王真真 | 董事合规义务的体系定位和动态展开

公司合规问题在国内外引起广泛关注。中石油燃料油案件、富国银行案等事件都引发了如何确保公司合规经营的社会议题。随着公司力量的扩展和强大，对公司的监管也在加强，但现实仍然是监管真空和监管重叠并存。我国公司法律规范并未对公司合规及其内容作出明确规定。公司合规的既有研究分别集中在刑事合规和行政监管合规，但二者对公司合规的规范均属公法治理体系，容易忽视私法体系自身对公司治理的调整。显然，完整的公司合规治理体系应由公法和私法连续协同来保护公共利益和个人利益。仅以刑事处罚激励企业合规对公司治理而言也显得过于被动，决策科学表明采用温和的“助推”方式要比强制性的命令更有助于人们行为的改变，而公司法相对于刑法的调整手段显然更具有自主性。国内学者在使用“合规”一词时，通常将其与遵守法律等同。然而这种同义反复式的定义对理解公司合规并无实益，需要在公司治理结构中重新阐释公司合规。域外理论将公司合规界定为一种管理程序，国际标准化组织则更进一步列举了合规的要素。本文无意卷入公司合规的概念争论，与其进行无休止的概念之争，不如直指问题的实质。在公司治理结构中，公司合规主要涉及三个不同层面的问题。第一是公司合规义务主要由谁履行。第二是如何界定合规义务在现行公司治理体系中的定位。第三是合规义务的制度如何具体构建和展开。在公司治理语境下，合规不仅要求公司自身遵守法律和规范，还要求公司在管理时采取动态化的管控措施和程序确保其雇员遵守法律和相应的社会规范。

实际上公司合规义务由谁履行，法律上也曾有过不同见解。由于公司是法律上所拟制的人，并不具有自然人那样的意识和生理机能，其意思机构由自然人组成，因而公司合规需要具体到公司内部由相应的公司治理机关及其成员来落实。国资委于2018年颁布的《中央企业合规管理指引（试行）》中明确将监事会和董事会并列为公司合规的义务主体，但在2022年发布的《中央企业合规管理办法》（以下简称《办法》）中，法定的合规义务主体只有董事会和经理层。这说明，公司合规义务主体的界定应当与公司内部权力分配的规律相匹配。根据公司权力归属的坐标理论，董事会是公司权力的中心，公司的经营管理和决策属于董事会的职权范畴。在公司治理中，合规管理和合规计划的制定属于公司的重大决策和管理事务，应当归属于董事会。因而董事负有合规义务是不言而喻的。在一些大型的公司中，董事会通常会授权经理层制定合规计划，但是董事会仍然保留着对经理层的监督权力。董事会对经理层监督的最主要任务就是根据公司法和相关法律建立完善的合规体系及其运行体系，从而确保公司的经营管理符合法律要求。因此，董事负有合规义务并不意味着董事要亲自制定公司合规计划，董事的合规义务其实是合规监督义务，但由于国内普遍使用合规义务的概念，本文亦从之。

即使认识到董事负有合规义务，目前公司法学界对董事合规义务的性质和内容仍有不同看法。有的学者主张合规义务应当属于勤勉义务之重要内容；也有学者认为应当定位为独立的义务；还有学者认为合规义务内容既包括勤勉义务，也涵盖忠实义务。比较法上，美国公司法学界及司法实践中提出董事的监督义务，将合规监督义务确立为董事的义务范畴。虽然，监督义务的性质尚存争议，但是经过我国学者的引介，逐渐为学界及司法界所认可，产生了相当的影响。董事合规义务的定性是进行制度设计的前提，将其界定为忠实还是勤勉，既需要遵循公司治理的基本逻辑，也需要考虑合规义务的动态性和特殊性。问题在于，界定性质之后，落实董事合规义务的制度如何构建和展开，目前尚待进一步研究。因而如何具体构建董事合规义务，仍存在可探讨之余地。

董事合规义务的定位需要回答的问题是：合规义务如何与现行公司治理体系中的信义义务相协调，究竟是独立的义务类型还是可以归属到忠实或者勤勉义务。从法律规制方式的角度看，在对合规义务进行定位时，需要确立妥当的规范理念。

合规义务定位必须面对公司经营管理的复杂性。从企业生命周期理论来看，企业在发展过程中会经历孕育期、初创期、成长期、成熟期和衰退期几个阶段。在不同的发展阶段企业面临的形势和环境是在不断发生变化的，尤其是当企业处于不同生命周期的交替之际，公司的董事和管理层需要及时调整管理方式和策略去应对公司经营的异常情况。因此，公司经营管理的复杂性也要求董事履行合规义务时应当注意公司经营状况和环境的变化，适时制定和调整公司合规计划。

在现行公司法理论下，董事信义义务被划分为忠实义务和勤勉义务。虽然近年来，在美国特拉华州判例法体系中逐渐衍生出董事的诚信义务（good faith），但是特拉华州最高法院随后否认了诚信义务是一种独立义务。我国也有学者提出引入诚信义务的相关见解。有观点认为合规义务难以与传统的信义义务兼容，理由是合规义务服务于公共利益，而信义义务服务于股东的利益。笔者认为，合规义务保护公共利益的任务主要应由刑法等公法部门实现，而保护个人利益主要为私法部门的任务。因此，作为私法之一部，公司法中的合规义务应以维护公司和股东利益为核心目标。

因而总体来看，合规义务可以归属于传统的信义义务，董事合规义务究竟是属于忠实义务还是勤勉义务？忠实义务和勤勉义务虽被统称为信义义务，但是二者的发展轨迹却不尽相同，前者以衡平法上的信托关系为基础演变而来，后者则以侵权法上的过失为基础而逐步形成。从制度利益来看，法律制度所体现的核心利益是区别不同法律制度特征的关键，忠实义务和勤勉义务能否包含合规义务，取决于其核心利益的范围。因此需要将合规义务与二者进行比较分析。

忠实义务所要解决的问题是防止董事为自己的利益行事而与公司利益发生冲突，也即董事要将公司利益置于自身利益之上。学界一般认为忠实义务是为公司经营权行使主体设置的“道德标准”，即一个正直的人所应具有的品德。典型的利益冲突情形是董事侵夺公司的商业机会和从事关联交易行为，这在许多国家都是公司法所禁止或者需要经过披露和批准的行为。董事合规义务与忠实义务显然不同。董事合规义务的核心内容是确保公司及其雇员守法，在行为模式上要求董事采取积极作为的方式去维护和促进公司利益。比如建立合规制度以规范和监测公司及其员工的不合规行为，有效预防违法行为的发生。董事违反合规义务固然会损害公司利益，但这更多是董事怠于履行义务的结果，而非利益冲突的结果；而董事违反忠实义务时主观上表现为故意，客观上则表现为篡夺公司机会、关联交易等行为。因此虽然二者的制度利益均是为了保护公司利益，但是二者所调整的利益关系状态是有着本质区别的。

在我国，理论界有学者认为董事守法义务也应当是董事合规义务的内容，并将守法义务归属于忠实义务。即将董事自身积极主导或者从事不合规的行为也纳入合规义务范畴。将董事守法义务放在忠实义务中具有一定合理性，但是这与董事的合规监督义务是不同的事物，二者应当区分开来。董事合规（监督）义务强调的并非董事自身要遵守法律，而是董事如何确保公司及雇员（主要是高级管理人员）的行为符合法律和相应的规范，做到公司利益的维护者和“看门人”。从规范目的来看，我国立法者在使用董事的守法义务时更多是将其作为忠实义务和勤勉义务的修饰表述。在美国，即使确立合规监督义务的Caremark案件主审法官艾伦（Allen）也认为，董事故意从事违法行为的属性与合规监督义务具有本质区别，公司法是否有必要专门强调守法义务也是存疑的。

董事合规义务从属于勤勉义务，是勤勉义务的具体化。勤勉义务指的是董事应当对公司事务尽到合理的注意。从信义法原理上讲，董事是为他人的利益处理事务，因而应当尽责，也即任何一个人在处于类似情形时都会采取的处理方式，我国学者将其概括为“本职业团体成员的平均水平”。由于勤勉义务的抽象性，有学者认为，勤勉义务既要有一般条款，也要规定在具体情形下的勤勉义务。笔者认为，合规义务即是勤勉义务的一个子义务，主要理由如下：

首先，合规义务的要求与勤勉义务的本质相契合。根据《示范商事公司法》（Model Business Corporation Act，以下简称MBCA）的规定，勤勉义务标准包括：（1）善意；（2）尽到合理注意；（3）为公司最佳利益行事。同时，董事要在知情的基础上进行决策并对公司尽到相当的监督职责。《中华人民共和国公司法》（2023年修订）（以下简称《公司法》）第180条第2款借鉴MBCA的规定，确立了勤勉义务的一般标准，具有进步意义，但尚未将实践中已有雏形的合规监督义务明确为其内容。勤勉义务的本质在于尽到合理注意和尽职尽责，在决策时及时和全面掌握公司资讯。合规义务要求董事对公司及其雇员的行为进行监督，防止不法行为发生。在具体行为上，董事负有义务去构建公司内部的信息报告和传递系统，并且监督该系统的运行，从而使得董事会可以及时掌握公司的信息。公司所面临的合规风险会随着经营管理情况和外部环境而发生变化，因而董事的合规监督义务也应当是持续性的和动态的。在设计和监督合规机制运行时，董事应当尽到合理注意，避免违规行为发生而损害公司利益，因而合规义务与勤勉义务在要求上具有契合性。

其次，将合规义务界定为勤勉义务的内容有着实证法和实践的支持。我国《上市公司章程指引》（2022年修订）第98条第1项规定了董事的勤勉义务内容。该条明确指出：“董事应当遵守法律、行政法规和本章程，对公司负有下列勤勉义务：（一）应谨慎、认真、勤勉地行使公司赋予的权利，以保证公司的商业行为符合国家法律、行政法规以及国家各项经济政策的要求……”该指引虽然不是正式的法律，但为上市公司普遍遵守。又比如，《上市公司信息披露管理办法》第4条规定董事应当保证披露信息的真实、准确、完整，信息披露及时、公平。这项规定可以看作是董事对公司信息披露负有合规监督义务的规范。

最后，将合规义务界定为勤勉义务也有着比较法上的支持。在Caremark案中，法院认定董事对公司的合规经营管理负有监督的职责。具体而言包括两个方面：一是对公司尽到必要的注意，从而及时发现公司的不当行为并且根据情况采取后续的调查和处理措施；二是监督公司的业绩表现和经营决策风险。董事监督义务的产生，也是为了制约公司的不合规行为。Caremark案件的诉因是公司雇员从事商业贿赂行为导致公司受到监管机构处罚，因此股东提起派生诉讼，要求董事为此承担民事责任。而在美国公司法体系下，监督义务是从属于董事勤勉义务的，因而合规义务当然从属于勤勉义务。实际上，在大陆法系的德国，董事合规义务从属于董事合法义务的框架，而合法义务则又属于注意义务的类型之一，其在内容上也大致与美国的董事监督义务相类似，既包括建立合规组织，也包括监督。

将监督义务归为勤勉义务也符合信义义务法理。监督义务的性质虽存在一定争议，但主要是基于司法政策上的考量，有其特殊制度背景。特拉华州法院对监督义务定性时之所以在勤勉义务和忠实义务之间徘徊，主要是因为，该州公司法允许董事会修改章程免除因违反勤勉义务产生的民事责任，若允许董事自己免除自己的义务，则将监督义务放在勤勉义务项下并无实益。而根据该州公司法，忠实义务不得免除，所以法院才会考虑将监督义务置于忠实义务项下。在新近发展中，美国法学会于2019年启动并于近期通过的《公司治理法律重述》也就监督义务性质进行了说明。《公司治理法律重述》虽然将其放在忠实义务下处理，但起草者认为这是为了应对勤勉义务责任可以被公司章程豁免而作的妥协之举。理论上一般认为，我国《公司法》中并未设置董事责任免除规范，仅在董事会决议违法时，会议记录记载的异议董事才可免责。《公司法》第125条第2款对此也予以确认。从立法目的上看，信义义务是为了维护公司和全体股东的利益，该规定属于保护他人的法律规范，董事信义义务的内容是强制性的，不允许通过章程或者合同免除。因此就我国而言，从逻辑上将合规义务定性为监督义务，从而从属于勤勉义务的做法具有一定合理性。合规义务与风险管理义务同为监督义务的重要内容，广义上的风险管理义务是指组织为了应对不确定性而采取的任何措施。尤其是2008年金融危机以后，系统性金融风险所引发的公司倒闭带来市场震荡，董事会不得不重新评估其风险管理方法，对金融风险的监督日益受到重视。合规风险与广义的风险管理存在交叉，而狭义的风险管理则包括普通商业风险、金融风险等。狭义的风险管理义务将在后文风险识别一节中详述，此处不赘。合规义务在董事义务体系中的定位，可以通过图1示明：

总之，董事合规义务可以在董事信义义务体系中寻找到合适的定位，无需设置为独立的义务。在性质上，合规义务与忠实义务具有不同的制度利益，因而不宜归入忠实义务；合规义务从属于董事对公司及雇员行为的监督义务，而监督义务则是勤勉义务的子义务。监督义务对董事持续监督公司信息报告系统运行的要求，也与合规义务的动态性要求相契合。因而在体系上，合规义务属于董事勤勉义务的重要内容。

在公司治理中，各种复杂的利益关系相互交错，因而公司治理虽有最佳实践，但并不存在一刀切的方案。合规义务是一个动态的、分阶段的管理过程，董事的合规义务也应当建立在这一基础之上。按照国际标准化组织制定的《合规管理体系要求及使用指南》，合规管理包括建立和执行制度以及对制度进行评估和改进，这一动态要求在司法判例中也有所体现。从美国法学会正在起草的《组织合规与实施原则》中可以看出，合规制度建设也是一项系统性的工作，建立在阶段划分基础之上。整体而言，董事合规义务的系统性流程，可以通过图2示明：

1. 公司内部存在信息不对称问题

公司合规作为一种治理模式，具有信号传递的功能，它是一种判断公司治理质量的方法，为监管者的政策制定和执法提供决策依据。同时它也可以对公司外部的债权人、股东等传递有关公司管理水平和合规文化等的信号，从而为其投资决策提供信息。

在公司内部，合规制度同样可以起到信号传递的作用。股东和董事会之间的信息不对称、董事会和经理层之间的信息不对称以及经理层和其下属雇员之间的信息不对称都是普遍存在的。董事会作为公司的管理中枢，负责公司的经营决策，但由于公司是一种科层结构，信息在公司内部的流动同样需要成本和桥梁，而经理层受到业绩和考核的压力，或者出于自保，经理可能并不希望信息传递给董事会，而产生瞒报或者谎报等信息压制行为。因而董事会与经理层之间需要一个沟通的桥梁。信息的有效传递也决定着董事能否及时发现公司的不合规行为，法律应当要求董事负责建立起有效的沟通和信息传递机制。因此，合规义务的要求可以承担起这样一个桥梁的角色。

2. 预防阶段的董事合规义务

在预防阶段，董事的合规义务主要表现为建立合规计划，通过制定相应的内部控制和决策规则，确保公司在决策的过程中遵守法律法规、满足监管要求。在Caremark案件中，法院认定，董事会负有义务去建立公司的报告和信息传递制度，否则董事将对此承担个人责任。公司经营管理确实属于商业判断，但是董事合规义务却又不完全属于商业判断。理由在于，合规义务所引发的风险与经营中所产生的商业风险有本质上的不同。合规义务的要求具有相对确定的标准，而商业风险则难以控制，董事应当如何做才算是履行了建立内部控制制度的义务？对此，需要综合考虑公司所处的行业、监管的强度、对公众的影响等因素进行具体分析。

组织中容易产生信息屏蔽，造成部门之间无法共享信息。行为经济学的研究表明，复杂组织中如果无法及时接收和处理信息会导致“智识风险”（intellectual hazard）从而影响决策。公司内部合规流程可能对员工的对外行为有所规范，如果由于公司并未采取足够的内部防范措施而导致公司对外行为出现瑕疵，公司将为此承担不利后果。比如，汽车公司内部设有采购部和销售部，如果采购部知道二手车存在瑕疵，随后由不知情的销售部将该车卖给第三人，此时应当如何认定公司具有过错？从预防的角度来看，董事需要尽到的建立相关制度的义务就是采取防范措施确保采购部门的信息能够被及时地记录并且向销售部门传递，在销售部门对外销售汽车时能够获取到该汽车的信息。

鉴于现代大型公司结构复杂，而决策和监督需要掌握相应的信息，因而建立信息报告制度在公司合规制度建设中居于核心地位，以至于有学者认为，在董事会中，信息是一切事物的关键。通过信息报告制度，董事会可以及时地获取公司的经营情况。无论是Caremark案标准，还是Stone案标准，信息都是董事合规义务的关键。《萨班斯奥克斯利法》第404（a）（1）规定，证监会应当制定规则要求管理层就建立和维持适当的内部控制结构和财务报告程序进行责任声明。公司治理事务有其复杂性，要求董事会对所有事情都知悉既不现实也缺乏效率，关键之处在于董事会要根据公司的核心业务建立相应的合规制度。比如对于从事食品生产和销售的公司而言，合规的核心在预防食品安全风险，因而公司的信息报告制度也要围绕着食品安全建立，这是公司的核心利益之所在。在Marchand v.Barnhill案中，法院认为董事会未建立充分的信息报告制度预防食品安全风险的发生，从而判定董事违反合规义务。

为了使董事会能够及时掌握公司的活动和信息，法律提供了许多激励措施。比如建立举报人或者吹哨人制度的尝试。对此，《德国公司治理准则》第5A.4条明确规定，公司应当确保员工或者第三方有机会举报公司内部的不合规行为，并应为举报者提供保护。在证券欺诈领域，为了预防和及时发现公司内部人员的内幕交易等违法行为，有些国家的证券监管对举报人进行奖励和保护，以此激励正直的员工及时向监管层或者公司管理层提供信息。比如在美国证券法律中，规定了任何人发现违反证券法律法规的行为均可向证监会提供信息，根据具体情形举报者能够获得10%~30%的举报奖励。这一制度的目的是解决公司与监管层之间存在的信息不对称问题，证券监管者的执法活动受制于掌握的市场活动信息，因而吹哨人制度实际上是扩大了证监会的信息来源，使得吹哨人成为证监会的“眼线”。同理，董事会为了及时发现和阻止公司内部的违法行为，也可以采取吹哨人制度，建立起董事会与公司各个层级之间的信息传递渠道。在大陆法系的德国，董事会建立监督制度的义务被称为合规组织义务，通过组织性措施确保公司及其雇员行为遵守法律和相关规则，这与建立监督制度的义务在本质上是一致的，都强调董事会对公司合规的管理和控制。

1. 合规计划有效性评估的重要性

徒有纸面上的合规并不足以实现良好的公司治理，如果董事会制定的合规计划并未实际执行，或者对实际执行未进行有效性评估，那么这种合规制度就是失灵的。之所以要求董事会对公司的合规计划进行定期评估，其原因主要在于，公司的经营状况和环境时刻都在发生变化，通过定期的检查和评估，能够提高发现问题的概率，从而及时调整公司的应对和处理机制。根据特拉华州法院在Caremark案中所确立的标准，董事的合规义务有两方面：第一，建立公司的信息报告和控制制度；第二，监督信息报告和控制制度的实际运行。违反这两个要求中的任何一个都将导致董事违反合规义务。同时，《萨班斯奥克斯利法》第404（a）（2）也要求，公司应当在最近的一个会计年度结束时，评估公司内部控制结构和财务报告程序的有效性。有效性评估是董事会监督职能的体现。在大型公司中，董事会的角色由经营者转变为决策者、监督者和顾问。董事会可以对公司具体经营决策和公司发展战略进行定期讨论、评估并给出建议，从而尽到看门人的职责。对此，德国法上亦有相应之规定。《德国公司治理准则》第5A.5条规定，董事会应就公司内部风险管理系统和内部控制系统出具报告并就其适当性和有效性发表意见。

《办法》同样重视合规管理的有效性评估问题。《办法》第8条明确规定董事会应当“推动完善合规管理体系并对其有效性进行评价”。从行为上来看，董事会至少应当对公司的合规计划、内部控制和风险管理系统出具评估报告，并判断其是否能够与公司所面临的环境和风险相匹配。董事会在进行评估时可以借助专业机构就特定问题出具评估报告，并据此调整公司的合规计划。

有效性评估应当遵循何种标准？目前关于有效性评估的标准仍然是相当模糊的。即使是美国司法部所给出的指引，也只是提出了最一般性的几个问题测评，包括合规体系是否设置良好、是否有效实施、是否实际发挥作用。通过这种自问自答的评估方式，似乎很难起到什么真正的评估作用。合规制度运行良好的关键，在于信息的有效传递，因而对于董事来说，至少应当建立明确的管理制度，将职责安排具体化，确保信息传递机制的顺畅，这是有效性合规的核心原则。对此有学者指出，有效性合规的核心特征包括公司结构联结、信息流、监督和控制以及风险评估。这与本文提出的信息传递机制有效性是一致的，它本身就体现了一种监督和控制。当然，有效的合规制度并非以结果为绝对的导向，其核心目的还是在于激励董事采取合规管理。

2. 有效性评估是否受商业判断规则保护

商业判断规则旨在保护董事行为独立，避免给董事造成过重的责任而从事风险厌恶行为。从公司这一风险共同体所存在的目的出发，应当鼓励董事为实现公司的最佳利益而行事，根据公司类型和规模来进行决策，允许公司董事采取最为合适的内部监督机制。对于上市公司而言，公司规模庞大，内部管理结构复杂，董事会和管理层虽处于公司权力的中心，但是却并不一定能够及时掌握具体部门的信息，因而规范的内部监控机制对于董事的商业判断尤为重要。而且，上市公司发生不法行为的负外部性较大，因而要求上市公司采取规范的监控机制有着正当性基础。而对于部分有限公司或者非上市的股份公司来说，公司内部结构相对简单，甚至由股东亲自经营管理公司是常态，以上市公司的要求来约束这类公司则是不合适的，因为这样做不仅可能收效甚微，甚至会造成不必要的成本。在《萨班斯奥克斯利法》制定时，美国证监会最初的评估报告认为，法案对于公司内部控制的要求使得公司平均每年至少增加9万美元的支出，但是全球商业调查公司甫瀚咨询（Protiviti）后续的实证研究表明，法案对小公司带来的实际平均成本为每年140万美元左右，且在近年呈现出逐渐上升的趋势。

不过商业判断的适用是有界限的，对于可能逾越公司治理底线的行为，董事会的裁量权会受到限制。公司合规目标的实现，除了依靠公司自身之外，还依赖于政府的监管，因而对公司合规制度的有效性评估不可能完全交由董事会判断。对于违反有效性合规核心要素的，通常可以认定董事会对此存在恶意或者重大过失，因而不再受到商业判断规则的保护。何种情形应当采取合规措施应当以必要性为原则，结合公司的核心业务进行分析。总体而言，合规机制是应对市场信息不对称的措施，设计良好的合规制度具有信号传递的功能，允许董事根据公司具体情形享有一定的自由裁量权可以为小公司节省不必要的成本。

当公司个别员工的行为有可能使公司面临违法违规的风险时，董事会需要及时识别这一风险并开展调查，否则仍有可能违反合规义务。需要解决的问题主要包括：第一，应该如何准确地识别风险；第二，董事会的调查如何开展。

1. 合规风险的识别

公司所面临的风险也被形象地称为红色警报或者红旗，这意味着风险的显著性，像一面红旗那样，以至于任何一个理性人在面对这种情况时通常都不会视而不见。问题在于何种风险才会构成真正的风险，以及如何准确地识别这种风险。应当认为，至少有两个标准可以作为风险识别的依据：第一，该风险与公司的核心业务相关；第二，该风险具有一定的紧迫性。工商业的分工日益精细化和专业化，这意味着公司需要根据其核心业务建立起对应的风险识别机制。总体来说，公司在经营过程中所面临的风险可以分为两类：第一类是与其核心业务相关的风险，比如食品安全、金融风险、数据处理等；第二类则是共通风险，即所有类型的企业都有可能面临的风险，比如反商业贿赂、税收、财务等方面，也被称为专项合规风险。针对这两种不同的风险，董事会应当采取积极的手段作好风险识别。这里可以说明的是In Re Clovis Oncology Inc.Derivative Litigation案，本案中因临床测试违反相关的试验规程，最终FDA未批准药物上市。法院指出，对医药公司而言合规义务的核心要求就是要遵守业已建立的试验规程和规约。由此可见，在设定公司的合规风险识别机制时，应当区分核心风险和共通性风险，核心风险与公司的核心业务相关，是公司经营首先要关注的，董事会应当对此进行精确的分类和识别。核心风险识别机制的缺失，将会使董事会处于信息真空之中，这体现的是公司内部控制机制的失灵，可能导致公司经营面临较大的不确定性和风险。共通性风险的识别则可以采取通行的准则和标准进行设定。

合规风险与公司运营风险存在交叉。公司在经营中通常会面临各种不同的风险，比如信用风险、流动性风险和运营风险等。对公司而言，通常意义的风险是指前述这些影响企业管理目标的不确定性。董事会作为公司的经营决策机构，需要作出投资、交易等商业决策，而这些决策可能会盈利，也可能会导致损失，因而董事负有风险管理义务，尤其是在金融行业，风险管理是董事的主要职责。根据巴塞尔委员会的定义，公司中的运营风险是指由于处理流程、人员和制度设置存在不足，或者这些根本不起作用而导致损失的风险。由此可见，合规风险管理仅仅是董事风险管理义务的一个方面。这首先是因为合规风险本质上也是由于公司内部人员的不法行为或者制度缺陷而导致的损失。其次，公司合规义务的判断标准相较于其他风险管理义务而言较为明确，因为合规义务的标准就是董事采取措施阻却和防范公司违法行为的发生，董事是否采取了积极的作为方式可以通过内部决策流程和工作留痕制度来判断。而董事的其他风险管理，比如金融公司面对的金融风险，往往非常复杂，难以理解和判断，很大程度上依赖于模型设计和统计分析，本质上是为了应对事物发展的不确定性，采取措施对其发展方向和概率进行控制。因而由商业决策引发的公司损失，涉及董事的商业判断问题，对商业决策成功和失败可能性的判断只能以事前标准，而不能采取事后诸葛亮的方式判断，这是决策科学的重要发现之一。所以，从平衡各方当事人利益的角度而言，只要董事的决策是在获取相关信息后善意地作出，考虑到董事是在信息不完善、资源有限以及未来不确定的现实世界中作出决策，让董事为“失败”的决策承担责任，会削弱其风险承担和为公司赚取利润的能力，而这正是商业判断规则所要避免的。

2. 风险识别的机构和人员设置

风险分类和管理是为了方便董事会及时掌握公司的经营风险，从而增进对公司的了解。除此之外，从实践中看，有些公司设立了专门的合规或者风险管理部门，通过配备专门的人员试图解决公司经营中的合规风险。比如，《中华人民共和国个人信息保护法》第52条第1款规定，处理个人信息达到一定标准的信息处理者，需要指定专门的信息保护负责人，负责对个人信息处理活动和采取的保护措施进行监督。这一规定也被称为数据合规官制度，是合规义务在数据保护领域的具体化。机构设置属于董事会的裁量范围，若董事会认为需要此类机构协助其及时监督公司的合规运营，可以根据需要而设立，其功能和董事会的其他委员会一样，都是董事会履行监督义务的可选择方式。不过在特定领域，法律会强制要求达到一定条件的公司设置合规机构，对于这些底线性要求，董事会并无裁量权，否则将可能因此承担责任。比如《多德弗兰克法案》要求资产超过100亿美元的银行控股公司必须设置风险管理委员会监督公司风险管理，而资产超过500亿美元的银行控股公司还需要额外设置首席风险官。从外部视角看，合规部门的设置将有利于外部客观评价董事会是否真正履行了监督义务。其逻辑基础在于，当公司所面临的风险已经现实存在时，若合规部门发现这一风险，却没有及时呈报给董事会，导致董事会对此毫不知情，董事会则可据此免责，而合规部门则要对此负责。若合规部门发现风险，并且及时地报告给了董事会，但是董事会并没有作出及时反应或者视而不见，董事会对此负责，而合规部门可以免责。

在一些部门规章中，也强调了合规部门对于合规管理的重要意义，但是却并没有注意到合规部门的独立是其发挥作用的前提。比如《保险公司合规管理办法》第11条规定了保险公司设立合规负责人，第13条又规定了合规负责人要接受董事会和总经理的领导。在公司治理语境中，权力同时也意味着责任，合规负责人对董事会负责，并接受总经理的领导使得其作用空间有限。不过合规机构或者合规部门的设置，属于董事会的商业判断问题，法律不宜强制性规定所有公司设置。

3. 调查阶段：及时启动调查

（1）公司调查的启动

当公司所面临的风险可能转化为现实的时候，董事会应当积极回应并组织调查，从而及时止损或者发现并解决问题。在应对公司经营异常风险时，董事会可以任命专门的调查组，就特定问题展开调查。为了激励公司积极配合并采取调查措施，法律需要设置相应的激励措施。比如《联邦量刑指南》中明确规定，公司犯罪发生时，如果董事会积极配合公司调查，这将成为减免刑事责任的考量依据。这主要是因为，公司的内部调查程序会为执法部门节省相当的精力和资源，是具有公共利益属性的。公司经营出现问题属于公司经营异常，董事会作为监督者应当及时排除问题，从而使公司恢复至正常经营状态。这一问题可分为两个层次：第一，启动调查的时间点；第二，应当采取何种手段开展调查。如果公司的信息传递系统运行良好，公司面临的现实风险应当可以及时传递到董事会层面，此时董事会应当立即采取措施。在Graham案中，公司员工所从事的垄断行为被媒体和社会广泛报道，并且公司与司法部达成了和解协议，董事会在收到信息后立即展开了相关的调查，尽管最终查实公司的内部控制并没有问题，但是从博弈论的角度来看，监管者与公司之间存在的这种信息不对称是客观存在的，博弈者通过付出一定的代价来促使对方获得自己愿意合作的信号，从而促成双方的合作。董事会积极行为本身就是在向监管者传递一种正面的信号，即董事会及时地履行了相应的注意义务。

（2）公司调查程序的开展

董事会调查所采取的手段应当具备妥当性。在成立调查组之后，应当就公司合规问题产生的原因、主体、行为和结果等进行查明，并最终形成调查报告。如果调查事项超出了公司调查组的专业知识范围，还可以聘请外部专家协助调查。我国现行《公司法》（2018年修正）第54条第2款规定了公司监事会在对公司经营异常情况进行调查时，可以聘请中介机构协助，费用由公司承担。有人认为这一规定可以应用于股东派生诉讼中的公司调查程序。笔者认为，这一规定同样可以适用于董事会的合规问题调查程序。公司合规问题具有复杂性，有些发生在公司财务领域，有些则可能发生在公司业务领域，若董事会及其专业委员会认为有必要借助专业机构的意见才能完成调查，基于其自身商业判断实施即可。在Hughes v.Hu案中，公司董事会就因为没有针对公司财务违规行为展开调查而承担责任。

1. 董事会应当积极采取措施纠正不法行为

在公司信息传递机制有效、风险信息及时传递到董事会时，董事会应当就此采取补救措施，从而减小损害。当公司所面临的风险持续存在时，信义义务要求董事为了公司的最大利益而行事。对于理性的董事而言，积极采取措施去挽救损失所带来的收益是大于隐瞒的。这里的典型案例是Westmoreland v.Parkinson案，监管部门对公司产品发出警示函后，董事并未进行产品召回，反而将精力投入新产品研发，因而法院最终认定董事因没有采取积极措施纠正公司的违规行为而违反了合规义务。

董事会应当采取的补救措施应具备针对性。对于公司的核心业务领域出现的问题，董事会应当立即采取召回等措施来阻止损害的扩大，比如在食品和药品等直接与公共利益相关的领域。而在共通性风险领域，董事会应当聘请专业机构对公司的内部控制进行评估，并及时向监管者披露公司内部控制情况。在Teamsters Local 443 v.Chou案中，公司因违反注射药品的无菌生产规程而被处罚。董事会聘请专业机构进行调查并听取了首席运营官的报告，但是并未采取任何措施去纠正公司的违法行为，因此法院最终认定董事采取的措施是不足的，应当对此承担赔偿责任，董事会必须针对具体的问题采取行动。当然，董事最终是否实际承担责任是一个非常情境主义的问题，需要法官基于个案事实进行认定。换言之，并非任何的董事义务违反均会导致董事的归责。比如董事的身份是执行董事还是非执行董事，董事是否事先建立了公司的合规管理制度并监督其运行，公司的内部控制是否有效以及董事在合规调查中的行动是否及时和合理，法院在认定时通常会对这些因素进行综合考量。

2. 改进公司的合规计划

合规义务也与内部控制密切相关。《德国公司治理准则》认为内部控制系统应当包含适当和有效的公司合规计划的程序、方法等，确保公司遵守法律。深交所2006年发布的《上市公司内部控制指引》第2条就明确指出，遵守国家法律、法规、规章及其他相关规定是内部控制的目标。“内部控制”一词，究其本质，所“控制”的是公司的风险，而合规风险是公司经营中面临的风险之一。

在补救阶段，董事在认识并纠正公司的违法行为后，应当在此基础上识别和评估公司内部控制与合规计划的漏洞，针对问题改进公司的合规计划。公司内部控制存在问题通常会导致决策违反相关法律，由此造成的负面影响可能会使公司遭受重大损失。比如，在泛微网络公司被ST案件中，由于内部控制存在重大缺陷，会计师事务所对泛微网络公司的内部审计出具了否定性意见，最终导致公司被ST。改进合规制度应当以预防和阻止类似违法行为的发生为主要目的，在这一阶段，公司通常会被要求提交合规整改计划，围绕公司的规章制度、人员管理等进行调整，从而填补公司的合规计划漏洞。改进公司合规计划的典型案例是西门子公司案件。根据美国证监会和司法部的指控，西门子在全球通过行贿获得商业机会，行贿金额高达数十亿美元。美国证监会的起诉书显示，大规模的商业贿赂违规行为涉及公司的众多高管和员工，而西门子公司的内部监督和控制则完全失灵，董事会对这些行为没有进行任何调查。随后，在与美国司法部达成的和解协议中，西门子公司同意重建公司的合规计划，尤其是针对商业贿赂行为建立专项合规计划。首先是在内部控制上，公司的支出需要通过会计如实记录，西门子要对相应的程序和标准予以明确；其次，要建立专门的机构并配备相应的人员监督公司合规政策的执行；最后，董事会要定期对公司的合规计划进行评估和监督。

公司对合规计划的改进也符合回应型监管的理念，它意味着企业在运行中与社会之间存在互动。市场监管和执法传统上由政府部门负责，但是政府部门的执法存在一定的滞后性且依赖于对企业内部信息的获取。而公司的自我规制不仅可以填补政府执法滞后带来的监管真空，同时还可以降低执法成本。由此，政府与公司之间可以按以下标准进行分工，即谁的预防成本更低，法律将义务分配给谁最符合效率最大化的分配原则。当由公司合规进行自我改进的成本较低时，可以减少政府的执法成本，反之亦然。公司合规计划的改进在一定程度上推进了公司内部治理机制向社会公开，通过政府、社会和私人之间的合作最终促进整个社会的进步，形成良好的合规生态。

合规在我国已经成为公司治理的重要内容。在公司合规义务的构建中，董事会应当是合规义务最重要的承担主体，负责全面领导公司的合规事务。董事合规义务属于勤勉义务的具体类型，根据动态合规的理念，将合规义务分为预防、实施、调查和补救四个阶段，董事应当及时制定和调整公司合规计划，以应对不断变化的合规环境。在公司内部，董事合规义务可以缓解公司内部的信息不对称问题，承担起董事会和其下级的沟通桥梁。在公司外部，合规义务可以缓解监管机构的执法不足问题，通过合规激励提高公司治理质量。