保薦人IPO盡職審查清單：SFC 6號牌持牌人不可遺漏的十個關鍵步驟

2025年3月，證監會（SFC）發佈《保薦人主題視察報告》，點名批評多宗盡職審查缺失，其中對分銷商盡職審查不足及「偽造文件」偵測能力薄弱成為重點。報告統計，在2022至2024年間，SFC對持牌保薦人開出的罰款總額累計超過1.2億港元，當中涉及盡職審查程序缺陷的個案佔比高達67%。與此同時，港交所（HKEX）於2024年第四季修訂《上市規則》第18C章，對特專科技公司上市設定的市值門檻及研發開支要求進一步收緊，直接影響保薦人對估值假設及商業模式可行性的核查深度。在此監管雙重壓力下，持牌保薦人（SFC 6號牌及6A號牌負責人員）必須將盡職審查從「合規檢查」升級為「風險防禦體系」，否則一旦觸犯《證券及期貨條例》第571章下的市場失當行為條文，不僅面臨罰款及牌照撤銷，更可能承擔刑事責任。本文按SFC最新指引及HKEX上市委員會裁決案例，梳理十個不可遺漏的關鍵步驟。

一、發起人背景及資金來源核查

第一層：穿透至最終實益擁有人

保薦人必須按《打擊洗錢及恐怖分子資金籌集指引》（2018年修訂版）第4.2段要求，對所有發起人進行「穿透式」盡職審查。這並非僅查閱公司註冊處的股東名冊。實務操作中，若發起人為BVI或Cayman Islands註冊的離岸公司，保薦人須要求對方提供經當地註冊代理人認證的董事登記冊及股東登記冊，並追蹤至持有最終控制權的自然人或上市公司。SFC在2023年對某中資保薦人的紀律處分個案中明確指出，僅依賴發起人提供的組織章程細則而未能核實最終受益人身份，已構成《操守準則》第17.6段的違規。

第二層：資金來源的文件鏈閉環

資金來源核查不能止於銀行結單。保薦人需取得由香港持牌銀行或境外合資格金融機構出具的資金來源確認函，並對大額資金（通常定義為單筆超過500萬港元或等值外幣）的來源進行「三層驗證」：第一層，資金存入記錄與發起人收入證明（如稅單、薪資單、分紅協議）匹配；第二層，資金轉出記錄與商業合同、投資協議或法律判決書等佐證文件對應；第三層，若資金涉及關聯方借款，須取得經公證的借款協議及還款計劃，並核查借款方是否為發起人實際控制人或其一致行動人士。HKEX上市委員會在2024年一宗涉及「虛假注資」的上市申請覆核裁決中（案例編號：2024/HLD/03），直接以資金來源無法驗證為由駁回申請，該裁決已成為保薦人盡職審查的負面清單範本。

二、業務模式及收入真實性驗證

第一層：收入確認政策的會計準則對標

保薦人必須將招股書中披露的收入確認政策與香港財務報告準則（HKFRS）第15號「客戶合約收入」逐條對照。常見陷阱是發行人以「完工百分比法」確認長周期項目收入，但缺乏第三方進度確認書。SFC在2024年《視察報告》中特別點名：某醫療器械公司將經銷商簽收單據視為收入確認時點，但保薦人未核查經銷商最終銷售情況，導致收入虛增約2.8億港元。正確做法是要求發行人提供經審計的銷售明細表，並隨機抽取前十大客戶進行「穿透式」電話訪談，訪談內容須涵蓋合同條款、付款條件、退貨率及存貨水平，並錄音存檔。

第二層：客戶及供應商獨立性測試

關聯交易非關聯化的手法在IPO申請中屢見不鮮。保薦人需對前五大客戶及前五大供應商進行「獨立性測試」：查閱該等實體的董事、股東及高級管理人員名單，並與發行人及其關聯方的名單交叉比對。若發現任何名字重疊，或註冊地址與發行人相同（或僅差一個單位編號），即構成關聯交易嫌疑。HKEX《上市規則》第14A章對關連交易的披露及股東批准要求極其嚴格，保薦人若未能在盡職審查階段識別，後續上市委員會聆訊時將面臨「盡職審查不足」的質疑，直接影響上市時間表。

三、合規記錄及法律風險排查

第一層：跨境合規的多法域覆蓋

對於業務涉及PRC、美國或歐盟的發行人，保薦人不能僅依賴香港法律意見。必須聘請當地合資格律師事務所出具專項法律意見書，涵蓋以下範疇：PRC的《網絡安全審查辦法》及《數據出境安全評估辦法》對數據處理的影響、美國《外國公司問責法案》（HFCA Act）對審計底稿查閱的規定、歐盟《通用數據保護條例》（GDPR）對客戶數據收集的限制。SFC在2023年一份通函中明確要求，保薦人須在盡職審查報告中列出所有適用的境外法規，並說明發行人是否已取得所需牌照或許可。未覆蓋PRC數據合規的IPO申請，SFC有權根據《證券及期貨條例》第571章第384條暫停審批。

第二層：訴訟及仲裁的量化評估

法律風險不能僅以「無重大訴訟」一筆帶過。保薦人需要求發行人提供過去五年（而非僅三年）的全部訴訟、仲裁及行政處罰記錄，並按「潛在賠償金額 / 發行人淨資產」的比例進行量化分級：比例低於5%為低風險，5%至15%為中風險，超過15%為高風險。對於中風險及高風險案件，保薦人須取得發行人法律顧問出具的「勝訴可能性分析」，並在招股書風險因素章節中具體披露，而非僅以「可能對業務造成不利影響」等模糊表述。HKEX上市委員會在2024年一宗生物科技公司上市申請中，正是因為保薦人未能量化一宗PRC專利侵權訴訟的潛在賠償金額，而要求補充披露，導致上市時間延遲六個月。

四、估值假設的壓力測試與敏感度分析

第一層：可比公司選取的合理性論證

估值模型中的可比公司選取是SFC視察的重點。保薦人不能僅選取市值最大或估值倍數最高的同行，而必須在盡職審查報告中說明選取標準（如業務相似性、收入規模、增長率、毛利率區間），並列出被剔除的公司及其剔除原因。例如，若發行人為尚未盈利的生物科技公司，可比公司應選取處於相同臨床階段的同業，而非已進入商業化階段的企業。SFC在2024年《視察報告》中批評某保薦人選取的可比公司中，有兩家業務性質與發行人完全不同（一家為醫療器械分銷商，另一家為CRO服務商），導致估值倍數偏差超過40%。

第二層：核心假設的壓力測試

對收入增長率、毛利率、資本開支及折現率（WACC）四個核心假設，保薦人必須進行至少三種情景分析：基準情景（Base Case）、樂觀情景（Bull Case）及悲觀情景（Bear Case）。悲觀情景假設應包括：收入增長率下調至行業歷史最低水平、毛利率下降500個基點、WACC上調200個基點。若悲觀情景下的估值低於發行價區間下限，保薦人須在盡職審查報告中解釋該差距的可接受性，並考慮是否需要在招股書中增加「估值不保證」的風險提示。HKEX《上市規則》第11.06條要求上市文件中的預測必須有合理基礎，保薦人未能進行壓力測試即構成該條文的違規。

五、公司治理及內部監控系統評估

第一層：董事會獨立性的實質審查

獨立非執行董事（INED）的獨立性不能僅以書面確認書為準。保薦人需核查INED過去三年是否曾從發行人或其關聯方收取任何形式的報酬（包括顧問費、董事袍金以外的服務費），以及其直系親屬是否在發行人或其關聯方任職。SFC在2022年對某保薦人的紀律處分中，發現一名INED的配偶在發行人子公司擔任財務經理，但保薦人未在盡職審查中發現，最終被罰款300萬港元及暫停牌照六個月。

第二層：內部監控的穿行測試

保薦人不能僅依賴發行人提供的內部監控手冊。必須進行穿行測試（Walk-through Test），即按實際交易流程從訂單錄入、發貨、開票到收款，逐個環節檢查是否有書面記錄、審批簽名及系統日誌。若發現任何環節缺乏書面記錄，或審批簽名與授權範圍不符，即構成內部監控缺陷。HKEX《上市規則》第3A.05條要求保薦人確保發行人設有足夠的內部監控系統，穿行測試結果須記錄在盡職審查工作底稿中，並由合規部門獨立覆核。

六、知識產權及技術壁壘的獨立驗證

對於以技術為核心競爭力的發行人（如半導體、人工智能、生物科技），保薦人不能僅接受發行人提供的專利清單。必須聘請獨立第三方知識產權評估機構（如具備香港或PRC專利代理資格的機構）進行專利有效性檢索及自由實施分析（Freedom to Operate Analysis）。SFC在2024年《視察報告》中指出，某人工智能初創公司聲稱擁有15項PRC發明專利，但經獨立檢索發現其中8項已因未繳年費而失效，2項正在被第三方提出無效宣告請求。保薦人未進行獨立驗證，直接導致招股書中的技術描述存在重大誤導。

七、基石投資者及錨定投資者的盡職審查

基石投資者的背景及資金來源核查，標準應與發起人一致。保薦人需取得基石投資者的經審計財務報表（如適用）或資產證明，並核查其與發行人、保薦人及承銷團成員之間是否存在任何關聯關係。若基石投資者為私募股權基金，須要求其提供基金協議及有限合夥人名冊，以確認資金來源不涉及非法集資或洗錢風險。HKEX《上市規則》第18.08條對基石投資者的禁售期及披露要求有明確規定，保薦人若在盡職審查中遺漏關聯關係，後續將面臨SFC的市場失當行為調查。

八、行業監管牌照及資質的時效性核查

保薦人必須逐項列出發行人業務所需的全部牌照、許可及資質，並核查其有效期、發證機構及續期條件。對於PRC業務，常見遺漏包括：ICP許可證（增值電信業務經營許可證）、EDI許可證（在線數據處理與交易處理業務許可證）、醫療器械經營許可證、藥品生產許可證及網絡文化經營許可證。SFC在2023年一份通函中提醒，若發行人的核心業務牌照在上市前六個月內到期，保薦人須取得發行人已提交續期申請的證明，並評估續期不獲批對業務持續性的影響。未核查牌照時效性的保薦人，將被視為違反《操守準則》第17.4段。

九、財務預測及盈利警告的觸發條件

若招股書包含盈利預測或盈利估計，保薦人須確保該預測的假設基礎已由申報會計師根據《香港審計準則》第810號進行審閱。同時，保薦人須在盡職審查報告中列出可能觸發盈利警告的具體條件，例如：收入低於預測的80%、毛利率低於預測的5個百分點、或核心客戶流失超過兩家。HKEX《上市規則》第11.17條要求發行人須在實際業績與預測存在重大偏差時發出盈利警告，保薦人應在上市後持續跟進至少一個完整財政年度。

十、ESG及氣候風險的盡職審查

自2024年1月1日起，HKEX《上市規則》附錄二十七所載的環境、社會及管治（ESG）報告指引已提升至「強制披露」級別。保薦人須在盡職審查中評估發行人的ESG風險管理框架，包括：碳排放數據的核算方法（是否採用GHG Protocol）、供應鏈中的勞工權益合規（是否涉及強制勞動或童工）、以及氣候變化對業務的物理風險及轉型風險。若發行人未能提供經第三方核證的ESG數據，保薦人須在招股書中明確披露該限制，並評估其對投資者決策的影響。

結語：從合規清單到風險文化

上述十個步驟並非靜態清單，而是動態風險管理框架的組成部分。SFC在2025年《施政方針》中已明確表示，將對保薦人的盡職審查質量進行「穿透式」監管，並計劃引入「保薦人合規評級」制度，直接影響其處理上市申請的排隊優先級。持牌保薦人若僅將此清單視為檢查表，而未能將盡職審查融入機構的風險文化，最終將在SFC的現場視察及HKEX上市委員會的質詢中暴露短板。

行動要點：

1. 在每個IPO項目啟動前，由合規部門根據SFC最新通函及HKEX上市委員會裁決更新盡職審查清單，確保涵蓋所有新出現的監管要求。
2. 所有發起人及基石投資者的資金來源核查，必須取得第三方銀行確認函及經公證的借款協議，並由合規部門獨立覆核。
3. 收入真實性驗證必須包含對前十大客戶的穿透式訪談及獨立性測試，訪談記錄須存檔不少於七年。
4. 估值模型必須包含悲觀情景壓力測試，並將結果記錄在盡職審查報告中，作為上市委員會聆訊的答辯依據。
5. ESG盡職審查應在項目初期啟動，而非在招股書草擬階段才補做，以避免因數據缺失而延誤上市時間表。