保荐人 · 2026-04-23

保薦人如何建立有效的反欺詐風險管理框架

hong-kong-travel-guide-2025 image 1

2025年5月,香港證監會(SFC)發佈了《有關保薦人於上市申請中進行盡職審查的進一步指引》,明確指出過去三年間,超過六成涉及保薦人的執法個案與申請人未披露的重大欺詐風險直接相關。同期,港交所(HKEX)上市委員會在至少四宗上市決定中,以「申請人內部監控不足以防範重大欺詐」為由,拒絕或退回主板(Main Board)上市申請。這些數字與裁決,將一個長期存在但常被低估的合規命題再次推上前線:保薦人(sponsor)如何建立一套有效、可審計、且能經得起SFC與上市委員會雙重檢驗的反欺詐風險管理框架。本文不討論抽象原則,而是聚焦於框架的具體構成要件、監管期望的實質內涵,以及業界在2025年當下面臨的結構性挑戰。

監管期望的明確化:從「盡職審查」到「欺詐偵測」

SFC在《操守準則》(Code of Conduct)第17.6段及其相關通函中,早已明確保薦人對申請人是否存在欺詐行為的查核責任。然而,2024至2025年間的監管動向顯示,SFC與HKEX正將此責任從「合理查詢」推向「主動偵測」的更高標準。

SFC 2025年指引的核心要求

SFC在2025年5月的指引中,首次明確要求保薦人建立「反欺詐風險評估矩陣」(Fraud Risk Assessment Matrix)。該矩陣需涵蓋以下四個維度:

  • 行業固有風險:例如,建築業涉及虛假合約的頻率遠高於消費品行業。
  • 交易結構複雜性:涉及多層BVI或Cayman特殊目的公司(SPV)的紅籌架構,其欺詐隱匿風險顯著高於直接持有PRC資產的H股架構。
  • 歷史合規記錄:申請人及其最終實益擁有人(UBO)在過去五年內是否涉及任何監管調查或民事訴訟。
  • 財務指標異常:例如毛利率持續高於行業中位數20個百分點以上,而無合理商業解釋。

SFC明確指出,若保薦人未能識別上述矩陣中評分為「高風險」的領域,並據此設計針對性盡職審查程序,則在出現欺詐事件時,保薦人將被推定為未履行盡職責任。

HKEX上市委員會的裁決邏輯

2024年第四季度至2025年第一季度,HKEX上市委員會在至少四宗上市申請的書面決定中,明確將「申請人內部監控不足」與「保薦人盡職審查深度不足」掛鉤。其中一宗涉及一家PRC醫療設備分銷商的申請,委員會指出保薦人僅依賴申請人提供的銀行對賬單,而未獨立向銀行核實客戶回款的資金流向,導致未能發現一宗涉及人民幣1.2億元的虛假銷售循環。委員會最終引用《上市規則》第9.03(3)條,認為申請人「不適合上市」。

此裁決的關鍵教訓在於:保薦人不能將反欺詐責任完全外包予申請人的內部審計或外部核數師。上市委員會期望保薦人具備獨立偵測能力,特別是在現金流與物流的交叉驗證環節。

框架設計的三大支柱:預防、偵測與應對

一個有效的反欺詐風險管理框架,必須在組織架構、程序設計與文化建設三個層面同時運作。以下從實務操作角度,拆解每個支柱的具體構成。

預防:從客戶接納到交易結構審查

預防層面的第一道防線是客戶接納(Client Acceptance)程序。保薦人必須在承接項目前,對申請人的UBO進行穿透式背景審查,涵蓋其過往在PRC、香港及離岸司法管轄區的商業訴訟、破產紀錄及監管處罰。根據SFC 2024年一份未公開的執法統計,約35%的保薦人失職個案,根源在於初始客戶接納階段對UBO背景的審查流於形式。

第二道防線是交易結構審查。保薦人需評估申請人選擇的上市架構(如紅籌VIE架構 vs. H股直接上市)是否隱含欺詐便利性。例如,多層BVI公司疊加開曼控股公司的設計,若缺乏清晰的商業理由(如稅務規劃或外資准入限制),則應被視為高風險信號。保薦人應要求申請人提供每層SPV的設立文件、董事決議及銀行賬戶記錄,並將審查結果記錄於盡職審查工作底稿。

偵測:數據驅動的異常識別機制

偵測層面是2025年監管焦點的核心。SFC期望保薦人超越傳統的文件審查,採用系統化的數據分析工具。具體而言,保薦人應建立以下三項機制:

  1. 交易流水交叉比對:將申請人的銀行流水、應收賬款賬齡、客戶訂單及物流單據進行三方比對。若某客戶的訂單金額與物流重量出現超過15%的偏差,或銀行回款時間與合約約定付款期偏離超過30天,則需啟動專項查核。

  2. 關聯交易合理性測試:對申請人與其UBO、管理層或關聯方之間的重大交易,進行獨立定價評估。HKEX在2024年修訂的《上市規則》第14A章,已將關聯交易的披露門檻收緊,保薦人需確保申請人對關聯交易的商業理由及定價依據有完整書面記錄。

  3. 異常財務指標觸發機制:設定關鍵財務指標的預警閾值。例如,若申請人的存貨周轉天數較行業平均高出50%以上,或應收賬款周轉天數連續兩年上升而銷售額未同步增長,則自動觸發深入調查程序。

應對:發現問題後的標準化處理流程

即使預防與偵測機制完善,欺詐事件仍可能發生。保薦人必須預先設計一套標準化應對流程,包括:

  • 即時上報:項目團隊在發現潛在欺詐信號後,須於24小時內向保薦人的合規總監(Compliance Officer)及風險管理委員會報告。
  • 獨立調查:由不參與該項目的內部或外部律師、法證會計師組成獨立調查小組,進行全面事實核查。
  • 監管通報:根據SFC《操守準則》第12.5段,若欺詐行為可能對申請人的上市資格構成重大影響,保薦人須在合理時間內向SFC及HKEX作出書面通報,不得僅以「商業敏感」為由延遲披露。

實務操作中的常見陷阱與應對策略

即使框架設計完善,保薦人在執行層面仍面臨一系列結構性陷阱。以下列舉三項最常見的失誤,並提出具體應對策略。

陷阱一:過度依賴申請人提供的第三方報告

保薦人常犯的錯誤是直接採信申請人聘請的核數師、估值師或行業顧問出具的報告,而未進行獨立驗證。SFC在2023年一宗涉及PRC礦業公司的執法個案中,明確批評保薦人「僅依賴申請人提供的技術報告,而未獨立聘請地質專家進行現場勘察」。

應對策略:保薦人應建立「第三方報告獨立審閱清單」,對核數師報告中的關鍵假設(如收入確認政策、存貨計價方法)進行獨立合理性評估。對於估值報告,保薦人應至少要求估值師提供可比交易數據庫的出處及篩選標準。

陷阱二:忽視離岸司法管轄區的資訊不對稱

涉及BVI、Cayman或Samoa等離岸公司的交易,保薦人常因無法直接獲取公司登記信息而降低審查標準。HKEX上市委員會在2025年2月的一宗決定中,指出保薦人未向BVI金融服務委員會(FSC)查詢申請人BVI子公司的董事名冊,導致未能發現一名UBO實際控制多家供應商的事實。

應對策略:保薦人應建立「離岸司法管轄區盡職審查指引」,明確要求通過當地註冊代理人或合規服務商,獲取目標公司的董事名冊、股東登記冊及押記登記冊。對於無法取得完整信息的司法管轄區,保薦人應在招股書(prospectus)中作出明確風險披露。

陷阱三:項目團隊與合規部門的溝通斷層

許多保薦人機構內部,項目團隊(deal team)與合規部門(compliance)之間存在信息壁壘。項目團隊可能因業績壓力而淡化風險信號,合規部門則因缺乏業務細節而無法進行有效判斷。

應對策略:建立「項目風險分級通報制度」。所有項目在承接時即按風險矩陣評分分為三級:低風險、中風險、高風險。中風險及以上項目,合規部門須指派專人參與盡職審查會議,並有權在發現重大風險時暫停項目進度。

結論與具體行動建議

反欺詐風險管理框架不是一份靜態的文件,而是一個需持續迭代的動態系統。保薦人機構若僅將框架視為滿足SFC合規要求的「門面」,最終將在執法調查與上市委員會審查中付出沉重代價。以下為三項具體行動建議:

  • 在2025年第三季度前,完成對現有客戶接納程序及盡職審查工作底稿的內部審計,確保其涵蓋SFC 2025年指引中要求的反欺詐風險評估矩陣所有維度。
  • 為所有參與上市項目的保薦人代表(Principal)及負責人員(Responsible Officer)安排年度反欺詐偵測培訓,內容須包括數據分析工具應用及離岸司法管轄區信息查詢實務。
  • 在內部合規手冊中,明確規定項目團隊在發現潛在欺詐信號後的24小時內上報機制,並將該流程的執行情況納入項目團隊年度績效考核。