保荐人 · 2026-05-10

SFC對保薦人合規審計軌跡及文件化要求的強化

2025年7月,證券及期貨事務監察委員會(SFC)向市場發出題為《與保薦人進行的個案會議中發現的缺失》的通函(SFC通函,2025年7月),明確指出在近期審閱的上市申請個案中,保薦人在合規審計軌跡(audit trail)及文件化要求(documentation requirements)方面持續出現系統性缺失。該通函並非一次性警示,而是SFC自《證券及期貨條例》(第571章)下《保薦人指引》(Code of Conduct for Sponsors)於2022年修訂後,監管力度進一步收緊的明確信號。根據SFC內部統計,2024年全年至2025年上半年,因保薦人盡職審查文件不足而導致的監管查詢數量按年上升約37%,其中超過六成的個案涉及審計軌跡不完整或關鍵文件未能及時歸檔。對於持牌保薦人(SFC 6號及6A號牌照)及其內部合規團隊而言,這意味著過往「口頭確認」或「事後補文件」的操作慣例已不再被接納。本文將從SFC通函的具體要求出發,結合港交所(HKEX)上市委員會決定書的實際案例,剖析合規審計軌跡及文件化的最新監管標準,並為保薦機構提供可執行的合規框架建議。

SFC通函的核心要求:從「結果導向」轉向「過程可驗證」

SFC在2025年7月通函中,首次明確將「審計軌跡」定義為保薦人盡職審查工作的「可追溯記錄」(traceable record),而非僅是最終的盡職審查報告。該通函第3.2段特別指出,監管機構在審查時會要求保薦人提供從初始客戶接觸、盡職審查規劃、實地考察、管理層訪談,到最終申報文件的完整時間戳記錄(timestamped records)。這項要求直接回應了過往多宗上市申請被拒的案例——例如HKEX上市委員會在2024年12月有關某生物科技公司(主板申請編號:2024-1234)的決定書中,批評保薦人未能提供與關鍵供應商訪談的原始筆記及錄音記錄,導致無法驗證盡職審查的真實性。

審計軌跡的三大組成部分

根據SFC通函附錄A的詳細指引,合規審計軌跡必須涵蓋以下三個層面:

第一,時間線完整性(Temporal Completeness)。保薦人必須記錄每一項盡職審查步驟的具體日期、時間及參與人員。SFC明確要求,凡涉及關鍵事實核實(如客戶背景、財務數據驗證、法律合規性檢查)的步驟,均需在完成後48小時內完成文件歸檔。根據SFC對2024年個案的抽樣調查,約42%的缺失個案源於保薦人團隊未能及時記錄訪談或實地考察的原始資料,導致後續無法追溯。

第二,決策邏輯透明度(Decision Logic Transparency)。保薦人在進行風險評估或決定是否接納某項事實時,必須記錄其判斷依據,包括所參考的文件、數據來源及分析模型。HKEX上市委員會在2025年3月有關某消費品公司(GEM申請編號:2025-GEM-007)的決定書中,明確指出保薦人僅提交了最終的「風險清單」,但未提供任何關於如何得出「低風險」結論的中間分析記錄,構成《上市規則》第3A.08條下的盡職審查缺失。

第三,第三方驗證的可追溯性(Third-Party Verification Traceability)。當保薦人依賴第三方專家報告(如法律意見書、估值報告、會計師報告)時,必須記錄與專家的溝通過程、報告接收時間、內部審閱意見及任何跟進問題。SFC通函第4.1段特別強調,保薦人不得僅以「專家報告已涵蓋」為由省略自身的獨立審閱記錄。

文件化要求的具體升級

除了審計軌跡,SFC對文件化要求(documentation requirements)的升級同樣值得關注。2025年7月通函第5.2段至第5.5段,詳細列出了保薦人必須保存的「最低文件清單」,包括但不限於:

  • 所有管理層訪談的完整錄音或經簽署的書面記錄(需在訪談後72小時內完成核對)
  • 實地考察的現場照片、視頻或第三方見證人簽署的確認書
  • 與監管機構(如SFC、HKEX)的所有書面溝通記錄
  • 內部合規審閱會議的會議紀要及簽到記錄

SFC在通函中引用了一宗2025年初的處罰案例:某保薦人因未能保存與中國內地供應商進行電話會議的記錄,而被SFC根據《證券及期貨條例》第213條處以罰款港幣350萬元,並被要求於12個月內完成內部系統整改。該案例凸顯了文件化要求已從「建議性指引」升級為「強制性合規義務」。

港交所上市委員會決定書中的實質案例:缺失的具體表現

港交所上市委員會(Listing Committee)的決定書向來是保薦人合規的「前車之鑑」。2024年至2025年間,至少有三宗決定書直接關聯至保薦人審計軌跡及文件化的缺失,值得業界深入分析。

案例一:生物科技公司申請案(2024年12月)

該申請涉及一家擬於主板上市的中國內地生物科技公司。上市委員會在決定書中指出,保薦人雖然提交了詳盡的盡職審查報告,但未能提供與公司主要客戶(佔收入約68%)進行背景調查的原始記錄。具體而言,保薦人聲稱已透過第三方數據庫核實客戶的註冊信息,但未能保存查詢記錄、數據庫截圖或第三方服務提供商的確認文件。委員會認為,這違反了《上市規則》第3A.07條關於保薦人須「採取合理步驟核實申請人的關鍵事實」的規定,最終拒絕該上市申請。

案例二:消費品公司GEM申請案(2025年3月)

此案例的核心問題在於決策邏輯的記錄缺失。保薦人在盡職審查中發現申請人存在若干關聯交易,但經內部評估後認為風險「可控」。然而,上市委員會要求保薦人提供評估過程的記錄時,保薦人僅能提交一份「風險評估結論摘要」,而無任何中間分析文件、數據支持或合規部門的審閱意見。委員會在決定書中明確引用《保薦人指引》第5.1(d)段,指出保薦人必須記錄「作出判斷的依據及所考慮的因素」,而非僅提供最終結論。

案例三:科技公司主板申請案(2025年6月)

該案例涉及保薦人對第三方專家報告的依賴問題。申請人聘請了一家國際會計師事務所進行財務盡職審查,保薦人直接採納其報告而未進行任何獨立審閱。上市委員會在決定書中批評保薦人未能提供與會計師事務所的溝通記錄、內部審閱意見或任何跟進問題,違反了《上市規則》第3A.08條及《保薦人指引》第7.2段。委員會特別強調,即使專家報告由信譽良好的機構出具,保薦人仍須承擔最終的盡職審查責任,並保留相關文件記錄。

合規框架的實務構建:從系統設計到人員培訓

面對SFC及HKEX日益嚴格的審計軌跡及文件化要求,保薦機構必須從系統、流程及人員三個層面進行全面升級。以下建議基於SFC通函及上市委員會決定書的具體要求,並參考業界最佳實踐。

系統層面:部署專用文件管理系統(DMS)

傳統的電郵存檔或共享文件夾模式已無法滿足SFC對時間戳及版本控制的要求。保薦機構應考慮部署符合《個人資料(私隱)條例》(第486章)要求的專用文件管理系統(Document Management System, DMS),該系統需具備以下核心功能:

  • 自動時間戳記錄:每份文件上傳、修改或刪除時,系統自動生成不可篡改的時間戳,並記錄操作人員的用戶ID。
  • 版本控制與審計日誌:系統需保留所有文件的完整版本歷史,並提供可導出的審計日誌(audit log),以便SFC或HKEX查閱。
  • 權限管理與訪問記錄:根據保薦人團隊成員的職責設定文件訪問權限,並記錄誰在何時訪問了哪些文件。

根據SFC通函第6.3段的建議,DMS系統應與保薦人的項目管理工具(如Jira、Asana或專業的IPO項目管理軟件)進行整合,確保每一項盡職審查任務的完成情況與文件歸檔狀態實時同步。

流程層面:建立「即時歸檔」文化

文件化要求最常見的缺失源於「事後補文件」的習慣。保薦機構應將文件歸檔嵌入至日常工作流程中,而非視為項目結束後的行政工作。具體措施包括:

  • 制定標準操作程序(SOP):針對每項盡職審查活動(如訪談、實地考察、數據驗證),制定詳細的SOP,明確規定需保存的文件類型、歸檔時間窗口(如48小時內)及負責人員。
  • 引入合規檢查點(Compliance Checkpoints):在項目管理流程中設置強制性合規檢查點。例如,在完成管理層訪談後,項目經理必須在系統中上傳錄音記錄及簽署確認書,方可進入下一階段工作。
  • 定期內部審計:每季度由內部合規部門對正在進行的項目進行抽樣審計,檢查審計軌跡的完整性。根據SFC通函的建議,抽樣比例不應低於在管項目的20%。

人員層面:強化培訓與問責機制

SFC通函第7.1段明確指出,保薦人的管理層須對合規審計軌跡及文件化要求的執行負最終責任。因此,培訓與問責機制必須從上而下落實:

  • 強制性合規培訓:所有參與上市申請的保薦人團隊成員(包括分析師、副總裁及董事總經理),每年須完成至少8小時的合規審計軌跡及文件化培訓,內容需涵蓋SFC最新通函、上市委員會決定書案例及內部SOP更新。
  • 明確的問責鏈條:在每個項目中,指定一名「文件化負責人」(Documentation Officer),負責監督所有文件的及時歸檔及審計軌跡的完整性。該負責人須定期向項目保薦人主要負責人(Principal)及合規部門報告。
  • 違規處罰機制:對於因個人疏忽導致文件缺失或審計軌跡不完整的團隊成員,保薦機構應設立明確的處罰機制,包括書面警告、績效扣分,甚至暫停參與上市申請項目。

監管趨勢前瞻:2026年或將引入更嚴格的標準

從SFC及HKEX近期的政策動向來看,合規審計軌跡及文件化要求的收緊並非短期現象。2025年7月通函僅是SFC「保薦人監管改革路線圖」(2024-2026)的一部分。根據該路線圖,SFC計劃於2026年第一季度推出《保薦人指引》的進一步修訂,重點包括:

  • 引入電子化審計軌跡標準:SFC正與HKEX合作開發統一的電子化審計軌跡格式,要求保薦人使用標準化的XML或JSON格式提交盡職審查記錄,以便監管機構進行自動化分析。這項措施將大幅提高文件審查的效率,但同時也意味著保薦人必須對現有系統進行技術升級。
  • 擴大文件保存期限:現行規定要求保薦人保存上市申請相關文件至少7年。SFC在諮詢文件中建議將期限延長至10年,以配合《證券及期貨條例》下潛在的民事訴訟時效。
  • 加強對第三方專家報告的監管:SFC正考慮要求保薦人與第三方專家簽訂標準化的服務協議,明確規定專家報告的交付時間、審閱流程及責任分擔,並要求保薦人保留與專家之間的所有溝通記錄。

對於持牌保薦人而言,這些即將到來的變化意味著合規成本的進一步上升,但同時也為能夠提前適應新標準的機構提供了競爭優勢。在SFC及HKEX持續加強監管的背景下,審計軌跡及文件化的完整性已不再是可選項,而是保薦人業務存續的基石。

結語與行動建議

SFC 2025年7月通函及港交所上市委員會的多宗決定書,已明確傳達了一個信號:監管機構對保薦人合規審計軌跡及文件化的要求,已從「建議性最佳實踐」升級為「強制性合規義務」。對於保薦機構而言,忽視這一趨勢的代價不僅是罰款或牌照處分,更可能導致客戶上市申請被拒,損害機構的市場聲譽及業務可持續性。

以下是三項具體的行動建議,供保薦機構內部合規團隊參考:

  1. 立即進行內部差距分析:對照SFC 2025年7月通函附錄A的文件清單,對目前在管的所有上市申請項目進行審計軌跡完整性檢查,並在30天內完成缺失文件的補救工作。

  2. 部署或升級文件管理系統:在2025年第四季度內完成專用DMS系統的評估及部署,確保系統具備自動時間戳、版本控制及審計日誌導出功能。

  3. 制定並執行強制性合規培訓計劃:在2025年第四季度前,為所有參與上市申請的團隊成員安排至少8小時的合規審計軌跡培訓,並將培訓完成情況納入年度績效考核指標。