一、“内部控制”法律化路径分析
为积极应对金融市场的发展与创新,我国《证券法》新一轮修订拟将“证券”的定义进一步扩大,这表明我国对于防范金融风险的法制需求正不断上升。与此同时,在“一线放开,二线管住”策略指引下的政府职能转变中,作为外部监管的重要条件之一,确保金融企业在内的大型上市公司建立“内部控制机制”(以下简称“内控机制”)并使其有效运作实有必要。然而长期以来,内控机制的研究一直局限于会计学、经济学、管理学等领域,法学领域有关内部控制的研究并不多见。2008年后,财政部等五部委制定颁行了《企业内部控制基本规范》(财会[2008]7号,以下简称《基本规范》)。[1]2011年末财政部表示,将设法推动在现有的法律法规体系中补充完善内部控制的普适性要求,有针对性地在《公司法》、《证券法》等法律中补充、调整与内部控制相关的条款,将企业建立和维护有效的内控机制提升到法律的高度。[2]对于内部控制的相关规定如何入法的问题,笔者认为,我国或可汲取日本等国家的先进经验。
(一)日本法上内部控制义务的法律化路径
在内部控制法律化路径问题上,借鉴日本经验对我国有着特殊意义:
首先,日本公司采用二元制治理结构,由监事会监督董事会,这与我国公司治理结构相似。然虑及上述监督较为有限,日本遂于2002年引入“专门委员会制度”,东京证券交易所上市公司的委员会中均有独立董事,这一点也同我国的情况较为相似。但独立董事并不十分有效,且遭到其他董事会成员抵制,于是日本又鼓励设立“独立监事”,[3]然而独立监事对改善公司治理效果亦不十分明显。[4]
其次,同我国极为相似的背景是,2006年日本《金融商品交易法》的规制对象由“证券”扩大到“金融商品”,强化金融产品提供方及其他市场主体的内部治理及保护金融产品投资者尤显必要。于是,日本在其《公司法》和《金融商品交易法》中同时引入了“内部控制”的相关规定,且各界对此十分重视,如2011年第75届日本私(民商)法年会第四分会就特别围绕内部控制中的董事责任进行了探讨。
日本公司法学者认为,没有必要在交叉学科内就内部控制的意义进行争论,但必须对其法律属性进行界定和探讨。[5]然而,从法律层面强制要求构建“内控机制”必然会增加公司负担,因其要求公司建立围绕财报、信息披露、公司机关行为及业务流程的整体监督机制,同时需要对公司全体职工就业务流程等进行教育和确认。对于大规模企业和上市公司来说,这往往需要花费数十亿日元的初期费用及大量时间,此外,“内控机制”须是一个“持续有效”的机制,因此其还会持续产生成本。因此,应避免在法律中作出有关内部控制的过于详尽的规定。
日本首倡内控机制的学者神户大学法学院的神崎克郎教授将内控机制定义为“确保董事公正行使其职务执行的体制”,并主张其内容“应鉴于公司规模,经营的内容及组织的集中度等具体情况决定”。[6]有学者主张“具体内容”虽属商业判断,但必须不低于“最低水准”,[7]但事实上内控范围极广,何谓“最低水准”实难判断。[8]
历经多年争论,日本终于在2006年《公司法》第三百六十二条第二款第六项规定了董事构建内控机制的义务,而《公司法实施规则》第一百条则规定了构建内控机制的具体内容。依日本《公司法》的规定,内控机制是指确保董事的职务执行符合法律法规及章程规定的机制。具体指:(1)构建确保董事及商业使用人(高级管理人)执行职务符合法律及章程的机制:(2)构建董事执行职务相关信息的保存及管理机制(《公司法实施规则》第一百条第一款第一项):(3)构建危机管理的公司内部守则及其他机制(《公司法实施规则》第一百条第一款第二项):(4)确保董事执行职务富有效率的机制(《公司法实施规则》第一百条第一款第三项):(5)确保商业使用人,经理人的职务执行符合法律以及章程规定的机制(《公司法实施规则》第一百条第一款第四项):(6)确保母子公司及集团公司业务妥当性的机制
(《公司法实施规则》第一百条第一款第五项):[9](7)确保构建监事有效监督的机制。[10]
而同日本《公司法》中的内部控制的基本理念不同,日本《金融商品交易法》的立法主旨是发挥证券市场“公正价格形成之机能”,保证交易秩序,因此其更加注重公司的信息披露环节。[11]该法强制要求董事就有关财务报告的内部控制有效性进行评估,并规定了内部控制报告书强制审计和披露制度,该法第24条第4款第4项规定公司负有“在公司内建立确保有关财务报表等其他公司信息具有准确性的控制机制”的义务。对于日本《公司法》和《金融商品交易法》框架下“内部控制”规定的异同点,笔者归纳如下:
日本《公司法》和《金融商品交易法》框架下“内部控制”规定的异同
┌──────┬─────────────┬───────────────┐
│ │公司法(新) │金融商品交易法 │
├──────┼─────────────┼───────────────┤
│对象企业 │大公司(资本金5亿日元或负 │上市公司及其他行政法规规定的公│
│ │债200亿日元以上)以及设置 │司 │
│ │专门委员会的公司 │ │
├──────┼─────────────┼───────────────┤
│规制对象 │确保公司业务合法性与恰当性│财务报告 │
├──────┼─────────────┼───────────────┤
│目的 │预防和尽早发现违法或者不当│尽早发现不正当的会计处理 │
│ │的企业活动 │ │
├──────┼─────────────┼───────────────┤
│机制的具体设│根据公司的行业规模内容等自│设计必须符合行政法规规定的标准│
│计 │由设计 │ │
└──────┴─────────────┴───────────────┘
续表
┌──────┬─────────────┬───────────────┐
│ │公司法(新) │金融商品交易法 │
├──────┼─────────────┼───────────────┤
│监察(审 │无 │有 │
│计)义务 │ │ │
├──────┼─────────────┼───────────────┤
│开示(披 │有(属于董事会必须决议的内│有(将已经审计的内部控制报告书│
│露)义务 │容) │进行披露) │
├──────┼─────────────┼───────────────┤
│罚则 │无 │有(不提交内部控制报告书或者报│
│ │ │告书存在虚假陈述的,代表董事等│
│ │ │个人处5年以下有期徒刑或500万日│
│ │ │元以下罚金,法人处5亿日元以下 │
│ │ │罚金) │
└──────┴─────────────┴───────────────┘
(二)我国“内部控制义务”法律化路径分析
为体现“市场法制”的本质,我国亦应在《证券法》和《公司法》范围内分别对内控机制的法律含义进行界定和厘清。[12]笔者认为,同《证券法》中的“内部控制”着重于确保公司信息披露具有可信度相比,《公司法》中的内部控制则主要着眼于防范公司违法行为,提升企业经营效率。这里所指的“违法”包括了违反《证券法》中有关信息披露及将来可能创设的有关内控机制建设的规定,因此,《公司法》中的“内部控制”含义和范围更为广泛。
然而,内部控制失效的范围非常广泛,以我国发生的案例为例,“琼民源案”、“银广夏案”是公司财务造假的虚假陈述案:“三鹿案”[13]在风险预警和处置环节上存在重大疏漏:“中航油案”和“中储棉案”[14]属于公司从事投机引发巨大亏损:“光大乌龙指案”[15]则是公司交易系统、信息披露及风险处理环节出现重大缺陷。此外,大规模企业或上市公司的业务范围和内控流程更为复杂。我国《基本规范》第12条规定,董事会负责内部控制的建立健全和有效实施,本文以下即就如何理解“负责”二字展开论述。
二、日本法上董事“内部控制义务”法律化的主要课题
(一)公司机关之间的权限关系
明确董事会的作用须先解决董事长与董事会的关系问题。对此,日本学界存在两种学说:一为“并行机关说”,即由董事会决定内部控制的大纲和具体授权,“董事长”或“执行董事”负责具体实施,承担最终责任,董事会仅是“间接”监督,每个董事仅对自己职权分工内的控制以及相互之间的监视监督承担责任:[16]一为“派生机关说”,即内部控制的终极责任在董事会,董事长属于董事会的派生机关,董事会成员之间对内部控制缺失承担连带责任。日本国内的通说更接近第一说,但我国《基本规范》第十二条属于上述哪条路径尚不明确。此外,对于《基本规范》第十二条所规定的监事对内部控制的监督,我国学界关注较少。日本学者认为,监事并不积极执行公司业务,因而监事对于董事业务执行的监视一般仅限于“合法性”监督,而对于内控机制是否妥当以及是否具有效率等“妥当性”方面的监督仍由董事会负责。[17]同样,在接近第一说的德国法中,监事会仅“依据决算监察(审计)人的评价书,就董事有否十分有效的控制机制”进行监督,代表董事就内部控制承担终极责任,“内部监察服从董事指挥,而监事会对内部监察部门的特定领域没有调查权限”。[18]
(二)董事“监视义务”
日本2006年《公司法》第三百六十二条第二款第四项首先规定了董事的监视义务,然后于同款第六项规定了董事内控机制义务。神崎克郎教授将其解读为:“董事会成员监督业务执行董事的行为,其范围涵盖公司一般业务的整体。”[19]按此说,董事并不需要对每个内部控制的细小科目进行决定、亲历亲为。司法实务界亦存在相同认识。[20]上述监视义务属于董事“注意义务”的范畴,[21]许多日本大型公司均采用了经营监督和经营执行相分离的执行董事制度,这样可以强化其他董事对业务执行董事在实质上的监视功能。[22]日本《公司法》中认定违反监视义务的过错责任和认定董事内部控制责任亦存在重要关联:
第一,在认定董事违反监视义务的过错时,法院一般会考虑董事之间的信赖关系(fiduciary relation)。董事彼此间一般均善意地认为对方的执行行为属于“恰当”行为。在认定董事违反内控义务时也须考虑这种关系。当然,其认定范围和程度须在个案中具体判断。
第二,“监视义务”不同于“内部控制义务”。违反前者并不必然引发对后者的违反,但监视义务与内控机制的建设和运用有着非常密切的联系,即董事履行监视义务时,有必要对负责执行业务的董事的业务执行状况在一定程度上进行把握,而建设“内控机制”的目的正在于此。
从董事责任的观点来看,如董事会已经决定了内控机制的基本方针,则董事们必须通过确认该机制是否被适切地建设并运用,来实现自己对监视义务的实际履行。如果内控机制不充分,则必先对此进行改正,而后在上述已构建的机制范围内履行各自的监视义务。如果内控机制已被构建,而董事又能举证自身没有职务懈怠,则不会被追究违反监视义务的过错责任。[23]
第三,若干特殊情形。日本公司大多实行“逐级晋升”的人力资源政策,董事很可能是代表董事(董事长)的旧部,对代表董事(或董事长)往往无法进行有效监督。这种情形中的董事监视义务,与一般董事彼此间的相互监视存在不同。此外,独立董事与常勤董事的监视义务不可一概而论,独立董事对公司业务的实际状态并没有日常接触,其担负的监视义务水平也就不同。
(三)董事违反“内控机制建设义务”后的民事责任和损害赔偿董事违反“内控机制建设义务”等职务懈怠引发的损害赔偿责任属于债务不履行责任。在多名董事承担责任的情况下,难以认定每个人的具体责任额,这是因为注意义务违反和损害之间的因果关系较难确定。此时如果认定连带责任,可相对公平地加重董事们的整体负担。然而如上所述,各董事的过错程度及责任程度应有一定区别,对所有董事一律科以连带责任并不公平。在这一点上,日本法院常运用比例因果关系理论,在董事责任额的认定上稍做一些差异化操作。
对此学者之间存在分歧:部分意见认为,比例因果关系理论是对各董事责任范围的限定,值得肯定:[24]也存在持否定态度的意见:[25]还存在在责任认定上运用其他方法(如过错相抵类推适用说)更为妥当的意见。[26]不可否认的是,运用比例因果关系事实上带来了减轻部分董事责任额的效果。[27]
三、日本法上董事违反“内控机制建设义务”的案例
(一)“大和银行案”[28]
该案是日本法院使用“内部控制机制”一词的第一案,起因是大和银行(以下简称 a 银行)让某甲兼管本应由不同职员管理的证券保管业务与证券交易业务,同时还让甲承担邮寄业务,致使甲能容易地篡改保管证券结余清单,擅自进行证券交易,给 a 银行造成约11亿美元的损失且致 a 银行被处3.4亿美元罚金,并不得不撤离美国市场。 a 银行股东(原告)遂以 a 银行董事、监事共计49人为被告,提起股东代表诉讼。原告主张:(1)被告未设置预防违法行为及能将违法行为造成的损失降至最低的内控机制:(2)其他董事和监事未能有效监视董事长设立内控机制,未履行其善管注意义务与忠实义务。
对此,大阪地方法院认为:“关系公司经营根本的风险管理机制的大纲由董事会决定,而董事长及业务执行董事有义务根据大纲具体决定其主管部门的风险管理机制的内容”,“董事有义务监视董事长及业务执行董事是否履行其构建内部控制体制的义务,这也是董事善管注意义务的内容”,“设置怎样内容的内部控制体制属于经营判断上的问题”。最终,大阪地方法院认定12名董事、监事违反善管注意义务,并对其分别判处最低7500万美元,最高7.75亿美元不等的赔偿额。
(二) Dasikin (以下简称 D 公司)公司股东代表诉讼上诉案[29]
D 公司在日本国内贩卖了含有日本《食品卫生法》中尚未许可使用的食品添加剂的“肉包”。对此, D 公司没有及时披露, D 公司的股东以该公司董事未能构建有效的内部控制机制,违反了董事义务为由提出了股东代表诉讼。
法院对 D 公司的内部控制机制进行了分析:“(案发当时) D 公司规定,业务执行董事应将公司经营上的重大事项向董事会报告,当发生错误或突发事件时,必须迅速向公司职工通报该信息,务必使职工全面地获知该信息,且规定了发现违法行为时的处理机制。此外,公司还以现实发生过的食物中毒事件为例,举办了研讨会。综合上述情况,不能认定 D 公司没有构建预防违法行为发生的守法体制。”但法院认定部分董事承担“比例责任”,对此法院认为:“对于两名直接负责的董事在已经认识到公司违反《食品卫生法》的情况后仍然决定继续出售问题产品的行为,应认定为重大违法行为。其他董事至多只承担相当于公司全部损害的百分之五的责任”。“日本航空电子工业案”[30]中法院也采取了类似的手法。
(三)日本系统技术公司案[31]
以计算机信息技术及软件销售为主营业务并在东京证券交易所第二部上市的日本系统技术公司(被告,以下简称 Y 公司)的业务部长 B 为谎报业绩,在公司有价证券报告书上实施虚假记载。该丑闻被曝光后引起 Y 公司股价下降,原告股东 X 遂提起代表之诉。
该公司的部门设置及业务流程如下: Y 公司设业务部(GAKUEN), B 为部长,同时,该业务部下设经营部, B 同时兼任该经营部部长。此外,公司还设立了对客户订单及验收书的书面内容进行确认的 BM 科及确保计算机系统运行的 CR 部,此外,公司财务部门还对公司债权债务实行了单独专门管理。
案件主要起因是 B 指示下属职员伪造客户订单,而 BM 科对此毫无察觉, CR 部也没有对成品软件进行验收。财务部向客户邮寄“应收账款余额确认书”后,经营部人员向客户谎称“邮件寄错,请勿开封”后回收确认书,并在私自伪装填写后交还财务及审计部门,上述行为反复持续两年多。而对于超期债务, B 主张“客户延期使用我公司的系统,且客户预算案未获通过”,财务部门认为该理由“合理”,审计人员也在审计报告中发表了“财务报表合理”的审计意见。
本案一审、二审均认定 Y 公司董事长有过失,理由大致如下:公司年度预决算一般均需董事会决议,而对于长年(2~3年以上)无法回收的债权,公司应将其视为“重要风险”,但本案中董事会并未特别关注该重要风险。且“会计监察人”(审计人员)对财务报表发表了“准确和适当”的意见本身亦存在疑问,涉案交易金额已经达到公司总营业额的百分之二十,故审计也未到位。
对此,日本最高法院首先指出:“违法行为发生之时, Y 公司事业部门与财务部门相分离:并构建了检查财务部报告营业额的机制……且监察法人(审计人员)与 Y 公司的财务部,均定期向客户邮送应收账款结余确认书,因此 Y 公司构建的管理体制已经达到了一般能够估计到的、能够预防营业额谎报等违法行为的程度。”其次,“本案中的违法行为是业务部长与数名部下共谋……伪造订单……可以说是通常难以设想出的方法。”而且,“审计人员也作出了 Y 公司的财务报表是公正、合理的意见。”最终,日本最高法院否定了一审与二审所作出的判决。
在日本法上,要认定不作为的侵权之债,必须分析应“作为”的内容及“作为后的效果”。[32]因此,原告如要主张被告怠于履行内控机制义务,必须证成如果机制构建后,对于损害结果具有充分的回避可能。[33]
本案中,公司出现了重要职位的兼职,能否将此看作“重要风险控制点”仍值得讨论。然问题在于,即便安排了不同人员上岗,但在出现数人“合谋”的情形下,损害还是无法避免。况且, Y 公司已经采取了替代控制措施予以弥补,比如, BM 科进行确认, CR 部验收,并按期审计等。故笔者认为,损害的“无法避免”和“替代措施”或是日本最高法院推翻前二审的重要考量因素之一。但本案中 Y 公司的许多部门均未实际发挥效用,如仅认为只需在整体上构建内控(职务及部门业务相互分离等),而无须验证实际效果,则董事内控义务可能被虚置。在这一点上,虽然日本法院多次重申董事不仅要保证“构建内控机制”,还需要确保“内控机制有效运行”,但在一些特殊案例中,因为当事人共谋及伪造等“巧妙”的作案手段而切断董事不作为和公司损害之间因果关系的情况已出现不少。[34]
四、结论
借鉴日本经验,本文拟提出我国《公司法》视角下内控机制法律化路径的几点建议:
其一,可尝试在我国《公司法》内创设“内部控制”的一般性规范。
企业在构建和维持“内部控制”持续有效上势必付出一定的成本,且不同规模、形态和不同行业的企业,其“内部控制”的需求势必不同,因此,应尽量避免在《公司法》中对“内控机制”的内容及标准进行过分细化和具体的规定,或于法律上明确(大中型)公司须建立内控机制即可。
其二,明确董事会与董事长的权限关系并明文规定董事之间的监视义务。
我国《公司法》和《上市公司章程指引》中并无董事“监视”义务的规定,笔者认为,首先可规定董事之间负有“监视”义务。明确由董事会决定内控机制的基本方针,董事长或执行董事根据方针具体构建及充实内控机制,其他董事确认上述机制是否被恰当地建设并运用,并在已构建的内控机制的范围内,履行各自的监视义务。
其三,在公司法框架下明确公司董事负有“构建内控机制并确保其有效运作”的义务,同时明确常态下上述义务属于董事“勤勉义务”范畴。
我国《公司法》第148条和《上市公司章程指引》第98条分别规定了董事忠实义务和勤勉义务,笔者认为,内控的目的包括“提升公司经营效率”,而我国《企业内部控制基本规范》第4条又规定“成本效益”是内部控制的基本原则,因此,内部控制机制的具体内容应属经营判断,属于董事“勤勉义务”的范畴。
内控机制不仅是内部职位分离及制定内部规定等表面文章,董事还须确保其“有效运作”,我国或可在《公司法》第147、148条之下规定董事须确保:(1)财报的可信度及内控评价接受审计:(2)构建及维持内控机制持续有效:(3)公司业务活动合规且有效:(4)重大信息的内部传递并及时向股东及公众披露。
其四,在董事违反内部控制义务的认定标准上坚持综合标准。
首先,董事在“构建内部控制”时享有一定的裁量权,内控的具体内容应当采用“合理性”标准。“合理保证”并非绝对保证,财务报告内部控制不能防止或检测所有差错、错误陈述或者欺诈。[35]
其次,对于内部控制的特定缺陷应采用“重大性”标准。内部控制绝对不是简单的“风险管控机制”,[36]董事对内部控制的评估如过于程式化或过于详细就无法突出风险,就无法达到内部控制的基本目的。董事应该对重大缺陷或关键控制点及时注意并纠正,对不相容职务未分离的情形是否采取了足够防止危机出现的替代措施予以弥补。从公司人力资源的视角看,经营业绩越好的职员或管理人员越可能兼任重要职位,[37]但越是如此,越有增强内部控制之必要。
其五,允许法院使用比例因果关系进行司法裁量并引入董事责任免除制度。
由于董事执行业务分工不同,且董事并不对公司承担保证或者担保责任,要求所有董事对公司承担同等责任可能产生不公。在认定责任时,或可参考日本法院的做法,允许根据各当事人的参与程度认定其与公司损害之间的比例因果关系,但是,在裁量权定位、裁量基准上还须进一步探讨。“在董事本不应承担责任的事例中,如法院认定董事承担责任时,通过责任减轻制度可以发挥对错误判决进行纠正的功能”,[38]因此,可考虑允许公司及股东对董事的具体责任额进行调整,也可允许章程对董事赔偿责任的上限作出规定。日本《公司法》允许公司股东会普通决议免除董事因善意且无重大过失地违反注意义务(日本采用注意义务和忠实义务“同质说”)后发生的对公司责任,且规定可免除金额的上限为:以董事接受来自公司财产性利益的年度额为基准,代表董事为6年之总额,独立董事和监事等为2年之总额,其他一般董事为4年之总额。[39]此规定可资借鉴。
其六,应考虑一定情形下的举证责任倒置。
董事违反内部控制义务属于“债务不履行”。原告以公司董事不履行内控义务为由起诉时,应该证明:(1)公司内控机制存在的缺陷:(2)应设置的该机制的具体内容:(3)通过设置上述机制,能避免发生所涉及违法行为的可能性。然日本法上董事被认定违反义务的案例大多发生在中小企业,[40]对业务部门林立及职位控制分散的大规模上市公司,通常情况下,法院无法认定单个董事的不作为和公司损害之间的因果关系。因此,对于部分人员“合谋”及通过“伪造文书”等巧妙方法作案的案件,除直接当事人以外,法院一般难以认定全体董事承担责任。在上述情形下,或许值得就一定情形下实行举证责任倒置等问题进一步探讨。
(责任编辑:张立翘)
2015 > 2015年总第90辑