保薦人如何建立有效的合規風險自我評估程序

2025年4月，證監會（SFC）發佈《保薦人主題視察報告》，指出在過去18個月對15家活躍保薦人的合規審查中，逾六成機構的內部風險評估程序存在系統性缺陷——包括風險分類標準模糊、文件記錄缺失、以及與上市委員會（Listing Committee）決策邏輯脫節。這份報告並非孤立事件：港交所（HKEX）同期修訂《上市規則》第3A章，要求保薦人須在上市申請前提交詳盡的盡職審查計劃書（Due Diligence Plan），並明確規定合規風險自我評估（Compliance Risk Self-Assessment, CRSA）須覆蓋至少12個核心風險維度，包括關連交易、VIE架構、以及跨境資金流動。對於持牌保薦人（SFC 6/6A牌照）及其內部合規團隊而言，這意味著過去依賴「經驗判斷」或「模板化清單」的風險管理方式已不再可行。本文基於SFC通函、HKEX上市委員會決定書及國際最佳實務，拆解一套可操作的CRSA建立框架——從風險識別矩陣設計、到季度壓力測試機制、再到與上市委員會審批流程的對接。

CRSA的核心結構：從「清單式審查」轉向「動態風險矩陣」

傳統保薦人合規程序多以靜態清單（Checklist）為主，例如核對招股書披露項目、檢查公司註冊文件、或確認董事會決議簽署。但SFC在2024年《操守準則》第17.6段明確指出，靜態清單無法應對結構性風險——例如通過BVI或開曼群島註冊的SPAC公司，其實際控制人可能隱藏於多層信託架構中，而清單式審查往往只核查直接股東名冊。有效的CRSA必須建基於動態風險矩陣（Dynamic Risk Matrix），該矩陣需涵蓋三個維度：風險發生概率（Probability）、潛在影響程度（Impact）、以及監管關注度（Regulatory Sensitivity）。

風險維度一：交易結構複雜性與司法管轄區風險

保薦人在評估上市申請時，必須將交易結構的複雜性量化為風險評分。以2023年HKEX上市委員會決定書HKEX-LD127-2023為例，該案中保薦人因未能識別申請人通過五層BVI公司及一家香港信託公司持有的資產轉移安排，被SFC罰款1,200萬港元並暫停牌照六個月。CRSA應要求保薦人對每一層司法管轄區進行獨立評級：BVI及開曼群島的評級為「中等」（因公司註冊資訊不公開），而涉及中國內地VIE結構的評級則為「高」（因需同時符合中國證監會及香港上市規則第19C章要求）。具體操作上，保薦人應建立「司法管轄區風險地圖」，對比各司法管轄區的資訊透明度、外匯管制、以及反洗錢（AML）合規標準，並將評級結果納入CRSA的初始評分。

風險維度二：關連交易與利益輸送路徑

HKEX《上市規則》第14A章對關連交易的披露要求極為嚴格，但實務中保薦人常忽略「間接關連方」的識別——例如通過家族信託或代持協議控制的實體。SFC在2025年《保薦人主題視察報告》中特別點名一宗案例：保薦人僅核查了申請人董事會成員的直接持股，卻未發現其中一名董事通過其配偶在另一家BVI公司持有的30%股權，構成未披露的關連交易。CRSA應設立「關連方穿透測試」（Related Party Penetration Test），要求保薦人對所有持股5%以上的股東、董事、以及高級管理人員進行至少兩層的股權穿透，並比對HKEX的關連方資料庫。如發現任何路徑涉及境外信託或離岸基金，則自動觸發「高風險」標記，需啟動額外盡職審查程序。

風險維度三：財務數據真實性與現金流驗證

財務造假是保薦人面臨的最大聲譽風險，而CRSA必須將財務數據驗證從「抽樣核查」升級為「全量比對」。HKEX上市委員會在2024年決定書HKEX-LD131-2024中強調，保薦人須對申請人過去三年的銀行流水、應收賬款週轉天數、以及存貨週轉率進行獨立驗證，不能僅依賴審計師報告。具體而言，CRSA應要求保薦人建立「現金流壓力測試模型」：將申請人申報的營運現金流與行業基準比對，若偏離超過20%，則觸發「紅色警報」，需向SFC提交專項報告。同時，保薦人須對所有超過100萬港元的關連交易進行資金流向追蹤，確保資金實際流入申報方賬戶，而非通過第三方代持。

CRSA的執行機制：季度壓力測試與監管報告

CRSA並非一次性文件，而是需要持續更新的動態系統。SFC在《操守準則》第17.8段要求保薦人每季度進行一次合規壓力測試（Compliance Stress Test），模擬極端市場條件下（如利率急升200基點、或主要客戶破產）的風險敞口變化。這一要求與港交所（HKEX）對上市公司的持續責任（Continuing Obligations）精神一致，旨在確保保薦人在整個上市過程中——而非僅在提交A1表格時——保持風險意識。

壓力測試的具體參數設定

保薦人應為CRSA設立至少五個壓力測試場景：市場流動性枯竭（如2023年美國地區銀行危機）、監管政策突變（如中國證監會突然收緊VIE結構審批）、主要客戶集中度風險、匯率波動（如人民幣對美元貶值10%）、以及關鍵人員離職（如保薦人團隊核心成員突然辭職）。每個場景需量化為具體的風險評分變化。例如，在VIE結構審批收緊場景下，所有涉及中國內地業務的申請人風險評分應自動上調兩個等級（例如從「中等」升至「高」），並觸發額外盡職審查——包括與中國律師事務所確認最新的監管動態，以及與港交所上市科（Listing Division）進行預先溝通。

監管報告的標準化模板

SFC要求保薦人須在壓力測試完成後10個工作日內提交《合規風險評估報告》（Compliance Risk Assessment Report, CRAR），報告須包含以下要素：風險矩陣的當前狀態、壓力測試結果、已採取的緩解措施、以及未來90天的風險預測。報告格式應採用SFC在2024年《通函第12/2024號》中建議的標準化模板，包括風險編號、風險描述、概率評分（1-5）、影響評分（1-5）、監管關注度（低/中/高）、以及最後審查日期。保薦人內部合規委員會須在收到報告後5個工作日內召開會議，並將會議記錄存檔至少七年——此要求源自SFC《持牌人及註冊機構操守準則》第12.2段。

CRSA與上市委員會審批流程的對接

CRSA的最終目標是減少上市委員會（Listing Committee）在審批過程中提出的質詢（Query），從而縮短上市時間並降低合規成本。HKEX在2025年修訂的《上市規則》第3A.13條明確規定，保薦人須在上市申請提交前，向上市科提交CRSA摘要，並說明如何應對已識別的風險。這意味著CRSA不再是內部文件，而是需要向監管機構披露的正式材料。

風險緩解措施的預先審查

保薦人應在CRSA中為每個高風險項目制定具體的緩解措施（Mitigation Measures），並提前與上市科進行非正式溝通（Pre-filing Consultation）。例如，若CRSA識別出申請人存在較高的關連交易風險，保薦人應在提交A1表格前，準備一份詳盡的關連交易分析報告，包括交易定價基準、獨立估值報告、以及少數股東利益保護機制。HKEX上市委員會在2024年決定書HKEX-LD130-2024中明確表示，若保薦人在上市申請提交前已主動向上市科提交風險緩解方案，委員會將在審批時給予「適當權重」，並可能減少質詢次數。

上市後持續風險監控

CRSA的責任不應在上市日終止。SFC在《保薦人主題視察報告》中強調，保薦人須在上市後至少12個月內，持續監控申請人的風險狀況，並在發現重大變化時（如主要客戶流失、或董事會成員變動）更新CRSA。這與HKEX《上市規則》第18C章對SPAC公司的持續披露要求一致。保薦人應設立「上市後風險追蹤系統」，每月自動比對申請人的股價波動、新聞報導、以及監管公告，若觸發預設閾值（如股價連續五個交易日下跌超過20%），則自動啟動風險審查程序。

技術工具與人員培訓的配套

CRSA的有效性最終取決於執行人員的專業能力與技術工具的支援。SFC在2025年《通函第5/2025號》中建議保薦人採用合規科技（RegTech）工具，包括自然語言處理（NLP）系統用於自動分析招股書中的風險詞彙，以及區塊鏈技術用於記錄盡職審查的每一步操作，確保數據不可篡改。但技術工具僅是輔助，核心仍在於人員培訓。

合規團隊的專業資格要求

保薦人須確保CRSA團隊成員持有SFC 6/6A牌照，並至少完成每年20小時的持續專業培訓（CPT），其中至少5小時須專注於風險管理主題。培訓內容應包括：最新上市委員會決定書案例分析、SFC通函解讀、以及壓力測試模型實操。保薦人應建立內部考核機制，每年對CRSA團隊成員進行風險識別能力測試，不合格者須重新培訓直至通過。

外部審計與獨立驗證

為確保CRSA的客觀性，保薦人應每兩年聘請獨立第三方（如四大會計師事務所或專業合規顧問）對CRSA進行審計。審計範圍須包括：風險矩陣的完整性、壓力測試結果的合理性、以及緩解措施的執行情況。審計報告須直接提交給保薦人的董事會（Board of Directors），而非僅由合規部門存檔。此要求與SFC《操守準則》第16.3段對內部監控系統的獨立審計要求一致。

結論與行動建議

綜合以上分析，CRSA已從「合規選項」升級為「監管強制要求」，保薦人若未能建立有效的自我評估程序，將面臨牌照暫停、罰款、以及聲譽損失的三重打擊。以下為五項具體行動建議：

1. 立即建立動態風險矩陣：以SFC 2025年《保薦人主題視察報告》為基準，覆蓋至少12個核心風險維度，並將司法管轄區風險、關連交易穿透、以及現金流壓力測試納入強制評估項目。

2. 實施季度壓力測試機制：參照SFC《操守準則》第17.8段，設立五個標準壓力測試場景，並在完成後10個工作日內提交標準化CRAR報告。

3. 主動對接上市委員會流程：在提交A1表格前，將CRSA摘要及風險緩解方案提交上市科進行預先溝通，以減少審批過程中的質詢次數。

4. 部署合規科技工具：採用NLP及區塊鏈技術提升風險識別效率與數據完整性，但須確保技術工具符合SFC《通函第5/2025號》的數據安全標準。

5. 強化人員培訓與外部審計：確保CRSA團隊成員每年完成20小時CPT，其中至少5小時專注於風險管理，並每兩年聘請獨立第三方進行CRSA審計，結果直接提交董事會。