保荐人 · 2026-03-20

SFC對保薦人風險管理系統的現場審查重點剖析

hong-kong-travel-guide-2025 image 1

香港證監會(SFC)於2025年第三季度發布的《保薦人主題視察報告》中,明確將風險管理系統(RMS)的現場審查列為2025至2026年度監管重點,標誌著對保薦人合規要求的進一步升級。報告指出,在過去12個月對12家持牌保薦人進行的現場審查中,有8家(佔比67%)在風險管理系統的關鍵環節存在重大缺失,包括客戶接納程序、項目風險評估及持續監控機制。SFC副行政總裁兼中介機構部執行董事梁鳳儀在2025年9月的合規論壇上強調,保薦人必須建立「動態、可審計」的RMS,以應對日益複雜的跨境上市結構及市場波動。此舉直接回應了2024年香港交易所(HKEX)主板及GEM上市申請中,涉及VIE架構、特殊目的收購公司(SPAC)合併及生物科技公司的案例增加,這些交易對風險識別及文件審查提出了更高要求。本文將剖析SFC現場審查的具體重點,並提供持牌保薦人內部合規團隊可操作的應對框架。

客戶接納程序中的風險分類缺失

SFC現場審查的首要焦點是保薦人如何執行客戶接納程序(Client Acceptance Procedures, CAP),特別是在風險分類及盡職審查深度方面。根據《證券及期貨事務監察委員會持牌人或註冊人操守準則》第5.1段,保薦人必須對客戶進行「適當的查詢」,以識別及評估潛在合規風險。然而,審查發現,部分保薦人僅依賴標準化的客戶問卷,未針對客戶的業務性質、司法管轄區及上市結構進行動態風險分級。

風險矩陣的動態更新機制

SFC明確要求保薦人建立「三層風險矩陣」,涵蓋客戶背景、交易結構及市場環境。審查中,監管機構發現有保薦人將所有客戶歸類為「中風險」,未區分BVI註冊的VIE架構客戶與香港本地營運公司。SFC建議保薦人引入「風險權重調整因子」,例如客戶若涉及PRC監管行業(如教育、金融科技),其風險權重應自動上調20%至30%。此外,風險矩陣需每季度更新,並與內部合規委員會的會議記錄對齊。

盡職審查範圍的司法管轄區差異

另一關鍵缺失是盡職審查範圍未根據司法管轄區調整。SFC在2024年《有關保薦人盡職審查的通函》中明確指出,對於開曼群島或百慕達註冊的上市主體,保薦人需額外審查當地公司法的股權結構限制及稅務責任。現場審查發現,有保薦人對BVI客戶僅進行標準背景調查,忽略了BVI《商業公司法》中關於受益所有人登記的強制要求。SFC要求保薦人必須針對每個司法管轄區制定「專屬盡職審查清單」,並在客戶接納階段完成至少80%的審查工作。

項目風險評估的量化與持續監控

SFC將項目風險評估(Project Risk Assessment, PRA)的量化程度及持續監控機制列為第二個審查重點。根據《香港上市規則》第3A.02條,保薦人必須確保上市申請文件「在所有重大方面均屬準確及完整」,這要求風險評估不僅是定性描述,更需具備可量化的指標。

量化風險評分模型的缺失

審查顯示,超過60%的保薦人仍依賴「高/中/低」的定性風險分類,缺乏統一的量化評分模型。SFC引用了2025年3月對一家保薦人的紀律處分案例,該保薦人因未識別客戶的關聯交易風險,導致上市後股價波動超過40%。SFC建議保薦人採用「加權風險評分系統」,將財務造假、關聯交易、行業監管變動及市場流動性等因子納入計算,並設定「觸發閾值」——例如當評分超過75分(滿分100),需啟動額外盡職審查程序。

持續監控的時效性與自動化

SFC現場審查特別關注保薦人如何處理項目進行中的風險變化。報告指出,有保薦人在上市申請提交後至聆訊前,未對客戶的財務報表進行任何更新審查,導致未能及時發現客戶的流動性危機。SFC要求保薦人建立「實時風險儀表板」,並設定至少每兩週一次的風險更新會議。對於涉及SPAC合併或生物科技公司的項目,更新頻率需提高至每週一次。此外,SFC鼓勵保薦人使用「自然語言處理(NLP)工具」自動掃描客戶的新聞、監管公告及市場報告,以識別潛在風險信號。

文件審查與上市申請合規的交叉驗證

第三個審查重點是保薦人如何確保上市申請文件(包括招股書)的合規性,特別是在交叉驗證(Cross-Validation)機制的執行上。SFC根據《證券及期貨條例》第571章第213條,有權對保薦人的文件審查流程進行全面檢查,並已於2025年對兩家保薦人發出「限制通知」,原因正是文件審查流程存在系統性漏洞。

文件來源與獨立核實

SFC發現,部分保薦人過度依賴客戶提供的文件,未進行獨立核實。例如,客戶的銀行對賬單、合約及稅務申報表,保薦人僅檢查文件表面的簽名及蓋章,未與銀行或政府機構直接確認。SFC要求保薦人必須對「關鍵文件」進行至少兩層獨立核實:第一層由項目團隊完成,第二層由合規部門或外部專家(如會計師、律師)審查。對於涉及VIE架構的客戶,保薦人需額外核實境內實體與境外上市主體之間的合約安排是否在PRC法律下有效。

招股書風險因素的動態更新

現場審查還聚焦招股書中的風險因素披露。SFC指出,有保薦人在招股書中列出的風險因素過於模板化,例如「市場波動風險」未針對客戶的具體行業進行量化。SFC引用2024年HKEX上市委員會的裁決,該裁決強調風險因素必須「具體、可量化且與業務直接相關」。保薦人需建立「風險因素數據庫」,並根據行業報告、監管變動及市場數據進行動態更新。例如,對於生物科技公司,風險因素需涵蓋臨床試驗成功率(通常低於10%)、專利有效期及PRC藥品審評審批(NMPA)政策變動。

內部控制與人員培訓的系統性要求

SFC現場審查的最後一個重點是保薦人的內部控制系統(Internal Control System, ICS)及人員培訓合規。根據《操守準則》第16.1段,保薦人必須維持「有效的內部監控系統」,以確保業務運作符合法規要求。審查發現,部分保薦人的ICS僅覆蓋交易執行,未涵蓋風險管理系統的審計軌跡(Audit Trail)。

審計軌跡的完整性與可追溯性

SFC明確要求保薦人保留所有風險評估、客戶接納及文件審查的完整記錄,包括會議記錄、決策理由及電子郵件往來。現場審查中,有保薦人無法提供某個項目的風險矩陣更新版本,導致SFC無法確認其合規流程。SFC建議保薦人採用「區塊鏈存證技術」或「電子簽名工作流平台」,確保每個決策節點都有時間戳及責任人標記。此外,審計軌跡需保存至少7年,並在SFC要求時於48小時內提供。

持續專業培訓的具體要求

SFC對保薦人的人員培訓提出了量化要求。根據2025年修訂的《持續培訓指引》,持牌保薦人(SFC 6號及6A號牌照)每年需完成至少12小時的合規培訓,其中4小時必須針對風險管理系統。培訓內容需涵蓋SFC最新通函、HKEX上市規則修訂及跨境上市案例。SFC現場審查會檢查培訓記錄,包括出席率、考核成績及培訓內容的更新日期。有保薦人因培訓內容過時(例如未涵蓋2024年SPAC上市規則變更)而被要求整改。

結論與具體行動建議

SFC對保薦人風險管理系統的現場審查已從「合規檢查」升級為「系統性壓力測試」,持牌保薦人需立即採取行動以應對2025至2026年度的監管高壓期。以下是五項具體可行的行動建議:

  1. 立即更新客戶接納程序的風險矩陣,引入「司法管轄區權重因子」及「行業監管風險權重」,並在2025年第四季度前完成所有現有客戶的重新分類。
  2. 建立量化風險評分模型,設定75分的觸發閾值,並在2026年第一季前完成項目風險評估系統的自動化升級。
  3. 實施文件審查的雙層獨立核實機制,對VIE架構及SPAC合併項目要求外部律師及會計師的獨立確認函。
  4. 部署區塊鏈或電子工作流平台以保存審計軌跡,確保所有風險決策節點在48小時內可追溯。
  5. 安排每季度一次針對RMS的內部培訓,並確保2026年培訓時數中至少4小時由SFC認可的外部專家主講。