SFC對保薦人企業管治及董事會監督的監管期望

SFC於2025年4月發佈的《保薦人企業管治及董事會監督指引》（「《指引》」），標誌著監管機構對保薦人合規體系的審查已從個別交易層面，全面升級至機構層面的治理結構與董事會問責。該《指引》並非全新立法，而是SFC根據其於2022年至2024年間對多家持牌保薦人進行的主題視察結果，總結出的監管期望清單。視察發現，部分保薦人的董事會對保薦業務的監督流於形式，風險管理框架未能有效識別及應對新股上市項目中的重大合規風險，尤其涉及複雜的跨境架構（如VIE、BVI控股公司及開曼群島上市主體）時，董事會的審批流程與文件記錄存在顯著缺失。SFC明確指出，董事會（包括獨立非執行董事）須對保薦人的合規文化、資源配置及交易篩選承擔最終責任，而非僅依賴個別負責人員（RO）。此舉直接回應了市場對保薦人「重項目、輕治理」的長期批評，並為2025年下半年及2026年的潛在執法行動鋪平道路。對於持有SFC第6類（就機構融資提供意見）及第6A類（保薦人）牌照的機構而言，董事會層級的合規改造已非選擇題，而是續牌與維持業務的硬性前提。

董事會角色與問責框架的具體化

SFC《指引》的核心，是將《證券及期貨條例》（第571章）下保薦人的法定責任，與《企業管治守則》的原則性要求，具體化為董事會可操作的行為標準。過往，保薦人的董事會監督常被理解為審閱財務報表或批核費用預算；《指引》則要求董事會深度介入保薦業務的「前端」與「後端」。

風險偏好與交易篩選的董事會層級審批

《指引》要求保薦人董事會須正式訂立並定期檢討機構的風險承受能力（risk appetite），並將此風險偏好轉化為具體的交易篩選標準。SFC在視察中發現，部分保薦人對涉及高風險司法管轄區（如某些新興市場）或採用特殊架構（如VIE、可轉換票據融資）的上市申請，缺乏董事會層級的獨立風險評估。董事會須確保保薦人設有清晰的政策，規定哪些類別的上市項目必須提交董事會（或董事會轄下的風險委員會）作事前審批，而非僅由項目團隊或RO決定。此舉直接對應《保薦人指引》第5.1段關於「有效管理系統」的要求，即董事會須確保保薦人設有足夠的監控措施，以識別及管理利益衝突及潛在的違規風險。

資源配置與人員履職的監督責任

董事會須確保保薦人擁有足夠且勝任的人員，以執行其保薦職能。這不僅包括RO及負責保薦工作的主要人員（principals），亦涵蓋合規、風險管理及內部審計等後勤支援部門。SFC的視察結果顯示，部分保薦人在市場活躍期過度擴張項目數量，導致每名保薦人主要人員同時跟進的上市項目超出合理負荷，影響盡職審查的質量。董事會須定期審閱人員配置與項目管道的匹配情況，並確保合規部門擁有獨立於業務部門的匯報路線及足夠的資源。SFC明確指出，若因資源不足導致盡職審查缺失，董事會將被視為未能履行其監督責任，可能面臨紀律處分。此點與SFC於2024年對某保薦人因盡職審查不足而罰款1,200萬港元的案例（SFC新聞稿，2024年5月）一脈相承。

盡職審查監督的具體化要求

SFC《指引》將董事會監督的焦點，從宏觀治理延伸至具體的盡職審查流程。董事會須理解並監督保薦人在關鍵盡職審查領域的執行情況，特別是那些在過往執法行動中被反覆點名的環節。

對上市申請人業務模式與收入真實性的審視

董事會須確保保薦人設有有效機制，以獨立核實上市申請人的業務模式及其收入來源的真實性。SFC特別關注涉及以下情況的項目：收入高度集中於少數客戶、客戶與供應商存在關聯關係、或業務運作主要依賴合約安排（如VIE）的申請人。董事會應要求保薦人管理層定期匯報此類高風險項目的盡職審查進展，並確保項目團隊進行了超出文件審閱的實質性核查，例如實地考察、與客戶及供應商直接訪談、以及獨立取得第三方憑證（如銀行流水、稅務申報表）。《指引》引用了SFC於2023年發出的《有關保薦人於上市申請中進行盡職審查的常見缺失通函》，當中指出部分保薦人過度依賴申請人提供的資料，而未能獨立驗證其業務的真實存在及可持續性。

對複雜集團架構與資金流向的穿透式審查

對於採用跨境架構的上市申請（例如開曼群島上市主體、BVI中間控股公司、香港營運附屬公司及中國內地VIE實體），董事會須確保保薦人進行了穿透式的資金流向審查。SFC期望董事會監督保薦人追蹤上市前融資的資金來源、集團內部貸款的商業理由、以及利潤從營運實體流向上市主體的稅務合規性。董事會應審閱保薦人對集團現金流量、關聯方交易及潛在資金挪用風險的評估報告。若發現資金流向缺乏商業實質或存在可疑循環，董事會須要求保薦人立即暫停項目並進行深入調查。此要求直接回應了SFC與HKEX聯合發出的《有關涉及中國內地業務的上市申請的盡職審查指引》（2024年修訂版），當中強調對VIE架構及資金外匯管制的合規審查。

合規文化與持續培訓的董事會責任

SFC《指引》將合規文化（compliance culture）定位為董事會的核心職責，而非僅屬合規部門的技術性工作。董事會須主動塑造並維護一種鼓勵申報問題、重視程序正義、而非僅追求項目完成速度的機構文化。

舉報機制與問責文化的建立

董事會須確保保薦人設有獨立、保密且易於使用的舉報渠道，讓員工能夠在無需擔心報復的情況下，報告潛在的合規問題或盡職審查缺失。SFC視察發現，部分保薦人的舉報機制形同虛設，員工因擔心影響項目進度或個人晉升而不敢上報問題。董事會應定期審閱舉報記錄及跟進情況，並確保對任何打壓舉報者的行為採取零容忍態度。更重要的是，董事會須建立清晰的問責框架：若項目因盡職審查缺失而導致SFC調查，相關的RO、項目負責人及批准該項目的董事會成員，均須承擔相應責任，而非僅由初級分析員「背鍋」。

持續專業培訓與監管更新

董事會須確保保薦人為所有參與保薦工作的員工（包括董事會成員本身）提供持續的專業培訓，內容涵蓋最新的監管要求、執法趨勢及市場最佳實踐。SFC特別指出，董事會成員自身亦須掌握足夠的監管知識，以有效履行監督職責。培訓內容應包括但不限於：SFC與HKEX聯合發出的通函、上市委員會的決定、以及最新的法院判決（例如終審法院對《證券及期貨條例》第213條的解釋）。董事會應要求管理層每年提交培訓計劃及完成情況報告，並將培訓參與度納入員工績效考核。此舉確保保薦人的專業知識庫能夠緊貼監管變化，避免因資訊滯後而導致的合規失誤。

具體行動建議

基於上述分析，持牌保薦人董事會應立即採取以下五項具體行動，以應對SFC日益嚴格的監管期望：

1. 訂立正式風險偏好聲明：董事會須於2025年第三季度內，通過決議訂立書面的風險偏好聲明，明確界定保薦人可接受的交易類型、司法管轄區及架構複雜度上限，並將此聲明納入內部合規手冊。
2. 設立董事會層級的項目審批門檻：所有涉及VIE架構、收入集中度超過70%或資金流向涉及高風險司法管轄區的上市申請，均須強制提交董事會（或董事會轄下的風險委員會）作事前審批，並記錄審批理由。
3. 進行董事會層級的資源審計：董事會須在2025年第四季度前，委聘外部顧問對保薦人的人員配置、項目管道及合規部門資源進行獨立審計，並根據審計結果制定資源調整計劃。
4. 強化舉報機制的獨立性：確保舉報渠道直接匯報至董事會（或審計委員會），而非業務部門主管，並每年向董事會提交舉報案件的分析報告，包括跟進結果及員工滿意度調查。
5. 安排董事會成員的強制性監管培訓：所有董事會成員須於2025年內完成至少一次由SFC認可培訓機構提供的、針對保薦人監管責任的專門課程，並將完成證明存檔備查。