曹兴权
(西南政法大学 民商法学院,重庆 401120)
企业合规管理是指企业行为应遵从法律法规及其内部规章制度和商业道德的要求。合规管理,虽然最初发端于美国企业反垄断及反腐败监管以及刑事司法,[1]后因20世纪90年代银行危机被巴塞尔委员会引入银行监管领域,[2]但对我国来说不陌生。合规一词很早就出现在行政监管文件中,比如1989年民政部发布了《民政部单位财会工作审计合规标准》;1992年审计署与中国人民银行发布了《对金融机构贷款合规性审计的实施方案》。此后,国务院有关部委陆续发布了针对特定领域的合规管理监管文件。《证券公司和证券投资基金管理公司合规管理办法》明确规定,合规管理针对证券基金经营机构,要求它们必须实施制定和执行合规管理制度,建立合规管理机制,防范合规风险等,以确保经营机构及其工作人员的经验管理和执业行为全面合规。因中兴通讯被美国处罚事件,合规管理成为近年来的热词。2018年,因国务院国有资产监督管理委员会(简称国资委)印发《中央企业合规管理指引(试行)》、国家发展和改革委员会(简称发改委)等七部门下发《企业境外经营合规管理指引》而被誉为“中国合规元年”;此外,国务院国资委确定2022年为中央企业“合规管理强化年”。由于监管机关的特别关注,金融类公司在内部设置合规管理部早已成为行业惯例,很多其他行业的大型企业也纷纷顺应监管要求而将内部法律部改成合规管理部或者在法律部之外单设合规管理部。随着2021年《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》以及2022年《涉案企业合规建设、评估和审查办法(试行)》的颁行,刑事司法领域开始普遍推行涉犯罪企业合规管理。
虽然合规管理的要求主要来自公法机关,但这些外部压力会基于各种机制而转化为内部行动;虽然合规之规可能不属于法律文件的范畴,但事实上影响着公司。因此,合规管理会影响到公司的经营管理行为、公司管理者的职务行为从而形塑着公司治理。合规管理是一种新兴公司治理,甚至已经成为针对所有公司组织治理的普遍性要求而被视为成文法。在韩国,《金融公司治理结构法》专门规定了合规管理,《商法典》公司法编中第542条第13款正式引入合规控制标准和合规支援人制度;在日本,法务部发布的公司法则强制要求所有公司实行合规管理;在德国,《公司治理法典》对企业合规义务提出明确要求;在美国,《萨班斯—奥克斯利法案》将合规管理推行到所有上市公司。美国的公司治理经历了一场悄然革命,许多公司内部的监督和控制事务已被合规管理所取代。[3]公司治理狭义上指公司建立内部机构、合理配置各个机构的职权,以推动公司经营管理并且形成有效制衡机制的活动。[4]公司治理活动属市场行为,应归属私法调整;公司法是典型的私法,调整公司与股东、公司与债权人、股东与债权人、股东与管理人、股东与股东等不同平等主体之间的权利义务关系。有疑问的是:本质上属于公法管理部门要求的合规管理,是如何影响公司治理私法机制运行的?那些不属于私法渊源的合规管理规范,是如何影响属于私法渊源的公司法规范的?那些不属于法律范畴的合规管理要求,是如何转化为法律要求的?很多公司基于外在要求而普遍建立合规管理制度的事实,是否会对未建立合规管理机制的其他公司治理纠纷的裁决活动带来实质性影响?公司合规管理,可否及如何内嵌于公司法?这些应当是公司治理理论、公司法治实践中有意义的话题。
在相关外在强制要求被公司普遍接受后,合规管理行为规范可能成为组织类商事习惯。这些习惯,可能被公司法吸收;如果未被吸收,则以规范性习惯或者事实性习惯的方式影响着公司的行为。上述问题,或许能够在商事习惯这一灵活范式中得到合理答案。为此,本文拟借助商事习惯基本理论考察公司合规管理现象,分析合规管理向公司治理习惯转化的必要性、可能性以及促成条件。首先,从多维度分析公司合规管理监管的普遍性,考察合规管理转化为组织治理习惯的现实可能性;其次,从法源角度对合规管理监管文件进行界分,考察合规管理转化为商事习惯的必要性;再次,剖析合规行为规范转化为组织治理习惯的条件,以及完成转化后合规管理习惯的具体类型;最后为简单结论。
1.适用于特殊公司的合规管理
(1)金融行业合规管理风险管理对于金融机构有特殊意义,加强对金融机构及工作人员的经营管理与执行行为的合规管理,是各国金融监管机关监管的重点。自2005年巴塞尔委员会颁布《合规与银行内部合规部门》后,我国金融监管部门也制定了一系列合规方面的监管文件。①《商业银行合规风险管理指引》(银监发〔2006〕76号);《保险公司合规管理办法》(保监发〔2016〕116号);《中国人民银行关于加强征信合规管理工作的通知》(银发〔2016〕300号);《证券公司和证券投资基金管理公司合规管理办法》(证监会令第133号);《中国保监会关于进一步加强保险公司合规管理工作有关问题的通知》(保监发〔2016〕38号)。这些文件提出的合规要求,针对商业银行的银行业务、保险公司的保险业务、证券公司的证券业务、证券投资基金管理公司的基金管理业务以及所有金融机构的征信业务。金融监管机关还以各种内部控制指引的名义,对金融机构的具体业务针对性地提出了具体的合规管理要求。比如,中国银行保险监督管理委员会(简称银保监会)发布的《保险资金运用内部控制指引(GICIF)》《商业银行内部控制指引》《融资性担保公司内部控制指引》;中国证券监督管理委员会(简称证监会)发布的《证券公司融资融券业务内部控制指引》。金融行业协会也发布了一些合规指引。比如,2021年中国证券业协会《证券公司声誉风险管理指引》;2022年中国证券投资基金业协会《基金管理公司声誉风险管理指引(试行)》。
(2)上市公司合规管理
证监会一直关注上市公司的合规管理。虽然没有发布直接针对合规管理事务的一般性规定,但在一些针对具体事务的监管文件中表达出特别的合规监管意图。比如,《优先股试点管理办法》第十八条规定,上市公司内部控制制度健全,能够有效保证公司运行效率、合法合规和财务报告的可靠性,内部控制的有效性应当不存在重大缺陷。《上市公司收购管理办法》《上市公司重大资产重组管理办法》均要求审查上市公司内部控制制度的执行情况及其有效性。此外,上海证券交易所与深圳证券交易所均发布过《上市公司内部控制指引》,这些指引也特别强调了内部合规管理。
(3)国有企业合规管理
中共中央办公厅、国务院办公厅印发的《关于进一步推进国有企业贯彻落实“三重一大”决策制度的意见》,涉及国有企业重大事项的合规管理。根据该意见,国有企业必须就重大决策、重大人事任免、重大项目安排、大额资金运作等事项交由领导班子集体作出决定,国有企业必须在内部建立决策机制、评估机制、考评机制及事后追责机制。国务院国资委发布的《中央企业合规管理指引(试行)》,针对国资委履行出资人职责的国家出资企业的合规管理提出两款具体要求。事实上,国务院办公厅发布的《关于建立国有企业违规经营投资责任追究制度的意见》、国资委发布的《中央企业违规经营投资责任追究实施办法(试行)》也涉及国有企业的合规管理。
2.针对特殊事务的专项合规管理
(1)涉外业务专项合规管理
《企业境外经营合规管理指引》,由发改委等七部门发布,专门针对开展对外贸易、境外投资、对外承包工程等“走出去”相关业务的中国境内企业及其境外子公司、分公司、代表机构等境外分支机构。同时,《关于加强中资商业银行境外机构合规管理长效机制建设的指导意见》,就在境外设有经营性机构的中资商业银行实现境外机构安全稳健运行提出具体指导意见。根据这些规定,涉及境外业务的所有企业均须严格进行合规管理。
(2)特殊监管事务专项合规管理
企业合规分为大合规与小合规两类。前者针对不以特定领域和行业的合规风险,旨在要求企业全面建立合规治理体系;后者又称专项合规,针对特定合规风险领域,旨在要求企业建立特殊的合规管理制度。我国公司的专项合规,主要体现在反洗钱、反腐败、反垄断、安全生产、环境保护及数据合规领域。
(3)刑事合规管理
2020年3月、2021年3月,最高人民检察院先后启动两批次基层检察院开展涉案企业合规改革试点。在此基础上,2021年6月,最高人民检察院等8个部门发布《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》,提出了针对刑事涉案企业的合规管理第三方监督评估机制。为保障第三方机制的推行,2022年4月,最高人民检察院等部门出台《涉案企业合规建设、评估和审查办法(试行)》。至此,涉案企业合规改革试点在全国推开,第三方机制也在全国范围内展开。
3.适用对象范围从特殊到一般的转变
我国的公司合规管理,在最初仅适用于金融类公司、上市公司、国有出资公司等特殊公司。建立针对涉外业务、反垄断、反腐败、安全生产、环境保护以及数据等特别事务的专项合规制度后,无论是否为国有企业、金融企业,涉及涉外业务的所有企业,均应遵守相关规定。在全国范围内开展刑事合规,不管是民营企业还是国有企业,也不管是中小微企业还是上市公司,不管是金融行业还是其他行业,不管是涉外业务还是其他业务,只要刑事犯罪涉案企业认罪认罚,在符合能够正常生产经营、承诺建立或者完善企业合规制度、具备启动第三方机制等基本条件的情况下,都可以自愿适用第三方机制,推进刑事合规。
从特定行业公司到所有行业公司,从特殊投资主体公司到所有投资主体公司,从特殊业务公司到一般业务公司,我国企业合规管理的发展在适用对象上实现了从特殊公司到所有公司的转变。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》两次提到企业合规管理。在提高国际双向投资水平部分,强调“引导企业加强合规管理,防范化解境外政治、经济、安全等各类风险”;在促进民营企业高质量发展部分,强调“推动民营企业守法合规经营,鼓励民营企业积极履行社会责任、参与社会公益和慈善事业”。自此,合规管理成为针对所有公司的普遍性要求。
在法理逻辑上,制度的约束力可分为公法约束与私法约束两类。所谓公法约束,发生在管理与被管理的关系中,作为国家公权执行机关的管理者对作为市场主体的被管理者开展执法活动,要求被管理者必须或者不得实施某种行为,被管理者不按要求行为则面临来自执法机关的处罚,甚至被追究刑事责任。所谓私法约束,发生在平等主体之间,或者基于平等主体之间的某种约定,或者基于法律的直接规定,如果一方当事人违反针对另外一方当事人的义务,将承担民事法律责任。
刑事合规文件以及针对金融机构、上市公司以及涉外业务的合规管理文件直接对被管理对象产生公法约束力。根据《商业银行合规风险管理指引》,商业银行必须建立与其经营范围、组织结构和业务规模相适应的合规风险管理体系、管理人员合规绩效的考核制度、有效的合规问责制度;银保监会将对商业银行合规风险管理有效性进行评价的报告作为分类监管的重要依据。显然,关于“评价报告作为分类监管的重要依据”的规定事实上赋予了银保监会展开特殊行政监管的公法效果。
其他合规管理文件也有类似内容。《企业涉外业务合规管理》规定,企业可结合发展需要建立权责清晰的合规治理结构,在决策、管理、执行三个层级上划分相应的合规管理责任;可根据业务性质、地域范围、监管要求等设置相应的合规管理机构;应在合规行为准则的基础上,针对特定主题或特定风险领域制定具体的合规管理办法和相应的合规操作流程。虽然该规定没有建立《商业银行合规风险管理指引》那样的评估与分类监管联动机制,但若海外业务因执行人员的个人行为而导致一些违法风险时,该企业可以合规管理为理由抗辩国家相关机关针对企业的处罚,从而将企业的公法责任与企业管理人员的公法责任区分开来。[5]
当然,如果辅之以正式的公法责任追究豁免机制,将业务监督不存在过失作为法定免责事由,[6]属于行政监管范畴的合规管理所产生的公法约束效力将更加明显。至少,是否执行合规管理要求,是公共管理机关考察被监管主体是否违反、是否有过错的重要因素。就此而言,遵守合规管理规定成为公法责任的豁免事由。在郑孝平与中国证券监督管理委员会上海监管局复议决定上诉案[(2018)沪03行终34号]中,上海证监局认为,郑孝平作为首席风险官,在新股申购相关法规发生变动后未能及时建议并督导公司评估其对公司合规管理的影响,而对集合计划申购新股的上限问题作出与法律规定不符的个人解释,对于公司存在的顶格申购情况未采取有效的事前风控措施。当然,如果公司或者相关管理人严格地执行了合规管理要求,那么执法机关就应当豁免可能面临的法律责任。比如,美国《针对机构实体联邦量刑指南》就重申了企业建立有效合规体系可以减轻处罚的原则。
针对国有企业的合规管理文件,因国资委相对于国有企业的股东身份,对被管理对象产生的约束力在本质上应归属私法的范畴。《中央企业合规管理指引(试行)》第二条关于中央企业的界定已经明确地表达了该意思。该条规定,中央企业是指国资委履行出资人职责的国家出资企业。国资委与中央企业之间的关系属于股东与被投资公司/企业的关系,股东与公司之间的关系属于私法关系。也正因为如此,《中央企业合规管理指引(试行)》第一条明确将《公司法》《企业国有资产法》作为上位法。
1.约束公司、公司管理者及其他员工
从字面含义看,公司无疑应当是公司合规管理的义务主体。唯有如此,才符合公司是独立主体的民法原理。不过,公司行为须经由经营管理人员具体行为来体现,公司推动合规并不意味着企业管理人员行为合规。在现实中,因公司内部管理人员个人违法违规行为而导致企业面临法律风险、市场风险的情况并不少见。因此,公法上有责任双罚制度,不仅要处罚公司,也要同时处罚公司的业务执行人与负责人。《中华人民共和国民法典》(简称《民法典》)第六十二条、第一千一百九十一条分别规定了职务侵权中针对法定代表人、单位工作人员的单位追偿规则。
以合规即豁免相关主体责任为运作逻辑的合规管理制度意味着,公司及管理人员的公法义务是公司合规管理制度运行的前提。事实上,前述合规管理文件就明确规定了公司的合规管理义务以及针对公司管理人员的行为要求。
在上述冠以合规管理的多份法律文件中,除两个加强合规管理的通知外,《商业银行合规风险管理指引》《保险公司合规管理办法》《证券公司和证券投资基金管理公司合规管理办法》《中央企业合规管理办法》《企业涉外业务合规管理》等文件均有合规定义条款。根据这些定义,行为符合有关法律法规、国际条约、监管规定、行业准则、商业惯例、道德规范和企业依法制定的章程及规章制度等的要求,不仅针对公司,也同时针对公司员工。因此,合规管理所要防范的合规风险,既包括公司经营行为违规导致的法律风险、财产减少或信誉风险,也包括公司员工执行行为违规导致的法律风险、财产减少或信誉风险。员工的违规行为,可能导致公司与员工的双重责任。因此,公司必须建立完备的合规管理制度,包括行为规则与行为规则的执行机制与监督机制,以对内部所有员工的行为进行有效监督。如果这些制度本身是合理的,对于那些超出合理预期的员工违规行为,公司则不必承担合规管理外部责任。当然,责任排除机制必须限制在公法责任领域,至于私法责任则不应被排除。比如在银行飞单事件中,银行不得以尽到管理责任、完全属于内部人员个人行为为理由主张免责,除非能够证明客户是非善意的。
2.影响股东及其他利益相关者
虽然上述文件所提合规要求仅仅针对公司及员工,但这并不排除对市场其他主体产生影响的效应。根据法理逻辑,其他主体的影响应当体现在相关民事法律关系中,并具体地表现为相关主体特定的权利和义务。
(1)影响股东
鉴于法律行为的效力在公法与私法之间存在明显差异,[7]公法规范对私法法律行为效力的影响存在限度,[8]民事行为违反监管类公法强制规定的并不一定无效。作为公法属性的合规管理文件很难直接产生针对公司股东的私法效应。因为这些文件并不能够直接作为界定民事主体之间权利义务关系的依据,除非在特定场合被作为某种衡量因素,比如公司修改章程直接将公共机构发布的合规管理要求作为章程的内容,或者作为裁判考虑的推理依据。
不过,章程路径在现实应当极其少见。因为,合规管理之规事实上太过于广泛而难以被纳入。以《企业涉外业务合规管理》为例,该规定第三条明确规定:合规,是指企业及其员工的经营管理行为符合有关法律法规、国际条约、监管规定、行业准则、商业惯例、道德规范和企业依法制定的章程及规章制度等要求。显然,必须遵守之规定,不仅包括法律法规、公司章程,而且包括国际条约、监管规定、行业准则、商业惯例、道德规范以及企业内部除章程之外的其他规章制度。这些要求,远远超出了《公司法》第五条、第一百四十七条涵摄的范围。
裁判推理之路径,应当可行并且可以大量适用。上述公法属性的合规管理要求,无论上市公司、金融机构还是涉外业务企业均须严格遵守,否则企业将面临被依法追究法律责任、财产损失或商业信誉损失等风险。企业被国家机关或者其他市场主体追责后,企业内部应启动针对管理人及相关员工的追责机制,企业管理者及相关员工将面临外部法律责任以及企业内部给予纪律处分的风险。公司怠于追责的,公司股东有权提起代表诉讼向董事、监事和高级管理人员追责。如果董事、监事和高级管理人员以开展了有效合规管理为抗辩,那么合规管理是否开展、开展得是否有效的事实本身将作为董事、监事和高级管理人员承担责任的重要因素。显然,有关机关提出的合规管理监管要求已经被作为特定行业公司治理的一般要求而被赋予特定法律意义。当然,此种法律效应是直接的抑或间接的,尚需要进一步考察。
(2)影响其他利益相关者
虽然《公司法》第五条以及《民法典》第八十六条均有企业应当承担社会责任的规定,但让承担社会责任的要求转化为公司内部行为甚至转化为公司的法律义务则相当困难。企业合规管理机制在某种程度上可以改变此种困境。
《中央企业合规管理办法》是国家股东意志的表达,要求中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求,目的在于有效防控企业被追究法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。这些规定,无论是对合规之规的界定,还是对合规风险本身的描述,均体现出尊重股东之外其他利益相关者利益的明确意思。为落实这些要求,为确保国有企业必须尊重其他利益相关者的利益,国有企业的股东在某些行权事项上行使股东权益会有所抑制。就此而言,《中央企业合规管理办法》事实上体现出张扬其他利益相关者权益的效应;而该效应将具体表现在抑制股东权利冲动、扩张董事会自主决策权等方面。
金融类合规管理的其他文件也如此。只要所提事项关涉具体交易行为,合规管理就涉及维护交易公平、保护交易相对方利益。比如《中国人民银行关于加强征信合规管理工作的通知》,针对个别商业银行员工利用职务便利违规查询、下载和非法出售金融信用信息基础数据库个人征信信息等违法行为,直接要求银行必须完善操作系统功能以防范个人征信信息泄露,建立健全征信合规管理制度和操作规程以杜绝违规查询,定期对征信合规工作进行审计。这些合规要求,涉及客户的隐私权利、银行的保护义务,直接或者间接地影响着客户与银行之间权利义务关系的构建。
1.公法渊源的范围
行政法与刑法,是最典型的两类公法。根据罪刑法定原则,刑法的法律渊源相对较窄,因此,概括式附属刑法立法应适当节制,单行刑法因其弊端较多在立法实践中应予摒弃,判例法则不能成为我国刑法的渊源。[9]行政法的法律渊源,比依法行政原则之法的范围宽泛。[10]根据《立法法》,行政法的成文法渊源包括国家机关根据立法权限和立法程序制定发布的规范性法律文件,具体有:全国人大及其常委会制定的法律,全国人大常委会制定的法律解释,国务院根据宪法和法律制定行政法规,地方上的地方性法规、自治条例和单行条例、规章,国务院各部、委员会、中国人民银行、审计署和具有行政管理职能的直属机构根据法律和国务院的行政法规、决定、命令在本部门的权限范围内制定的行政规章,地方有权制定规章的政府制定的规章。
2.合规管理文件公法渊源属性的检视
金融监管部门制定的《商业银行合规风险管理指引》《保险公司合规管理办法》《中国人民银行关于加强征信合规管理工作的通知》《证券公司和证券投资基金管理公司合规管理办法》《中国保监会关于进一步加强保险公司合规管理工作有关问题的通知》《优先股试点管理办法》《上市公司收购管理办法》《上市公司重大资产重组管理办法》《保险资金运用内部控制指引》,国家发改委制定的《企业境外经营合规管理指引》及银保监会制定的《关于加强中资商业银行境外机构合规管理长效机制建设的指导意见》,可以归属为部门规章的范畴。因此,这些文件可以纳入处理行政监管、行政执法事务的法律渊源。
《关于进一步推进国有企业贯彻落实“三重一大”决策制度的意见》,系由中共中央办公厅、国务院办公厅发布,兼具属于党内法规和行政法规的双重属性,但该文件仅仅针对国有企业管理,依据规范的关系而将其归属为公法属性尚不太适宜。至于国务院国资委发布的《中央企业合规管理办法》《中央企业违规经营投资责任追究实施办法(试行)》,由于系国资委以中央企业股东身份发出的,也不适宜界定为公法规范。
1.私法渊源的范围
理论界对私法渊源的理解,有狭义与广义两种立场。[11]源于法律直接明确规定进行判断必须依据法律、行政法规的法律表述,狭义说坚持认为,私法渊源应从裁判依据的角度去认定,只有那些能直接作为民事裁判依据的文件才是私法渊源,所谓私法软法因不具有国家强制力而并非私法渊源。[12]根据狭义说,私法渊源仅仅包括法律、行政法规、特殊情况下的地方性法规、处理民族自治事务的自治条例与单行条例、法源性的习惯。按照广义说,民法渊源除法律、法规和习惯外,还应当包括司法判例、民法学说和法律的一般原则。[13]
平等主体之间权利义务关系之创设以意思自治为原则、以国家强制为例外。国家强制介入之目的在于,消除意思自治可能背离公序良俗或者侵犯公共利益,导致当事人之间的严重不公平等严重不利。针对侵犯公共利益的不利,私法设置民事法律行为无效制度;针对严重不公平之不利,私法设置民事法律行为可撤销制度。谨慎适用合同无效规则,尽可能维护交易自由是私法基本理念。同样,在赋予当事人针对不公平行为以撤销权时,也应当尽量限制撤销权的滥用。基于尊重意思自治、严格限制国家强制的私法原理,应严格构建民事法律行为的效力瑕疵规则,当然也有必要严格限制私法渊源。所以,关于私法渊源特别是民法渊源应采取狭义立场。
2.合规管理监管文件不能直接作为私法渊源
首先,那些本质上属于公法范畴的合规管理监管文件不是私法渊源。针对金融机构、上市公司以及针对国内企业境外业务各种合规管理监管文件,最多属于部门规章,不能够直接作为处理涉及股东利益保护、其他利益相关者保护纠纷的裁判依据。
其次,针对国有企业的合规管理监管文件也不宜作为私法渊源。如前所述,无论是兼具属于党内法规和行政法规属性的《关于进一步推进国有企业贯彻落实“三重一大”决策制度的意见》,还是可能归属于行政法规序列的《中央企业违规经营投资责任追究实施办法(试行)》,以及可能归属于部门规章的《中央企业合规管理办法》,体现的均是国有企业的国家股东之意志。虽然这些文件可能涉及股东与公司甚至股东与利益相关者、公司与利益相关者等平等主体之间的法律关系,但不适宜界定为私法渊源,不能直接作为处理相关纠纷的裁判依据。
前述合规管理文件,无论属于私法范畴还是公法范畴,都不适宜直接将它们纳入作为裁判依据的私法渊源。但不可否认的是,这些文件在民事裁判中事实上影响着当事人之间的权益义务关系。对此,我们可以从其他角度来认识。
首先是私法属性的软法。软法是法学理论中与硬法相对应的一个特殊术语。认识软法,可以从软与法两个方面展开。软法之所以软,是因为“只具有行为模式而不具有制裁性法律后果”;[14]软法之所以是法,是因为它们虽然无法通过正式行政处罚和司法审判而维持其效力,但事实上已经具备行为模式以及法律后果的构成要素,只不过法律后果是通过特殊利益诱导和柔性惩罚机制来体现的。正如学者所言,软法是“非典型意义的法,其不一定由国家立法机关制定,不一定由国家强制力保障实施,不一定由法院裁决其实施中的纠纷”。[15]上述合规管理文件,虽然对自愿开展合规管理的企业以及必须遵守合规要求的企业及管理人员设置了详细的行为要求,但由于几乎没有设置法律后果而似乎难以将其与法建立联系。不过,可以从更为宽泛的角度来考察,比如借助法律渊源的理论。那些不属于私法渊源的法律文件,虽然不能够直接作为裁判依据去创设当事人之间的权益义务关系,但事实上影响着裁判结果而成为软法。参照此逻辑,上述所有合规管理文件,由于能够对民事关系产生实质性影响,虽然难以成为私法渊源,但可以认定是私法软法。
其次是组织治理标准。在侵权法上,标准与侵权责任有正式对接机制。强制性标准是侵权责任注意义务的重要产生依据和侵权责任承担的重要判断依据。[16]类推适用该规定,在追究侵权责任的其他场合或者适用非强制标准的场合,法院也应在推理中重视标准这一关键因素。为了对未创建合规管理体系的组织开展合规管理提供具体指引,对已创建合规管理体系的组织优化合规管理提供指导,2017年12月29日,国家市场监督管理总局与国家标准化管理委员联合发布《GB/T 35770—2017/ISO 19600:2014合规管理体系指南》(简称《合规管理体系指南》)。当大量公司特别是特定领域公司普遍推行合规管理后,《合规管理体系指南》的具体要求以及这些行业进行合规管理的普遍做法则转化为一种被普遍接受的行业标准。在处理公司治理有关纠纷时,这些行业标准理应成为法院重点考虑的因素。当然,合规管理要求中标准有强制与非强制之分。国家机关通过某种强制手段推行的合规可能构成强制标准,非由强制手段推动的合规在转化为标准后则属于非强制标准。后者诸如《反贿赂管理体系深圳标准》(简称《深圳标准》)。出台于2017年6月12日的《深圳标准》,是国内首个反贿赂管理领域的地方标准。该标准借鉴和参考了国际标准化组织ISO37001《反贿赂管理体系要求及使用指南》的主要内容,由深圳市标准技术研究院起草、深圳市市场监督管理局发布,为企业有效发现、预防和管控贿赂风险提供了一个比较完整的管理框架和指南。作为非强制性标准,《深圳标准》可以由企业自行选择是否导入或者通过第三方机构协助导入。目前万科、中兴、平安、中集等数十家大型企业已经采用了该标准。基于标准适用的类推规则,这些非强制性的合规管理要求或者标准发挥私法作用的空间同样存在。
最后是习惯。合规管理要求事实上构成约束或者指导民事主体的行为规则,一旦被某个行业的组织、企业或者公司普遍适用,特别是被自觉地选择适用,是否会转化为《民法典》第十条所言的习惯呢?答案是肯定的。
企业合规管理是在依法治理的大环境中提出的,是依法治理企业的一个重要举措。但是,企业合规管理与依法治理企业之间并不重合,合规之规不同于依法之法是最突出的表现。依法治企之法,应当包括属于公法法律渊源以及属于私法渊源的公法,以及属于我国法律体系重要组成部分的党内法规。企业合规管理之规的范围要大得多。根据巴塞尔《合规与银行内部合规部门》,银行合规管理之规涉及立法机关和监管机构发行的法律、规则和准则、市场惯例以及行业协会制定的适用于银行内部工作人员的内部守则和行为准则,还包括超越上述规范之外的具有广泛意义的诚信标准和道德行为标准。根据这些建议,合规管理之规,既包括法律渊源意义的硬法,也包括非法律渊源意义的软法,还包括难以被纳入法律范畴的其他规则。合规管理的效力,既包括法律强制约束性,也包括市场性、道德性的非强制约束力。就此而言,合规之规与依法之法之间并不对应。
合规管理之规显著地宽于私法法律渊源。如果将公司章程及其他内部文件加入,合规管理所涉之规就更为宽泛了。问题在于,公司法如何理性对待现象?完全无视或予以回应?如果回应,是消极被动还是积极吸纳?完全无视的选择,不符合《民法典》这一上位法的要求,也不符合《公司法》第五条立法精神以及我国公司治理实践。《民法典》第一条规定,弘扬社会主义核心价值观是其重要主旨;第八十六条规定,营利法人从事经营活动,应当遵守商业道德,承担社会责任。而那些超越上述规范之外的具有广泛意义的诚信标准和道德行为标准事实上可能高度契合社会主义核心价值观,反映了商业道德以及社会责任的要求。虽然《公司法》第一百四十七条仅将公司主要管理人员遵守规则的范围限定在法律、行政法规以及公司章程,但根据第五条关于公司应当遵守商业道德、承担社会责任的规定,法律、行政法规以及公司章程之外的其他规范应当成为董事、监事和高级管理人员履职行为的准则。公司合规管理,正好体现了这一精神。
公司法治实践应如何主动吸纳合规管理的要求呢?继续保持《公司法》第五条所涉关于公司应当遵守商业道德、承担社会责任等内容是必要的,但显然还不够。可行的做法是,在《公司法》第五条所涉内容中增加规定公司应当进行合规管理,在第一百四十七条所涉内容中增加规定董事、监事以及高级管理人员应遵守商业道德。不过,由于合规管理、商业道德的表述过于抽象,即便增加此类宣示性规定,关于公司与公司管理者应遵守商业道德,以及遵守前述哪些非私法法律渊源合规管理文件的要求也难以落地。借助民商事习惯的基本原理,将合规管理对企业治理提出的要求转化为公司治理组织习惯,应当是较好的选择。与《民法典》第十条的习惯法源对接,可将那些属于公法法源的监管文件、不属于公法法源也不属于私法法源的监管文件的适用引向习惯路径,从而最有效地发挥私法效应。
1.习惯的认定
《民法典》第十条引入了法源习惯。该条规定,处理民事纠纷,应当依照法律;法律没有规定的,可以适用习惯,但是不得违背公序良俗。根据该条,符合条件的习惯将直接被作为裁判依据来处理当事人之间的权利义务纠纷。适用习惯法源进行裁判时,如何识别习惯是裁判者面临的首要问题。从思维逻辑看,该识别分为识别事实习惯与识别法源习惯两个阶段。在前者,主要关注习惯是否客观存在;在后者,主要关注习惯是否合法。事实上,学界通常将两者混合。比如,有学者在研究民国时期习惯适用的判例后认为,习惯法成立要件有四:(1)要有内部要素,即人人有法之确认心;(2)要有外部要素,即于一定期间内就同一事项为同一行为;(3)要系法令所未规定之事项;(4)要无悖于公共秩序、利益。[17]前两个要素,涉及习惯是否存在的判断;第三个要素,涉及是否在该个案中适用习惯的判断;第四个要素,涉及对事实习惯进行合法性审查。显然,第三个要素与习惯的识别没有任何关系,而第四个要素涉及法律的价值判断。王利明认为:“习惯法是指长期和恒定、获得特定群体内心确信为行为规则,且具有合法性的习惯……由此,习惯要转化为习惯法,必须要经过合法性的评价。”[18]该主张中,关于“长期和恒定、获得特定群体内心确信为行为规则”的论断,恰恰是对事实性习惯是否存在的认定,而合法性评价的主张,则是对事实性习惯进行适法性审查的内容。
就事实判断而言,习惯应当具备成为长期和恒定的行为规则以及获得特定群体内心确信两个要件,即所谓体素(客观要件)与心素(主观要件)两个方面。[19]关于这两个认定条件,理论界几乎不存在争议。[20]适法性审查涉及由谁审查、依据何种标准审查的不同问题。未经受审查程序,或者虽经审查而未通过的,即使某种行为模式构成事实性的习惯,也不可能是法源性习惯。当然,这并不意味着习惯一定要经过审查才能够产生效力。比如为进入司法程序的习惯。有学者就认为,“交易习惯效力的展开,未必通过其法律性格的承认,经由契约行为的解释,交易习惯已被纳入契约的规范中,成为规范具体契约关系的行为规范,当有争议时,并得以约束法官,从而成为裁判规范”。[21]
2.合规管理所要求的行为模式获得普遍适用性
只有成为长期和恒定的行为规则,合规管理要求的行为模式才能够成为习惯。获得普遍适用性,是合规管理要求转化为习惯的第一个门槛。除央企合规管理系由股东自身推动而具有某种程度的内生性外,其他合规管理要求均由行政监管机关推动,具有明显的外生性。当然,该外生性并不必然构成转化为长期和恒定的行为规则的阻碍。因为外生要求本身意味着压力机制。在行政机关执法机制、市场信誉约束机制甚至是在民事责任机制的压力下,相关公司或者企业均不得不选择采取合规管理,主动去构建合规的规则体系与合规执行机制,以确保企业风险管理符合监管机关的强制要求。
关于合规管理行为模式的长期与恒定,需要注意两个因素。第一,如果合规管理转化为商事习惯,该习惯长期性与恒定性的判断要件与普通民事领域中习惯的该要件应当有所区别。关于习惯的长期性,在普通民事领域需要借助于时间之“美”,没有长时间的积淀是无法实现的;在商事领域的时间要求应有所减低,因为变化性与创新性是商事活动的内在特征。当然,在评判习惯的长期性要件时,也应降低行为规范的一致性要求。合规管理应与企业特殊性相契合,允许不同企业在遵守基本原则的基础上对一般性合规管理要求进行调适。第二,在考察行为模式时必须同时关注被监管的公司以及公司经营管理人员,因为合规管理同时指向这两类主体的行为。
3.合规管理获得公司及公司员工的内心认同
公司对于合规管理要求的遵循,可能基于公法责任的压力机制,也可能基于民事法律责任机制与市场信誉机制。但是,不同场合中公司及管理人员对合规管理要求的内心认同状态并不相同。
央企合规管理监管要求,实质是央企股东的具体要求。为全面管控企业及企业的管理人员,公司治理中股东意志的正式表达机制,包括事前的经营决策与人事任免、事中的过程监督以及事后的审查及市场行为。股东对企业及管理人员的这种管控,需要依赖民事责任机制、市场价格机制以及信誉机制。基于这些机制形成的压力,企业及管理人员主动认同并且选择采取合规管理机制、遵循企业内部合规管理要求的内在动机较为强烈。因此,在央企合规管理要求被普遍遵守时,一般可以认定合规管理要求得到央企及其管理人员的内心认同。此刻,作为外部秩序的合规监管要求就成功地转化为合规管理义务主体的内生行为。
属于公法范畴的合规管理要求,在很大程度上需要依赖公共管理机关的执法活动来落地。若不遵守合规要求,被监管主体将面临不利的公法后果;避免不利公法后果则成为被监管主体遵守公法范畴合规管理要求的主要动因。此刻,合规管理要求的外生属性相当明显。当然,这并不意味着公法范畴合规管理要求不能转化为被监管主体的内心认同。遵守合规要求本身也是提升企业治理效率的内在要求,遵守即可免除处罚的豁免机制本身具有相当大的激励效应。借鉴立法商谈与执法商谈的统一能够有效推动行政法治理想图景的启示,[22]此种激励事实上相当于监管机关与被监管对象之间的平等商谈,而执法者与被执法者之间的交往商谈能够达成共识。在效益激励、责任豁免激励以及商谈机制的催化下,外生性监管要求也能够获得被监管对象的内心认同。在其中,平等主体的商谈、执法中的正向激励以及监管要求本身的合理性,是三个关键要素。如果将监管要求的履行情况作为处理民事纠纷的一个重要因素,在民事责任或者豁免的激励下,外在性监管要求获得被监管者内心认同的可能性会大大增加。至于市场信誉机制,当然是催生内心认同的直接原因。就此而言,构建企业合规管理执行信息的公正评价机制、信息披露机制及舆论环境,对于合规监管要求的有效推广来说至关重要。
4.适法性审查之通过
无论是事实性习惯,还是法律渊源性习惯,如果获得法律或者司法的承认,其效力会得到显著增强。事实性习惯作为证据事实存在,适用证据审查规则,经受合法性、合理性审查是必然的;法源习惯作为裁判依据,必须经过适法性审查。[23]当然,两者适法性审查的标准可能并不相同,事实性习惯应当低于法源性习惯。
如果合规管理监管要求被企业及管理者普遍接受,合规管理作为事实性习惯是无疑的。在相关当事人提出主张的情况下,在裁判中是否被采纳而作为证据,审查应聚焦于证明效力。因本身是由监管机关提出的,公司合规管理要求的合法性一般不应受到质疑。当然,这并不意味着所有合规行为模式都合法,合法行为模式当然具有证明力。合规管理要求事实上包括两个不同内容:第一,建立合规管理要求的规则;第二,建立合规管理规则执行的机制。规则本身是否合理、规则的执行机制是否合理,需要根据公司章程、公司法进行审查后才能够得出结论。
如果被企业及管理者普遍接受,即使公司章程或者企业内部管理制度没有明确规定,法律或行政法规也没有其他规定,合规管理监管的实质性规则以及执行机制规则就可能成为裁判的直接依据。当然,前提是这些合规管理监管的实质性规则以及执行机制规则通过了合法程序。按照《民法典》第十条,公序良俗是进行合法审查的标准。不过,单一的公序良俗标准可能并不充分。合规监管文件所规定的合规管理要求很多是原则性的规范,开展合规管理的公司不得不结合行业特征及本公司的具体情况进行演绎。那些经演绎而出现的具体规则,可能不背离公序良俗,但并不公平。因此,对习惯合法性进行审查的标准应持公平原则和公序良俗原则相结合的综合标准。[24]
法院审查是事实性习惯获得证据效力的前提条件和事实性习惯转化为法律习惯的重要推动力。正如德国学者卡尔·拉伦茨所言,民法典制定之后的习惯法,“是通过所谓的法院实践,尤其是通过各个最高法院的长期判例产生的”。[25]若要让作为行政监管要求的合规管理在习惯路径上更好地发挥作用,法院就应在民商事审判中大量适用习惯。
合规管理事实上包括遵守合规管理之规以及构建旨在推动合规管理之规落地的合规管理机制两个方面。根据合规管理要求,公司应构建出合规风险防范要求的规则体系以及规则执行体系。这些合规风险防范规则以及规则执行体系事实上会内嵌于公司组织运行机制,合规管理的组织治理、企业治理或者公司治理的色彩也越来越明显。合规管理对传统公司治理理论和机制提出全面挑战,合规管理时代的公司治理也进入一个新阶段。在美国,2001年《萨班斯—奥克斯利法案》明确将合规管理纳入所有上市公司的治理中,对财务审计报告精确性提出了新要求,也建立了针对公司高级管理层的个人责任机制。[26]因此,公司合规管理习惯事实上就是公司治理习惯。
在被转化为习惯后,合规管理类公司治理习惯主要有以下类型:
1.公司治理遵循的规则体系习惯
公司治理所涉及权力配置与运行,必须依据一定规则体系来创设。如前所述,《公司法》第五条设置了“法律、行政法规,遵守社会公德、商业道德,诚实守信”并且“承担社会责任”的体系,而《公司法》第一百四十七条对董事、监事和高级管理人员设置了“遵守法律、行政法规和公司章程”并且向公司“承担忠实义务和勤勉义务”的规则体系。合规管理文件所涉“规”的外延有所拓展。《央企合规管理办法》将“规”界定为法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则;《商业银行合规管理指引》将“规”界定为“适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守”;《企业境外合规经营指引》将“规”界定为“法律法规、国际条约、监管规定、行业准则、商业惯例、道德规范和企业依法制定的章程及规章制度”。
理性的公司治理所遵循的规则体系,不应局限于公司章程及其他内部制度、法律与行政法规,还应包括属于公法渊源的地方性法规、规章,以及那些不属于法律渊源的软法、习惯,甚至道德规范。在处理公司与公司交易相对方之间平等关系时,法律与行政法规之外的法律文件虽然不是私法渊源而无法直接适用,但不得忽略内在的实质的甚至是直接的法律影响,因为遵守这些文件可能就是遵从市场习惯。在处理公司与股东、股东与股东、股东与管理者等平等主体之间的关系时,也应如此。
2.公司治理机构设置及职权配置类习惯
根据合规管理要求,公司内部必须设置匹配合规风险防范目标的合规管理部门。该部门,无论是新设还是利用原有的董事会、董事会专门委员会、管理层机制,都必须配置相应合规管理职权。《企业境外合规经营指引》就规定,企业可根据业务性质、地域范围、监管要求等设置相应的合规管理机构,该机构一般由合规委员会、合规负责人和合规管理部门组成;尚不具备条件设立专门合规管理机构的企业,可由法律事务部门、风险防控部门等来履行合规管理职责。显然,对于境外经营业务领域的企业或者公司而言,如果合规管理的习惯得以形成,那么内部机构设置及机构职权的配置、合规部门与业务部门的职权分工与配合机制等方面的特殊组织治理习惯也得以产生。同理,针对金融机构的合规管理要求成为习惯后,金融机构设置合规管理部门和合规管理负责人、合规管理负责人作为董事或者经理人执行合规事务的辅助人则成为金融领域的特殊公司治理组织习惯。央企合规管理的要求转化为治理习惯后,就在国有公司领域形成了设立合规管理委员会、合规管理委员会与企业法治建设领导小组或风险控制委员会等合署以及董事会、监事会、经理层等不同层级主体负担相应合规管理职责的习惯。与此相对应,如果涉外业务的公司、金融类公司、国资公司不按照要求设置合规管理机构或者配置合规管理职责,在追究相应主体民事责任时可直接将习惯性规则作为裁判依据。
3.公司内部机构职权行使程序习惯
为有效开展合规管理,合规管理应当贯穿于公司经营管理和业务执行的各个环节,并且要求决策、执行、监督等各个部门相互协作。当合规管理转化为公司治理习惯后,有关决策、执行、监督等业务的流程以及各个部门如何配合的机制就成为公司内部治理的次级习惯。在衡量公司控股股东是否滥用控制权、公司董事、监事及高级管理人员是否尽到勤勉义务的场合,这些习惯可以作为法官裁判的直接依据。
4.合规管理体制的适应性设置习惯
管理应成为公司的一项长期投资,[27]因为以服从规则为核心要求的合规管理与公司作为具有独立人格的民事主体应当与维系社会合法性的社会期待高度契合。但是,我们也不应忽略合规管理需要成本的事实。因此,合规管理义务的施加也应当符合国家强制之于市场活动外部性抑制的联动机理。一般而言,公司的规模越大、业务越复杂,公司行为的负面外部性就越大,进行严格监管的必要性也就越高。反之,公司的公共性程度越小,在公司治理上越应当坚守股东所有者的原则,越应当遵从公司特别是股东的自治,允许股东会考虑限制董事会的决策权。因此,应允许公司根据经营范围、组织结构和业务规模等内部情况以及公司所处外部市场情况等实际建立相应的合规管理制度。当合规管理成为公司治理习惯后,公司治理的合理性评价也应当关注不同公司选择不同合规管理具体制度的习惯做法。
合规管理虽然起源于公共监管并且主要表现国家强制,但是公司需要合规是毋庸置疑的。无论是合规管理还是公司治理,均落脚于公司行为,并依赖于公司内部机构的设置、职权配置及职权运行程序而展开。从治理角度看,公司内部必须合理处理股东会、董事会、监事会之间的职权关系。董事会在事中过程监督以及监事会事后监督上具有局限,建立专门合规管理部门去分摊董事会甚至监事会的监督功能在某种程度上也有现实的必要性。基于监督必须独立的原则,在监事会外甚至董事会之外构建独立的合规管理机制是合规管理的旨意所在。该种机制,恰好契合强化公司内部监督的公司治理理念。[28]当公司社会责任理念得到强化后,因所合之规的扩展以及管理的独立性,合规管理恰好又是将社会责任理念贯穿到公司日常经营管理与执行过程中的最佳路径。合规之规所涵盖的法律渊源之外的规则体系,恰好是社会责任中道德义务所指内容。主动践行社会责任,公司应针对内部治理结构作某种程度的调适。[29]通过合规管理体系,公司主动将体现社会责任要求的内容内化为治理行为,无疑是一种自我管制机制。[30]但是,合规管理也面临合规之规与依法之法之间不对应性带来的严重问题。那些超乎法律渊源范畴之规,如何在合规监管中有效发挥作用?公司法修订又如何回应这一问题?
监管规范作为一般性威慑,很多时候难以发挥作用。“社会管制各个领域的研究表明,一般威慑与遵守之间的联系是复杂的。受监管的商业公司对法律风险的看法在塑造公司行为方面比法律制裁的客观可能性要重要得多。”[31]建立合规管理制度,要求被监管的企业自己构建合规之规的体系、构建完备的合规执行体系并且由此培育合规文化,是促使外部监管规范内部化、实现文本规范到实践规范转化的重要机制。如果这些要求被转化为公司自觉遵守的习惯,那么这些外部性治理要求就被全部内部化了。就此而言,促使合规监管要求转换为公司治理习惯应当是政府推行合规监管制度的终极要求。为此,从公司治理角度考察合规管理,应当关注基于合规监管而促成一系列公司治理习惯的有效形成,诸如:公司治理遵守规则体系的习惯、公司内部机构设置及职权配置的习惯、公司内部机构职权运行程序习惯以及公司合规管理治理机制构建习惯。
适用于公司的普遍性以及合规之规具有约束力的客观性,意味着合规监管要求转化为治理习惯具备体素条件;合规规范的合理性以及公司予以遵从的内在需求性意味着合规监管要求转化为治理习惯具备心素条件,因此,需要关注合规管理规定本身的合理性以及督促这些要求落地的外在机制,诸如:法院在民事审判中适用合规管理规范的能动性、企业合规执行信息的公正评价机制、信息披露机制及舆论环境。监管机关提出的合规管理要求,不仅可能不合理,本身也可能不完备。为此,如何有效发挥行业协会在合规管理制度供给上的作用则是需要解决的另外一个课题。[32]