杨淦

关键词：合规激励;公司治理;监督型董事会;合规文化;ESG

中图分类号：DF411.92文献标志码：A

DOI：10.3969/ j. issn.1001-2397.2023.02.10 开放科学（资源服务）标识码（OSID）：

一、问题的提出

近年來，与公司合规有关的理论研究和制度实践方兴未艾，合规机制的蓬勃兴起不仅源于公司自身对合规优势的认可和采纳，更源于行政监管和司法激励的合力助推，且后者实为主要动因。行政机关可以通过合规指引、行政指导或行政和解协议向公司施加合规义务①，或以出资人、合规监管人的身份督促公司采取合规管理。②司法机关则主要通过起诉或量刑上的优待，激励公司广泛采纳合规建议或强化合规举措。在自上而下的推动中，公司合规已经从非正式、个别的执法实践升级为正式、普遍的协同治理的产物，是行刑责任的触角从个人过错前移到组织缺陷，贯彻犯罪预防理念的制度体现。

合规概念围绕公司而生，最终也要内化为公司治理的重要组件，才能发挥预防犯罪的理想效果。一些学者分别从合规理念与公司治理的依存关系①、合规组织②或董事合规义务③的角度探讨了合规嵌入公司治理的路径。这些研究均已表明，接纳合规是公司治理的进化方向。但公司治理起因于降低代理成本，而以执法激励为主要发展动因的合规却与代理成本并无关系。因此，合规机制于公司治理而言实际上是外生产物。合规机制的嵌入不但会改变传统公司治理结构中的权责配置，也使公司目的这一难解命题面临新的挑战。目前，我国学界对这一问题的研究并不深入。

理论研究的不足，可能导致公司法在采纳合规时出现两种局面：或将合规简化为守法经营，继而将合规义务的重心置于具体的公司行为。这样的合规并无新意，也超出了公司法的射程;或将合规作为公司组织义务扩张的依据，增加公司组织机构设置的强制性规范。从一些新近的立法动向来看，这种端倪更为明显。但强制程度过高的组织义务，不仅会使合规异化为僵硬的管制工具，甚至跨国贸易的制裁手段④，而且如何与公司原有的治理结构相衔接是实践面临的难题。与此同时，从最高人民检察院已公布的合规试点改革案例和指导性改革文件来看，将合规考察对象从“轻微涉罪的中小型企业”拓宽到“涉罪个人”和“大型公司”将是合规改革的探索动向。而且从域外经验来看，合规主要适用于那些可能涉嫌严重经济犯罪的大型（跨国）公司。但合规对象在我国的拓宽，不仅要克服单位犯罪双罚制的理论障碍，也需要针对合规对象的不同治理水平与合规风险，配置差异化的合规要求，这也正是合规整改“相称性原则”的内在要求。⑤

因此，无论是出于公司法回应合规实践的需要，还是为合规激励对象的拓宽提供制度基础，都有必要将合规置于公司治理的基本原理中进行观察和解构，分析合规带给传统公司治理的挑战和变革，并以本次我国《公司法》的修改为契机，明晰合规权责在公司内部的分布样态，为公司治理结构的合规化转型提供建议。

二、组织视角下合规机制的要素与权责配置

以公司为载体的合规，其运行环境具有强烈的组织属性。在科层制的公司组织中，分工、合作与制衡是组织运行的基本特征。因此，虽然执法机构提出了有效合规的若干评价标准，但以公司为代表的组织视角，更关注合规要素间的结构关系，以及公司机关在合规中的权责分工。实践中的合规虽然存在行业差异和个体差异，但仍有一些显著共性。

（一）合规机制的建构起点：规范生成

组织社会学家W. 理查德·斯格特（W. Richard Scott）认为，管制、规范和认知是一项制度运行的三大支柱。管制支柱强调通过制定规则和实施制裁向组织施加压力;规范支柱则是组织对外部管制规则的吸收和内化。① 因此，合规机制中的规范生成既是公司识别与评估合规风险的过程，也是全面梳理外部规范并将其转化为内部规范的过程，包括确认和重申公司所应遵守的国际公约、法律规范、监管规定、行业准则，并据此制定内部规章制度。从具体到抽象，其内容涉及“操作规范”与“价值塑造”两个层面：前者主要记录公司员工能做什么和不能做什么;后者旨在超越“被动遵守”，通过精神与规则的深度融合培育诚信、道德的伦理文化。这些规范最终会以“行为准则”的形式作为合规培训的基础文本。

（二）合规机制的运行保障：监督分工与信息流通

完成合规规范的制定与培训之后，合规机制的重心在于执行规范并实时监督。分工制衡的组织关系有助于提升执行效率与监控的敏锐度。因此，合规职责分布在不同职能的公司机关或成员之间。大致可以分为两类主体：一类是合规机制的践行者，包括公司全体员工。部门主要负责人的行为应被重点关注，如果身处经营管理一线的他们没有从事违规行为的动力和倾向，则会对其他员工形成正面的示范与激励，公司合规风险也会大大降低;另一类是合规机制的构建者和监督者。主要包括董事会及其委员会，以及新近兴起的合规官和外部合规监管人。

合规监督的事项庞杂且需要具备一定的专业能力。比如，传统业务监督主要关注绩效增长，但在合规机制的主导下，业绩指标会被弱化，而高管对公司的长期贡献将被关注。因此，董事会通常会组建专业委员会来履行合规监督职能，其中最重要的是审计委员会。审计委员会协助董事会评估、监督公司财务信息、内控制度和审计程序，确定公司内部的财务准则，在董事会、管理层和外部审计师之间传递信息。但在美国，审计委员会还是实施内部调查、接收投诉与举报的部门。② 薪酬委员会根据不同岗位涉及的风险大小，以及员工的合规表现进行岗位分配和调整，将合规表现引入薪酬结构。③ 此外，当董事会成员或高管被指控有不当行为时，提名和治理委员会也发挥相应作用。

近年来，在立法与执法的要求和引导下，越来越多的公司将合规职责从法务和审计工作中分离出来，由独立的合规部门负责，一种新兴的“合规服务产业”也因此兴起。合规部门有权力也有义务对公司的各项业务运行、财务乃至审计工作进行独立审查，监督、制约董事高管的违规行为，根据最新法律动向和合规领域的重大事件更新公司合规规范。当公司面临诉讼风险时，合规官代表公司与执法机构进行沟通，争取更宽松的司法政策。在部分涉案企业的合规整改考察程序中，执法机关会向公司委派由外部专业人士组成的合规监管人员指导企业开展合规整改，并将其提供的监督评估意见作为量刑参考。此外，部分公司还会从外部聘请专业顾问，协助董事会或合规官建立合规框架，执行合规监管人的指定要求等。

合规机制的顺利运行还需借助一些数据收集和分析的技术工具，在公司内部建立畅通的信息流动和反馈机制，为合规监督和内部问责提供可视化场景。① 信息流动和反馈在自上而下与自下而上两个平行维度上展开。前者包括将合规规范与相关决策逐级向下传达与培训，以及定期或不定期的合规检查;后者在于打破信息垄断，保障级别较低的“吹哨人”发现风险时能够及时安全地向上報告，并确保与违规行为有关的信息迅速与组织中的相应级别关联②，实现精准监督与问责。

（三）合规机制的自我超越：合规文化

形式意义上的合规机制在规范生成、结构优化和组织建制中得以成型，但有效抑制公司违法犯罪风险的实质性合规还有赖于合规文化的沉淀与熏陶。合规文化并不是既定的，也不是静态的。它是在管理结构与组织分工，以及公司自体与外在环境的社会互动中逐渐生成，属于组织制度运行中的认知要素。合规文化既表现为公司诚信合法的经营底线和承担社会责任的价值理念，也表现为每一位组织成员的守法意识和行为习惯。不仅能在公司与其外部环境的互动中发挥过滤作用，筛选出特定的规则与价值作为合规规范;也能够为公司成员提供一种比国家法律更为具体的基本遵循，引导成员按照特定要求和程序完成工作职责。③

梳理合规机制的运行机理，可以发现，合规不仅是将公司遵守的外延从“法”扩展至“规”，也包括将外部规范转化为内部规范，建立穿透式和立体化的监督治理体系并打通其运行机制，使每一个部门和每一个员工都自觉成为合规体系的建设者和践行者，实现从合规规范到合规行为，再到合规文化的塑造，涵盖了公司内外关系运行的诸多方面。在此意义上，公司治理与公司合规二者可能互为补充，或将合规作为公司治理机制中防控风险的重要组件。然而，事实并非如此，基于不同的发展动因和规制逻辑，当合规机制嵌入公司治理时，它超出了传统公司治理结构的解释范畴，并产生了新的风险与挑战。

三、合规机制对传统公司治理的挑战和变革

公司内部的权责配置以及公司目的是公司治理的核心问题。虽然过往素有“股东会中心主义”与“董事会中心主义”的理论争议，但权力来源与责任追究始终在公司内部缠绕。更准确地说，是在股东会与董事会之间的委托代理程式内拉锯游离。股东至上作为治理目标的基本共识未曾动摇，董事会集权管理的制度优势吸引着后续改革步伐的追寻，但董事会向下授权过程中的权力配置和追责存在着制度留白。因此，内生性、自主性、粗放性是传统公司治理的显著特点。但当合规机制嵌入公司治理时，公司内部的组织权力、董事义务的问责过程，以及股东至上的公司目的都发生了不同程度的改变。

（一）弱化了董事会的组织权力

传统上，董事会作为公司经营管理权的享有者，有权根据运营需要，调整公司内部的组织结构或实施授权行为。但公司合规并非来自董事会的商业决策和授权，而是执法激励的直接产物。立法者或执法者通常会将“合规部门化”或“职责专员化”等组织建制作为有效合规的量化指标，以此增强公司合规的稳健性和持久性。① 支持者认为，设置独立的合规部门或合规专员，有助于提高合规工作的自主性和能动性，增强向董事会报告合规风险的动力。而且当公司被调查时，合规官不会像法律顾问和审计人员那样，因为利益牵连为公司掩盖或辩护，而是倾向于向执法者报告更多信息，公司行为的透明度得以提高。②

纵观公司制度的发展历史，强调公司治理参与主体的独立性并非合规首创。在此之前，独立董事参与上市公司治理已是标配。但独立董事的出现，旨在解决公司内部治理监控机制缺位的问题。作为董事会中的一员，其权力源于股东授权，无公权力加持，并受到信义义务的约束。独立董事的主要职责为监督、限制享有公司控制权者谋取私利③，但对权力的向下流动和决策的具体执行干预甚少。履职方式也仅限于客观、及时地向公众披露监督信息，而非向监管机构汇报工作。相比之下，合规官的职业存在和组织权威在很大程度上归因于执法者的认可和授权。执法者通过组合措施，激励公司建立合规体系。与此同时，在公司内部嵌入了以合规官为代表的执法代理人。④ 尽管启动合规程序是涉案公司的自愿选择和承诺，但实际上，当公司面临监管压力或制裁、诉讼风险时，董事会无法拒绝执法者通过合规干预公司治理。这一过程不仅消解了董事会的组织权力，也改变了公司委托代理的内部程式。

以合规官为首的合规部门充当合规哨兵，密切跟踪外部监管信息和公司内部合规情况。在普通的商业环境中，一名失职的公司高管将面临减薪、降级或被解雇。而对于失职的合规官而言，可能受到外部执法者的追责。⑤ 这就迫使合规官们将监管利益等同于公司利益，其职责目标不是股东财富最大化，而是合规最大化。合规最大化可能有两种表现：其一，合规官对于法律与监管的约束效力不作区分。相反，他们会像遵守法律一样促使公司遵守监管规则，因为他们享有确认“公司法律”的权力。⑥其二，合规官可能夸大合规风险，迫使公司在合规方面过度投入。因为由合规所产生的经济成本由公司负担①，但合规官却可以借此彰显自己的工作业绩。这种独立于公司利益却从属于执法者的双重角色，使合规官们在分享公司治理权力的同时，可以援引执法者的授权而免于向公司承担责任。

（二）强化了董事监督义务及责任

作为经营管理权下沉实践中的逻辑产物，在很长一段时间内，对于董事监督义务的具体内容及其体系定位并无清晰的理论阐释。因此，针对董事违反监督义务而应承担责任的主张，法官的态度颇为谨慎。

在美国著名的Caremark 案中，原告认为，董事本应发现公司员工频繁的行贿活动，并有义务及时纠正以避免损失。② 但法院指出，原告只有证明董事知道公司正在发生违规行为或收到了相应的危险信号而未采取任何措施，继而导致公司遭受损失时才可能取得胜诉。③ 此后，在Guttman v. Huang 案中，法官重申了Caremark 案的裁判标准，即原告需证明公司缺乏有效的信息传输系统，且这一责任主要在于董事。④ Stone v. Ritter 案与Marchand v. Barnhill 案更是将董事监督义务归入了忠实义务的范畴，⑤这意味着，董事只有对公司信息传输系统的缺失或运转失灵存在恶意时才承担责任。时至今日，虽然关于监督义务体系定位的理论争议在美国学界仍未停歇，但上述案例均释放出一种明确信号，即结果意义上的监督义务与程序意义上的组织（或体系）义务应当区别对待。无独有偶，日本和德国也有类似区分。日本法律上的董事“监督义务”与“体系义务”分属不同条文，其中体系义务是指在公司内构筑并运作一个可以探查出不当行为的谍报体系。虽然二者之间究竟是延伸关系还是并列关系并无定论，但“体系义务”也有适用商业判断规则的空间。⑥ 德国法律以“管控义务”和“组织义务”进行区分，前者是对公司及其职员的违法行为进行实质性预防和监督，属于无差别的法定义务;⑦后者只有在公司超越合规风险界限以后才会产生。法官对于触发组织义务的条件认定非常苛刻，必须存在“近乎确定”的可能性，即如果公司拥有完善的合规组织，损害就不会发生。⑧

以上规则无疑增加了原告的举证负担，董事可以辩称，由于公司组织体系庞大且此前少有重大违规事件的发生，自己对于少数违规行为的失察纯属善意的疏忽，很难归于重大过失或恶意。但合规机制的嵌入有助于打破这一“安全港”，扫清董事因违反监督义务而承担责任的证据障碍。因为合规是一套流程导向的自我评估、设计和管理机制，包括记录保存、信息留痕、签准要求等大量详尽的控制性措施，覆盖了公司运营的全过程，监控者可以通过对业务流程的随机核查或数据分析进行实时监控。这一过程如同将放大镜置于公司内部，使公司的经营目标、权力配置与运行的基本样态趋于透明且有迹可循。董事会履行监督义务的主观意志会随着诸多留痕的证据记录而客观化。贯通上下的信息流动也有助于公司各级的违规信息传达到董事会层面，这一改变意味着在责任追究中贯通权责线索，而公司合规负责人在其中发挥着重要作用。

以美国为例，无论是公司首席合规官，还是其他合规负责人，都有义务实时监控、评估公司合规风险并及时向董事会报告。这些报告不产生直接的法律后果，董事会可以自己决定是否予以关注。然而，一旦报告中指出的问题进入执法或诉讼环节，其重要性将发生巨大变化。这些报告能够佐证董事会是否知晓或应当知晓危险信号。① 而且报告频率越高，描述越详细，董事会的裁量权限就越小。理论上，董事会有两种选择：无视，或作出回应。实践中，许多董事会都会响应危险信号，采取行动来解决所暴露的问题。这一过程虽然需要克服来自股东的质疑，但在商业判断规则的庇护下，董事会仍有一定的自由来作出他们认为合适的反应。比如，是否需要单独成立合规委员会，需要具备何种技能的人员参与合规管理，或是否需要聘用外部顾问帮助公司建立新的合规体系。

法院在确定董事会收到了足够的危险信号后，将会对董事会的反应作出评估。评估的重点在于：其一，董事会是否应当根据所收到的危险信号建立合规体系;其二，所建立的合规体系是否适当且有效运行。评估过程也会在很大程度上参考合规官或其他合规负责人的报告，法院需要确信董事会采取的措施旨在真正遏制问题，而不仅是在应付可能发生的诉讼风险。如果董事会给出的解决方案距离报告所欲达成的目标过于遥远，那么董事会的反应会被认为不够充分，董事将面临承担个人责任的风险，随之还有金钱和声誉损失。② 需要指出的是，虽然司法裁判中对于合规报告的运用强化了合规官或其他合规负责人的权力与地位，但也因此增加了他们的风险。若合规官或其他合规负责人未能及时提醒董事会注意公司存在的潜在风險或系统性漏洞，将承担个人责任。在此意义上，董事会与合规官或其他合规负责人的法律风险，在互动中此消彼长。

（三）钝化了股东至上的公司目的

公司为谁而生，为谁而存，是对公司这一拟制工具的世纪追问。③ 传统观点认为，股东因出资而成为公司的剩余索取权人和控制权人，实现公司价值和社会福利的最佳路径在于让管理者专注于股东利益，由此所产生的负外部性可以通过其他法律来调节。④ 这种股东至上的公司目的，一度占据着公司治理的主导地位，并充分渗透到各国公司立法和实践之中。比如，在权力配置上，由股东选举董事为其监督管理者，以降低所有权和控制权分离造成的代理成本;在高管薪酬上，按绩给付的薪酬结构旨在使高管利益与股东保持一致;在信息披露上，公司重点关注对投资者而非利益相关者必要或有益的信息。

但上述理论和实践也遭受了诸多质疑，批判者指出，股东至上主义未对股东利益最大化如何导向社会利益最大化进行逻辑论证⑤，随着公司融资渠道的拓宽，以及资本重要性的减弱，其他利益相关主体对公司剩余索取权和控制权的追求也不应被忽视。⑥ 所以，在过去一个多世纪以来，围绕公司社会责任兴起的诸多理论思潮，都致力于修正股东至上的公司目的。公司社会责任最初是指，将所有非股东群体的利益纳入公司经营的考量范围，期望公司自愿履行广泛的道德义务。后期的研究重心开始从伦理规范转向实践路径，侧重于通过框架模型和评估指标，将社会责任融入公司的决策过程。履行社会责任的表现方式，也由以往的公司自主报告转变为更全面的风险管理。这些努力催生了社会责任理论向利益相关者主义和ESG（Environmental， Social and Governance，环境社会和公司治理）的倾斜。

利益相关者主义希望，在公司现有激励结构的基础上，赋予管理者自由裁量权以修正公司目的。ESG 则是在投资驱动下，对公司的社会责任履行和风险管理实效进行综合评估的框架。① 这种风险管理突破了狭义上的财务风险，转而关注环境保护、促进就业、公司治理等众多非财务指标对公司绩效的广泛影响。其中，合规机制的建立被视为重要的风险管理指标之一。原因在于：其一，合规机制有助于将环境保护、劳工利益、社区促进等保护利益相关者的价值追求，经由合规规范纳入公司业务流程和审计准则，使ESG 指标变得更容易衡量披露，也据此建立一个对利益相关者和外部监管者开放的信息监测与问责通道。② 其二，合规机制下独立董事规模的扩充和功能性委员会的设置，有助于增强董事对抗股东的话语权力，充分回应利益相关者条款，扩充董事会权力的制度需求。从而打消了董事在放弃追求短期利益，转而关注长期利益时遭受股东问责的隐忧。

通过合规机制修正公司目的的主张，也得到了公司高管和股东至上支持者的广泛认同。高管可以从中获得扩张权力的制度依据。而在股东至上主义的支持者看来，利益相关者主义和ESG 的兴起，恰恰是公司社会责任理论向股东价值妥协的表现。它们无非是将股东利益以外的考虑因素作为实现股东福利的一种手段或目的。③ 公司目的从股价最大化转向“长期股东价值”，甚至“股东福利”最大化。在此意义上，合规机制的嵌入虽然没有彻底终结关于公司目的的理论争议，但至少钝化了股东至上作为公司目的的“硬边”，使股东利益与非股东利益在提升方法上实现了交汇。公司社会责任的理论内涵也完成了又一次演进，良善公民与可持续性发展成为公司努力的方向。

四、公司法对合规机制嵌入公司治理的回应

外生于公司治理的合规机制，带给传统公司治理结构的变革是双向的。一方面，经营决策权经由董事会向管理层下沉的逻辑事实，在公司运行趋向透明化的过程中得以显现，对监督失职的董事追究责任也变得有据可循。另一方面，作为有效合规量化指标的组织建制，弱化了董事会的组织权力及其代理规程，公司治理不再被视作股东及其受托人的私人领域，对公司利益相关者的保护也被重申。在此意义上，合规机制是一把双刃剑，一面是回应型规制的制度体现，在维护公司程式的前提下提升公司自警自律的管理机能;另一面也容易异化为压制型的管控手段，不断蔓延的细化规则会使合规变得千人一面。④ 因此，作为塑造公司组织结构和运行规则的公司法，既要借力合规优化公司治理的结构与流程，也应在恪守委托代理程式的基础上，尊重公司治理自治的底线，阻止外部执法对公司内部治理的硬性干预。

（一）公司法回应公司合规的基本立场

1. 合规机制嵌入公司治理的限度应止于董事义务

合规概念富有弹性，若从规范的角度观察，其核心便是“Compliance”一词的原意，即遵守，并在“规范”的延长线上扩大解释。在结果意义上，所有公司的经营活动都应合法合规。这一点在现行《中华人民共和国公司法》（以下简称《公司法》）和《中华人民共和国公司法（修订草案）》（以下简称《公司法（修订草案）》）中均予以确认。① 但对合规概念的这种解读仅截取了字面含义，没有充分反映其丰富的内在层次和机理。于公司及其治理而言，合规更接近于一套优化公司治理的流程和结构，也是甄别组织行为和组织文化的价值体系。公司合规既可以表现为系统性地修订公司规范，也可以通过组织化措施加强信息流动与监督，践行以商业伦理为价值导向的社会责任。因此，合規不是终点，借助合规形成防范风险和文化自觉的治理体系与公司文化才是目的。但也应当看到，所有公司治理的运转都依赖于特定的个体情况和社会、文化、政治等制度环境②，脱离特殊性的最佳公司治理模式并不存在。同理，合规型公司治理终究也只是在多种治理方案中的可能胜出者，并非所有公司的最佳选择。一方面，合规机制的功效会因公司类型、公司规模，以及合规风险的不同而有所差异;另一方面，合规机制的建立和运行可能产生不菲的经济成本。从这一角度考量，良好的合规在于将不法行为的发生成本，以及避免和发现此类不法成本的总和降到最低。③

整体而言，对合规进行细化规定的内容多见于一些专门立法或监管规定，这类规范主要针对那些公共性较强，且所有权与经营权高度分离的特定行业或公司类型，鲜有在所有公司普遍适用的公司法中，强制要求公司建立合规机制的立法先例。比如，在美国、德国及日本，公司合规是董事监督的重要内容，属于董事信义义务的范畴。公司合规机制的具体布局或在合规方面的投资，都有赖于董事会的商业判断与决策，只是董事会要为公司的合法经营承担最终责任。如此安排，顺应了合规机制作为执法激励的外生产物嵌入公司治理的正当程序，为法律规定与公司治理实践之间的互动磨合留下了缓冲空间。合规作为反身法理论的制度反映，强调通过抽象的程序引导和结构控制，激励规制对象的自我揭弊和自我提升。④ 合规既不能完全取代公司法设计的公司内部权责配置的基本程式，公司法也不宜将合规机制直接遁入公司组织层面，通过机构设置的强制规定来扩张合规义务。否则，可能使公司在合规上的支出与收益失衡，将合规异化为僵化、机械的形式主义，丧失了量体裁衣的制度优势。因此，公司法理应强化董事会对公司的组织权力，弱化对合规机制的形式要求，避免合规成为监管触角干预公司治理的隐性通道，将关注重点置于合规激励，以及内部代理人的合规用权，回归以优化治理结构、塑造合规文化为目的的实质性合规。

2. 公司法应重点关注合规机制在公司治理中的激励作用

公司作为法律拟制的主体，在不同法律项下的本质面向并不相同，合规激励的视角和重心也不完全一致。在刑事立法和行政监管的视域内，公司是独立于其构成要素的法律个体，法律期望其行为符合法律禁令或服从监管要求。而公司法视域下的公司是一个由法律、市场和私人共同设计的自生系统。公司法采取了设计立场，通过赋权模式为公司组织模式和运行规则提供指引性范本，将归属于公司的收益和风险分配给各个参与要素以促进其稳定合作。映射到合规机制中，刑事制裁通过使公司出罪或获得抗辩事由，激励公司合规，行政监管将合规作为公司与监管机关达成行政和解的先决条件，监管规范中的强制合规更使疏于合规成为行政处罚的重要事由。二者都致力于从外部为公司合规经营提供法律优待，其激励的主要对象为涉案公司。而公司法的作用空间在于，通过对刑行合规的收益与风险在公司内部重新分配，为主导公司治理结构的权力者提供采纳合规机制的私人动机。亦即，可以将公司存在健全且运行良好的合规机制作为董事归责过程中的可参考的抗辩事由。需要指出的是，执法机构在办理董事或高管个人涉罪案件时也应充分关注其所在公司的治理水平。如果个人涉罪与公司治理漏洞之间存在密切的因果关系，则应考虑将其所在公司纳入合规整改的范畴，并对涉罪个人的起诉或量刑给予优待，以达到标本兼治的效果。这也正是《关于建立涉案企业合规第三方监管评估机制的指导意见（试行）》中拓宽合规考察对象的初衷。① 当然，在倒推吸收合规整改对象时，应严守因果关系的择案标准。

（二）公司法回应合规机制的具体路径

1. 强化董事会的监督职能

合规机制的构建与运行依托于公司内部监督机制的有效运转。董事会的决策行为左右公司治理结构，是公司构建合规机制的决策者和设计者。与此同时，以董事会为核心的内部监督，有助于打破监督者与监督对象之间的信息阻隔，将监督职能融入决策过程。董事会对管理层的授权决策与人事任免权，也有助于简化执行程序，提升应对风险的能力与效率。这些优势都与合规机制形实相应。因此，公司合规是董事监督义务的重要内容。

在我国现行《公司法》体系中，公司权威中心在股东会与董事会之间摇摆不定，监督权力的配置既有叠加也有盲区，此二者也是本次《公司法》修改中的重要议题。《〈公司法（修订草案）〉一审稿》曾对董事会职权采取兜底式的概括性规定，二审稿重新列示了董事会的职权，其中包括组织权力。② 本文认为，二审稿的变化值得肯定。一方面，在治理分权的公司中，应坚持董事会作为公司权力的中心，这既是接轨国际趋势的必然选择，也有利于公司在职业化的管理模式中做大做强;另一方面，从“公司的执行机构” 到“执行股东会决议”的措辞变化③，可以防止股东会对董事会权力的侵蚀，更有助于董事会回归战略设计和经营监督的功能定位。与此同时，公司法也应防止董事会在授权过程中出现合规义务空心化的问题。因此，建议《公司法》对董事会向下授权的范围作出限制，并将公司合规事务负责人纳入公司高级管理人员的范畴，使其成为承担忠实义务和勤勉义务的主体，为追究合规失职者的责任预留解释空间。

本次《公司法》修改的一大亮点是将审计委员会的设置作为公司选择单一董事会模式的先决条件，除此之外，对于薪酬委员会、提名委员会、合规委员会等其他功能性委员会的设置并无法定要求。鉴于不同公司在合规体系建设方面愿意投入的成本有别，未来建立以董事会为核心的合规监督机制大致可有两种方案：

方案一：赋予审计委员会以举报信息接收权。对于不另外组建其他内设委员会的公司而言，合规监督职能主要依赖于董事会的一般监督，以及审计委员会的专项监督来实现。《〈公司法（修订草案）〉二审稿》将审计委员会与监事会的职权相等同。① 虽然在整个合规体系中，财务、会计监督意义重大，但其运行并非孤岛，而是需要通过业务调查或自下而上的信息反馈进行风险评估与管理。这也是《萨班斯—奥克斯利法案》（Sarbanes-Oxley Act）赋予上市公司审计委员会享有接收投诉、举报并享有调查权的重要原因。因此，本文建议在《〈公司法（修订草案）〉二审稿》第78 条的基础上，补充审计委员会享有举报信息接收权，以便与第79 条第二款“发现异常情况，可以进行调查”的规定相衔接。

方案二：单独组建“合规委员会”或“合规管理部门”。这种方案的费用投入和职能调整成本较高，适合治理结构复杂或财力雄厚的公司，公司法不宜作强行要求。但值得注意的是，部门林立的管理体系会产生信息壁垒。如审计委员会与合规委员会并存，可能丧失对财务和非财务进行联合监督的互补优势。因此，其他组织需要授权组织内的成员与合规部门进行充分合作，或者将审计委员会与合規委员会合二为一，命名为“审计与合规委员会”，以突出其广泛的合规监督职能。

对于没有在董事会中设置审计委员会的公司而言，监事或监事会属于必设机构。而且，本次公司法的修订强化了监事会的监督职能。② 在此背景下，监督型董事会与监事会的职责如何区分，也是有待明确的重要问题。本文认为，合规监督职责的配置应以董事会与监事会的法定职权范围为基础。董事会对合规机制的建立和运行享有战略决定权和主导权，对公司业务合规、财务合规、人事合规等方面的妥当性和前瞻性判断也都属于董事会的职权范围。监事会实施合规监督的出发点应限于合法性，而且主要立足于事后监督。虽然一些德国的司法判例指出，“监事会的监督对象不仅是已经发生的事实，也不限于对合法性的质疑，也可以基于合目的性和经济性的考虑，对董事会未来管理的事宜进行监督。”③但德国股份公司法上对监事会的职能定位与我国的整体情况差异较大，如果在我国公司法的语境下，允许监事会从妥当性的监督对公司未来事项进行监督，无疑将对董事会的独立决策形成干扰。

2. 细化董事监督义务的免责事由

在规范层面，董事监督义务依托于注意义务的一般规定。即便是在少数个案中将监督义务置于忠实义务的范畴，也仅仅是司法技术的运用结果④，并不符合逻辑上的推演。而且实践中，对忠实义务与注意义务的界分，并未如其理论设计得那般泾渭分明。作为注意义务的重要内容，董事监督义务也是一种典型的“非标准化的作为义务”。在具体案件中，对董事因违反监督义务的责任追究，需要将监督义务的一般内涵与司法审查有机结合。

经过司法判例的长期演绎和阐释，董事监督义务的基本内涵可以概括为两个方面：一是在公司内部设计一个旨在反馈运营风险的信息系统并维护其良好运转，二是妥善处理经由前述系统所反馈的风险以避免公司损失。如前所述，无论是从成本收益的角度分析，还是探知域外经验，是否需要通过建立合规机制来实现监督义务，属于董事自由裁量权的范围，但自由裁量权的范围并不意味着属于司法审查的禁入之地。关键在于正当的审查程序和合理限度，也即对业务判断规则的恰当运用。

学者研究指出，董事监督义务在美国司法判例的演进过程之所以充满戏剧性，其症结之一就在于将商业判断规则作为一项排除法院实质审查的司法原则。① 相较而言，日本法院将商业判断规则作为实质审查标准的做法②，不但可以避免因摇摆不定的归责标准，引起监督义务体系定位上的争论，而且可以在司法裁判中凸显公司科层式授权分工的管理优势。因为在公司组织内部，权力主体基于对下属的基本信任而向下授权是被法律所默许的。③ 在合规问题上，对公司风险的监测，以及合规事项的具体执行，都有赖于组织分工与信息流通，董事会的权力义务在于，根据自下而上反馈的风险信息作出与合规有关的重大决策。但这些决策取决于获取的相关信息体量及其准确程度。因此，将董事建立合规机制的自由裁量权从公司组织分工之中划分出来，是判断董事是否违反监督义务的首要关键。

这种审查应由浅入深层层递进。首先，看董事会是否创造了接受反馈信息的机会。这种机会并非必然指向一个专门具体的信息传递系统，而是可以从董事会开会的频次、时长，以及获取信息的机会等情景中综合判断。事实上，公司法已经为董事履行这种注意义务设定了最低要求。其次，如果具有接收信息的机会，则要审查董事是否从中收到了相应的风险信号。如果董事会完全没有收到相应的风险信号，那么合规机制的缺失不应成为董事承担责任的事由。如果董事会收到了相应的风险信号，也不必然要通过建立或完善合规机制来化解风险，董事会仍有决策空间。只是法院需要对董事会的反应作出评估。这种评估应结合公司的业务性质、规模、风险报告的频率、详尽情况，以及实际损失与董事会行动之间的因果关系进行实质性审查。一方面，董事会并不因建立了合规机制而当然免责;另一方面，合规机制的建立并不能完全杜绝违法违规的发生，对于员工的故意违法仍无能为力。因此，在审查董事对于已知风险的处理是否妥当时，应参考“可回避性”（董事能否回避、防止通常情况下的损害发生）和“可预见性”（董事能否根据存在的可疑情形预见不当或者违法行为的发生）。④ 如果即便存在完整的合规机制但损害结果仍会不可避免地发生，或者损害结果的发生超出了董事可以预见的范围，则董事也可能获得免责。总体而言，对董事监督义务的责任追究既要注重结果，也要注重程序。与此同时，还应当将董事会的监督义务与董事的身份类型以及合规职责在公司的整体分布情况结合处理。越是精细化的区分，越有利于激励董事会在组织层面完全合规机制，以便增加获取监督信息的渠道。

3. 促进公司社会责任向ESG 转型

公司通过一系列措施形成守法向善的合规文化，是有效合规的落脚点，也是公司承担刑事责任时的归责基准。⑤ 在公司经营过程中，过度追求股东的经济利益而忽略可持续发展的短视行为，是诱发公司从事违规行为的主要动因。如前所述，合规机制嵌入公司治理，在一定程度上钝化了股东至上的公司目的。但反之，通过法律引导公司践行社会责任，也有助于限制管理层从事短期机会主义的行为，提高公司的合规意识与能力，从而在这种正向反馈的循环中培育、滋养公司合规文化。

《〈公司法（修订草案）〉二审稿》第20 条倡导公司在从事经营活动中充分考虑利益相关者保护和社会公共利益。该条规定丰富了公司社会责任的内涵，凸显了公司作为社会道德文化引领者的示范角色。① 相较于现行《公司法》第5 条的相关规定，本次公司法修订的另一变化是将合规要求与社会责任条款进行拆分。事实上，公司社会责任根植于道德与公司公民理论中的社会义务，其内涵的每一次演进都意在贴近遵从与风险管理。② 也因此，公司合规既是“法定的，有时又是伦理的或其他的。”③将合规经营与社会责任拆分规定在两个条文，容易割裂二者的因果关系，使合规内涵孤立为单一的守法。因此，建议将《〈公司法（修订草案）〉二审稿》的第19 条与第20 条的内容整合规定为一条。

与此同时，过去多年的探索证明，倡导式的社会责任立法下，公司社会责任的履行多数表现为以社会责任报告为载体的美丽叙事。对公司社会责任履行情况的评价体系模糊不清，将道德评价引入公司法律行为效力判断的过程也并不顺利④，这些都是公司怠于履行社会责任的重要原因。对此，本文有两点建议：

其一，以行业为基础，区分社会责任信息披露要求。在我国，目前与社会责任相关的信息披露基本都归于自愿披露的范畴，但诸如员工保护、个人信息保护或环境保护等不同社会责任的内容，对不同行业公司的意义并不相同。因此，从合规风险的角度来看，如果对特定行业的公司而言，落实某一方面的社会责任较为重要，则应针对这类行业的公司制定社会责任的强制披露政策，或区分强制披露、半强制披露与任意披露的相关内容。⑤ 如此安排，既可以提升非财务信息的可比性;也有利于推动董事会将社会责任纳入公司发展战略和决策过程，并与董事信义义务有效衔接。⑥

其二，公司从事违规悖德行为的原因也有来自金融市场、激进股东、收購威胁或股票补偿计划的压力。为了克服这些压力，一方面，应继续强化董事会的权力。比如，以富时罗素（FTSE Russell）评价指标为参照的ESG 评价体系，将公司治理因素细化为董事会主席与首席执行官的分离度、董事具体技能与促进公司履行社会责任方面所发挥的积极作用。⑦ 其核心在于授权董事会和管理层善待公司利益相关者，以摆脱股东追求短期利益的干扰。另一方面，应对投资链条上的每一级（包括机构投资者和资产管理人），施加考虑、识别和披露环境、社会和公司治理（ESG）风险的法律义务，以此推动公司社会责任范式向ESG 的转型。

五、结语

我国在合规方面的理论研究与实践推进肇始于刑行合规，围绕刑行合规展开的学术话语将合规作为一种回应型的规制方法，并从教义学层面将刑行责任的认定与合规机制的建立挂钩，为公司采纳合规机制提供了外部激励。正是基于这种外部激励的发展动因，使合规偏离了传统公司治理的运行轨迹。因此，公司法回应合规机制的目的不仅在于接纳合规，促进公司治理结构的合规化转型，更重要的是为合规机制嵌入公司治理建立必要的屏障与通道，防止合规异化为服从管制的工具。当然，合规实践的兴起，也为公司治理与我国公司法的革新带来了新的命题，比如，基于合规引发的逆向代理问题、合规披露与ESG 的推进、董事问责与董事身份差异化的结合等等。解决此类问题既是立法的使命，也是司法进步的方向。

本文责任编辑：林士平

青年学术编辑：赵吟