刘斌:公司合规的组织法定位与入法路径
中国政法大学民商经济法学院副教授 刘 斌
目次
一、公司合规范畴及其组织法之维
(一)运营效率与分配公平之潜在冲突
(二)公司营利与社会责任之可能悖论
二、公司合规制度的组织法定位
(一)合规管理与合规治理之区分
(二)强制性合规治理的引入限度
三、公司合规治理的中国实践与异化
(一)中央企业合规治理模式
(二)企业境外经营合规治理模式
(三)证券基金经营机构合规治理模式
(四)商业银行和保险公司合规治理模式
(五)我国合规的不足与缺憾
四、合规治理的逻辑机理与责任配置
(一)合规义务、监督义务与注意义务
(二)合规义务的机构间分配
(三)专门合规机构的引入路径
结 论
内容摘要
公司合规具有多方面的意义和价值,从私法角度来看,主要包括行为层面的合规义务和组织层面的合规治理义务,前者构成了后者的基础。基于不同公司的合规风险差异,应当区分合法性义务基础上的一般合规义务和组织化基础上的合规治理义务。基于公司类型和合规成本考量,《公司法(修订草案)》可进一步在上市公司和非上市公众公司等公众公司中引入组织法上的合规治理要求,对其他公司类型仅规定其一般性的合规义务。合规义务由董事会负担,合规治理的组织结构由董事会负责建构,监事会行使合规治理的监督职能,其他管理主体承担相应的合规治理义务,违反合规治理义务将产生组织法责任。有基于此,立法上可确立合规治理的有效性要求,并将合规治理体系的具体建构留待公司自治。合规委员会、合规负责人、合规管理部门均非公司法上的必设机构,立法上不应设立强制性的合规机构设置要求和职权划分方式,且合规机构的职权配置须受公司治理结构和权力分配模式的整体限制。
关键词
公司治理 公司合规 审查义务 监督义务
法律责任
一、公司合规范畴及其组织法之维
从广义视角观之,公司合规(Corporate Compliance)系旨在确保公司遵守其内部合规管理框架以及相关法律法规的各种行为、程序、方式和标准,是一个高度泛化的概念。每位学者所讨论的合规范畴都难求一致,更勿论达成共识了。正如有学者指出,合规几乎涉及到企业的方方面面,大到公司的经营战略,小到公司的合同缔结,均与合规有千丝万缕的联系。的确,公司合规作为一个复合型的法律制度,其内涵和外延均存在分歧,基于不同面向有着多种界定维度。有学者将公司合规分为三个维度:第一个维度是合规的行为规范,即公司及其员工需要遵守法律法规及公司内部规范;第二个维度是公司为落实行为规范的要求使公司及其员工的行为合规而制定的公司内部规则;第三个维度是公司合规的组织性规范,包括公司内部合规职责的分配、合规工作的组织和内容等。这种划分方式区分了公司的外部行为与内部组织关系,有助于进一步厘清公司合规范畴,公司法上关注的是组织性规范。鉴于公司的组织性特征,公司合规的实现最终需要落实到组织法上的协同推进。
公司合规制度兼具内部价值和外部价值、组织法意义上的价值和行为法意义上的价值、私法意义上的价值与公法意义上的价值,且前述价值的实现存在高度的协同关联。比如,在刑事领域,公司的合规努力以及合规项目的有效性是能否豁免起诉的重要考量因素。为此,美国司法部制定了详细的《公司合规计划评价》,将合规计划的有效性评价因素主要界定为公司合规计划的设计情况、公司合规计划的有效实施、公司合规计划的运作情况等三大方面,为督促公司合规提供了正面激励。我国刑法学界与刑事诉讼法学界对企业的刑事合规、合规不起诉、第三方监管等问题均有深入探讨。尽管刑事合规是公司合规的重要面向,但是其在私法的地位与评价上亦同样重要。公司合规是从公司商业实践、政府规制到刑事制裁而最终汇总形成的完整制度。由于违反合规义务导致企业损失的案例层出不穷,各方主体的利益如何救济值得关注,刑事合规的有效实现亦高度依赖于公司治理机制上的有效落实,否则再完善的合规计划也将成为一纸具文。
我国现行《公司法》第5条规定了公司的合法性义务。在该条文基础上,立法机关于2021年12月24日公布的《中华人民共和国公司法(修订草案)》(以下简称“《公司法(修订草案)》”)第18条,将合法性义务的范围扩大至“法律法规”。但是,该条文仅将公司遵守的规范范围扩大至“法规”,并未实质性地进入到组织法上的合规治理范畴。比较而言,《公司法(修订草案)》第154条则明确规定了国家出资公司的合规管理义务,国家出资公司应当依法建立健全内部监督管理和风险控制制度,加强内部合规管理。对于国家出资公司之外的其他公司类型,草案未作规定。值得注意的是,《公司法》第5条规定的合法性义务并不同于《公司法(修订草案)》第154条所规定的合规管理义务,合法性义务是合规管理义务的基础,但合规管理义务超越了单纯的合法性义务,需要通过组织化措施使企业、企业的机关以及企业职员的行为符合法律规定。此外,具体到公司内部的治理主体层面,现行《公司法》第147条规定了董事、监事和高级管理人员的合法性义务,第149条规定了董事、监事、高级管理人员违法的损害赔偿责任。此两条可能构成董事违反合规义务的基础,但并非关于合规义务的直接规定。
理论上对公司的合法性义务不生争议,但公司法上是否应当全面引入合规治理体系则需要展开进一步讨论。合规制度本身是行政执法机构的“胡萝卜加大棒”政策的产物,高额的行政罚款给公司运营带来了极高的成本,导致员工失业甚至公司破产,合规制度的引入在一定程度上实现了前述成本的组织化。强制程度过高的合规要求,或将导致“只有大棒,没有胡萝卜”的异化后果。基于《公司法(修订草案)》的前述规定,值得进一步探讨的问题包括:公司法上的合规治理要求是否需要扩展至其他公司类型?公司是否需要强制性设立合规委员会、合规负责人、合规管理部门等组织机构?公司合规义务应当由哪个机构承担?公司的合规义务与管理主体的信义义务为何种关系,义务之违反又将产生何种责任?除了法律责任之外,公司法作为组织法是否需要设立相应的激励措施?凡此种种,均有待于理论廓清,以裨益《公司法(修订草案)》的进一步完善。
二、公司合规制度的组织法定位
由于公司是组织体,为了落实法律法规对公司行为合规的要求,公司需要通过一定的内部制度、行为方式、组织机构等予以实现。这不仅涉及公司合规,也涉及公司治理结构。公司合规与公司治理并非殊途同归的不同制度,而是有着不同的制度价值和面向,同时也有相互重合的部分。从组织法的角度来看,公司内部需要通过何种方式实现,很大程度上取决于公司合规的组织法意义和功能。如果立法上不计成本,单一追求公司的合规运作而强制要求各类公司设立合规组织和内部制度,并不符合公司治理的多元价值。在组织法上,如何对待合规义务,取决于其制度价值的审视与定位,取决于合规管理与合规治理的逻辑区分,进而方能厘定组织性合规制度的规范逻辑。
(一)合规管理与合规治理之区分
就公司合规的制度范畴与功能定位,实践与理论各有分说。从各部委先后制定的规范性文件来看,对合规的定位和要求亦有差异。中国国家标准化管理委员会在《合规管理体系指南》中,试图提出一项在组织内建立合规管理体系的标准,促进合规管理体系的良好运转。该指南涵盖了合规义务、领导作用、合规方针、合规管理体系策划、合规支持、合规运行、绩效评价、合规改进等内容。这种标准化的努力,有助于消解不同部门和组织对合规范畴的理解差异。
早在2006年,中国银监会就印发了《商业银行合规风险管理指引》(银监发〔2006〕76号)。在该指引中,合规是指使商业银行的经营活动与法律、规则和准则相一致,合规管理旨在通过建立健全合规风险管理框架,实现对合规风险的有效识别和管理,促进全面风险管理体系建设,确保依法合规经营。
中国保监会在2016年制定的《保险公司合规管理办法》(保监发〔2016〕116号)中,合规被界定为“保险公司及其保险从业人员的保险经营管理行为应当符合法律法规、监管规定、公司内部管理制度以及诚实守信的道德准则”。在此基础上,“保险公司应当按照本办法的规定,建立健全合规管理制度,完善合规管理组织架构,明确合规管理责任,构建合规管理体系,推动合规文化建设,有效识别并积极主动防范、化解合规风险,确保公司稳健运营。”
在国务院国资委于2018年发布的《中央企业合规管理指引(试行)》中,合规被界定为“中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求”。与之相适应,合规管理被界定为“以有效防控合规风险为目的,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动”。
在国家发改委等七部委联合发布的《企业境外经营合规管理指引》(发改外资〔2018〕1916号)中,合规是指企业及其员工的经营管理行为符合有关法律法规、国际条约、监管规定、行业准则、商业惯例、道德规范和企业依法制定的章程及规章制度等要求。在合规管理框架上,“企业应以倡导合规经营价值观为导向,明确合规管理工作内容,健全合规管理架构,制定合规管理制度,完善合规运行机制,加强合规风险识别、评估与处置,开展合规评审与改进,培育合规文化,形成重视合规经营的企业氛围。”
在中国证监会发布的《证券公司和证券投资基金管理公司合规管理办法(2020修正)》(以下简称“《证券公司合规办法》”)中,合规被界定为“证券基金经营机构及其工作人员的经营管理和执业行为符合法律、法规、规章及规范性文件、行业规范和自律规则、公司内部规章制度,以及行业普遍遵守的职业道德和行为准则”。合规管理被界定为“证券基金经营机构制定和执行合规管理制度,建立合规管理机制,防范合规风险的行为;证券基金经营机构的合规管理应当覆盖所有业务,各部门、各分支机构、各层级子公司和全体工作人员,贯穿决策、执行、监督、反馈等各个环节”。
从前述与合规相关的规范性文件来看,关于合规的内涵界定主要存在以下特征:其一,合规制度的重点包括合规管理和合规治理,而非单纯的合法性义务,尤其强调合规管理的面向。考量合规制度在公司法的定位时,应妥当界定其负责机构、职责分配、法律责任等组织法事项。比如,由公司法务部进行风险管理并不是新鲜事,但并不是说公司建立了风险管理制度就实现了合规治理。其二,合规义务的内容超出了遵守法律规定的要求,涵盖了公司所可能适用的各项制度、监管政策、商业惯例、道德规范以及公司内部制度等,比公司法上的合法性义务更为宽泛,且存在严重的泛化现象。其三,在合规机构的设置和运行模式上,各规章虽然均旨在实现合规管理体系的建构和良好运行,但组织规范并不一致。总之,在我国前期引入的各具体合规制度中,体系宏大却又高度模糊,杂糅了合规管理与合规治理,有赖于进一步廓清。
细究之,前引合规文件中的部分内容可以归为“合规管理”,部分内容可以归为“合规治理”,二者存在显著差异。类似于公司管理和公司治理的差异,公司管理作为经济、管理概念,其职能是计划、组织、激励、控制和协调,管理行为和组织关注的是如何通过组织去取得成果;公司治理则是通过监督经营管理人员的行为,合理地划分其权力和责任,来实现公司的目标。合规制度同样存在前述不同面向:合规管理系指公司内部通过各种计划、实施、评估、调整、激励等方式实现公司合规目的,合规治理则是通过界定合规的负责机构、职责分配、冲突协调、法律责任等组织法事项,妥当履行合规义务。
(二)强制性合规治理的引入限度
如前所述,合规义务应该被所有公司遵循,但各类公司进行合规治理的义务标准并不相同。实现合规义务的方式是多种多样的,既可以是建立合规制度,也可以是建立合规组织,还可以通过采取个别措施的具体方式予以实现。但是,企业是否需要将合规管理予以组织化,并不必然。比如,德国法院引入了不合规风险界限,以是否超越该界限决定公司有无必要设立合规组织,而风险界限则需要根据每个企业自身的总体合规风险情况来判断:如果企业的总体合规风险未超过风险界限,采取个别措施即足矣;如果企业的总体风险超过了风险界限,董事会就必须建立合规组织和组织性规则。董事会是否必须在企业内建立一个合规机构,完全取决于每家企业的风险状况,特别是那些小型公司中,根本没有必要设立自己的合规组织。韩国作为率先在公司法中引入合规制度的国家,亦仅在上市公司中明确了合规控制标准和程序规则,并要求设立一名以上“合规支援人”。此外,对于银行、保险、证券等金融公司,除小规模金融公司外,均需要设立负责员工行为合规的合规监查人,以及遵守法规、风险管理等内部控制体系。
我国公司数量庞大,有限公司和股份公司合计近四千万家,其中,既有大型公开型公司,也有小型封闭型公司,以及二者之间的中间型公司,各类公司的合规风险并不相同。即使在推进合规管理体系标准化的语境下,《合规管理体系指南》的制定者同样承认,前述合规标准的应用程度取决于组织的规模、结构、性质和复杂性。《公司法(修订草案)》将合规治理体系引入到国家出资公司,实际上是对既有实践的承认,并未将合规治理体系扩大至其他公司类型,比如上市公司、公众公司等。那么,国家出资公司之外的公司类型是否有引入合规治理体系的必要性呢?立法决断关涉诸多要素,但最为重要的因素有二:其一,尊重中国公司的治理实践;其二,考量引入合规治理体系的制度成本与收益。
以上市公司为例,中国证监会在《上市公司治理准则》(2018年修订)第94条规定了上市公司应当建立内部控制及风险管理制度。在中国证监会于2022年修改的《上市公司章程指引》中,虽然多次提及了股东、董事、监事、高级管理人员应遵守法律、行政法规和章程的规定,但并未明确引入合规治理体系。从内部风险控制的角度来看,完善上市公司的合规治理体系,有助于减少公司违法违规现象的发生,最终有助于促进公司治理体系的完善。从成本收益的角度来看,良好的合规体系可以保护中小股东免受欺诈、降低各方交易成本、维系整个资本市场的正常运作、提升投资者的信心;但是,过于严格的合规要求也将产生巨大的成本,抑制证券市场的活力。实证研究表明,合规管理的成本包括查找和理解相关规则的成本、职工薪酬、差旅费、股东资产折旧等直接成本,以及机会成本、守法成本、信息成本等间接成本;合规管理的收益则包括减少或避免损失赔偿、减少合同无效、减少行政处罚、维护企业形象等直接收益,以及保护中小股东利益、维系资本市场正常运转等间接收益,难以进行量化研究,系一个动态变化的函数。这也决定了,法律上应当在公司合规治理上维持适当的自治空间,以免造成公司治理成本的不当加剧。
除了上市公司之外,非上市公众公司亦属于公众公司之列,而公众公司的重要特征即在于其严管性。无论是证监会和交易所对上市公司的监管,抑或对非上市公众公司的监管,均存在严格的约束,以防止公司或者上述人员利用自己的优势地位,滥用权力,为自己谋利,损害中小投资者的合法权益。上市公司和非上市公众公司均属于公众公司范畴,无论公司内部是否设立合规治理体系,其均需要回应严格监管所产生的合规性要求。在公众公司中引入合规治理体系的另一动因在于,其能够为证券法上保护投资者的强制性规则提供一个遁入公司治理体系的管道。
除了公众公司之外,我国绝大多数有限公司和股份公司的封闭性都很强,股东会、董事会、监事会通常“三位一体”,所有者与管理者高度重合。受制于组织机构设置成本等因素,有限公司和股份公司对董事会和监事会的规模选择都十分克制,更大规模的董事会意味着更大的管理支出和决策成本。在公司治理结构的选择上,我国现行《公司法》对股东人数或规模较小的公司均设定了组织机构简化的规则,以避免增加企业运行成本。早在1993年公司法制定时,立法机关即指出:“公司的机构设置上既要重视其规范化,又保留一定灵活性。对于股份有限公司,考虑到其规模较大、股东人数多而分散,发生问题会影响广大股票持有者的利益,内部管理体制需要明确和规范化,资产状况必须向社会公开,因此草案规定必须设立股东会、董事会和监事会。对于部分有限责任公司,考虑到其股东较少,有些规模较小,其内部组织机构可以更精干些,可以不设董事会,设一名执行董事;可以设监事,也可以不设监事”。2005年修改后的公司法,对可以不设立董事会的有限责任公司的具体条件也未作出规定,而是将这一权利交与公司,公司可以在章程中或通过股东会决议的形式,对这一事项作出决定。在2021年12月公布的《公司法(修订草案)》中,虽然放弃了股东人数较少这一标准,但仍然保留了小规模有限公司治理结构上的简化机制,并引入到股份公司之中。故而,从立法上“抓大放小”“放管服”等改革思路来看,对于小规模公司不宜过度增加其治理成本,也不宜强制性要求其在可高度简化的组织机构上设置额外的合规机构。对于此类小规模公司而言,公司合规治理所旨在实现的公司利益保护、中小股东利益保护、利益相关者保护等目标,仍然依赖于高度重合的所有者与管理者,另行增加合规机构就显得徒劳而又增加成本了。
总之,应该改变强调商业合规的硬干预、强干预的窠臼,走向更为符合商业合规选择偏好的软干预、弱干预的范式,以寻找商业目标与公司合规之间的最大公约数。对于公司实现合规的制度和方法并无定规,业务的规模、运营的分散性以及各种类似因素都会影响适当的监督技术的性质和范围。小规模公司虽然负有一般意义上的合规义务,但并不必强制性地建立组织化的合规治理体系,否则不但难增收益,反又徒生成本。对于上市公司和非上市公众公司等公众公司而言,由于其广泛的公众性,所涉经济利益巨大,存在引入合规治理体系的可能性与正当性,需要众多的方案和程序。基于此,《公司法(修订草案)》可进一步将合规治理的要求扩张至公众公司范围。
三、公司合规治理的中国实践与异化
在我国既有的部门规章中,合规治理的机构设置、职权划分等组织规则已经得到了有益尝试。经类型梳理,主要可分为《中央企业合规管理指引(试行)》模式、《企业境外经营合规管理指引》模式、证券基金经营机构合规管理模式、商业银行和保险公司合规管理模式等。《公司法(修订草案)》第154条所引入的合规规定,仅高度概括地规定了国家出资公司应当依法建立健全内部监督管理和风险控制制度,加强内部合规管理,未作具体要求。从公司合规治理的实践来看,合规委员会、合规负责人、合规管理部门等合规机构在公司治理中地位和职权不一。
(一)中央企业合规治理模式
在《中央企业合规管理指引(试行)》中,合规管理职责被分别分配给了董事会、监事会和经理层,并同时要求设立合规委员会和合规管理负责人。在这种合规义务分散配置的模式之下,合规管理成为了与经营管理类似的分权事项,在各个公司机构之间进行分工配合。根据该指引对董事会、监事会和经理层的职责规定,该指引仍然奉行了《公司法》对董事会、监事会、经理层的基本分权模式。除了董事会、监事会、经理层的分权之外,该指引还规定了合规委员会、合规负责人、合规管理牵头部门等其他机构的职权。
从《中央企业合规管理指引(试行)》对公司合规管理的分权架构来看,主要呈现出以下特点:
其一,公司的合规管理职责由董事会承担,监事会参与合规管理的程序仍然基于其监督权,经理层则负责执行董事会的合规管理规划和基本制度。这种分权框架与现行《公司法》对董事会、监事会、经理的分权是一致的。根据现行《公司法》第46条,董事会负责制定公司的基本管理制度,而合规管理规划和基本制度属于其中内容。监事会对董事会决策和流程的合规监督属于业务监督范畴,对董事和高级管理人员的合规履职监督属于《公司法》第53条规定的行为监督范畴,对引发重大合规风险负有主要责任的董事、高级管理人员提出罢免建议以及提议撤换公司合规管理负责人属于人事监督范畴。经理层的合规管理职责为负责落实和执行董事会的决策,确保合规制度的有效执行。由此可见,在董事会、监事会、经理层的职权划分上,前述指引基本延续了现行《公司法》的规定。
其二,在公司法规定的传统组织机构基础之上,《中央企业合规管理指引(试行)》增设了合规委员会、合规管理负责人、合规管理牵头部门等新设机构,导致职权关系上的进一步复杂化,有待于进一步厘清。依照该指引,合规委员会是必设机构,但与企业法治建设领导小组或风险控制委员会等合署,承担合规管理的组织领导和统筹协调工作,定期召开会议,研究决定合规管理重大事项或提出意见建议,指导、监督和评价合规管理工作。由此来看,合规委员会承担的更多是宏观领导和统筹工作,但在重大事项上有实质决策权。由此,在重大合规事项上的决策,合规委员会和董事会的分权关系并不清楚,二者均有决定权。如果该决策产生错误,或将引发两机构的共同责任。
依照该指引,合规管理负责人由相关负责人或总法律顾问担任,承担的职责具有多元性:制定合规管理战略规划(批准权在董事会)的职权、参与企业重大决策并提出合规意见(决定权在董事会或合规委员会)、领导合规管理牵头部门开展工作、向董事会和总经理汇报合规管理重大事项(董事会和总经理相应获得知情权)、组织起草合规管理年度报告。由此可见,合规管理负责人虽然与经理层有一定的独立性,但更多的是分担了现行《公司法》第49条所规定经理的拟定公司的基本管理制度职权,特别是需要向总经理汇报重大事项,故而在性质上属于经理层的辅助机构。
依照该指引,合规管理牵头部门受合规管理负责人领导,并不具有对公司其它部门全面合规管理的职权,性质上属于公司内部的议事协调机构。该部门的职责主要包括起草合规管理的计划与制度规定、参与重大事项合规审查和风险应对、督促违规整改、提出处理建议、组织合规培训等。业务部门和其他相关部门,仍然在其职权范围内履行合规管理职责。
前述机构间的基本关系如下图所示:
图一 中央企业合规管理架构
(二)企业境外经营合规治理模式
对于开展对外贸易、境外投资、对外承包工程等相关业务“走出去”的中国境内企业及其境外子公司、分公司、代表机构等境外分支机构,适用七部委制定的《企业境外经营合规管理指引》。根据该指引,企业在合规治理架构上需要建立权责清晰的合规治理机构,并在决策、管理、执行三个层级上划分相应的合规管理责任。由此可见,该指引明确了合规治理机构的三个层级,即决策、管理和执行。但是,对于前述机构与董事会、监事会、总经理的职权划分,该指引则未予明确。
在合规管理机构上,该指引规定了合规委员会、合规负责人、合规管理部门等三层机构。其中,合规委员会是企业合规管理体系的最高负责机构,负责确认合规管理战略和目标,建立和完善企业合规管理体系,审批合规管理制度、程序和重大合规风险管理方案,听取合规管理工作汇报,指导、监督、评价合规管理工作。企业可结合实际任命专职的首席合规官,也可由法律事务负责人或风险防控负责人等担任合规负责人;首席合规官或合规负责人是企业合规管理工作具体实施的负责人和日常监督者,不应分管与合规管理相冲突的部门。合规负责人的主要职权包括:负责全面的合规管理工作,监督合规管理的执行,领导合规管理部门。合规管理部门可以为专职部门,或者由具有合规管理职能的相关部门承担,负责提出合规建议、制定合规管理制度和年度合规管理计划、开展合规培训、评估合规风险、调查合规举报信息等。在合规管理部门与其他业务部门的关系上,仍然属于分工协作、组织配合的关系。但是,对于合规委员会、首席合规官、合规管理部门与董事会、监事会、总经理的关系,该指引未予以廓清。
前述机构间的基本关系如下图所示:
图二 企业境外经营合规管理指引模式
(三)证券基金经营机构合规治理模式
与中央企业合规管理模式相类似,《证券公司合规办法》第7条规定董事会对合规管理的有效性负责,决定合规管理目标和重大事项;第8条规定监事会履行对合规管理的监督职责;第9条规定高级管理人员负责落实合规管理的目标。前述权责划分较为明确地厘定了董事会、监事会、经理层的权力和责任。除了传统的公司机构之外,该办法还引入了合规负责人。与《中央企业合规管理指引(试行)》不同的是,证券基金经营机构的合规负责人虽然有义务向主要经营管理负责人报告情况,但其直接向董事会负责,并且证券基金经营机构的章程应当对合规负责人的职责、任免条件和程序等作出规定,明显更加具有独立性。在该管理办法的框架下,合规负责人负有进行合规审查并出具书面合规审查意见、对证券基金经营机构及其工作人员经营管理和执业行为的合规性进行监督检查、向董事会、经营管理主要负责人报告证券基金经营机构经营管理合法合规情况和合规管理工作开展情况等职责。至于合规部门,则直接对合规负责人负责。
前述机构间的基本关系如下图所示:
图三 证券公司和证券投资基金管理公司合规管理模式
(四)商业银行和保险公司合规治理模式
依照《商业银行合规风险管理指引》,董事会应对商业银行经营活动的合规性负最终责任,可以授权董事会下设的风险管理委员会、审计委员会或专门设立的合规管理委员会对商业银行合规风险管理进行日常监督;监事会应监督董事会和高级管理层合规管理职责的履行情况;高级管理层应有效管理商业银行的合规风险,任命合规负责人,并确保合规负责人的独立性;合规负责人监督合规管理部门的职责履行,定期向高级管理层提交合规风险评估报告,且不得分管业务条线。由此可见,在商业银行合规管理的框架内,合规负责人直接向管理层负责,并领导合规管理部门。
根据《保险公司合规管理办法》,保险公司应当建立健全合规管理制度,完善合规管理组织架构,明确合规管理责任,构建合规管理体系。依照该办法,保险公司董事会对公司合规管理承担最终责任,并可以授权专业委员会履行部分合规职责;监事会负责监督合规履职、人事监督等事项;总经理负责具体的合规管理职责。与前述管理模式不同,保险公司总经理可以兼任合规负责人,保险公司合规负责人对董事会负责,同时接受董事会和总经理的领导。该种模式造成的结果是,合规负责人虽然形式上受董事会和总经理的双重领导,但实质上成为了总经理的辅助机构。
(五)我国合规的不足与缺憾
前述各合规治理模式基本涵盖了我国公司合规治理的实践状况,与域外的合规治理制度相比呈现出以下问题:
其一,在我国合规实践中,存在变相审批、私下命令、窗口指导等不正规操作,监管机关的权力边界有待进一步厘清。合规制度本身作为外源性的制度,其应着力于推动公司形成有效的合规框架。比如,2019年美国司法部发布了《公司合规体系评估指南》的更新版,合规计划的有效性是进行起诉裁量的关键因素,具体包括公司的合规程序设计是否良好、合规程序的实施是否诚实、公司合规程序是否在事实上发挥作用,至于公司内部采取何种程序,监管者不宜直接遁入组织法层面,对公司治理架构径行干涉。
更新后的美国《公司合规体系评估指南》规定了十二项评估合规体系有效性的标准,主要包括三大方面:第一,企业合规机制的搭建。主要包括:(1)风险评估;(2)政策和程序;(3)培训和沟通;(4)匿名举报机制和调查流程;(5)第三方管理;(6)并购。第二,企业合规机制的实施。主要包括:(1)中高层级管理人员的合规承诺;(2)合规价值的自主性与资源;(3)激励和惩罚。第三,企业合规机制的有效性。主要包括:(1)持续性改善、定期检查和评估;(2)不当行为的调查和应对;(3)潜在不当行为的分析与补救。
其二,合规内容宏大而抽象,整齐划一的规范要求并未尊重公司差异,特别是对合规委员会、合规负责人、合规管理部门等机构的高度依赖,使得合规制度的本质发生了嬗变。由于每个公司的合规需求存在差异,其拥有的合规资源也不相同。无论刑法上抑或行政监管上,其规范的要点应在于合规制度的有效性,而非具体的组织架构。然而,前述各合规治理模式的重心均落脚于具体合规机构的设置层面。这种对合规组织的规定并非完全不当,但至少没照顾到各公司合规治理上的差异化需求。
其三,合规职权的分配未能与公司治理机制实现有机衔接。比如,如果将合规负责人置于总经理的管理之下,而总经理是业务部门的领导人,二者之间存在明显利益诉求差异。加之违反合规义务的行政处罚存在一定的或然性,合规负责人的合规主张或被公司总经理忽视,其甚至可能被解任。故而,不应当将合规负责人置于其领导之下,应当让其直接向董事会负责,保持其独立性。职是之故,美国司法部的公司合规指南中明确要求合规团队应该与管理团队相独立,并可得直接向董事会汇报。再比如,由于合规职权和义务系于董事会,在董事会之外另设行使合规职权和进行重大合规事项决策的合规委员会,明显悖于公司治理机制。
有学者建议,应当对上市公司、国家出资公司和金融类企业做出特别的合规治理要求,要求前述类型企业在章程中载明与遵守合规要求相关联的内容,应设置专门的合规机构和专职负责人,将制定合规制度和监督合规制度的执行作为董事会的主要职责,将遵守合规要求规定为公司董事和高级管理人员的基本义务等等。如果说基于公司类型的特定需求,将国家出资公司、上市公司、金融类公司进行前述特别对待有其合理性之外,那么前述合规治理模式并不应简单推广至其他企业类型。
四、合规治理的逻辑机理与责任配置
合规义务属于公司治理的范畴,董事会、监事会、独立董事等仍然是实现合规治理依赖的组织基础。比如,日本金融业的合规管理中,重要内容即强化外部董事、治理委员会等治理架构的建设。就前述传统公司机构之间,合规职权、义务和责任应当如何划分?在前述机构之外,公司是否需要强制性设立合规委员会、合规负责人、合规管理部门等组织机构?
(一)合规义务、监督义务与注意义务
《公司法(修订草案)》明确了国家出资公司“加强合规管理”的义务要求,采概括规定方式,对其合规内容未作具体规定。对于其他类型公司,合规义务乃是公司法上的合法性义务向公司治理结构的传递产物,是外源性的产物,需要从传统的董事义务中予以阐释和析出。在美国公司法上,合规义务来自于董事会的监督义务,而监督义务和商事决策共同构成了注意义务的内容,美国《示范公司法》第8.30条亦明确规定了董事会或委员会成员的决策和监督职能。在2006年In Re Caremark International Inc.案中,特拉华州法院认为,董事会必须建立一套汇报或信息系统来监控公司运营,董事会在建立该系统时有很大的商事裁量权,但必须有这样一个系统,而且董事会必须使用它。该案之后,美国几乎所有大型公司的合规规模、范围都在增长。
在未明确确立董事会监督义务的语境下,合规义务来自于注意义务的一般条款。在英国公司法上,监督义务未被明列为董事义务的具体类型之一,而是建立在董事勤勉尽责的基础之上。在德国法上,合规义务亦无明文规定,而是来自于《股份公司法》第93条所规定的谨慎管理义务。基于该一般条款,董事会有义务通过一系列组织措施确保法律法规、内部规章和员工守则得到切实遵守。
日本法院的判例普遍认为,董事会应制定有关公司经营的风险管理体制的指南,负责执行业务的董事长以及负责业务的董事,再根据指南建立各部门的风险管理体制,董事、董事长、负责业务的董事等负有建立风险管理体制的义务,而且应监督董事长以及负责业务的董事是否履行了建立风险管理体制的义务。基于判例,日本公司法确立了董事的监督义务,而董事监督义务履行与否的判断标准主要围绕以下因素展开:是否充分构筑了公司内部监督监视机制;是否使该机制有效运作和发挥功能;其他董事是否能够认识到违法执行业务行为的存在或是否应当认识到违反法律的业务执行行为的存在。
虽然合规义务建立在监督义务或注意义务的基础之上,但二者并不等同。公司合规既涉及公司治理层面的事项,也涉及具体合规管理的程序、流程等具体事项,董事会负担的监督义务并非面面俱到。从最广义的合规制度来看,包括内控体系、合规高管、风险管理、外部审计、员工培训以及与监管机关的合作等,多数制度在我国目前的各类管理与法律制度中已然存在,我国合规制度中真正缺乏的是董事注意义务的制度化。制度建设的重点在于进一步具体化董事注意义务,至少从中类型化析出决策义务与监督义务等两种重要类型。
(二)合规义务的机构间分配
在各国法上,董事会作为公司治理的核心承担公司合规的最终责任。比如,根据美国司法部的公司合规指南,公司的内部监督和合规控制责任归属于董事会,而董事会通常通过独立董事为主体的审计委员会或合规委员会予以实现。在德国法上,虽然《股份公司法》和《有限公司法》都没有明文规定公司机关的合规职责,但基于董事义务之规定,合规职责是董事会的核心要务之一,在理论与实践中并无争议。董事会可以自行行使职权,也可以设立专门的合规委员会,或者委托给审计委员会等监督机构。依照《德国公司治理准则》第5.3.2条的规定,审计委员会系监事会的内设机构,用以监督会计报告、内控制度的有效性、风险管理制度、内部审计制度和合规制度。对于不设董事会的有限责任公司,则由业务执行机构负担。董事会承担合规义务,至于其是否需要设定特别的合规机构,应由其自身判断。在美国法律研究院的《公司治理原则》中,其第4.01(b)规定,除非法律或公司的标准另有规定,在其监管义务的最大限度内,董事会在履行职能(包括监督职能)时可以通过正当的手续正式或非正式地将任何一项职能委派给董事会下属的专门委员会或董事、高级主管、职员、专家以及其他人员。但是,董事并不能简单将其监督责任分配出去,其仍然要对公司业务行为承担最终的监督责任。董事会在合规事项上承担最终职责,这也决定了董事会在合规事项上应当享有最终意义上的决策权。比如,《中央企业合规管理指引(试行)》中,“合规委员会”的职权设定并不符合董事会的权责逻辑,合规委员会不应享有超越董事会的合规决策权。在我国上市公司中,对公司的内部控制进行监督和评估的职能由审计委员会承担,但最终合规责任仍然归于董事会。
对于董事会履行合规义务的行为,监事会在其职权范围内进行监督,无需另行规定。德国法上,监事会负责对董事会履行合规义务的情况进行监督,其监督范围包括三个层面:一是常规性监督,包括阅知企业领导机构提交的合规报告以及对现有合规管理制度进行定期分析;二是促进性监督,如果发现合规管理制度或其执行存在瑕疵,监事会即应强化其对合规管理制度的监督;三是塑造性监督,即如果通过前述监督发现合规管理制度无效或推定无效,监事会有义务自行采取调查措施。由于德国法上纵向制的治理机构,在董事会合规管理不济时,监事会可以通过任免董事等职权予以组织改造。在我国平行双会制的框架下,监事会虽然也负担相应监督职责,但职权范围与德国法上的监事不可同日而语,对其所施加的义务要求亦应当限于其自身职权范畴。根据我国现行《公司法》第53条,监事会可以行使监督职权的渠道包括对董事、高级管理人员的行为监督、提案权等。故而,此时董事会的监督义务和监事会的监督义务呈现出分工和差异:董事会的监督义务着力于构筑合规治理体系和确保合规治理体系的有效运作,监事会则对董事会的前述履职情形进行监督。除了董事会与监事会的分工之外,德国法上还存在董事会有限审查、监事会补充审查、董事会与监事会平行审查、以及董事会与监事会的合作审查的分级合作机制,这种基于公司监督的整体框架进行的协作机制值得借鉴。
除了董事会与监事会的合规义务之外,公司经理、高级管理人员、业务部门、员工等亦负担相应的合规义务,落实公司合规治理的制度要求。对于公司经理层而言,由于其作为公司业务的具体执行机构,享有公司经营管理的重大权力,其在合规义务上也应承担较多的义务。对于董事会所确立的合规管理机构、合规管理计划等,公司经理负责予以建立和运行。对于经理领导下的相关部门,经理负担相应的合规监管义务。
在公司合规如此泛化的今天,董事在合规义务上的标准应当限于合理的限度。从合规义务的内容来看,由于合规制度的层级差异,对其之违反并不必然导致法律责任。比如,对《公司治理准则》《合规指引》等软法的违反即属此类。考虑到现行《公司法》第5条系原则性条款,违反该条规定未必直接导致法律责任。但是,如果公司法赋予公司以全面的合规治理义务,该条款或将引致更为宽泛的义务和责任。易言之,将合规治理义务上升为法律义务或将直接导致公司管理者的法律责任。董事当然不会被合理地期待去关心那些不曾预料到的、新的法律问题,类似地,他们没有合理的基础去关心模糊的或相对不重要的法律领域。在2006年Stone v. Ritter案中,特拉华州法院认为,只有满足以下情况之一的,才能追究董事因监督不力而违反注意义务的责任:其一,董事完全没有建立任何汇报或信息系统;其二,董事有意识地不去监督公司运营,导致其无法掌握关于风险和问题的信息。在私法责任上,董事、监事、高级管理人员违反合规义务的责任归结路径是明确的,即违反注意义务之责任。但是,各主体的刑法、行政监管责任,并不必然与之统一,仍然有赖于其他法律上的合规义务兑现情况。
(三)专门合规机构的引入路径
美国法上,公司法和司法部的合规指引均未强制要求董事会进行合规管理的程序和机构。由于《萨班斯—奥克斯利法》实施之后,公众公司被强制要求设立审计委员会负责内部财务控制,许多公司将合规职能交由审计委员会行使,也有少数公司成立了单独的合规委员会。如前所述,由于合规治理的职责系于公司董事会,外源性合规制度重在评估董事会所设立的合规机制的有效性,而非强制其设立何种类型的组织机构。基于有效性的合规治理目标,公司董事会可以在尊重公司法上机构分权的法定模式之下进行分配。基于前述我国公司合规治理实践,常见的合规机构有合规委员会、合规负责人和合规管理部门。笔者认为,前述机构均非组织法上的必设机构,其设置与否应以公司满足合规目标、管控合规风险之必要为标尺,并由公司自治决定。究其本质,合规机构的设置仍然是董事会的商事裁量事项,对于合规义务之违反,或将导致董事责任,但并不应以立法判断代替商事裁量,予以径行引入。分述如下:
其一,合规委员会。在合规职权明确归于董事会的背景下,董事会可以进行权力的内部委托,将合规职权委托给合规委员会、审计委员会或者其他专门委员会。此时,合规委员会的职权也来自于董事会的委托,需要受制于董事会委托的范围和限制。基于前述逻辑,公司不应当在董事会之外设立独立行使监督职权的合规委员会,否则将导致其与董事会权责之间的紊乱。进一步而言,由于合规治理系董事会职权,如果其他机构事实上或者以幕后操纵的方式行使了相关职权,则不免承担实质董事的责任之可能。
其二,合规负责人。合规负责人,或者首席合规官,系美国公司合规实践中的产物。在我国合规治理实践中,亦有体现。国务院发布的《证券公司监督管理条例》第23条较为完整地规定了合规负责人的高级管理人员地位、职权、义务、聘任机构、兼职禁止以及任职保障机制等。《期货公司监督管理办法》亦有类似规定。
不少观点认为,应当将合规负责人制度引入到公司法中,将合规负责人作为必设机构予以规定。譬如,在《韩国公司法》中,除设立由股东大会选任或由法院指定的临时“合规监查人”外,亦可同时或单独设立由符合条件的律师、法学教授及其他法律专业人士担任的具有专职性质的“合规支援人(合规辅助人)”制度。合规支援人的职责在于检查合规的遵守情况,并向董事会报告结果。在我国公司治理实践中,绝大多数公司没有设置合规负责人,或者由法务负责人兼任,即使是设有合规负责人的公司,合规负责人在公司治理中的地位也无法保证其获得充分的公司信息,缺乏充分的资源和动力开展合规工作。如前所述,我国近四千万家公司中,绝大多数是股东人数较少、封闭性强的小规模公司,并不宜强制性引入合规负责人的设置要求。对于公众公司、国家出资公司、金融类公司等存在较强合规治理需求的公司而言,其董事会可以通过委托合规委员会、董事、其他高级管理人员等方式实现对合规情况的检查,合规负责人并非不可替代。因此,妥当的思路应该是将合规负责人制设为选入(opt in)模式,即公司法提供合规负责人的地位、职权、任职保障等规则,但同时允许公司自治选设。
其三,合规管理部门。合规管理部门是合规事务管理的工作部门。在我国既有的公司合规治理实践中,其并不具有对公司其它部门全面合规管理的职权,更多扮演着合规牵头机构或者协调结构的角色,其职权可由董事会进行内部分配。
结 论
虽然公司合规与公司治理存在重合,但也存在明显差异。面对高度泛化的合规概念,公司法应当遵守组织法初心,区分行为意义上的合规义务和组织法上的合规治理义务。各类公司均需遵守合规义务,合规职责由董事会负担,建立在其监督义务或注意义务基础之上。合规义务实现的方式是多元的,除特别类型的公司之外,组织法上并不应强制性要求各类公司建立独立的合规机构等合规治理体系。公司合规的标准作为外源性的义务来源,通常由其他规范而非公司法予以规范。《公司法(修订草案)》规定了国家出资公司的合规治理义务,可考虑进一步扩大至公众公司和金融类公司。对于公司治理的组织措施,应当基于公司类型差异,允许公司自行选择合规治理的组织模式。
(责任编辑:张 红)
精
彩
推
荐