以下文章来源于底层设计师 ，作者底层设计师

底层设计师.

我们的任务是让中国商业精英更正确地决策。动荡时代，从国家、社会到企业，稳健运行需要坚实的管理底盘。这个底盘的设计者，我们定义为底层设计师，这是我们管理与创新案例研究院的代表符号。

合规的成本不菲，但合规是否有效却未能得到实证研究的支持。

作者：缪因知

导读

壹 || 合规已经成为现代公司治理的必选内容。除了要求增加人手、建立监督系统、添加合规培训等内容外，政府部门正在“教导”公司如何安排内部业务流程，包括关闭特定业务线。

贰 || 实践中，一家公司要不要搞合规，要不要实施特定的合规，已经不完全由董事会说了算。

叁 || 现代公司经营中，董事具有妥善经营公司的受信义务。但董事也会受到“经营判断规则”的保护。董事们做出高明或不高明的商业判断，不受司法机构事后诸葛亮式的审查。

肆 || 合规的成本不菲，但合规是否有效却未能得到实证研究的支持。

伍 || 面对现行合规体制的种种不足，Griffith教授主张了两种合规的改革路径，这也是重塑董事会在合规事项上的权威的路径。

作为当前全球公司治理中的一个热点，合规已经从一般性的“守规矩”，变成了公司免除法律责任包括刑事责任的一个重要条件，因此必须引起企业经营者以及立法者、执法者、司法者的重视。

合规天生自带政治正确的味道，谁能反对合规、反对监测和防范违法违规行为呢？谁都不能。

然而，在讲成本效益的商业世界，无论是赚钱还是合规，都应当讲效益。这不是说企业可以为了省成本而去违规，而是说要讲方式方法，不能忽视执法者在施加合规计划时，可能给企业造成的过度的负担。

而且，在普遍意义而非个体意义上过度的企业合规负担，往往也是法治约束水平不足所致。从这个意义上看，这个问题不仅值得商业界关注，也值得法律界关注。

我国的企业合规方兴未艾，相关的反思性研究还比较少。本文主要结合美国学者Griffith教授的长篇论文《合规时代的公司治理》（原文刊于W&M Law Review，中译文有五万多字，近期将刊发于《中财法律评论》第十四卷，本人参与了此文的编校）来探讨这一话题。

这里面的问题可以说是各国企业在合规实施中均会存在的，而且，对于法治约束水平较弱的国家，相关的弊病自然也会更严重。

新的公司治理

众所周知，合规往往体现为要求公司有专门人员甚至专门部门来负责合规事宜。在很多公司，合规部门已经和传统的法务部门并驾齐驱，首席合规官位列高级管理人员之列。

在一些大型公司，合规人员数以千计。在金融、制药等高风险行业，合规人员的数量和比例也更高。

早在2015年，由于被指控未尽到反洗钱义务，为避免被起诉，汇丰银行就花费几十亿元美元进行组织结构调整，让25.8万名员工中近10%的人从事风险和合规工作。

这一制度实践不仅在架构上显著改变了公司的内部治理生态，在内容上更是如此。

合规已经成为现代公司治理的必选内容。除了要求增加人手、建立监督系统、添加合规培训等内容外，政府部门正在“教导”公司如何安排内部业务流程，包括关闭特定业务线。

合法性疑问

实践中，一家公司要不要搞合规，要不要实施特定的合规，已经不完全由董事会说了算。

这种公司治理内容和架构的变化，不仅不是源于董事会的内生决策，也并非来自法律法规的要求，而是出自行政机构的威慑力下的企业“自愿”。这会带来一些合法性的疑问。

来源于法律法规的治理要求会经受更严格的合法性考验。基于民主法治的基本精神，法律法规的制定者需要倾听和反映民意，各方利益的代表也均有渠道对立法发表意见。

例如，去年12月，全国人大常委会对《公司法》修订草案进行了第一次正式审议后，向社会公开征求意见。各界也纷纷就此表态（参见《我们需要什么样的股东权利》，2022年1月24日本版文章）。然而，到目前为止，各国公司法均未对合规提出具体的要求。毕竟，合规涉及的是相当细节的技术问题。

即便是以行政规章的方式来提出合规要求，行政机构也需要遵循一定的流程，包括对成本收益进行分析，甚至对特定措施设置落日条款，即到期自动作废。行政规章和行政行为亦会受到司法审查的约束。

然而，当代的合规实际上源于执法行为。1990年代初，美国《组织量刑指南》（SGO）准备大幅增加对公司违法行为的处罚力度。作为应对，美国公司和行业协会（如商业圆桌会议）游说要求允许通过设立合规计划，来减轻公司由于个别员工的行为而遭受重罚的风险。

双方妥协的结果是1991年《组织量刑指南》最终规定：如果公司实施并维持一个有效的合规项目，政府就可以减轻处罚。

与胡萝卜同时出现的是大棒，大幅提高的刑事处罚或许正等着不接受基于合规计划的和解协议的企业。

这使得企业越发觉得：与其冒险抗争、导致承担责任，不如接受合规要求以免责。

如果考虑到企业经营者和所有者之间的代理成本，这个问题就更加突出。败诉担责很难不归咎于经营者，而接受合规要求还能自我粉饰为改善公司治理。

不过，事前由政府和商界约定的合规计划的框架仍然是模糊的。如目前的《指南》的七个要素包括：（1）规则，（2）高层参与和适当授权，（3）雇佣时尽到注意，（4）沟通和培训，（5）监测和测试，（6）激励措施的一致性，（7）适当的补救措施。

真正具有操作性的合规要求，仍然取决于特别是那些以个案不执法或暂缓执法为交换条件的具体个案提出的条件，而这些具体要求是在不透明的和解过程中产生的。如Griffith教授所言，是在“是在达摩克利斯之剑下”缔结的。

强制性并未减少几许，但本来可以支持强制性的程序正当性却大为减弱。同时可能受到影响的第三方也没有参与表态的机会。

与此同时，虽然具体的合规要求起源于个案，但会出现蔓延的趋势。一项和解先例会受到同行企业的广泛模仿，大家合规特征趋于一致。

这当然不纯是由于其他企业自我加戏。普华永道的一项调查即指出：在合规失败时，政府调查人员通常会将该组织的合规计划与在规模、复杂性、行业、地理覆盖范围等方面类似的公司进行比较。那些合规计划与同行不具可比性的公司，可能会受到更严厉的处罚。

这种结果可谓“执法式下药，立法式疗效”。

超越对董事的受信义务要求

合规并非源于司法判决。现代公司经营中，董事具有妥善经营公司的受信义务。但董事也会受到“经营判断规则”的保护。董事们做出高明或不高明的商业判断，不受司法机构事后诸葛亮式的审查。

美国的判决比较明显地倾向于认为：出现合规失败事件，不等于董事违反受信义务。在早期重要判例Graham案中，执美国公司法牛耳的特拉华州最高法院明确表示：没有明确的违法“红旗信号”即危险信号（如已知的违规风险事件），董事会就没有义务设立合规计划或监测系统来防范不当行为。

尽管在1996年Caremark一案中，特拉华州大法官法院曾经认为，没有制定有效合规计划的董事会可能无法履行其监督职责，认为受信义务可能要求公司董事，以善意判断公司的信息和报告系统是否已经足以确保董事会及时注意到适当的信息。

但在随后的2006年的Stone v. Ritter案中，特拉华州最高法院表示法院不会调查一家公司的监督机制是否客观充分。相反，法院将把调查限制在董事会未能有效监督公司时，是否有故意违法的情节。只有董事会“完全”即百分百“没有实施任何报告或信息系统或控制措施”才构成违法。倘若公司合规或监督计划只是存在客观不足或无效，法院不认为董事们存在责任。

即便在金融危机后，对于千夫所指的金融机构，特拉华州法院也没有改变立场。

如2009年花旗集团案中，法院认为：虽然让董事在监测和监督商业风险方面承担同样职责的看法很诱人，但把Caremark式的责任强加于董事们以监督企业风险是完全不同的。花旗集团的业务是承担和管理投资和其他商业风险。对未能监测“过度”风险的董事施加监督责任，等于让法院对董事商业判断的核心决定进行事后诸葛亮的评估，并不妥当。

2011年高盛案判决则认为：管理层有权采取的合法行为即便带有风险性，也不是“红旗信号”，不会令董事会产生对违法行为的特别注意。

换言之，从中立的司法者角度看，在多年的诉讼博弈中，法院始终认可公司在事前以较为自治的方式实施监督系统的权力。然而，如火如荼的合规计划实践，却以事实的普遍强制超越了司法机构提出的治理要求。

治理效果存疑

合规的成本不菲，但合规是否有效却未能得到实证研究的支持。

在德勤做出的一项调查中，只有略多于半数的首席合规官表示，他们的组织所使用的衡量标准，能让他们真正了解合规职能的有效性。

这个估计可能还是乐观了，毕竟，大部分人在栽跟头前都认为自己高于一般水准。

从现实看，目前并无一个公认的标准来衡量合规的有效性。许多合规衡量标准不是前瞻考察“影响”， 而只是在回看追踪“活动”，包括培训“打卡度”等形式活动。合规人员收集数据不难，难的是如何分析运用数据、得出结论。在绝大部分场合下，“大数据”只是一个营销概念，而非一种现实技术。

执法部门也说不清，公司应该合规到什么程度才能避免下次发生问题，所以不管是要增加合规人手，还是要增加合规审查环节，都难免“毛估估”的嫌疑。

这个问题也不是什么第三方顾问能解决的。第三方顾问也是在摸着石头过河，并不比谁更懂。

Griffith教授明确说：“我们有充分的理由怀疑第三方专家，并不比政府执法部门更了解什么是好的合规计划。他们都是局外人。”此外，从美国的实证经验看，让法官对执法和解协议进行审查，也无助于对合规计划质量的改进。

有意思的是，由于执法和解后的合规措施会令其他诸多“惊弓之鸟”的同行企业效仿，过度合规不会因此令特定企业处于更不利的竞争地位，因为整个同业的“水位”都发生了变化。显然，这意味着过度合规导致的整体损害也变大了。

而且，当整个行业群起效尤某种合规措施后，它们彼此之间也就没有了差别，“柠檬市场”问题重现。企业无法以自己采取了合规措施来获得竞争优势。换言之，合规成了“内卷”。

合规的未来

面对现行合规体制的种种不足，Griffith教授主张了两种合规的改革路径，这也是重塑董事会在合规事项上的权威的路径。

第一种思路是终结政府部门作为单边的合规设计者的角色。毕竟，执法部门未必具有相应的制度设计知识，也不对合规措施施加的后果充分担责，整个过程的透明度也不足。

代替之道是允许公司仅基于效率的考虑采用或不采用特定合规计划。这时，公司将根据成本收益去决定如何实施合规。

需要注意的是，这不等于放纵公司为所欲为。因为它们违反实体法的行为责任并未被豁免。政府并未完全退场，而是恢复了监管执法者的本位。所以，公司还是有动机去遵守法律。

执法部门的功能将是对违法法定规则或标准的公司进行惩戒，就事论事，有事说事。对于他们觉得重要的事项，执法部门可以提高法律责任的力度，从而改变公司的成本收益分析结论。

事实上，如果公司无需疲于奔命地接受执法部门的合规建议，如增加大量人手，他们可能反而更有兴趣求质不求量地采取更有效的防止违法事项发生的措施。

此外，Griffith教授还认为，执法部门也不妨继续萝卜和大棒并用，继续选择实施和解，只要不超越能力和权力范围，拍脑袋要求公司实施事前的合规计划即可。

Griffith教授还提出，上市公司的合规，可以通过证券法下的定期披露义务以及不断提高合规职能透明度来实现。

这就跟我们日渐熟悉的发行注册制改革一样，重点不再是企业具体采取了什么合规措施，而是要求企业充分披露所采取的合规措施，交由市场判断。

当企业采取的合规措施有了区别性后，投资分析师等专业人士也会开始有兴趣对不同合规措施的质量予以评估，给出相应的反馈。

当然，披露进路要求企业需要公开合规措施的细节，例如合规是如何组织的；合规部门与业务部门和其他控制职能部门（如风险管理和内部审计部门）的关系；哪些风险分配给了合规；合规如何分配人员和技术资源来管理这些风险；战略业务决策是否以及如何涉及合规；在发生冲突时合规官的权力和期望是什么；报告结构如何运作；以及合规是否以及在多大程度上影响高管薪酬等。

这些合规计划的细节可以根据有效性指标进行分类和比较，如报告不当行为事件、政府调查和制裁给付。

作为相替代或相叠加的选项，还可以要求公司披露其合规计划绩效的标准化数据，以便在一组公司之间更直接地比较量化指标。

绩效量化指标包括合规计划被审计的频率和得分情况，回答目员工或技术工具提出的问题的速度，培训完成率和公司达到培训目标的速度，以及员工在培训评估中的得分情况。

本文主要介绍了国际学术前沿中对合规的一种反思性观点，而不涉及对国内合规计划推行现状的评估。不过，共性的因素显然会存在。如何让合规制度在实践中扬长避短，我们仍需不断探索。

（作者系中央财经大学教授）

原标题：《合规时代的公司治理：怎么看、怎么办》