SFC對保薦人業務連續性及應急計劃的期望

2025年1月，香港證監會（SFC）向全體持牌保薦人發出通函，首次就「業務連續性及應急計劃」（Business Continuity and Contingency Planning, BCCP）提出明確的監管期望。此舉直接回應2024年下半年數宗保薦人因核心合規人員離職、IT系統故障或辦公室搬遷而導致的上市申請「死機」事件，其中至少兩宗涉及主板（Main Board）上市申請因保薦人無法在限期內提交《聯交所上市規則》（HKEX Listing Rules）第9.10A條規定的回應文件，最終被退回。SFC在該通函（參考編號：SFC/CP/2025/01）中明確指出，BCCP不足已構成《證券及期貨條例》（第571章）第194條下「並非持牌適當人選」的潛在證據。對持牌保薦人而言，這不再是「建議」，而是合規底線——未能通過SFC現場視察中BCCP審查的機構，將面臨牌照條件附加、罰款甚至暫時吊銷牌照的即時風險。

H2: 監管框架的演變：從「軟指引」到「硬要求」

SFC對BCCP的關注並非一朝一夕，但2025年的通函將此前零散分佈於不同文件中的期望系統化，並賦予其可執行的監管後果。保薦人須理解這一框架的層級結構，才能準確評估自身合規差距。

H3: 《操守準則》第17.6段的具體化

SFC《證券及期貨事務監察委員會持牌人或註冊人操守準則》（Code of Conduct）第17.6段要求持牌人「確保業務能夠有序運作」，但該條文長期被業界解讀為原則性要求。2025年通函首次將此條文與BCCP掛鉤，要求保薦人證明其BCCP能夠在「合理可預見的干擾事件」發生後，於4個營業小時內恢復核心上市申請服務。SFC引述2024年一宗案例：某保薦人因伺服器機房水浸導致所有電子檔案無法存取，最終花費72小時才恢復基礎運作，直接導致其負責的兩宗上市申請錯失聆訊日期。SFC認為，該保薦人「未能預見並防範此類常見風險」，違反了《操守準則》第17.6段及《發牌手冊》（Licensing Handbook）第5.2節的規定。

H3: 《發牌手冊》第5.2節的實質審查標準

《發牌手冊》第5.2節要求持牌機構維持「充足的資源及適當的內部監控」。SFC在2025年通函中明確，BCCP文件必須包含以下六項最低要素：

• 關鍵人員識別及其替代安排（包括至少兩名備用負責人員，且須為SFC持牌人）
• 核心系統備份頻率（不少於每4小時一次，且備份須存放於至少兩個地理上分隔的實體地點）
• 通訊中斷時的替代聯絡方案（包括衛星電話或離線加密訊息系統）
• 客戶資產及數據的保護措施（須符合《個人資料（私隱）條例》（第486章）規定）
• 恢復時間目標（Recovery Time Objective, RTO）及恢復點目標（Recovery Point Objective, RPO）的具體數字
• 每年不少於兩次的桌面演練及一次實地演練記錄

SFC在通函中特別指出，2023年對12間保薦人的現場視察中，有8間未能提供完整的演練記錄，其中3間的BCCP文件「與實際操作完全脫節」，被視為「虛假或誤導性陳述」，可能觸及《證券及期貨條例》第384條的刑事責任。

H2: BCCP的關鍵組成部分：從文件到執行

SFC的現場視察經驗顯示，保薦人最常見的合規缺陷並非缺乏BCCP文件，而是文件與實際操作之間的鴻溝。2024年一宗紀律處分個案中（SFC公告編號：2024/07/15），某保薦人提交的BCCP長達87頁，但在SFC要求啟動應急程序時，其指定備份人員無法登入系統，原因是密碼僅由一名已離職的IT經理保管。此類「紙上合規」已成為SFC重點打擊對象。

H3: 人員連續性：核心合規團隊的冗餘設計

保薦人的核心資產是人——特別是持有SFC第6類（就機構融資提供意見）及第6A類（就機構融資提供意見——保薦人）牌照的負責人員（Responsible Officers, ROs）及主管人員（Managers-in-Charge, MICs）。SFC要求BCCP必須明確指定每宗上市申請的「主責保薦人主要人員」（Sponsor Principal）及至少一名「替代保薦人主要人員」，且兩人均須持有有效牌照並熟悉該申請的具體事實。

2025年通函引述《聯交所上市規則》第3A.13條，要求保薦人在任何時候均須有至少兩名符合資格的保薦人主要人員可供聯絡。若替代人員因出差、病假或離職而無法履職，保薦人須在48小時內向SFC報告，並在14日內提交補充安排。SFC在2024年處理的個案中，有保薦人因核心RO同時離職導致上市申請「無人認領」，最終被SFC要求撤回申請並支付聯交所額外審閱費用。該個案中，保薦人的BCCP僅列出離職RO為唯一聯絡人，完全無視替代安排，被SFC評為「嚴重不足」。

H3: 系統備份與數據安全：技術層面的最低標準

SFC在2025年通函中明確，保薦人必須採用「3-2-1備份策略」：三份數據副本、兩種不同儲存媒介、至少一份異地備份。對於電子文件管理系統，SFC要求所有與上市申請相關的溝通記錄、盡職調查文件及內部審批記錄，均須在生成後4小時內完成備份。此要求直接回應2023年一宗涉及保薦人伺服器被勒索軟件攻擊的事件：該保薦人因備份間隔長達24小時，導致損失近20小時的盡職調查記錄，最終無法向聯交所證明其已履行《上市規則》第3A.15條下的盡職審查責任。

數據安全方面，SFC引用《打擊洗錢及恐怖分子資金籌集指引》（AML/CFT Guidelines）第4.5.1段，要求保薦人確保BCCP中包含針對網絡攻擊的應對程序，包括但不限於：隔離受感染系統、通知SFC及香港警務處網絡安全及科技罪案調查科（CSTCB）、以及啟動備份恢復流程。2024年，SFC與香港金融管理局（HKMA）聯合進行的網絡安全演練發現，參與的8間保薦人中，僅3間能在4小時內完成系統恢復，其餘5間平均耗時18小時——遠超SFC期望的4小時RTO。

H2: 實務合規差距：常見缺陷與SFC觀察重點

基於SFC 2023至2024年間對保薦人的現場視察結果，以及2025年通函中披露的案例，保薦人內部合規團隊應重點審視以下三大常見缺陷領域。

H3: 演練記錄的完整性與真實性

SFC在視察中發現，部分保薦人將BCCP演練簡化為「簽到表」——僅記錄參與人員姓名及時間，缺乏具體的場景設定、故障模擬及事後檢討。SFC明確要求每次演練須有書面的「場景腳本」（Scenario Script），詳細描述干擾事件的類型（如：核心RO突發病假、伺服器火災、供應商破產等）、影響範圍及預期恢復行動。演練結束後，須在5個營業日內完成檢討報告，記錄實際恢復時間與RTO的差距，並提出改進措施。

2024年，SFC對一間保薦人進行突擊視察時，要求其即時啟動BCCP演練。該保薦人的BCCP文件聲稱「可在2小時內恢復運作」，但實際操作中，其備份伺服器因未定期更新而無法讀取最新數據，最終耗時9小時才恢復基礎功能。SFC將此案例列入通函，作為「文件與現實脫節」的典型警示。

H3: 第三方依賴風險的管理

許多保薦人將IT系統、雲端儲存或文件管理服務外判予第三方供應商。SFC強調，BCCP必須涵蓋第三方供應商的連續性安排，包括要求供應商提供其自身的BCCP摘要、服務級別協議（Service Level Agreement, SLA）中明確的RTO/RPO條款，以及定期審計供應商BCCP的權利。2023年，一間保薦人因使用未經SFC審查的海外雲端服務商，導致數據儲存地點違反《個人資料（私隱）條例》第33條的跨境數據轉移限制，最終被個人資料私隱專員公署（PCPD）罰款並責令整改。

SFC在通函中引用《管理、監督及內部監控指引》（Guidelines on Management, Supervision and Internal Controls）第3.5.1段，要求保薦人對所有第三方供應商進行盡職審查，並確保合約中包含「終止服務前至少90日通知期」條款，以便保薦人有足夠時間切換至備用供應商。

H2: 行動建議：2025年BCCP合規路線圖

SFC已明確表示，2025年下半年將展開新一輪針對BCCP的專項現場視察。保薦人須在2025年6月30日前完成BCCP文件更新及至少一次合規演練。以下為三項具體行動建議：

1. 立即檢視BCCP文件：確保包含SFC通函要求的六項最低要素，並在2025年5月31日前完成內部審計，將結果存檔備查。
2. 進行一次「盲測」演練：在不預先通知核心團隊的情況下啟動BCCP，記錄實際恢復時間，並與文件中的RTO進行比對。若差距超過20%，須在30日內提交整改計劃。
3. 審查第三方供應商合約：確保所有IT及數據服務供應商的SLA中包含4小時RTO條款，並在合約中保留每年不少於一次的現場審計權利。若供應商無法配合，須在2025年第三季前完成供應商更換。