一、我国学界对“合规、内控等公司管理体系”与董事义务关系的研究现状
从全球来看,不论在刑事法领域,还是经济法领域,“合规”(compliance)都已逐步成为一种共享制度。而在“中概股事件”和域外“长臂管辖”等事件的推动下,[1]以及监管部门强化合规要求的背景下,[2]我国部分学者主张应在我国《公司法》修订之际将合规管理的要求嵌入其中。[3]从我国《证券公司和证券投资基金管理公司合规管理办法》《保险公司合规管理办法》《企业内部控制基本规范》等一系列办法、规范(以下称“一系列办法、规范”)来看,合规、内控均强调“全覆盖”(即涵盖公司的所有业务,各部门和全体工作人员)和“全过程”(贯穿决策、执行、监督、反馈等各个环节)。[4]邓峰指出,大型公司为实现包括对职工业务行为的合规监督必须构筑一个“合规体系”, [5]而其又同“风险管理”(risk management)、“内控体系”(internal control system)联系在一起。[6]我国学界对这种全覆盖、全过程的组织化管理常以“体系”“系统”“体制”“机制”或者“计划”等来描述,本文以下以“体系”指之。
赵万一认为,可在董事会下设“合规委员会”以负责公司的合规监督,[7]而上述一系列办法、规范亦都将体系构筑和有效实施的责任主体定位于董事(会), [8]但有学者指出,我国公司法确立合规的基础性条件欠缺,尤其我国法上的董事注意义务几近“孤词”。[9]对此,一说认为,构筑董事合规义务或体系义务[10]应先构建董事“诚信义务”;[11]另一说认为,可先构建董事监督义务,并将内控体系等作为董事监督义务的重要内容加以确立。[12]针对前者,叶林指出,改变董事信义义务结构可能造成董事信义义务边界更为模糊;[13]针对后者,虽然一些行政处罚中已对董事的“监督义务”予以阐述,[14]但我国现行《公司法》第46、108、147、149条以及董事会职能规定中均未见监督一事。[15]
同时,对董事监督责任的认定应当采取何种标准?从我国《公司法》第46、108条、《证券法》第152条等规定看,或可认为制定合规、内控等管理体系属于董事注意义务范畴。我国学者对注意义务标准的研究已有诸多成果,[16]有的主张适用主观标准,[17]有的主张应主要适用客观标准,[18]任自力还细分了美国、日本、德国的“宽松”“折中”“严格”等三种客观标准。[19]实际上,董事的注意义务分为在董事会积极决策中的注意义务和对公司经营监督中的注意义务,[20]我国学者目前的研究大多围绕的是“积极决策”中的注意义务。同时,楼建波、罗培新等学者通过实证研究后发现,[21]相当一部分法院对判断董事“履职是否适当”的实质性要素避而不见。在“吴小虎案”中,二审法院甚至认为,在公司存在内部控制(体系)的情况下,执行董事依然有义务直接监督、督促相应的人员进行存货盘点。[22]而在围绕董事勤勉履职的行政处罚中,包括独立董事在内的受罚者们纷纷“喊冤”并提起了诉讼。[23]
就学界探讨的董事监督义务与体系义务的关系,以及董事在经营监督中的注意义务及其标准,本文将尝试在对美、日经验进行系统梳理和分析的基础上进行探讨。以期有助于我国《公司法》修订时重构董事会职能,创设董事监督义务,并为未来我国法引入合规、内控管理体系的普适性规则提供有益借鉴。
二、美国法上的董事体系义务
(一)美国法上董事体系义务的确立
数十年来,董事监督义务始终是美国公司法学界长盛不衰的研究领域。在美国法上,董事会可以将业务权限向下授权,但须同时对业务执行进行监督,对此,《修订标准公司法》的表述是,董事会对公司经营的监督职责不得授权他人,[24]《特拉华州普通公司法》§141(a)也有类似规定。[25]而当公司发生合规或者其他风险致损时,原告往往以董事违反监督义务为由提起诉讼。“Graham案”是以董事违反监督义务为由追究董事合规体系责任的“首要案例”(leading case)。[26]特拉华州最高法院认为:“董事不承担在公司内构筑并运作一个可以探查出不当行为的谍报体系的义务”, [27]法院同时指出,如董事发现“值得怀疑的情形”后不予处置则须承担责任。类似的判决还发生在“Smith v. Van Gorkom案”中。[28]可见,董事监督义务作为一项积极义务早于董事体系义务而存在。
上世纪七十年代美、日竞争的背景下,由最高法院法官亚瑟·J.高柏(Arthur J. Goldberg)提出,应由独立于经营者的外部董事承担经营监督职责,后经艾森伯格(Eisenberg)反复强调,逐渐形成“监督型(monitoring)董事会”模式。[29]同时,大型公司纷纷采用经营效率更高的M型组织结构(multi-divisional form), “扁平化”的事业部经理人掌握了更多业务执行权,信息偏差使得董事会发现“值得怀疑的情形”被大大限制了。[30]科菲(Coffee)遂指出,如继续坚持“Graham案”的逻辑,则董事会逐渐变成“睡着的哨兵”(shut-eyed sentry)。[31]而在1977年美国联邦颁布《海外反腐败法》之后,1978年的联邦经营者圆桌会议达成共识,大规模公司应实施一套合规体系,[32]虽然这和“Graham案”的判断构成了鲜明对照,但体系义务仍未被明确作为董事信义义务的一项内容。
直到八十年代内部人交易频发后,1991年诞生了联邦法院判决指引性文件《联邦组织量刑指南》(Federal Sentencing Guidelines for Organizations),在其第8章“组织的量刑”中增加了对公司犯罪的新的量刑政策,即只要公司制定并实施了“为防止法律违反而有效的程序”(effective program to prevent and detect violations of law),就可以作为减轻量刑的事由,其中就包括了“信息传递体系”。实际上,1978年联邦经营者圆桌会议发布的董事手册中就已提出“信息传递”的重要性,认为董事有必要在公司构筑一个有效的信息报告机制并维持其运行。美国法律协会(ALI)的《公司治理原则与建议》的态度首先转变,[33]其认为大型公司董事会必须构建一种能辅助其积极进行监督的程序或者其他手段。[34]在“Graham案”的三十多年后,特拉华法院在下文所述的“Caremark案”中认为,股份公司董事会应该诚信地努力构筑一个信息报告体系(information and reporting system),董事的体系义务在特拉华州判例法中才被正式确立下来。
(二)美国法上体系义务的审查标准
1.“诚信标准”与“二要件说”
在董事监督义务的法院审查中,经常就“诚信”(good faith)在董事信义义务中的地位(属于忠实义务还是注意义务)产生争议,[35]国内学者对此已展开评述。[36]总结其主要原因有二:第一,在特拉华州公司法下,董事注意义务分为在董事会决策过程中积极地进行决策,及对公司经营进行监督等两个层面,[37]前者采用“重大过错”标准,并逐渐形成“商业判断规则”,用以排除法院对决策内容的实质审查;后者则一般认为不能直接适用商业判断规则,并在排除适用商业判断规则时对一些要素产生争议;[38]第二,董事缺乏“诚信”究竟属于违反忠实义务还是注意义务,是否允许董事援引公司基础章程免责条款(《特拉华州普通公司法》§102(b)(7)),是否允许费用补偿[《特拉华州普通公司法》§145(b)],乃至适用董事责任保险等密切关联,简言之,如董事被认定缺乏“诚信”则无法获得免责。
“Caremark案”中,公司职员违反《医疗中介回扣防止法》,约定由医生向患者推荐公司的服务或产品,而公司向医生支付回扣。法院认为,缺乏“诚信”属于董事注意义务范畴,换言之,董事会是否决策,以及如何确定决策体系(也即信息报告体系)及其具体内容是否属于商业判断规则的范畴。[39]此后很长一段时间,对“诚信”的认识几乎处于混乱状态,[40]直到“Stone案”, [41]南方银行因其雇员违反联邦《银行保密法案》及《反洗钱法案》而被处以5000万美元罚款。特拉华州最高法院认为“诚信”(good faith)仅是“obligation”,是忠实义务的一项具体内容。[42]法院同时指出,认定董事违反监督义务即认定缺乏“诚信”需满足两个要件:第一,董事完全没有构筑和实施信息报告体系;第二,董事虽然构筑或实施了体系,但有意识地(knowingly)对体系是否发挥功能不进行监督。
“Stone案”的双要件说对“Caremark案”判决的实质性变更主要体现在两个方面:首先,第一要件否定了董事会经过商业判断不构筑体系亦可获得免责的情况,也即,假使董事会考虑费用成本而未构筑相关体系的,将直接构成监督义务违反,且不受商业判断规则的保护。[43]其次,第二要件强调了原告必须使法官确信董事确属“有意识地放弃义务”且已接近于“不忠实”的心理状态。“Stone案”之后的“Desimone案”(2007)、[44]“Wood案”(2008)[45]中,特拉华法院都沿袭了上述克制的司法态度,法院认为仅在董事会存在惯常性、结构性懈怠义务时才能认定董事责任。
当然,对于第一要件,美国学界的意见并不统一,比如艾森伯格主张大型股份公司的董事应对公司的体系错误(system aticerror)负责;[46]班布里奇(Bainbridge)习惯用“every dog gets one bite”来形容,他认为狗主人在狗(哪怕仅一次)咬过人之后才应认识到其具有咬人的本性,但如果狗从来没有咬过人,那么狗主人没有责任(去进行日常防范),因此体系义务的适用范围是有条件的。[47]而克拉克(Clark)认为,对于不能使公司利益最大化的合规体系,考虑到费用问题,应该交由公司自由裁量而不宜法律强制。[48]此外,詹妮弗(Jennifer)指出,当联邦刑事法规定“体系”能为公司带来可观的“罚金减轻”的效果后,其方可视作一项“基于公司利益成立的董事的积极义务”, “Stone案”的判决存在其合理性。[49]
同时,法院认为体系的具体内容属于商业判断规则的范畴。美国法律协会1992年编写的《公司治理原则》(Principles of Corporate Governance)§4.01(c)对商业判断规则的表述选用了“rationally”一词,并与“reasonable”区别使用。对此,美国法律协会给出的官方注释为,前者是一种非客观的标准,换言之,就是要充分认可并尊重董事拥有广泛的裁量权,[50]因而董事(会)只需构筑一个最小限度合理的合规体系即可(回避州法上的责任)。
又一次重大变化发生在“Blue Bel案”中。2015年Blue Bell公司生产的食品引发消费者患上“李氏杆菌病”。从2009年到2013年间,联邦食品药品管理局、亚拉巴马州监管当局、俄克拉何马州监管当局相继发现工厂在食品生产、储存等环节存在合规缺陷,并伴有食品污染风险。此外,第三方检验机构也发现俄克拉何马州生产设施以及德克萨斯工厂中的李氏杆菌细菌检测呈阳性。但高级经营管理人员并没有把这些信息传递给董事会。最终,堪萨斯州有5人,德克萨斯州有3人因为公司产品而患病,堪萨斯州的5名患者中3人死亡。后来公司所有产品被召回,并接受了联邦食品药品管理局的“停业整改”命令,公司遂陷入流动性危机。原告认为被告董事没有诚信地在公司内构筑一个可以确保公司合规机制有效的信息传递、报告体系。而被告董事则以执行官、高管均定期对董事会就“业务问题”(operational issues)进行报告,[51]即存在信息报告体系等为由进行抗辩。
特拉华州衡平法院按照双要件展开审查,针对第一要件,由于公司内存在“一定的”信息报告机制,法院肯定了公司内部存在体系;对于第二要件,由于原告没有达到使法院相信被告存在“不诚信”的程度,法院因此驳回了原告的诉求。[52]原告上诉至特拉华州最高法院,特拉华州最高法院撤销了原判。最高法院指出,如果仅依据原审中被告的抗辩而判原告败诉,则“Caremark案”之后形成的双要件将成为“空想”(chimera)。[53]对于公司而言,执行官向董事进行业务报告是常态化的内部流程,而Caremark标准是要求董事会构筑一个针对公司核心经营、主营业务的合规风险进行监督、报告的体系。对于Blue Bell公司而言,其在2015年前曾是以冰激凌作为单一产品的全美最大的冰激凌制造公司,确保食品安全是公司最基本的重要任务。而原告则举证了以下材料:①董事会未设置专门负责食品安全的委员会;②董事会对有关食品安全的合规体系的整备没有定期获取报告的内部规程或习惯;③董事会就食品安全存在的重要风险没有定期甚至是常规性的讨论;④高级管理人员、执行官已经获知了“红旗,或者至少是黄旗信号”(red, or at least yellow, flags),但董事会会议记录对这些事实毫无记载。特拉华州最高法院据此认为,原告已成功证明对于公司最重要的基本问题,公司不存在相关的信息传递和合规体系。
该案的重要意义在于,特拉华州最高法院认识到了第二要件对原告举证要求过严的问题,[54]从而将审查重心再次转向第一要件,着手评价体系的具体内容。
2.“红旗信号”标准
“Graham案”中,法院认为触发董事监督义务的条件是发生了“值得怀疑的事由”(可能存在违法行为),并将此要素表达为“红旗信号”(red flags)。其包括预示已发生不正当行为的事实,有可能给公司带来严重损害、董事对其必须有所作为的重大事件或者信息。[55]“Stone案”之后的案例中,特拉华州最高法院更加明确,即便公司存在一定的体系,还要审查董事有否妥善应对红旗信号。比如在“Abbott Laboratories案”中,[56]大型制药公司Abbott因为产品不符合安全标准,在1993年到1996年间连续受到联邦食品药品管理局至少10次以上函告和警告。1999年11月2日,公司同联邦食品药品管理局达成了罚金为1亿美元的行政和解(concent decree),最终造成公司1999年第3个季度损失1亿6800万美元。该案同“Care- mark案”中完全没有构筑“体系”不同,是在“体系”已被构筑的前提下,法院认为一系列外部警告已构成“红旗信号”,而董事在知道这些消息后并未做出任何应对,[57]同样的判决路径也出现在“Mc Call案”[58]中。
但美国学者指出,法院认定“红旗信号”的标准并不明确。[59]比如在“Citigroup案”[60]中,由于董事并未对次贷危机引起的商业风险采取控制措施,导致公司从事的金融衍生产品交易发生550亿美元亏损。对于要件一,法院审查发现公司审计和风险管理委员会在2006年召开了11次会议,2007年召开了12次会议,因而法院认为Citigroup公司的审计和风险管理委员会等“持续发挥着功能”。针对要件二,法院认为:董事对商业风险管理体系和对合规体系承担责任的程度是完全不同的,原告所举证的公共信息(比如许多专家公开发表评论,以及一些金融机构已开始破产等)仅能证明董事可能做了一个“糟糕”的商业判断,而不构成“红旗信号”。同样,“Goldman Sachs Group案”[61]中的法院认为,即使董事监督义务在风险管理体系层面是可诉的,但董事对公司可承受的风险总水平的判断和采取的具体措施并不在法院实质审查范围之内。
虽然部分美国学者对“Goldman Sachs Group案”判决非常肯定,[62]但反对者亦不在少数,比如别布丘克(Bebchuk)认为,法院在金融危机之后仍然如此宽松地对待董事过度冒险的行为,实在不合时宜。[63]其他批评者则认为,法官在相关案件中很容易察觉董事们(对公司经营)的“不关心、不诚信”状态,法院完全无视了公司应在董事会体系督导之下经营的原则。[64]
(三)小结
综上,企业经营模式的演进、监督型董事会的形成、合规问题在联邦法层面愈发受到重视以及股东诉讼等要素共同推动了美国法上的董事监督义务逐渐演变为体系义务,即董事(会)需承担体系的设计、维护、监督的责任(responsibility for systems)。[65]本文还想指出另一个值得关注的概念:“内部控制”。自《海外反腐败法》(1977)之后,内部控制的概念逐渐扩大到内部会计控制以外的领域,[66]而COSO(Committee of Sponsoring Organization)发布的《内部控制整合框架》(Internal Control-Integrated Framework)(以下简称“COSO内控框架”)对内部控制的定义包括了:①确保合规;②确保公司财报信息的可信度;③确保业务执行效率。安然事件后出台的《萨班斯法案》(2002)就要求公司必须构筑“内部控制体系”,其关注的正是上述COSO内控框架的定义②,而定义①的合规体系则在州法层面通过董事监督义务的延伸得到确立,这也是“Stone案”判决的重要背景。另一方面,由于在监督型董事会中,董事一般不会因监督而使自己受益,因而特拉华州法院可能更倾向于使董事放开手脚而不愿让其承担过重的监督责任。[67]上述因素综合起来,导致了特拉华州法院对于董事监督义务、体系义务的地位、责任认定中的戏剧性一幕,其集中体现在对体系义务审查的“二要件”及“红旗信号”的审查标准中。
对于要件一,法院一般认为体系内容属于商业判断,而对于要件二,“诚信”归于忠实义务,形成了新的董事忠实义务,但增加了追责难度,[68]从而使特拉华州最高法院在“Blue Bel案”中再次将审查方向转向要件一。一个值得关注的情况是,特拉华州最高法院愈发注重讨论体系的具体内容,比如员工手册、反托拉斯法等法案的员工学习会、采用面向所有员工的热线电话或者电子媒介支持投诉以及更为具体的信息传递系统等,或许其在努力尝试为审查体系时的商业判断勾勒更清晰的方案。与此同时,虽然判例法确定了董事(会)应同时承担“合规体系”和“风险管理体系”义务,[69]但两者在红旗信号的认定上又体现出极大差异。有学者指出是否属于红旗信号可考察以下几个方面:首先,可对公司财产造成损害的可能性是否重大来评判;[70]其次,可考察信号的来源;再次,可考察信号发生的频度,如同狗主人对恶狗具有积极的管制义务一样,还可将频度与可能造成的损害额相结合。[71]
因此可以说,几十年来特拉华法院在董事监督义务、体系义务审查方法上出现反复甚至矛盾的重要交点正是商业判断规则及其具体适用。
三、日本法上的董事体系义务
(一)日本法上董事体系义务的确立
日本法上的董事体系义务亦与董事监督义务相关,但日本并未采用“监督型董事会”模式。在日本法上,公司业务的执行权属于代表董事及业务执行董事,其他董事原则上不负责执行公司业务(日本《公司法》第415条)。换言之,董事并不因董事地位当然享有业务执行权。[72]同时,日本最高法院昭和48年(1963年)5月22日判决认为,其他董事作为董事会成员承担对代表董事等业务执行的监督责任,[73]现行日本《公司法》第362条第2款第2项、第416条第1款第2项亦规定包括非业务执行董事在内的董事会成员应对业务执行董事等的业务执行进行监督。此外,不论是否设置董事会,业务执行董事要对分管领域(包含商业使用人[74])实施上下级之间的“指挥监督”,但此项监督不同于董事之间的监督。[75]随着大公司合规问题的出现,日本学界认为,董事监督义务的对象应扩展到包含公司职员在内的公司业务整体。
同时,日本学界通说认为应以“明知、应知、可知”公司内存在“可疑事实”作为触发董事监督责任的前提。[76]然而对大公司职员的违法违规或不当行为,董事们往往以“不知”为由进行抗辩。日本学界也逐渐认识到,在大公司中要求董事会对公司职员的业务行为进行实时监督并不现实。因此,上世纪八十年代神户大学神崎克郎首倡应引入“体系义务”,并主张将其归入董事信义义务范畴。[77]1991年日本经济团体联合会制定企业行动宪章时曾明确将公司合规作为一项经营者责任。在1995年其便增加了“体系”的要求,并附记:企业管理者(主要是负责业务执行的董事)对职工的行动不能以“不知道”为由草草了事。但直至九十年代末的日本商法修法均未涉及“体系”。直到美国《萨班斯法案》颁布,日本遂在2006年修订颁布《公司法》《金融商品交易法》时规定公司应该构筑“内部控制体系”。而“体系义务”则主要指董事(会)应当构筑“体系”(对“体系”主要内容进行决策)并确保其持续有效运行。[78]
现行日本《公司法》第348条第3、4款规定,资本金为5亿日元或者负债200亿日元以上的大型股份公司必须构筑内部控制体系。同时,日本于2014年新设了“设置监查等委员会(即在董事会下设置专司监督的专门委员会)的公司”,将原属于监事的业务监督权限赋予了监查委员会。基于赋予其更多信息的初衷,[79]日本法还规定,若公司设置监查委员会,则必须构筑内部控制体系(日本《公司法》第416条第1款第1项)。与此同时,日本《公司法实施规则》第100条规定了构建内控体系的类别,具体包括:合规体系、信息保管体系、风险危机管理体系等七项体系。[80]且日本法明确规定股份公司董事会的职权包括:对公司经营及基本方针进行决定;对体系内容进行决定;对代表董事、执行董事等公司机关的业务执行进行监督。这些均属于董事会的法定职能而不得向董事及其他个人进行委任(日本《公司法》第362条第5款、第2款第6项,第416条第3款)。可见,对体系的主要内容进行决定以及业务监督属于董事会的专属职权。
(二)日本法上董事体系义务的审查标准
1.“相当的因果关系”标准
由于日本法上的董事监督义务与体系义务分属两个条文,对于两者关系日本学界出现了分歧。一说是,应将系统作为监督义务的延伸。[81]已有法院裁判认为,对大公司的董事而言,如体系内容合理,可作为其已切实履行监督义务的表现而否定其承担监督责任;[82]另一说则认为,监督义务和体系义务乃并列关系。虽说在两者关系上有所争论,但日本学界均认为董事监督义务、体系义务属于“作为义务”,其乃基于公司与董事之间的委任关系(日本《公司法》第330条)所衍生出的善良管理者的注意义务(日本《民法典》第644条)。根据日本学界的债务责任“二分说”理论,除了董事忠实义务中的自我交易等属“结果债务”以外,其他董事义务均为“手段债务”, [83]法院在审查时,须仔细审查行为与结果间是否存在“相当的因果关系”。具言之,董事监督义务和体系义务的违反一般呈现“不作为”的样态,如果其与公司(或第三人)损害之间没有相当的因果关系,则董事无需担责。而确认存在“相当的因果关系”需以存在“可回避性”(即董事是否能够回避、防止通常情况下的损害发生)[84]和“可预见性”(即董事对于不当或者违法行为存在的可疑情形是否属于“已知、应知、可知”)[85]为前提。
由于代表董事、业务执行董事和非业务执行董事的地位、职责差异,其与损害结果之间“相当的因果关系”之多寡是不同的。近藤光男指出,代表董事、业务执行董事的“相当的因果关 系”更容易认定。比如在一系列案件中法院明确表示,[86]代表董事不能以“不知道”为由而免除监督责任,拥有业务执行权的董事要承担严格责任。[87]而对于非执行董事,则应考虑到其即使尽了监督义务,但仍有可能无法阻止相关行为发生的情形。[88]日本法院就曾作出如果非业务执行董事对公司创始人、领导者服从,但只要付出了足够的监督、劝说的努力就不承担 责任的判决。[89]同时,日本法院还会根据非业务执行董事的“不作为”对损害结果的“参与度”和“作用力”来认定“比例责任”。[90]比如在涉及合规管理体系的“Dasikin案”[91]中,公司生产的食品不符合食品安全法的规定,法院认为:“对于直接责任人员(代表董事等)以外的其他董事,至多只承担相当于公司全部损害的百分之五的责任”,在“日本航空电子工业案”[92]等案件中,法院对非执行董事监督责任的认定也采用了类似手法。
2.商业判断规则
在对体系具体内容进行审查时,日本法院也会适用商业判断规则(日语为“经营判断原則”)。在“大和银行案”[93]的判决中,日本法院首次使用了“内部控制体系”(日语为“内部統制システム”)一词,法院认为体系的具体内容属于经营判断的问题。与美国法院的做法不同的是,商业判断规则被日本法院作为一项实质审查标准,即法院应在尊重董事经营判断裁量权的基础上,从董事会意思决定的过程(程序)及内容层面,基于一般经营者的标准,审查其是否存在特别不合理或不恰当之处。[94]
然而困难的是,如何做到既尊重裁量,又合理审查体系是否已符合应有的水准。一个例子是,从立法体例看,日本法上的“合规体系”同“风险管理体系”分属于不同的体系(上文所述,日本《公司法实施规则》第100条规定了7种体系)。在“养乐多案”中,公司因从事高投机性的金融衍生品交易而造成巨额损失。东京高等法院认为,董事会对风险管理体系存在比合规体系更为广泛的裁量空间。[95]对此,一部分日本学者认为,法院应在“类型化的不合规行为”中缩小商业判断规则的裁量范围,而对于那些并不违法的交易风险管理体系,应扩大商业判断规则的适用。[96]但另一部分学者则批评认为,内容冒险的体系本不应在商业判断规则保护的范围内。[97]
笔者研究还发现,商业判断规则的影响还同时存在于对“相当的因果关系”的审查中。按照“相当的因果关系”标准,如果不具有“可预见性”,则董事无需承担责任。在上述“大和银行案”中,银行允许某甲兼管本应由不同职员管理的证券保管业务与证券交易业务,同时还让甲承担邮寄业务,致使甲能容易地篡改保管证券结余清单,擅自进行证券交易。该案中,公司董事会仅就部门分离进行了决议,而证券交易和保管等具体业务的分离,乃至具体业务实施的人事安排等均不属于董事会的决议内容,因而除直接负责该部门的董事以外的其他董事主张不存在可预见性获得了法院认可。诚然董事会在客观上确实无法对大公司各个部门的业务执行程序、体系的具体内容等进行决议,但对于特殊行业,比如银行等金融机构而言,其核心部门体系的具体内容(比如人事安排)是否应列入董事会必须决策或重点关注的内容,是存在讨论空间的。
而对于“可回避性”,日本法院会具体审查体系的内容和措施。在“リソー案”[98]中,公司出现了财务造假,东京地方法院查明,公司已聘请了外部审计,并由外部监事进行审计监督、设置了内部监查室和监查官,公司还设置了“群众信箱”等。法院据此认为,“上述内部控制体系的措施从该公司的业务内容、规模来看,已达到了可以预防通常的不正当行为的程度”。而在 “日本系统技术公司案”[99]中,公司的业务部长B为谎报业绩,在公司有价证券报告书上实施了虚假记载。日本最高法院指出:“公司事业部门与财务部门相分离;并构建了通过检查财务部报告营业额的机制……因此公司构建的管理体系已经达到了能够预防通常可以估计到的违法行为的程度。”从上述两则案件中可以看出,日本法院主要审查体系是否同公司业务、规模相匹配,能否防止“通常的”“可以预见”的违法、不当行为的程度,而当职员实施的行为基于“巧妙的方法”或者“共谋”时,董事甚至代表董事都极有可能不承担责任。
对此,在“リソー案”中,评估机构提交的公司内控调查报告已指出,[100]公司出现不当会计处理的原因之一是公司创始人的执行董事制定并实施了将升职加薪同业绩相挂钩的人事评价制度,上至董事高管下至职员,均为达成销售业绩孤注一掷,而代表董事则只关心扩大经营。因而有学者认为,上述经营方针至少可作为引发公司不合规行为的“远因”,特别是在典型的一人领导(代表董事、董事会会长、社长均为同一人)的公司中,作为领袖人物的经营者制定并实施上述经营方针本身就违反了结果回避的期待。[101]而在“日本系统技术公司案”中,实际上B还兼任着经营部部长,案件主要起因是B指示下属职员伪造客户订单且该违规行为反复持续2年多。有日本学者指出,关键职位存在兼职本身代表着对人力资源管理的疏忽,从“可预见性”和“可回避性”出发,包括代表董事在内的全体董事责任都还存在一定的讨论空间。[102]
(三)小结
由于立法例、适用对象交叉,以及将商业判断规则作为实质审查原则并与“相当的因果关系”相互结合,这些因素使得日本法上董事的监督义务和体系义务在具体责任分担层面的论点比美国法更为复杂。具体来说,代表董事、执行董事由于其本身还存在“指挥权下的监督”,因而并不因体系的构筑而降低监督义务的要求,[103]而非业务执行董事则可根据体系的构筑、实施内容和情况来认定义务履行状况。而当确实不存在“相当的因果关系”时,所有董事都有无须担责的可能。
同时,“相当的因果关系”往往也渗透着商业判断规则的影响。首先,日本学界一般认为董事监督义务不适用商业判断规则,但当董事知晓“可疑情形”后采取何种措施应尊重董事裁量,因此,在考察董事监督义务时也存在商业判断的适用空间;[104]其次,由于对商业判断的“广泛尊重”,尤其在认定非业务执行董事责任的层面,客观上产生了和美国法类似的效果;再次,审查“相当的因果关系”往往受到商业判断规则的影响,尤其是在何种情况下才能完全切断“相当的因果关系”并不明确。近藤光男指出,如果法院简单认可董事裁量,则会导致同商业判断规则本来的理念完全相反的结果,甚至可能阻碍董事妥善履职。[105]
最后,岗位兼职兼任诱发的问题同时发生在“大和银行案”和“日本系统技术公司”案中,而当职员实施的行为基于“巧妙的方法”或者“共谋”时,董事亦极有可能不承担责任。然而大量案件的共性是,当事业部门经理(商业使用人)等重要职位出现兼职、兼任的情况下,核心部门可能无法实际发挥效用。可以说,如果法院仅认为只需在整体上构建一定的职务及部门业务相互分离等体系,对于“可回避性”的审查亦不考虑体系是否实质有效,则不仅体系本来的制度目的将无法达成,董事责任规范也可能失去应有的规制效果。
四、美、日公司法上的董事监督义务、体系义务对我国的借鉴
综上,美国法和日本法在董事合规、内控等公司管理体系义务的确立过程对我国至少有以下若干启示:
(一)应重构董事会职能并确立董事监督义务
从美、日经验来看,董事体系义务均与董事会的监督职能及董事的监督义务密切关联,而我国法对于两者都是欠缺的。我国《公司法》第110条只规定了股份公司董事会每年召开的次数,其余第46、108、147、149条均未直接涉及董事的经营监督。但在公司实践中,相对于召开次数和时间均有限的董事会会议,业务监督实际上是董事会工作的应有之义。若把董事在业务决策时的判断问题看作生理性问题,那么董事会对公司经营监督的懈怠则属于病理性问题。因此,首先应当明确董事会具有业务监督职能,在此基础上明确董事承担经营监督义务。
与日本极为相似的是,我国公司治理结构中亦存在着监事会制度。从日本经验来看,由于董事参与董事会决议,尤其专门委员会中的委员董事还有提名董事等权利,日本法规定,公司必须在专门委员会和监事会之间做出选择,立法者有意让两种监督机制进行竞争。鉴于未来我国公司法可能取消监事会,或将监事会列为非必须设置的公司机关,[106]且股东大会客观上无法承担业务监督职能,因而合规监督职能客观上只能由董事会承担。[107]因而我国《公司法》修订时,董事会职权大多可定位为任意性规范,职权可以上移或下放,[108]但唯独不能将监督职权进行授权、委托。
从美、日经验看,董事会存在“监督型”和执行+监督的“双责型”两种模式。这里必须指出的是,坚持经营和监督相分离并不代表董事会必须全由独立董事组成。早先的一项研究发现,直至近期,东京主板市场上市公司中还有百分之二十的公司仅选任了一名独立董事,且其他公司大多数也都只选任了两名独立董事。[109]相比完全采用美国的“监督型董事会”,日本的“双责型董事会”或许更容易被我国所接受,但关键要对业务执行董事和非业务执行董事的监督义务、体系义务认定做出厘清。就合规而言,即便在董事会下设“合规委员会”,其法律地位、履职的条件需要在重构董事会职能并确立董事监督义务的基础上实现。
我国《公司法》第109条规定,股份公司董事长由董事会过半数选任,这与有限公司董事长产生由章程自治(《公司法》第44条)明显不同;《公司法》第113条又规定股份公司的经理由董事会决定聘任或者解聘,经理需对董事会负责。因此,在逻辑上或可认为董事会成员对董事长、总经理的业务执行实施监督,但我国突出的是董事长、法定代表人,乃至业务执行人之间的关系不明的问题。
一方面,我国公司内部治理中时常体现出集权化特征。在我国公司治理结构中,如果董事长兼任总经理并出任公司法定代表人时,监督的有效性,乃至合规体系的实效性可能会降低。[110]因此,或许可以限制董事长的权限,包括限制章程、董事会对董事长进行过分权限委托的情形。只有当董事长的权限受到一定限制时,才有可能实现有效监督。同时还必须增强董事会获取业务信息的渠道,而日本法上的一些规定如,执行董事须每3个月1次以上就自身职务执行情况向董事会进行报告(日本《公司法》第417条第4款);专门委员会从其委员中选定的人必须毫无迟延地,就该委员会职务执行的情况向董事会进行报告(日本《公司法》第417条第3款);同时,监查委员会中的委员均享有广泛的调查权以及征收报告的权限(日本《公司法》第405条第1款),这些都是我国重构董事会监督职能时值得借鉴的。
另一方面,我国公司的业务执行权并不当然来自董事身份,[111]董事长或总经理都能作为公司的法定代表人。从域外经验看,董事会对总经理的监督与其对董事长的监督在内容和程度上有所不同,但当总经理或者董事长担任法定代表人时,董事会对其进行的监督是否应当相同?同时,如果公司章程明确其他董事,乃至经理负责公司业务执行,其与法定代表人之间的关系又当如何?可以说,如果董事会成员乃至全体业务执行者之间的关系不明,则监督的效果也会受损。在这个意义上,日本法上的,董事(包括提名、监查等委员会中的董事)不得兼任公司的支配人及其他商业使用人(日本《公司法》第331条),以及在设置专门委员会的公司中,如公司存在2人以上的执行董事,则董事会应就各执行董事分管的职务及上下指挥命令等其他和执行董事相互之间关系有关的事项进行决定(日本《公司法》第416条第1款)等规定值得借鉴。
(二)适时引入体系义务
合规进入公司法是现实与逻辑的结果。[112]从美、日经验看,体系义务被作为董事监督义 务的一环,公司法制度层面的竞争也是重要诱因。但体系作为一项强制性规则并非毫无争议。
首先,体系可能耗费巨大成本。罗伯塔·罗曼诺(Roberta Romano)等指出,在美国证券交易委员会积极推动“内控体系”法定化后,年收入超过50亿美元的公司平均每年被迫多支付数百万美元,某些上市公司初期的“体系”建设费用高达数十亿美元。[113]但在美国法下,由于体系已成为对违反刑法、法律的公司的法律地位和后果具有重要影响的要素。相比之下,我国不论是刑法上,[114]抑或者是行政责任层面都还未有明确的因体系而能使公司获得责任减免的规则。因此,强制公司构筑合规体系还缺乏一定的制度激励。
在这个问题上,日本学界对是否应当引入体系作为强制义务似乎没有过多讨论,其立法目的在于何处?仔细观察日本法规定的体系类型可以发现,其与COSO内控框架对内部控制目标的定义极为相近,且日本法在条文中直接使用了“内部控制体系”(内部統制システム)一词。正如上文所述,COSO内控框架对内控目标有三个定义:①确保合规;②确保公司财报信息的可信度;③确保业务执行效率。在美国法框架中,《萨班斯法案》直接规定的内部控制体系(《萨班斯法案》§302、§404)主要针对的是目标②,而目标①等所涉及的体系(主要是指一种信息传递机制)则是由州判例法演进而来。对此,日本做出的制度安排则是由《金融商品交易法》承担确保目标②的功能,[115]同时由《公司法》承担确保目标①的功能。由此可以看出,日本《金融商品交易法》和《公司法》分别引入体系的立法举措带有与美国法齐头并进的意味。但事实上,日本法上的诸多体系对于公司内部治理的合规与效率,乃至董事责任追究的效用并不明显。[116]因此,我国要在进一步明确制度目的之基础上,适时引入体系义务。
对我国而言,由于公司高管一定程度上已成为公司日常经营的中心角色。[117]因此,一个信息传递、报告机制对于“可疑情形或者红旗信号”发生时的信息传输至关重要。[118]从美国法的经验看,其尤为关注“信息传递与报告体系”。实际上,“中兴”等公司的重大体系缺陷正是在于合规部门没有向董事会直线报告和反馈的渠道,而高管或者销售部门可以轻易突破合规管控。我国的某些规范也已注意到了“信息传递、沟通”的重要性,比如《证券公司全面风险管理规范》第30条就强调公司应当构筑“信息沟通体系”。[119]但公司显然不能简单设置一通“热线电话”草草了事。对此,“Caremark案”“Stone案”“Blue Bel案”均强调董事会应当构筑一个针对公司核心经营、主营业务的合规性事项上进行监督、报告的体系。[120]
(三)确立董事不作为责任的审查路径和标准
董事注意义务的界定标准是公司法引入合规的基础,而我国法上商业判断规则等审查路径的阙如,也直接影响了将合规与否、成效大小作为判断公司犯罪责任的考量因素。[121]而美、日经验对我国至少有以下启示。
其一,应妥善适用商业判断规则,合理认定“红旗信号”等可疑情形。董事监督义务和体系义务被作为一项典型的不作为责任,如何认定体系内容的合理性并审查董事是否恰当履行义务应是法院评价的核心。美国法的演进过程曲折而富有戏剧性,双要件中争议最大的“红旗信号”和“诚信”地位问题虽与州法上的董事免责规定有关,其连结点却是商业判断规则。有美国学者甚至主张要实现对董事责任的追究,必须对《特拉华州普通公司法》第102条(b)(7)进行修订(比如直接删除),同时还须放弃商业判断规则。[122]实际上,美国法的症结之一就在于其将商业判断规则作为一项排除法院实质审查的司法原则。
我国学界对商业判断规则的研究由来已久,有学者认为,董事监督义务、体系义务不应适用“商业判断规则”, [123]这是不尽正确的。赵旭东指出,以会议形式集体决议来执行监督不可行,[124]这是由董事监督义务不允许经过协商决策的性质所决定的,但不论从成本收益分析角度,还是域外经验来看,体系的内容应由董事会、执行董事等根据公司规模、行业特性来决定。[125]即便当董事发现“可疑情形”或“红旗信号”之后,虽然在监督义务的性质上不由得董事不采取措施,但究竟采取何种程度的措施,也需给予董事会以一定的决策空间。
叶金强认为,针对董事注意义务可以不再讨论商业判断规则,而是按照理性商人的标准认定董事的过错。[126]但邓峰指出,“理性人”标准的波动和英美法上的商业判断规则可能都不是非常清晰。[127]从笔者的研究来看,日本法将商业判断规则作为实质审查标准可以避免类似美国法上“good faith”等的理论争辩,但日本法院对商业判断规则的适用也并未完全定型。[128]不论是将商业判断规则作为一项排除法院实质审查的原则,从而在前端引发“诚信”等问题的争论,还是将商业判断规则作为一项既尊重董事会裁量,又对董事会决策从内容、程序两个方面进行考察的实质审查标准,其在董事监督义务、体系义务中的适用都不会特别容易。与此同时,如公司合规、内控等管理体系本身包括公司业务执行权及职务分担等规则,这种分担或者规则本身是否合理,乃至于公司关键职位的兼职兼任亦都存在按照行业、公司本身的特殊性讨论商业判断的适用余地。[129]
因此对于我国而言,可以将商业判断规则作为一项法院的实质性审查标准,比如可在《公司法》第147、148条之后以明文方式确立董事履行注意义务应满足的条件或者程序,并在涉董事责任案件中不断积累商业判断规则以及董事不作为责任的审判经验。法院在规则适用过程中应当保持一定的柔性,有时为了达到理想的适用效果甚至需要在灰色地带寻求实质正义和社会效率的平衡,相关领域的研究亦不能一直徘徊于空谈理论、抽象原则,而应该深入讨论标准与方法。
比如就“红旗信号”而言,一份报道或外部评估,抑或者来自公司内部的报告都可能被认定为危险信号。但公司内部人制作的报告是董事更容易接近且更正确的信息源,因而更容易被视为红旗信号。同时,立法、行政的监管方针、措施等对公司业务可能产生重大影响,也能列为红旗信号。[130]上述信号的存在,能让法官更容易认定董事的不作为责任。此外,如果公司已发生紧急情况,法院甚至可能采取比商业判断规则更加缓和的审查基准进行综合判断(totality of circumstances test)。[131]
其二,合理审查“相当的因果关系”。赵旭东指出,在认定董事责任的问题上,需改变董事会责任连坐的追责观念。[132]比如在上述“红旗信号”存在的情况下,对于“双责型”董事会成员的责任认定会复杂化,比如当公司内部调查没有发现违法、违规问题,能否直接认定包括代表董事在内的所有董事对于违规、违法行为不具有“可预见性”(不同身份的董事对信号的可获取程度势必是不同的),而公司受到监管措施也并非代表着能立即认定非业务执行董事须共同承担连带责任(应综合考察“可回避性”)。
从美、日经验来看,对只承担监督职能的非业务执行董事(比如“监督型董事会”中担任监查委员会的委员,及“双责型”董事会中的非业务执行董事),司法态度都趋于宽容。但从我国实践来看,在“吴小虎案”中,有“故意认定”之嫌。[133]而在一系列证监会的行政处罚中,独立董事即便采取了内部审计、多方多次询问沟通等行动,证监会仍认为其未实施有效监督。有学者认为应明确免责事由以正向激励董事履职。[134]比如应对《公司法》第147条后段增加“前款人员在履行职责过程中,因疏忽大意给公司造成损失的,应当承担赔偿责任”的建议,[135]还有意见认为可借鉴日本经验,引入董事责任减轻免除的制度(日本《公司法》第425条至第427条)。[136]但从董事责任具有的法律抑制效果看,本应尽量减少使用“重大过错”“一般过错”这种暧昧难辨的词汇,减少在案件中徒增争议的情况。
本文认为,应更多关注“相当的因果关系”的认定,总结董事不作为责任的免除或者减轻的具体情形。从日本法的经验看,公司存在“领袖人物”(比如身兼创始人、代表董事、董事会会长等职务的情况)几乎成为了非执行董事减免责任的一种口实。同时,按照比例来认定责任,如果司法审查过于简单,则作为手段债务的董事监督义务、体系义务最后又可能变成一种结果责任。在这个意义上,审查何种方面或者情节才能减免、减轻责任,比如非业务执行董事的产生方式,其与业务执行者之间的具体关系以及其采取了何种措施(不仅仅是召集或参与董事会会议并投票反对,还涉及是否及时调查、反复劝阻或制止、向其他董监事乃至股东及时披露信息并进行举报等纠正、补救与整改措施等)应该明确。
五、其他思考
邓峰曾指出,“合规”本应各不相同,但反讽的是,大多数公司的合规均大同小异。事实上,早在《萨班斯法案》制定前,美国证券交易委员会就曾建议公众公司董事会采用“伦理规程”,其包括业务执行官及公司职员向上层管理层乃至董事会提供一定的业务信息的规程。美国证券交易委员会原以为董事会获得的信息越多,就越能及早发现红色乃至黄色信号,从而有利于监督。可笑的是《萨班斯法案》§406制定后,大量专家都建议公司采用极为克制的伦理规程,因为如果公司制定了广泛的伦理规程,但没有很好的实施,则公司在诉讼中被问责的可能性甚至会比完全没有实施伦理规程更高。因此仅凭公司法或者寄希望于以公司自治的方式引入合规监督等管理体系可能难以达到其理想的效果。对于我国而言,为使公司合规、风险管理得到更有效实施,还有必要考量让控股股东、实际控制人承担义务和责任的问题。而美国近年的公司治理理论呈现出向“股东权限强化”逐渐演进的趋势,其董事会模式,以及董事监督义务、体系义务的未来发展仍值得我国学界持续关注。
(责任编辑:邓峰)