合規機制對公司治理的挑戰及公司法回應

楊淦

關鍵詞：合規激勵;公司治理;監督型董事會;合規文化;ESG

中圖分類號：DF411.92文獻標志碼：A

DOI：10.3969/ j. issn.1001-2397.2023.02.10 開放科學（資源服務）標識碼（OSID）：

一、問題的提出

近年來，與公司合規有關的理論研究和制度實踐方興未艾，合規機制的蓬勃興起不僅源于公司自身對合規優勢的認可和采納，更源于行政監管和司法激勵的合力助推，且后者實為主要動因。行政機關可以通過合規指引、行政指導或行政和解協議向公司施加合規義務①，或以出資人、合規監管人的身份督促公司采取合規管理。②司法機關則主要通過起訴或量刑上的優待，激勵公司廣泛采納合規建議或強化合規舉措。在自上而下的推動中，公司合規已經從非正式、個別的執法實踐升級為正式、普遍的協同治理的產物，是行刑責任的觸角從個人過錯前移到組織缺陷，貫徹犯罪預防理念的制度體現。

合規概念圍繞公司而生，最終也要內化為公司治理的重要組件，才能發揮預防犯罪的理想效果。一些學者分別從合規理念與公司治理的依存關系①、合規組織②或董事合規義務③的角度探討了合規嵌入公司治理的路徑。這些研究均已表明，接納合規是公司治理的進化方向。但公司治理起因于降低代理成本，而以執法激勵為主要發展動因的合規卻與代理成本并無關系。因此，合規機制于公司治理而言實際上是外生產物。合規機制的嵌入不但會改變傳統公司治理結構中的權責配置，也使公司目的這一難解命題面臨新的挑戰。目前，我國學界對這一問題的研究并不深入。

理論研究的不足，可能導致公司法在采納合規時出現兩種局面：或將合規簡化為守法經營，繼而將合規義務的重心置于具體的公司行為。這樣的合規并無新意，也超出了公司法的射程;或將合規作為公司組織義務擴張的依據，增加公司組織機構設置的強制性規范。從一些新近的立法動向來看，這種端倪更為明顯。但強制程度過高的組織義務，不僅會使合規異化為僵硬的管制工具，甚至跨國貿易的制裁手段④，而且如何與公司原有的治理結構相銜接是實踐面臨的難題。與此同時，從最高人民檢察院已公布的合規試點改革案例和指導性改革文件來看，將合規考察對象從“輕微涉罪的中小型企業”拓寬到“涉罪個人”和“大型公司”將是合規改革的探索動向。而且從域外經驗來看，合規主要適用于那些可能涉嫌嚴重經濟犯罪的大型（跨國）公司。但合規對象在我國的拓寬，不僅要克服單位犯罪雙罰制的理論障礙，也需要針對合規對象的不同治理水平與合規風險，配置差異化的合規要求，這也正是合規整改“相稱性原則”的內在要求。⑤

因此，無論是出于公司法回應合規實踐的需要，還是為合規激勵對象的拓寬提供制度基礎，都有必要將合規置于公司治理的基本原理中進行觀察和解構，分析合規帶給傳統公司治理的挑戰和變革，并以本次我國《公司法》的修改為契機，明晰合規權責在公司內部的分布樣態，為公司治理結構的合規化轉型提供建議。

二、組織視角下合規機制的要素與權責配置

以公司為載體的合規，其運行環境具有強烈的組織屬性。在科層制的公司組織中，分工、合作與制衡是組織運行的基本特征。因此，雖然執法機構提出了有效合規的若干評價標準，但以公司為代表的組織視角，更關注合規要素間的結構關系，以及公司機關在合規中的權責分工。實踐中的合規雖然存在行業差異和個體差異，但仍有一些顯著共性。

（一）合規機制的建構起點：規范生成

組織社會學家W. 理查德·斯格特（W. Richard Scott）認為，管制、規范和認知是一項制度運行的三大支柱。管制支柱強調通過制定規則和實施制裁向組織施加壓力;規范支柱則是組織對外部管制規則的吸收和內化。① 因此，合規機制中的規范生成既是公司識別與評估合規風險的過程，也是全面梳理外部規范并將其轉化為內部規范的過程，包括確認和重申公司所應遵守的國際公約、法律規范、監管規定、行業準則，并據此制定內部規章制度。從具體到抽象，其內容涉及“操作規范”與“價值塑造”兩個層面：前者主要記錄公司員工能做什么和不能做什么;后者旨在超越“被動遵守”，通過精神與規則的深度融合培育誠信、道德的倫理文化。這些規范最終會以“行為準則”的形式作為合規培訓的基礎文本。

（二）合規機制的運行保障：監督分工與信息流通

完成合規規范的制定與培訓之后，合規機制的重心在于執行規范并實時監督。分工制衡的組織關系有助于提升執行效率與監控的敏銳度。因此，合規職責分布在不同職能的公司機關或成員之間。大致可以分為兩類主體：一類是合規機制的踐行者，包括公司全體員工。部門主要負責人的行為應被重點關注，如果身處經營管理一線的他們沒有從事違規行為的動力和傾向，則會對其他員工形成正面的示范與激勵，公司合規風險也會大大降低;另一類是合規機制的構建者和監督者。主要包括董事會及其委員會，以及新近興起的合規官和外部合規監管人。

合規監督的事項龐雜且需要具備一定的專業能力。比如，傳統業務監督主要關注績效增長，但在合規機制的主導下，業績指標會被弱化，而高管對公司的長期貢獻將被關注。因此，董事會通常會組建專業委員會來履行合規監督職能，其中最重要的是審計委員會。審計委員會協助董事會評估、監督公司財務信息、內控制度和審計程序，確定公司內部的財務準則，在董事會、管理層和外部審計師之間傳遞信息。但在美國，審計委員會還是實施內部調查、接收投訴與舉報的部門。② 薪酬委員會根據不同崗位涉及的風險大小，以及員工的合規表現進行崗位分配和調整，將合規表現引入薪酬結構。③ 此外，當董事會成員或高管被指控有不當行為時，提名和治理委員會也發揮相應作用。

近年來，在立法與執法的要求和引導下，越來越多的公司將合規職責從法務和審計工作中分離出來，由獨立的合規部門負責，一種新興的“合規服務產業”也因此興起。合規部門有權力也有義務對公司的各項業務運行、財務乃至審計工作進行獨立審查，監督、制約董事高管的違規行為，根據最新法律動向和合規領域的重大事件更新公司合規規范。當公司面臨訴訟風險時，合規官代表公司與執法機構進行溝通，爭取更寬松的司法政策。在部分涉案企業的合規整改考察程序中，執法機關會向公司委派由外部專業人士組成的合規監管人員指導企業開展合規整改，并將其提供的監督評估意見作為量刑參考。此外，部分公司還會從外部聘請專業顧問，協助董事會或合規官建立合規框架，執行合規監管人的指定要求等。

合規機制的順利運行還需借助一些數據收集和分析的技術工具，在公司內部建立暢通的信息流動和反饋機制，為合規監督和內部問責提供可視化場景。① 信息流動和反饋在自上而下與自下而上兩個平行維度上展開。前者包括將合規規范與相關決策逐級向下傳達與培訓，以及定期或不定期的合規檢查;后者在于打破信息壟斷，保障級別較低的“吹哨人”發現風險時能夠及時安全地向上報告，并確保與違規行為有關的信息迅速與組織中的相應級別關聯②，實現精準監督與問責。

（三）合規機制的自我超越：合規文化

形式意義上的合規機制在規范生成、結構優化和組織建制中得以成型，但有效抑制公司違法犯罪風險的實質性合規還有賴于合規文化的沉淀與熏陶。合規文化并不是既定的，也不是靜態的。它是在管理結構與組織分工，以及公司自體與外在環境的社會互動中逐漸生成，屬于組織制度運行中的認知要素。合規文化既表現為公司誠信合法的經營底線和承擔社會責任的價值理念，也表現為每一位組織成員的守法意識和行為習慣。不僅能在公司與其外部環境的互動中發揮過濾作用，篩選出特定的規則與價值作為合規規范;也能夠為公司成員提供一種比國家法律更為具體的基本遵循，引導成員按照特定要求和程序完成工作職責。③

梳理合規機制的運行機理，可以發現，合規不僅是將公司遵守的外延從“法”擴展至“規”，也包括將外部規范轉化為內部規范，建立穿透式和立體化的監督治理體系并打通其運行機制，使每一個部門和每一個員工都自覺成為合規體系的建設者和踐行者，實現從合規規范到合規行為，再到合規文化的塑造，涵蓋了公司內外關系運行的諸多方面。在此意義上，公司治理與公司合規二者可能互為補充，或將合規作為公司治理機制中防控風險的重要組件。然而，事實并非如此，基于不同的發展動因和規制邏輯，當合規機制嵌入公司治理時，它超出了傳統公司治理結構的解釋范疇，并產生了新的風險與挑戰。

三、合規機制對傳統公司治理的挑戰和變革

公司內部的權責配置以及公司目的是公司治理的核心問題。雖然過往素有“股東會中心主義”與“董事會中心主義”的理論爭議，但權力來源與責任追究始終在公司內部纏繞。更準確地說，是在股東會與董事會之間的委托代理程式內拉鋸游離。股東至上作為治理目標的基本共識未曾動搖，董事會集權管理的制度優勢吸引著后續改革步伐的追尋，但董事會向下授權過程中的權力配置和追責存在著制度留白。因此，內生性、自主性、粗放性是傳統公司治理的顯著特點。但當合規機制嵌入公司治理時，公司內部的組織權力、董事義務的問責過程，以及股東至上的公司目的都發生了不同程度的改變。

（一）弱化了董事會的組織權力

傳統上，董事會作為公司經營管理權的享有者，有權根據運營需要，調整公司內部的組織結構或實施授權行為。但公司合規并非來自董事會的商業決策和授權，而是執法激勵的直接產物。立法者或執法者通常會將“合規部門化”或“職責專員化”等組織建制作為有效合規的量化指標，以此增強公司合規的穩健性和持久性。① 支持者認為，設置獨立的合規部門或合規專員，有助于提高合規工作的自主性和能動性，增強向董事會報告合規風險的動力。而且當公司被調查時，合規官不會像法律顧問和審計人員那樣，因為利益牽連為公司掩蓋或辯護，而是傾向于向執法者報告更多信息，公司行為的透明度得以提高。②

縱觀公司制度的發展歷史，強調公司治理參與主體的獨立性并非合規首創。在此之前，獨立董事參與上市公司治理已是標配。但獨立董事的出現，旨在解決公司內部治理監控機制缺位的問題。作為董事會中的一員，其權力源于股東授權，無公權力加持，并受到信義義務的約束。獨立董事的主要職責為監督、限制享有公司控制權者謀取私利③，但對權力的向下流動和決策的具體執行干預甚少。履職方式也僅限于客觀、及時地向公眾披露監督信息，而非向監管機構匯報工作。相比之下，合規官的職業存在和組織權威在很大程度上歸因于執法者的認可和授權。執法者通過組合措施，激勵公司建立合規體系。與此同時，在公司內部嵌入了以合規官為代表的執法代理人。④ 盡管啟動合規程序是涉案公司的自愿選擇和承諾，但實際上，當公司面臨監管壓力或制裁、訴訟風險時，董事會無法拒絕執法者通過合規干預公司治理。這一過程不僅消解了董事會的組織權力，也改變了公司委托代理的內部程式。

以合規官為首的合規部門充當合規哨兵，密切跟蹤外部監管信息和公司內部合規情況。在普通的商業環境中，一名失職的公司高管將面臨減薪、降級或被解雇。而對于失職的合規官而言，可能受到外部執法者的追責。⑤ 這就迫使合規官們將監管利益等同于公司利益，其職責目標不是股東財富最大化，而是合規最大化。合規最大化可能有兩種表現：其一，合規官對于法律與監管的約束效力不作區分。相反，他們會像遵守法律一樣促使公司遵守監管規則，因為他們享有確認“公司法律”的權力。⑥其二，合規官可能夸大合規風險，迫使公司在合規方面過度投入。因為由合規所產生的經濟成本由公司負擔①，但合規官卻可以借此彰顯自己的工作業績。這種獨立于公司利益卻從屬于執法者的雙重角色，使合規官們在分享公司治理權力的同時，可以援引執法者的授權而免于向公司承擔責任。

（二）強化了董事監督義務及責任

作為經營管理權下沉實踐中的邏輯產物，在很長一段時間內，對于董事監督義務的具體內容及其體系定位并無清晰的理論闡釋。因此，針對董事違反監督義務而應承擔責任的主張，法官的態度頗為謹慎。

在美國著名的Caremark 案中，原告認為，董事本應發現公司員工頻繁的行賄活動，并有義務及時糾正以避免損失。② 但法院指出，原告只有證明董事知道公司正在發生違規行為或收到了相應的危險信號而未采取任何措施，繼而導致公司遭受損失時才可能取得勝訴。③ 此后，在Guttman v. Huang 案中，法官重申了Caremark 案的裁判標準，即原告需證明公司缺乏有效的信息傳輸系統，且這一責任主要在于董事。④ Stone v. Ritter 案與Marchand v. Barnhill 案更是將董事監督義務歸入了忠實義務的范疇，⑤這意味著，董事只有對公司信息傳輸系統的缺失或運轉失靈存在惡意時才承擔責任。時至今日，雖然關于監督義務體系定位的理論爭議在美國學界仍未停歇，但上述案例均釋放出一種明確信號，即結果意義上的監督義務與程序意義上的組織（或體系）義務應當區別對待。無獨有偶，日本和德國也有類似區分。日本法律上的董事“監督義務”與“體系義務”分屬不同條文，其中體系義務是指在公司內構筑并運作一個可以探查出不當行為的諜報體系。雖然二者之間究竟是延伸關系還是并列關系并無定論，但“體系義務”也有適用商業判斷規則的空間。⑥ 德國法律以“管控義務”和“組織義務”進行區分，前者是對公司及其職員的違法行為進行實質性預防和監督，屬于無差別的法定義務;⑦后者只有在公司超越合規風險界限以后才會產生。法官對于觸發組織義務的條件認定非常苛刻，必須存在“近乎確定”的可能性，即如果公司擁有完善的合規組織，損害就不會發生。⑧

以上規則無疑增加了原告的舉證負擔，董事可以辯稱，由于公司組織體系龐大且此前少有重大違規事件的發生，自己對于少數違規行為的失察純屬善意的疏忽，很難歸于重大過失或惡意。但合規機制的嵌入有助于打破這一“安全港”，掃清董事因違反監督義務而承擔責任的證據障礙。因為合規是一套流程導向的自我評估、設計和管理機制，包括記錄保存、信息留痕、簽準要求等大量詳盡的控制性措施，覆蓋了公司運營的全過程，監控者可以通過對業務流程的隨機核查或數據分析進行實時監控。這一過程如同將放大鏡置于公司內部，使公司的經營目標、權力配置與運行的基本樣態趨于透明且有跡可循。董事會履行監督義務的主觀意志會隨著諸多留痕的證據記錄而客觀化。貫通上下的信息流動也有助于公司各級的違規信息傳達到董事會層面，這一改變意味著在責任追究中貫通權責線索，而公司合規負責人在其中發揮著重要作用。

以美國為例，無論是公司首席合規官，還是其他合規負責人，都有義務實時監控、評估公司合規風險并及時向董事會報告。這些報告不產生直接的法律后果，董事會可以自己決定是否予以關注。然而，一旦報告中指出的問題進入執法或訴訟環節，其重要性將發生巨大變化。這些報告能夠佐證董事會是否知曉或應當知曉危險信號。① 而且報告頻率越高，描述越詳細，董事會的裁量權限就越小。理論上，董事會有兩種選擇：無視，或作出回應。實踐中，許多董事會都會響應危險信號，采取行動來解決所暴露的問題。這一過程雖然需要克服來自股東的質疑，但在商業判斷規則的庇護下，董事會仍有一定的自由來作出他們認為合適的反應。比如，是否需要單獨成立合規委員會，需要具備何種技能的人員參與合規管理，或是否需要聘用外部顧問幫助公司建立新的合規體系。

法院在確定董事會收到了足夠的危險信號后，將會對董事會的反應作出評估。評估的重點在于：其一，董事會是否應當根據所收到的危險信號建立合規體系;其二，所建立的合規體系是否適當且有效運行。評估過程也會在很大程度上參考合規官或其他合規負責人的報告，法院需要確信董事會采取的措施旨在真正遏制問題，而不僅是在應付可能發生的訴訟風險。如果董事會給出的解決方案距離報告所欲達成的目標過于遙遠，那么董事會的反應會被認為不夠充分，董事將面臨承擔個人責任的風險，隨之還有金錢和聲譽損失。② 需要指出的是，雖然司法裁判中對于合規報告的運用強化了合規官或其他合規負責人的權力與地位，但也因此增加了他們的風險。若合規官或其他合規負責人未能及時提醒董事會注意公司存在的潛在風險或系統性漏洞，將承擔個人責任。在此意義上，董事會與合規官或其他合規負責人的法律風險，在互動中此消彼長。

（三）鈍化了股東至上的公司目的

公司為誰而生，為誰而存，是對公司這一擬制工具的世紀追問。③ 傳統觀點認為，股東因出資而成為公司的剩余索取權人和控制權人，實現公司價值和社會福利的最佳路徑在于讓管理者專注于股東利益，由此所產生的負外部性可以通過其他法律來調節。④ 這種股東至上的公司目的，一度占據著公司治理的主導地位，并充分滲透到各國公司立法和實踐之中。比如，在權力配置上，由股東選舉董事為其監督管理者，以降低所有權和控制權分離造成的代理成本;在高管薪酬上，按績給付的薪酬結構旨在使高管利益與股東保持一致;在信息披露上，公司重點關注對投資者而非利益相關者必要或有益的信息。

但上述理論和實踐也遭受了諸多質疑，批判者指出，股東至上主義未對股東利益最大化如何導向社會利益最大化進行邏輯論證⑤，隨著公司融資渠道的拓寬，以及資本重要性的減弱，其他利益相關主體對公司剩余索取權和控制權的追求也不應被忽視。⑥ 所以，在過去一個多世紀以來，圍繞公司社會責任興起的諸多理論思潮，都致力于修正股東至上的公司目的。公司社會責任最初是指，將所有非股東群體的利益納入公司經營的考量范圍，期望公司自愿履行廣泛的道德義務。后期的研究重心開始從倫理規范轉向實踐路徑，側重于通過框架模型和評估指標，將社會責任融入公司的決策過程。履行社會責任的表現方式，也由以往的公司自主報告轉變為更全面的風險管理。這些努力催生了社會責任理論向利益相關者主義和ESG（Environmental， Social and Governance，環境社會和公司治理）的傾斜。

利益相關者主義希望，在公司現有激勵結構的基礎上，賦予管理者自由裁量權以修正公司目的。ESG 則是在投資驅動下，對公司的社會責任履行和風險管理實效進行綜合評估的框架。① 這種風險管理突破了狹義上的財務風險，轉而關注環境保護、促進就業、公司治理等眾多非財務指標對公司績效的廣泛影響。其中，合規機制的建立被視為重要的風險管理指標之一。原因在于：其一，合規機制有助于將環境保護、勞工利益、社區促進等保護利益相關者的價值追求，經由合規規范納入公司業務流程和審計準則，使ESG 指標變得更容易衡量披露，也據此建立一個對利益相關者和外部監管者開放的信息監測與問責通道。② 其二，合規機制下獨立董事規模的擴充和功能性委員會的設置，有助于增強董事對抗股東的話語權力，充分回應利益相關者條款，擴充董事會權力的制度需求。從而打消了董事在放棄追求短期利益，轉而關注長期利益時遭受股東問責的隱憂。

通過合規機制修正公司目的的主張，也得到了公司高管和股東至上支持者的廣泛認同。高管可以從中獲得擴張權力的制度依據。而在股東至上主義的支持者看來，利益相關者主義和ESG 的興起，恰恰是公司社會責任理論向股東價值妥協的表現。它們無非是將股東利益以外的考慮因素作為實現股東福利的一種手段或目的。③ 公司目的從股價最大化轉向“長期股東價值”，甚至“股東福利”最大化。在此意義上，合規機制的嵌入雖然沒有徹底終結關于公司目的的理論爭議，但至少鈍化了股東至上作為公司目的的“硬邊”，使股東利益與非股東利益在提升方法上實現了交匯。公司社會責任的理論內涵也完成了又一次演進，良善公民與可持續性發展成為公司努力的方向。

四、公司法對合規機制嵌入公司治理的回應

外生于公司治理的合規機制，帶給傳統公司治理結構的變革是雙向的。一方面，經營決策權經由董事會向管理層下沉的邏輯事實，在公司運行趨向透明化的過程中得以顯現，對監督失職的董事追究責任也變得有據可循。另一方面，作為有效合規量化指標的組織建制，弱化了董事會的組織權力及其代理規程，公司治理不再被視作股東及其受托人的私人領域，對公司利益相關者的保護也被重申。在此意義上，合規機制是一把雙刃劍，一面是回應型規制的制度體現，在維護公司程式的前提下提升公司自警自律的管理機能;另一面也容易異化為壓制型的管控手段，不斷蔓延的細化規則會使合規變得千人一面。④ 因此，作為塑造公司組織結構和運行規則的公司法，既要借力合規優化公司治理的結構與流程，也應在恪守委托代理程式的基礎上，尊重公司治理自治的底線，阻止外部執法對公司內部治理的硬性干預。

（一）公司法回應公司合規的基本立場

1. 合規機制嵌入公司治理的限度應止于董事義務

合規概念富有彈性，若從規范的角度觀察，其核心便是“Compliance”一詞的原意，即遵守，并在“規范”的延長線上擴大解釋。在結果意義上，所有公司的經營活動都應合法合規。這一點在現行《中華人民共和國公司法》（以下簡稱《公司法》）和《中華人民共和國公司法（修訂草案）》（以下簡稱《公司法（修訂草案）》）中均予以確認。① 但對合規概念的這種解讀僅截取了字面含義，沒有充分反映其豐富的內在層次和機理。于公司及其治理而言，合規更接近于一套優化公司治理的流程和結構，也是甄別組織行為和組織文化的價值體系。公司合規既可以表現為系統性地修訂公司規范，也可以通過組織化措施加強信息流動與監督，踐行以商業倫理為價值導向的社會責任。因此，合規不是終點，借助合規形成防范風險和文化自覺的治理體系與公司文化才是目的。但也應當看到，所有公司治理的運轉都依賴于特定的個體情況和社會、文化、政治等制度環境②，脫離特殊性的最佳公司治理模式并不存在。同理，合規型公司治理終究也只是在多種治理方案中的可能勝出者，并非所有公司的最佳選擇。一方面，合規機制的功效會因公司類型、公司規模，以及合規風險的不同而有所差異;另一方面，合規機制的建立和運行可能產生不菲的經濟成本。從這一角度考量，良好的合規在于將不法行為的發生成本，以及避免和發現此類不法成本的總和降到最低。③

整體而言，對合規進行細化規定的內容多見于一些專門立法或監管規定，這類規范主要針對那些公共性較強，且所有權與經營權高度分離的特定行業或公司類型，鮮有在所有公司普遍適用的公司法中，強制要求公司建立合規機制的立法先例。比如，在美國、德國及日本，公司合規是董事監督的重要內容，屬于董事信義義務的范疇。公司合規機制的具體布局或在合規方面的投資，都有賴于董事會的商業判斷與決策，只是董事會要為公司的合法經營承擔最終責任。如此安排，順應了合規機制作為執法激勵的外生產物嵌入公司治理的正當程序，為法律規定與公司治理實踐之間的互動磨合留下了緩沖空間。合規作為反身法理論的制度反映，強調通過抽象的程序引導和結構控制，激勵規制對象的自我揭弊和自我提升。④ 合規既不能完全取代公司法設計的公司內部權責配置的基本程式，公司法也不宜將合規機制直接遁入公司組織層面，通過機構設置的強制規定來擴張合規義務。否則，可能使公司在合規上的支出與收益失衡，將合規異化為僵化、機械的形式主義，喪失了量體裁衣的制度優勢。因此，公司法理應強化董事會對公司的組織權力，弱化對合規機制的形式要求，避免合規成為監管觸角干預公司治理的隱性通道，將關注重點置于合規激勵，以及內部代理人的合規用權，回歸以優化治理結構、塑造合規文化為目的的實質性合規。

2. 公司法應重點關注合規機制在公司治理中的激勵作用

公司作為法律擬制的主體，在不同法律項下的本質面向并不相同，合規激勵的視角和重心也不完全一致。在刑事立法和行政監管的視域內，公司是獨立于其構成要素的法律個體，法律期望其行為符合法律禁令或服從監管要求。而公司法視域下的公司是一個由法律、市場和私人共同設計的自生系統。公司法采取了設計立場，通過賦權模式為公司組織模式和運行規則提供指引性范本，將歸屬于公司的收益和風險分配給各個參與要素以促進其穩定合作。映射到合規機制中，刑事制裁通過使公司出罪或獲得抗辯事由，激勵公司合規，行政監管將合規作為公司與監管機關達成行政和解的先決條件，監管規范中的強制合規更使疏于合規成為行政處罰的重要事由。二者都致力于從外部為公司合規經營提供法律優待，其激勵的主要對象為涉案公司。而公司法的作用空間在于，通過對刑行合規的收益與風險在公司內部重新分配，為主導公司治理結構的權力者提供采納合規機制的私人動機。亦即，可以將公司存在健全且運行良好的合規機制作為董事歸責過程中的可參考的抗辯事由。需要指出的是，執法機構在辦理董事或高管個人涉罪案件時也應充分關注其所在公司的治理水平。如果個人涉罪與公司治理漏洞之間存在密切的因果關系，則應考慮將其所在公司納入合規整改的范疇，并對涉罪個人的起訴或量刑給予優待，以達到標本兼治的效果。這也正是《關于建立涉案企業合規第三方監管評估機制的指導意見（試行）》中拓寬合規考察對象的初衷。① 當然，在倒推吸收合規整改對象時，應嚴守因果關系的擇案標準。

（二）公司法回應合規機制的具體路徑

1. 強化董事會的監督職能

合規機制的構建與運行依托于公司內部監督機制的有效運轉。董事會的決策行為左右公司治理結構，是公司構建合規機制的決策者和設計者。與此同時，以董事會為核心的內部監督，有助于打破監督者與監督對象之間的信息阻隔，將監督職能融入決策過程。董事會對管理層的授權決策與人事任免權，也有助于簡化執行程序，提升應對風險的能力與效率。這些優勢都與合規機制形實相應。因此，公司合規是董事監督義務的重要內容。

在我國現行《公司法》體系中，公司權威中心在股東會與董事會之間搖擺不定，監督權力的配置既有疊加也有盲區，此二者也是本次《公司法》修改中的重要議題。《〈公司法（修訂草案）〉一審稿》曾對董事會職權采取兜底式的概括性規定，二審稿重新列示了董事會的職權，其中包括組織權力。② 本文認為，二審稿的變化值得肯定。一方面，在治理分權的公司中，應堅持董事會作為公司權力的中心，這既是接軌國際趨勢的必然選擇，也有利于公司在職業化的管理模式中做大做強;另一方面，從“公司的執行機構” 到“執行股東會決議”的措辭變化③，可以防止股東會對董事會權力的侵蝕，更有助于董事會回歸戰略設計和經營監督的功能定位。與此同時，公司法也應防止董事會在授權過程中出現合規義務空心化的問題。因此，建議《公司法》對董事會向下授權的范圍作出限制，并將公司合規事務負責人納入公司高級管理人員的范疇，使其成為承擔忠實義務和勤勉義務的主體，為追究合規失職者的責任預留解釋空間。

本次《公司法》修改的一大亮點是將審計委員會的設置作為公司選擇單一董事會模式的先決條件，除此之外，對于薪酬委員會、提名委員會、合規委員會等其他功能性委員會的設置并無法定要求。鑒于不同公司在合規體系建設方面愿意投入的成本有別，未來建立以董事會為核心的合規監督機制大致可有兩種方案：

方案一：賦予審計委員會以舉報信息接收權。對于不另外組建其他內設委員會的公司而言，合規監督職能主要依賴于董事會的一般監督，以及審計委員會的專項監督來實現。《〈公司法（修訂草案）〉二審稿》將審計委員會與監事會的職權相等同。① 雖然在整個合規體系中，財務、會計監督意義重大，但其運行并非孤島，而是需要通過業務調查或自下而上的信息反饋進行風險評估與管理。這也是《薩班斯—奧克斯利法案》（Sarbanes-Oxley Act）賦予上市公司審計委員會享有接收投訴、舉報并享有調查權的重要原因。因此，本文建議在《〈公司法（修訂草案）〉二審稿》第78 條的基礎上，補充審計委員會享有舉報信息接收權，以便與第79 條第二款“發現異常情況，可以進行調查”的規定相銜接。

方案二：單獨組建“合規委員會”或“合規管理部門”。這種方案的費用投入和職能調整成本較高，適合治理結構復雜或財力雄厚的公司，公司法不宜作強行要求。但值得注意的是，部門林立的管理體系會產生信息壁壘。如審計委員會與合規委員會并存，可能喪失對財務和非財務進行聯合監督的互補優勢。因此，其他組織需要授權組織內的成員與合規部門進行充分合作，或者將審計委員會與合規委員會合二為一，命名為“審計與合規委員會”，以突出其廣泛的合規監督職能。

對于沒有在董事會中設置審計委員會的公司而言，監事或監事會屬于必設機構。而且，本次公司法的修訂強化了監事會的監督職能。② 在此背景下，監督型董事會與監事會的職責如何區分，也是有待明確的重要問題。本文認為，合規監督職責的配置應以董事會與監事會的法定職權范圍為基礎。董事會對合規機制的建立和運行享有戰略決定權和主導權，對公司業務合規、財務合規、人事合規等方面的妥當性和前瞻性判斷也都屬于董事會的職權范圍。監事會實施合規監督的出發點應限于合法性，而且主要立足于事后監督。雖然一些德國的司法判例指出，“監事會的監督對象不僅是已經發生的事實，也不限于對合法性的質疑，也可以基于合目的性和經濟性的考慮，對董事會未來管理的事宜進行監督。”③但德國股份公司法上對監事會的職能定位與我國的整體情況差異較大，如果在我國公司法的語境下，允許監事會從妥當性的監督對公司未來事項進行監督，無疑將對董事會的獨立決策形成干擾。

2. 細化董事監督義務的免責事由

在規范層面，董事監督義務依托于注意義務的一般規定。即便是在少數個案中將監督義務置于忠實義務的范疇，也僅僅是司法技術的運用結果④，并不符合邏輯上的推演。而且實踐中，對忠實義務與注意義務的界分，并未如其理論設計得那般涇渭分明。作為注意義務的重要內容，董事監督義務也是一種典型的“非標準化的作為義務”。在具體案件中，對董事因違反監督義務的責任追究，需要將監督義務的一般內涵與司法審查有機結合。

經過司法判例的長期演繹和闡釋，董事監督義務的基本內涵可以概括為兩個方面：一是在公司內部設計一個旨在反饋運營風險的信息系統并維護其良好運轉，二是妥善處理經由前述系統所反饋的風險以避免公司損失。如前所述，無論是從成本收益的角度分析，還是探知域外經驗，是否需要通過建立合規機制來實現監督義務，屬于董事自由裁量權的范圍，但自由裁量權的范圍并不意味著屬于司法審查的禁入之地。關鍵在于正當的審查程序和合理限度，也即對業務判斷規則的恰當運用。

學者研究指出，董事監督義務在美國司法判例的演進過程之所以充滿戲劇性，其癥結之一就在于將商業判斷規則作為一項排除法院實質審查的司法原則。① 相較而言，日本法院將商業判斷規則作為實質審查標準的做法②，不但可以避免因搖擺不定的歸責標準，引起監督義務體系定位上的爭論，而且可以在司法裁判中凸顯公司科層式授權分工的管理優勢。因為在公司組織內部，權力主體基于對下屬的基本信任而向下授權是被法律所默許的。③ 在合規問題上，對公司風險的監測，以及合規事項的具體執行，都有賴于組織分工與信息流通，董事會的權力義務在于，根據自下而上反饋的風險信息作出與合規有關的重大決策。但這些決策取決于獲取的相關信息體量及其準確程度。因此，將董事建立合規機制的自由裁量權從公司組織分工之中劃分出來，是判斷董事是否違反監督義務的首要關鍵。

這種審查應由淺入深層層遞進。首先，看董事會是否創造了接受反饋信息的機會。這種機會并非必然指向一個專門具體的信息傳遞系統，而是可以從董事會開會的頻次、時長，以及獲取信息的機會等情景中綜合判斷。事實上，公司法已經為董事履行這種注意義務設定了最低要求。其次，如果具有接收信息的機會，則要審查董事是否從中收到了相應的風險信號。如果董事會完全沒有收到相應的風險信號，那么合規機制的缺失不應成為董事承擔責任的事由。如果董事會收到了相應的風險信號，也不必然要通過建立或完善合規機制來化解風險，董事會仍有決策空間。只是法院需要對董事會的反應作出評估。這種評估應結合公司的業務性質、規模、風險報告的頻率、詳盡情況，以及實際損失與董事會行動之間的因果關系進行實質性審查。一方面，董事會并不因建立了合規機制而當然免責;另一方面，合規機制的建立并不能完全杜絕違法違規的發生，對于員工的故意違法仍無能為力。因此，在審查董事對于已知風險的處理是否妥當時，應參考“可回避性”（董事能否回避、防止通常情況下的損害發生）和“可預見性”（董事能否根據存在的可疑情形預見不當或者違法行為的發生）。④ 如果即便存在完整的合規機制但損害結果仍會不可避免地發生，或者損害結果的發生超出了董事可以預見的范圍，則董事也可能獲得免責。總體而言，對董事監督義務的責任追究既要注重結果，也要注重程序。與此同時，還應當將董事會的監督義務與董事的身份類型以及合規職責在公司的整體分布情況結合處理。越是精細化的區分，越有利于激勵董事會在組織層面完全合規機制，以便增加獲取監督信息的渠道。

3. 促進公司社會責任向ESG 轉型

公司通過一系列措施形成守法向善的合規文化，是有效合規的落腳點，也是公司承擔刑事責任時的歸責基準。⑤ 在公司經營過程中，過度追求股東的經濟利益而忽略可持續發展的短視行為，是誘發公司從事違規行為的主要動因。如前所述，合規機制嵌入公司治理，在一定程度上鈍化了股東至上的公司目的。但反之，通過法律引導公司踐行社會責任，也有助于限制管理層從事短期機會主義的行為，提高公司的合規意識與能力，從而在這種正向反饋的循環中培育、滋養公司合規文化。

《〈公司法（修訂草案）〉二審稿》第20 條倡導公司在從事經營活動中充分考慮利益相關者保護和社會公共利益。該條規定豐富了公司社會責任的內涵，凸顯了公司作為社會道德文化引領者的示范角色。① 相較于現行《公司法》第5 條的相關規定，本次公司法修訂的另一變化是將合規要求與社會責任條款進行拆分。事實上，公司社會責任根植于道德與公司公民理論中的社會義務，其內涵的每一次演進都意在貼近遵從與風險管理。② 也因此，公司合規既是“法定的，有時又是倫理的或其他的。”③將合規經營與社會責任拆分規定在兩個條文，容易割裂二者的因果關系，使合規內涵孤立為單一的守法。因此，建議將《〈公司法（修訂草案）〉二審稿》的第19 條與第20 條的內容整合規定為一條。

與此同時，過去多年的探索證明，倡導式的社會責任立法下，公司社會責任的履行多數表現為以社會責任報告為載體的美麗敘事。對公司社會責任履行情況的評價體系模糊不清，將道德評價引入公司法律行為效力判斷的過程也并不順利④，這些都是公司怠于履行社會責任的重要原因。對此，本文有兩點建議：

其一，以行業為基礎，區分社會責任信息披露要求。在我國，目前與社會責任相關的信息披露基本都歸于自愿披露的范疇，但諸如員工保護、個人信息保護或環境保護等不同社會責任的內容，對不同行業公司的意義并不相同。因此，從合規風險的角度來看，如果對特定行業的公司而言，落實某一方面的社會責任較為重要，則應針對這類行業的公司制定社會責任的強制披露政策，或區分強制披露、半強制披露與任意披露的相關內容。⑤ 如此安排，既可以提升非財務信息的可比性;也有利于推動董事會將社會責任納入公司發展戰略和決策過程，并與董事信義義務有效銜接。⑥

其二，公司從事違規悖德行為的原因也有來自金融市場、激進股東、收購威脅或股票補償計劃的壓力。為了克服這些壓力，一方面，應繼續強化董事會的權力。比如，以富時羅素（FTSE Russell）評價指標為參照的ESG 評價體系，將公司治理因素細化為董事會主席與首席執行官的分離度、董事具體技能與促進公司履行社會責任方面所發揮的積極作用。⑦ 其核心在于授權董事會和管理層善待公司利益相關者，以擺脫股東追求短期利益的干擾。另一方面，應對投資鏈條上的每一級（包括機構投資者和資產管理人），施加考慮、識別和披露環境、社會和公司治理（ESG）風險的法律義務，以此推動公司社會責任范式向ESG 的轉型。

五、結語

我國在合規方面的理論研究與實踐推進肇始于刑行合規，圍繞刑行合規展開的學術話語將合規作為一種回應型的規制方法，并從教義學層面將刑行責任的認定與合規機制的建立掛鉤，為公司采納合規機制提供了外部激勵。正是基于這種外部激勵的發展動因，使合規偏離了傳統公司治理的運行軌跡。因此，公司法回應合規機制的目的不僅在于接納合規，促進公司治理結構的合規化轉型，更重要的是為合規機制嵌入公司治理建立必要的屏障與通道，防止合規異化為服從管制的工具。當然，合規實踐的興起，也為公司治理與我國公司法的革新帶來了新的命題，比如，基于合規引發的逆向代理問題、合規披露與ESG 的推進、董事問責與董事身份差異化的結合等等。解決此類問題既是立法的使命，也是司法進步的方向。

本文責任編輯：林士平

青年學術編輯：趙吟