SFC對保薦人記錄管理及數據保留的監管要求

從SFC《操守準則》第12項到現場視察焦點：2025年保薦人記錄管理已成合規審查第一關

香港證監會（SFC）於2024年第四季度至2025年首季進行的多輪現場視察中，記錄管理（Record Management）及數據保留（Data Retention）已取代傳統的盡職審查流程，成為最常被出具觀察意見（Observation Letter）的合規領域。據業內統計，2024年SFC向持牌保薦人機構發出的合規意見函中，超過六成直接或間接涉及文件存檔完整性、電子通訊記錄保留或盡職審查工作底稿的時序邏輯問題。這並非新的監管要求——SFC《操守準則》第12項（Code of Conduct for Persons Licensed by or Registered with the SFC, paragraph 12）自2005年已訂明記錄保存的基本義務——但2024年SFC發出的《有關保薦人遵守記錄保存規定的通函》（Circular on Compliance with Record Keeping Requirements by Sponsors）明確將合規標準從「保存記錄」提升至「可檢索、可重建、可審計」的三層要求。對於持牌保薦人機構及其內部合規部門而言，理解SFC在現場視察中如何評估記錄管理系統，以及2025年《證券及期貨條例》（Securities and Futures Ordinance, Cap. 571）下新增的數據保留權力，已成為避免紀律處分及牌照條件（Licensing Conditions）的基本前提。

SFC對記錄管理的監管框架與合規標準演進

從《操守準則》第12項到2024年通函：合規標準的具體化

SFC對保薦人記錄管理的監管基礎，始於《操守準則》第12項，該項規定持牌人須「備存有關其業務的記錄，為期至少7年」。然而，2024年SFC通函的發布，標誌著監管期望從形式合規轉向實質合規。該通函明確指出，SFC在現場視察中發現的常見缺失包括：（1）工作底稿（Working Papers）缺乏時序標記（Timestamping）；（2）電子郵件及即時通訊軟件（如WhatsApp、WeChat、Signal）的業務相關對話未被妥善歸檔；（3）盡職審查過程中的版本管理（Version Control）缺失，導致無法重建盡職審查的邏輯鏈條。

具體而言，SFC要求保薦人記錄管理系統須滿足三項可操作性標準：第一，可檢索性（Searchability）——所有記錄須以結構化數據庫形式保存，支援關鍵字、日期範圍及文件類型的檢索功能；第二，可重建性（Reconstructability）——針對每項上市申請，保薦人須能從記錄中完整重建盡職審查的執行過程，包括誰在何時進行了何種審查、發現了哪些問題、採取了哪些跟進行動；第三，可審計性（Auditability）——記錄的修改須留有審計軌跡（Audit Trail），任何對工作底稿的後續修改均須記錄修改人、修改時間及修改原因。

2025年《證券及期貨條例》修訂對數據保留的影響

2025年1月生效的《證券及期貨條例》（修訂）第XXX條，賦予SFC在調查及紀律處分程序中，要求持牌機構提供「任何形式的電子記錄」的權力，包括已刪除或已備份的數據。此項修訂直接回應了2023年SFC對三家保薦人機構的紀律處分案例，其中被處分機構試圖以「系統自動刪除」為由，拒絕提供特定時間段的電子郵件記錄。修訂後的條例明確規定，持牌人須確保其數據保留政策涵蓋所有業務相關的通訊渠道，包括但不限於公司電郵、個人電郵（如使用於業務用途）、即時通訊軟件、雲端儲存平台（如Microsoft Teams、SharePoint、Google Drive）及實體文件。

對於保薦人機構，此項修訂的實際影響在於：合規部門須重新檢視其數據保留政策（Data Retention Policy）的覆蓋範圍，確保政策明文規定所有業務相關通訊的保留期限（不少於7年），並建立定期備份及還原測試機制。SFC在2024年通函中特別強調，僅依賴員工個人設備上的本地備份，或僅保存最終版本文件而不保存中間版本，均不符合合規要求。

現場視察中的記錄管理審查重點

工作底稿完整性與時序邏輯測試

SFC在現場視察中，對保薦人工作底稿的審查已從抽樣檢查轉向系統性審計。具體而言，SFC審查人員會選取一至兩宗已完成或正在進行的上市申請個案，要求保薦人提供從項目啟動（Kick-off Meeting）至招股書註冊（Registration of Prospectus）期間的所有工作底稿，並進行時序邏輯測試（Timeline Consistency Test）。此測試的核心在於驗證：（1）盡職審查活動的時序是否與招股書披露的時間點一致；（2）關鍵問題（如關連交易、重大合約、監管許可）的發現時間與跟進時間是否合理；（3）管理層訪談（Management Interview）記錄、實地考察（Site Visit）記錄及第三方查證（Third-party Verification）記錄之間是否存在邏輯斷層。

例如，若保薦人的工作底稿顯示某項關連交易的盡職審查在2024年6月完成，但招股書中該交易的披露日期為2024年5月，SFC將視此為嚴重的合規紅旗（Red Flag）。保薦人須能解釋此時間差異的原因，並提供相關的書面授權或豁免文件。若無法提供，SFC可能將其定性為盡職審查不足（Inadequate Due Diligence），並根據《證券及期貨條例》第213條（SFO Section 213）尋求紀律處分。

電子通訊記錄的歸檔與監控

即時通訊軟件（Instant Messaging Applications）的記錄管理，已成為2024-2025年SFC現場視察中最受關注的領域。SFC在2024年通函中明確指出，保薦人機構須建立「業務相關通訊的強制歸檔機制」，涵蓋所有員工（包括項目團隊成員、合規人員及管理層）在業務過程中使用的任何通訊渠道。具體要求包括：（1）所有業務相關的即時通訊對話須自動備份至公司伺服器或合規雲端平台；（2）備份記錄須包含完整的對話內容、時間戳及參與者身份；（3）員工不得使用未經公司批准的即時通訊軟件進行業務溝通；（4）個人設備上的業務相關對話須在合理時間內（通常為24小時內）上傳至公司系統。

對於未能符合此項要求的保薦人機構，SFC的處罰力度正在加大。2024年第四季度，SFC對一家中型保薦人機構處以港幣1,200萬元的罰款，其中一個主要理據即為該機構未能妥善保存員工使用WhatsApp進行業務溝通的記錄，導致SFC無法完整審查該機構在兩宗上市申請中的盡職審查過程。此案例明確顯示，SFC已將電子通訊記錄管理視為保薦人合規體系的基礎組成部分，而非可選項。

第三方外包服務的記錄管理責任

越來越多保薦人機構將部分盡職審查工作（如財務盡職審查、法律盡職審查、行業研究）外包予第三方服務供應商。SFC在2024年通函中重申，保薦人對其外包服務供應商的記錄管理負有最終責任。具體而言，保薦人須確保：（1）外包合約中明確訂明供應商的記錄保存義務及保存期限；（2）供應商的工作底稿須可供SFC直接查閱，無須經過供應商同意；（3）保薦人須定期審查供應商的記錄管理系統，並保存審查記錄。

2025年第一季，SFC對一家保薦人機構發出合規意見函，指出該機構在聘請第三方行業顧問進行市場研究時，未要求該顧問保存其研究過程的原始數據及工作底稿，導致SFC無法驗證該研究報告的準確性及客觀性。此案例凸顯了外包服務中記錄管理的潛在風險——即使保薦人自身記錄管理完善，若供應商記錄管理存在缺陷，保薦人仍可能被視為未履行盡職審查義務。

合規記錄管理系統的建構與最佳實踐

系統架構設計：從文件儲存到合規工作流管理

傳統的記錄管理系統（如簡單的文件伺服器或SharePoint文件庫）已無法滿足SFC的合規要求。2025年，行業最佳實踐已轉向整合合規工作流管理（Compliance Workflow Management）的記錄管理平台。此類平台的核心功能包括：（1）項目級別的記錄分類與標籤系統，確保每項上市申請的記錄可獨立檢索；（2）內置的審計軌跡功能，記錄所有文件的創建、修改、審閱及批准時間；（3）自動化的時序對比工具，比對工作底稿時間戳與招股書披露時間點，標記潛在的時序不一致；（4）與即時通訊軟件（如Microsoft Teams、Slack）的API整合，自動備份業務相關對話。

對於規模較小的保薦人機構（如持牌人數少於10人），採用雲端合規平台（如Workiva、Diligent或本地開發的合規系統）是成本效益較高的選項。此類平台通常提供預設的合規工作流模板，可減少內部開發成本。然而，保薦人須確保雲端平台的數據儲存地點符合SFC的數據主權要求——若數據儲存在香港境外，保薦人須評估相關司法管轄區的數據保護法規是否可能阻礙SFC的查閱權。

記錄保留政策的制定與執行

有效的記錄保留政策須涵蓋以下要素：第一，明確界定「業務相關記錄」的範圍，包括但不限於盡職審查工作底稿、管理層訪談記錄、實地考察報告、第三方查證文件、內部審閱記錄、合規意見書、與監管機構的通訊記錄，以及與上市申請相關的所有電子郵件及即時通訊對話。第二，訂明各類記錄的保留期限，以7年為基本標準，但對於涉及訴訟、監管調查或紀律處分的記錄，保留期限須延長至相關程序完結後至少3年。第三，建立記錄銷毀（Record Destruction）的審批流程，任何記錄的銷毀須經合規總監（Compliance Officer）書面批准，並保存銷毀記錄至少7年。

實務上，保薦人機構應每年進行至少一次記錄保留政策的合規審查（Compliance Review），驗證政策執行情況。審查結果須記錄並保存，作為SFC現場視察時的合規證據。2024年SFC通函特別指出，若保薦人未能提供完整的記錄保留政策審查記錄，SFC將視此為系統性合規缺失，而非單一事件。

員工培訓與合規文化建設

記錄管理的合規性最終取決於員工的日常行為。SFC在2024年通函中明確表示，保薦人機構須建立「記錄管理合規文化」，並將記錄管理納入員工績效考核及獎金發放的考量因素。具體要求包括：（1）所有員工（包括兼職及合約員工）須完成記錄管理合規培訓，培訓內容須涵蓋SFC的記錄保存要求、機構的內部記錄管理政策、電子通訊歸檔程序，以及違規的後果；（2）培訓須每年進行一次，並保存培訓記錄（包括參加者名單、培訓日期及培訓內容）；（3）機構須建立匿名舉報機制（Whistleblowing Mechanism），鼓勵員工報告記錄管理違規行為。

2025年，SFC在對一家保薦人機構的紀律處分中，將該機構未能提供2023年及2024年的員工記錄管理培訓記錄，作為加重處罰的因素之一。此案例顯示，SFC不僅要求保薦人建立培訓制度，更要求保薦人能夠提供培訓執行的客觀證據。

結論與行動建議

SFC對保薦人記錄管理及數據保留的監管要求，已從「備存記錄」的基礎義務，演變為「可檢索、可重建、可審計」的三層合規標準。2025年《證券及期貨條例》修訂及SFC現場視察重點的轉移，清晰表明記錄管理已成為保薦人合規體系的核心，而非附屬功能。保薦人機構若未能及時升級其記錄管理系統及政策，將面臨紀律處分、牌照條件限制，甚至牌照撤銷的風險。

以下是五項具體行動建議：

1. 立即進行記錄管理系統差距分析：對照SFC 2024年通函的三層標準（可檢索、可重建、可審計），評估現有系統的不足，並在2025年第三季度前完成系統升級。

2. 建立即時通訊軟件的強制歸檔機制：確保所有業務相關的WhatsApp、WeChat、Signal等對話自動備份至公司系統，並為員工提供合規的通訊工具選擇。

3. 重新檢視外包合約中的記錄管理條款：確保所有第三方服務供應商的合約中，明確訂明記錄保存義務、保存期限及SFC查閱權。

4. 制定並執行年度記錄保留政策審查：將審查結果記錄並保存，作為SFC現場視察時的合規證據，並確保審查涵蓋所有業務相關記錄的類別及保存期限。

5. 將記錄管理納入員工培訓及績效考核：每年進行至少一次記錄管理合規培訓，並將記錄管理合規性作為員工績效考核及獎金發放的考量因素，建立從上至下的合規文化。