦涵蓋即時訊息、視頻會議紀錄及電話錄音。2024年SFC對一家保薦人的檢查中，檢查人員要求提供項目團隊成員與上市申請人財務總監之間的WhatsApp對話紀錄，該機構因未能提供而受到SFC的書面警告。持牌人應建立統一通訊平台（如使用經合規部門批准的企業級即時訊息工具），並禁止員工使用個人通訊工具處理業務相關事宜。

盡職審查工作底稿的結構化要求

保薦人的盡職審查工作底稿是SFC突擊檢查的重中之重。根據SFC《保薦人盡職審查指引》（2024年修訂版），工作底稿應涵蓋以下核心元素：第一，盡職審查計劃（Due Diligence Plan），包括範圍、時間表及負責人員；第二，實地考察紀錄，包括考察日期、地點、參與人員、考察內容及發現事項；第三，與第三方專家的溝通紀錄，包括委託合約、專家報告及對專家工作的評估；第四，內部審批紀錄，包括項目委員會會議紀錄、風險評估報告及最終決策依據。每一項目的工作底稿應按時間順序裝訂，並設立獨立索引，以便SFC人員快速定位特定文件。

第三方服務供應商的管理

SFC在2025年2月的通函中特別強調，保薦人須對其委託的第三方服務供應商進行持續監控。突擊檢查中，SFC人員可能要求查閱保薦人與第三方供應商之間的所有合約、工作指示及成果交付紀錄。持牌人應確保：第一，與第三方供應商的合約中明確載明其工作範圍、交付標準及保密義務；第二，保薦人內部保留對第三方工作的獨立評估紀錄；第三，第三方供應商的工作底稿（如法律意見書、行業報告）須完整保留，並可供SFC查閱。2024年，一家保薦人因其委託的法律顧問未能提供完整的工作底稿，而被SFC認定為盡職審查不足，最終被罰款500萬港元。

人員應對：從管理層到前線員工的協作

指定檢查聯絡人（SPOC）的職責與權限

持牌人應指定一名合規部門的高級人員作為SFC檢查的唯一聯絡人（SPOC）。SPOC的職責包括：第一，接待SFC檢查人員，確認其身份及檢查授權範圍；第二，協調文件請求，確保所有請求在合理時間內得到回應；第三，記錄檢查過程中的所有請求、回應及發現事項；第四，在檢查過程中出現爭議時，作為與SFC溝通的唯一渠道。SPOC應具備充分的合規知識及溝通技巧，並在檢查前接受專門培訓。2025年3月，一家保薦人機構因SPOC未能及時回應SFC的文件請求，導致檢查時間延長一日，最終SFC在檢查報告中對該機構的「合作程度」作出負面評價。

前線員工的應對培訓

突擊檢查中，SFC人員可能直接與項目團隊成員進行訪談，了解盡職審查的具體執行情況。持牌人應對所有參與受規管活動的員工進行應對培訓，重點包括：第一，如實回答問題，但不得猜測或提供不確定的信息；第二，若對問題不確定，應表示「我需要查閱相關紀錄後再回答」，而非即時回應；第三，不得刪除或隱藏任何文件，即使認為文件可能對機構不利；第四，訪談結束後，立即向SPOC匯報訪談內容及被問及的問題。2024年，一家保薦人的項目經理在SFC訪談中，因試圖隱瞞一份未經簽署的盡職審查報告，最終導致該機構被SFC公開譴責，並被罰款300萬港元。

管理層的合規承諾展示

SFC在突擊檢查中，通常會要求與持牌人的高級管理層（包括負責人員RO）進行會面，了解機構的合規文化及管理層對合規的重視程度。管理層應準備好回答以下問題：第一，機構的合規政策如何制定及執行；第二，管理層如何確保合規部門的獨立性及資源充足性；第三，過去一年內機構發生的合規事件及其處理方式；第四，機構對未來監管變化的應對計劃。管理層的態度及回應質量，往往影響SFC對該機構整體合規水平的判斷。2025年5月，一家保薦人機構的CEO在與SFC的會面中，因無法清楚描述機構的合規架構，導致SFC對該機構的「管理層合規意識」給予負面評價，並要求該機構在三個月內提交整改報告。

檢查後的跟進與整改

即時整改計劃的制定

SFC完成現場檢查後，通常會在30至60個工作日內發出檢查報告，指出發現的問題及要求整改的領域。持牌人應在收到報告後14個工作日內提交整改計劃，包括具體的行動措施、負責人員、完成時間表及預期成果。整改計劃應涵蓋以下層面：第一，文件層面——補齊缺失的文件或修正錯誤的紀錄；第二，系統層面——升級電子文件管理系統或內部監控流程；第三，人員層面——對相關員工進行再培訓或調整崗位職責；第四，政策層面——修訂合規手冊或內部操作指引。

整改完成後的驗證機制

整改完成後，持牌人應邀請外部合規顧問或內部審計部門對整改效果進行獨立驗證，並向SFC提交驗證報告。SFC可能要求進行後續檢查，以確認整改措施已有效落實。2024年，一家保薦人機構在SFC檢查後提交了整改計劃，但三個月後的後續檢查中，SFC發現其文件管理系統仍未達到要求，最終該機構被SFC公開譴責，並被要求暫停處理新的上市申請六個月。

檢查紀錄的保存與內部學習

持牌人應將每次SFC檢查的相關紀錄（包括檢查通知、文件請求、回應紀錄、檢查報告及整改計劃）保存不少於七年。這些紀錄不僅是合規的證明，亦是內部學習的重要素材。持牌人應定期組織內部研討會，分析檢查中發現的共性問題及行業最佳實踐，並將學習成果納入合規培訓課程。2025年，一家保薦人機構在完成SFC檢查後，將其檢查經驗整理成內部案例手冊，並在季度合規會議上進行分享，有效提升了全機構的合規意識及應對能力。

行動要點

1. 立即審閱並更新機構的合規手冊，確保其反映2025年2月SFC保薦人盡職審查通函及2024年《操守準則》修訂的所有要求。
2. 指定一名合規部門高級人員作為SFC檢查唯一聯絡人（SPOC），並在30日內完成其應對培訓，包括文件檢索流程及溝通技巧。
3. 在60日內完成一次全面的模擬突擊檢查演練，重點測試電子文件管理系統的檢索速度及前線員工的應對能力。
4. 對所有參與受規管活動的員工進行SFC檢查應對培訓，確保其了解如實回答、不猜測、不隱藏文件的基本原則。
5. 建立季度合規手冊審閱機制，並將每次SFC檢查的經驗整理成內部案例，納入持續培訓課程。