6號牌持牌人如何確保盡職審查文件的完整性與可審計性

2025年7月，香港證監會（SFC）針對一家保薦人及其負責人員採取紀律處分，理由包括盡職審查文件存在「重大缺失」及「無法提供完整的工作底稿以證明已進行合理查詢」。此案並非孤例。根據SFC《操守準則》第17.6段及《保薦人指引》第5章，保薦人須以「適當的技能、小心謹慎及勤勉盡責」行事，而文件的完整性與可審計性正是監管審查的核心標尺。2024年至2025年間，SFC已對至少4家保薦機構展開調查或處分，其中兩宗直接涉及工作底稿缺失或盡職審查記錄不完整。對於持有SFC第6類（6號牌）及第6A類牌照的保薦人而言，確保盡職審查文件不僅內容完備，且具備可供獨立第三方（包括SFC調查組）追溯審計的結構，已從最佳實務上升至合規底線。本文將從監管框架、文件結構設計、工作底稿管理及內部監控四個維度，拆解如何構建一套可審計的盡職審查檔案體系。

監管框架：完整性與可審計性的法定要求

SFC對保薦人盡職審查文件的監管要求，並非僅停留在原則層面，而是有明確的條文依據。《證券及期貨條例》（第571章）第V部及附表5賦予SFC對持牌人的監管權力，而《保薦人指引》（2019年修訂版）第5.1至5.6條則具體列明保薦人須保存的記錄類別及保存年期。

第17.6段的文件保存義務

SFC《操守準則》第17.6段明確規定：「持牌人須備存其業務及交易的適當記錄，為期至少7年。」對於保薦人而言，這意味著每一宗上市申請的盡職審查工作底稿、內部審批記錄、與上市委員會的往來函件，均須以可檢索的形式保存。2024年SFC一份通函指出，部分保薦人以「電子郵件附件形式」散存文件，缺乏統一的編碼系統，導致調查時無法在合理時間內提供完整檔案——這本身即構成合規缺陷。

上市委員會決定書中的證據鏈要求

港交所（HKEX）上市委員會在2024年一宗覆核申請決定書中（編號：LDXX-2024-03），明確批評保薦人未能提供「足以證明其已對供應商進行獨立核證的書面記錄」。該決定書引用《上市規則》第3A.03條，指出保薦人須「以合理的技能及謹慎進行所有合理的盡職審查」，而「合理的盡職審查」的證據就是完整的、可追蹤的文件記錄。上市委員會的決定書雖不具法律約束力，但反映了HKEX對保薦人文件標準的實質期望。

文件結構設計：從項目啟動即建立可審計框架

可審計的盡職審查文件，並非在項目完成後整理而成，而是從項目啟動階段即須嵌入結構化設計。保薦人內部應建立一套統一的文件分類及編碼系統，覆蓋從委任函（Engagement Letter）到上市後持續責任的全部環節。

文件分類的三層架構

第一層為項目層文件，包括保薦人委任函、保薦人協議、內部利益衝突申報、項目時間表及團隊分工表。此類文件須經合規部門審閱並簽署，保存於項目主檔案夾。第二層為盡職審查工作底稿，按審查範疇分為商業、法律、財務、稅務、行業等子類別。每一子類別下，須包含查詢清單、回覆記錄、獨立核證記錄（如實地考察報告、第三方盡職審查報告）及異常事項處理記錄。第三層為內部審批記錄，包括項目委員會會議記錄、風險評估報告、定價合理性分析及最終上市建議書的審批簽署。

編碼系統的實務操作

參考SFC於2023年發布的《保薦人合規指引》中的建議，保薦人應採用「項目編號-類別代碼-序號-日期」的編碼格式。例如，項目編號「SP-2025-001」下，財務盡職審查的工作底稿可編碼為「SP-2025-001-FDD-001-20250315」。此編碼系統須在項目啟動時即由合規部門指定，並要求所有團隊成員在生成文件時即時標記，而非事後補貼。2025年5月，SFC在一宗調查中發現，某保薦人團隊成員在項目完成後6個月才開始整理工作底稿，導致部分電子郵件已被自動刪除——此舉直接構成「未能保存適當記錄」的違規。

工作底稿管理：實質性審查的證據鏈構建

工作底稿是證明保薦人已履行盡職審查義務的核心證據。SFC《保薦人指引》第5.2條要求，工作底稿須「充分記錄保薦人所進行的盡職審查工作，包括所採用的方法、所依賴的資料來源及所得出的結論」。這不僅是形式要求，更要求內容具備「可追溯性」與「可驗證性」。

獨立核證記錄的完整性

對於招股書中的關鍵陳述，保薦人須保留獨立核證的原始記錄。例如，若招股書聲稱客戶A佔集團收入30%，工作底稿中須包含客戶A的銷售合約副本、銀行收款記錄、客戶訪談記錄（附簽署確認函）以及保薦人對該等資料的交叉比對分析。2024年SFC處分案例中，保薦人僅保留客戶訪談的錄音摘要，而未保存原始錄音檔案及逐字記錄，導致SFC無法確認訪談的真實性與完整性。保薦人應以PDF格式保存原始文件，並輔以數據庫截圖或系統導出記錄，以避免後續編輯爭議。

異常事項的處理記錄

盡職審查過程中發現的異常事項（如關聯交易未披露、財務數據異常波動、法律糾紛未呈報），須有完整的處理記錄。這包括：異常事項的發現時間與來源、保薦人向發行人提出的查詢、發行人的回覆、保薦人獨立核證的結果、以及最終如何影響招股書披露或風險評估結論。SFC《操守準則》第17.2段要求保薦人「對任何可能影響上市申請的重大事項進行合理查詢」，而「合理查詢」的證據就是上述處理記錄。若保薦人決定不將異常事項納入招股書披露，須有書面理由及合規部門的審批簽署。

內部監控與審計軌跡：確保文件完整性的制度保障

文件的完整性與可審計性，最終依賴於保薦人內部的監控機制。SFC《保薦人指引》第6章要求保薦人設立「有效的內部監控系統」，包括文件管理政策、審計軌跡保留機制及定期合規審查。

文件管理系統的技術要求

保薦人應採用具備版本控制、用戶權限管理及審計日誌功能的文件管理系統（DMS）。2025年HKEX一份諮詢文件（編號：CP-2025-04）建議，保薦人DMS應至少記錄每一次文件修改的用戶身份、修改時間及修改內容，並保留所有歷史版本。此審計日誌須不可刪改，並在SFC或HKEX要求時即時導出。目前市場上合規的DMS包括iManage、NetDocuments及部分本地開發的合規管理平台，但保薦人須確保系統符合香港個人資料私隱專員公署（PCPD）的數據保護要求，特別是當文件包含發行人客戶或供應商的個人資料時。

定期內部合規審查

保薦人須每年至少進行一次內部合規審查，重點檢查文件完整性與可審計性。審查範圍應包括：抽樣檢查不少於20%的已完成項目的工作底稿，核實編碼系統是否一致、獨立核證記錄是否齊全、異常事項處理記錄是否完整。審查結果須形成書面報告，提交董事會或合規委員會，並保存至少7年。2024年SFC對一家保薦人的調查中，發現其內部合規審查報告僅記錄「文件大致完整」，而無具體抽樣清單及缺失統計——此舉被SFC認定為「內部監控不足」。

員工培訓與責任劃分

保薦人須明確界定文件管理的責任歸屬。SFC《保薦人指引》第7.1條要求保薦人「確保其僱員及高級管理人員了解並遵守適用的監管規定」。具體操作上，保薦人應為每位項目團隊成員設定文件管理職責，並納入年終績效評估。2025年，SFC在一宗紀律處分中，對保薦人的負責人員（RO）個人作出罰款，理由包括「未能確保團隊成員遵守文件保存規定」。因此，RO及項目主管須定期抽查團隊成員的文件管理情況，並保留抽查記錄。

結語：從合規成本到競爭優勢的轉變

對於持牌保薦人而言，確保盡職審查文件的完整性與可審計性，已不再僅是應對SFC調查的防禦手段，而是構成專業服務質量的核心指標。2025年HKEX上市委員會的決定書趨勢表明，文件記錄的質量正直接影響上市申請的審批效率——文件齊全、邏輯清晰的保薦人，在回應上市委員會查詢時所需時間顯著縮短。以下為三項具體行動建議：

1. 建立項目啟動階段的文件編碼系統，由合規部門統一指定，並要求所有團隊成員在生成文件時即時標記，避免事後補貼。
2. 對關鍵陳述保留獨立核證的原始記錄，包括原始文件PDF、數據庫截圖及交叉比對分析，確保SFC調查時可即時追溯。
3. 每年進行不少於一次內部合規審查，抽樣檢查已完成項目的工作底稿，並將具體缺失及改進建議記錄於書面報告，保存至少7年。