前言
1.1 231 法令概述
1.2 231/2001 法令的适用主体范围
1.3 机构责任认定标准
1.4 组织管理模式
1.5 监督机构
1.6 处罚制度
1.7 管理模式目的
1.8 模式批准与监督机构任命
1.9 模式结构
组织、管理与控制模式
2.1 前言
2.2 意大利ECM认证机构制定管理模式的项目方案
2.3 模式更新
2.4 培训与信息传达
2.5 内部负责人
授权权限与内部组织
3.1 治理原则
3.2 第 6 条第 2 款规定的授权权限范围
监督机构
4.1 意大利ECM认证机构的监督机构
4.2 一般原则
4.3 监督机构职能与权力
4.4 信息流程
4.5 信息收集与保存
4.6 监督机构向公司机构的汇报
附件
1 前言
1.1 231 法令
2001 年 6 月 8 日第 231 号立法令(简称 231 法令),规范了法人、社团及非法人机构的行政责任,落实了 2000 年 9 月 29 日第 300 号法律第 11 条,正式在意大利法律体系中引入机构集体刑事责任制度。
因犯罪行为产生的行政责任,是对自然人与法人传统责任形式的补充,仅在发生法令 “特别篇” 明确列举的犯罪时成立。
231 法令确立的 “企业刑事合规微法典” 是意大利立法的重要转折:企业刑事犯罪长期存在,近年愈发国际化,该制度旨在有效打击此类行为。企业责任制度针对的并非个人单独违法行为,而是体现企业整体政策的非法行为,即企业犯罪(corporate crime)。
众多国际与欧盟公约要求各国引入此类责任制度,包括:
1995 年 7 月 26 日《欧盟财务利益保护布鲁塞尔公约》
1997 年 5 月 26 日《打击欧盟及成员国公职人员腐败布鲁塞尔公约》
1997 年 12 月 17 日《经合组织打击国际商务活动中外国公职人员腐败公约》
如今,即便在意大利、德国、西班牙仅规定行政责任,企业犯罪也不再存在免责空间,各国责任认定标准趋于统一。
231 法令最初仅适用于侵害公共行政、公共财产的犯罪,后续经多次立法修订,适用范围持续扩大,包括:
侵害公共行政类犯罪(腐败、勒索、贪污、骗取公共补贴、诈骗国家 / 公共机构等)
伪造货币、有价证券类犯罪
公司犯罪(虚假信息、妨碍监管、内幕交易、操纵市场等)
恐怖主义、颠覆民主秩序犯罪
部分侵害人身权利犯罪
市场滥用犯罪(内幕交易、市场操纵)
部分跨国犯罪(有组织犯罪、妨碍司法、人口贩卖)
安全生产犯罪(重大过失致人伤亡)
窝赃、洗钱、使用非法所得犯罪
网络犯罪
近年立法进一步纳入环境犯罪、税务犯罪、文化财产犯罪、文化财产洗钱等罪名。
1.2 231/2001 法令的适用主体范围
第 1 条明确,法令适用于法人、社团及非法人机构,包括:
各类有限责任公司、股份公司、合作社、互助保险公司
外国在意大利设立分支机构的公司
非营利非法人社团
具有对外经营活动的财团
排除适用:国家、地方公共机构(大区、省、市)、非经济类公共机构、宪法职能机构(政党、工会)、专业协会、意大利红十字会、公共服务机构(医院、公立学校)、社保机构(INPS、INAIL)等。
经济类公共机构(如国有银行)视同私营机构,适用本法令。
司法判例明确:外国公司在意大利开展业务,必须遵守意大利 231 法令,即使其本国无同类规定。意大利总部机构对境外发生、为机构利益实施的犯罪,在符合条件时也需承担责任。
1.3 机构责任认定标准
依据 231 法令,机构因犯罪承担责任需同时满足:
发生法定 “基础犯罪”
由机构内自然人实施
为机构利益或使机构获益
但仅满足客观条件不足够,还需具备组织过失:机构未采用有效预防犯罪的组织管理模式。
最高法院明确:机构责任以组织管理缺陷为前提,而非自动因高管行为追责(与法国等国不同)。即便自然人无法追责、未被识别或犯罪已消灭(大赦除外),机构责任仍可独立成立。
1.4 组织管理模式
组织、管理与控制模式是免责核心依据,同时可减轻处罚:
罚金可减免 1/3 至 1/2;赔偿损失后可减免 1/2 至 2/3
满足赔偿 + 合规模式 + 上缴违法所得,可免除禁止性处罚
模式虽非强制,但未采用将直接面临犯罪追责风险,且上市公司、参与公共采购企业普遍强制要求建立。
针对高管犯罪(第 6 条),模式必须包含:
预防犯罪的专项流程
防止犯罪的财务资源管理方式
向监督机构的信息报告义务
内部处罚制度
针对员工犯罪(第 7 条),要求根据机构规模与业务,采取合法合规、及时发现风险的措施。
安全生产领域(81/2008 法令)对模式有明确细化要求,包括:
设备、场所、化学品安全技术标准
风险评估、预防保护措施
应急、急救、外包管理
健康监测、员工培训
合规检查、文件留存、定期审核
符合 UNI-INAIL 或 OHSAS 18001 标准的安全管理体系,视为满足要求。
模式制定通常分四阶段:
企业现状分析
风险区域识别
控制流程梳理与缺口分析
定制化合规模式设计
1.5 监督机构(OdV)
法令要求设立监督机构,核心职责:
持续监督模式有效性与执行情况
提出模式更新与完善建议
监督机构必须具备:
独立性:不参与经营管理
专业性:法律、企业管理、风控能力
持续性:全职或稳定履职
充分权限:查阅资料、动用资源、直接向最高层汇报
中小企业可由管理层直接履行监督职责;集团企业可设立集团层面监督机构,子公司简化设置。
1.6 处罚制度
法令处罚包括:
罚金(必罚)
禁止性处罚(吊销资质、禁止参与公共采购、停业等)
没收违法所得(必罚)
判决公告(附加处罚)
1.7 模式目的
意大利ECM认证机构公司制定本组织管理控制模式,旨在:
满足 231 法令免责要求
提升全员合规意识
确保合法、公正、透明运营
覆盖高管与员工高风险行为
建立内部违规处罚体系
配套伦理准则与专项流程
1.8 模式批准与监督机构任命
本模式由唯一董事批准发布,同时任命监督机构,负责监督执行、有效性与持续更新。
1.9 模式结构
本模式包括:
总则(法令要点、目标、运行规则)
组织治理结构
监督机构运行规则
内部处罚制度(附件 1)
伦理准则(附件 2)
专项细则(附件 3)
2 组织、管理与控制模式
2.1 前言
意大利ECM认证机构唯一董事决定采用 231 法令合规模式与伦理准则,既是法定免责条件,也是对股东、员工、客户、供应商与社会的社会责任承诺,用于预防企业犯罪。
2.2 意大利ECM认证机构模式制定项目
第 6 条第 2 款要求识别高风险业务流程(敏感区域)。项目分四阶段:
阶段 I:规划启动
分析商业模式、组织架构、操作流程
初步识别 231 法令风险区域
制定访谈计划
阶段 II:敏感区域详细分析
梳理高风险流程、职责、控制措施
核查现有流程合规缺口
确认职责分离、授权、文件留痕
阶段 III:风险评估访谈
与各部门负责人访谈,核实流程实际执行
验证控制措施有效性
识别组织缺陷
控制核心原则:
职责分离:执行与审批分离
制度规范:正式流程与操作标准
授权清晰:明确签字权限与金额
全程留痕:所有操作可追溯、可核查
阶段 IV:合规模式设计
敏感区域地图
高风险流程标准
财务资源管理规则
员工培训与沟通计划
供应商 / 顾问告知
伦理准则
处罚制度
监督机构设置
信息上报与举报流程
最终形成本组织、管理与控制模式,系统性预防 231 法令所列犯罪。
2.3 模式更新
监督机构可提出修订建议,由唯一董事批准更新。
2.4 培训与信息传达
为确保模式有效,必须开展:
内部信息计划
向高管、员工、外包人员、外部合作者告知模式生效
公布监督机构任命
提供电子版 / 纸质版文件
要求学习核心条款与风险罪名
外部信息计划
向主要供应商、顾问传达合规要求
培训计划
初始法律与模式宣讲会
定期更新培训
新员工入职培训
按岗位风险分级培训
无故不参加视为违规
2.5 内部负责人
各高风险区域指定内部负责人,作为风控第一责任人,职责:
维护本区域风控体系并向监督机构汇报
提出风控改进建议
向员工传达犯罪风险
留存高风险操作文件并向监督机构提交报告
上报异常与违规情况
负责人需签署知情承诺书,确认了解 231 法令与合规模式要求。
3 授权权限与内部组织
3.1 治理原则
组织、行政与财务架构是合规模式的基础。唯一董事依据民法典 2086 条,负责建立适配企业规模与性质的组织架构;监事会(如设立)负责评估其适当性与实际运行。
意大利ECM认证机构授权体系目标:
适配经营目标,权责清晰
预防职权滥用
明确行为责任归属
不相容岗位分离(财务 / 行政核心)
风险评估、绩效衡量、预算控制
3.2 第 6 条第 2 款授权权限范围
意大利ECM认证机构组织架构:
公正性保障委员会 → 唯一董事(法定代表人)
下设职能:
卫生、人事、行政、前台、安全、保险、质量、商务、市场、检查、实验室、自愿性认证、培训服务
唯一董事拥有公司全面经营权与代表权,法律与章程规定由股东会决策的事项除外。
3.2.1 管理控制
管理控制系统(SCG)用于计划、管理、监控,以 KPI 关键指标衡量绩效,支持决策。指标需具备相关性、可衡量、可追溯、可对比。
3.2.2 财务会计控制与决算流程
会计系统依法记录业务,审核授权、合同合规性。行政负责人负责编制预算与财务报告,各部门对信息真实性、完整性负责,及时上报会计差错与遗漏。
3.2.3 财务资源管理
意大利ECM认证机构以主营业务盈利为核心,坚持:
长短期投资现金流规划
风险准备金政策
3.2.4 人力资源管理
建立招聘、培训、职业发展、薪酬体系,保障平等就业、职业健康与工作安全。
3.2.5 合规体系
意大利ECM认证机构将合规作为核心特征,定期监控:
税务与社保合规
隐私保护
安全生产
环境保护
会计审计机构对税务、社保合规出具正式证明。
3.2.6 质量管理体系
意大利ECM认证机构使命:为企业提供合规认证、检测、检查服务,帮助其满足法规要求、进入市场。
认证范围:
电梯指令(LIFT 2014/33/EU)
机械指令(MACHINERY 2006/42/CE)
防爆指令(ATEX 2014/34/UE)
噪音指令(Noise 2000/14/CE)
电磁兼容(EMC 2014/30/UE)
压力设备(PED 2014/68/UE)
无线设备(RED 2014/53/UE)
医疗器械指令(MDD 93/42/CE)
医疗器械法规(MDR EU 2017/745)
管理体系认证(ISO 9001、ISO 13485)
产品安全与 EMC 检测
81/2008 法令设备定期检查
第三方机械合规核查
质量管理体系遵循:
符合欧盟与国际法规
保证服务质量,满足监管与客户需求
持续改进
程序文件统一
员工专业培训
独立、公正、诚信、透明、保密
非歧视提供服务
客观评估反馈信息
3.2.7 公正性保障委员会(CSI)
依法设立公正性保障委员会,由利益相关方代表组成,设主席与副主席,职责与流程由专门文件规定。
4 监督机构
4.1 意大利ECM认证机构监督机构
依据 231 法令第 6 条,机构若要免责,必须:
采用并有效执行预防犯罪的组织管理模式
设立具有独立倡议与控制权的监督机构
监督机构核心要求:独立、专业、持续。
意大利ECM认证机构为中小型机构,设立单人外部监督机构,确保独立性,由内部专员或外部审计支持。
4.2 一般原则
监督机构由唯一董事任命,任期 3 年,可连任。任职需无不良记录:
近 3 年未管理破产企业
无 231 法令相关犯罪判决
无禁止担任高管、公职的处罚
监督机构可使用公司部门与外部顾问,每年获专项预算,保障独立履职。仅因正当理由可被解职,包括:
严重失职(未提交半年报告)
监督不力导致公司被判 231 法令责任
兼任经营管理职务
4.3 监督机构职能与权力
监督机构拥有独立倡议与控制权,核心职责:
核查模式实际有效性,预防 231 法令犯罪
监督全员执行模式
因组织、法规变化更新模式
自由查阅数据,开展专项核查
更新风险地图
监督培训与信息传达
收集合规执行信息
定期评估模式适当性
监督内部处罚执行
识别执行偏差
监督机构对信息保密,仅按规定披露。
4.4 信息流程
监督机构需及时获取可能违反模式或涉及 231 法令的信息。员工上报义务基于民法典勤勉与忠实义务,善意举报不受处罚、不被报复。
必须上报事项:
231 法令犯罪实施或重大风险
安全生产违规
违反公司行为准则
公共资金申请、使用、拨付决定
司法调查、警方通知
员工涉 231 犯罪法律协助请求
内部调查显示责任的报告
合规执行、处罚、归档信息
安全生产报告
组织与公司变更信息
举报渠道:
邮寄:意大利ECM认证机构S.r.l. 监督机构,卡贝拉大街 243/A-B 号,40053 瓦尔萨莫贾(博洛尼亚)
邮箱:odv@entecerma.it
4.5 信息收集与保存
所有信息、举报、报告由监督机构存入专用保密档案,换届需完整交接。
4.6 监督机构向公司机构汇报
监督机构每半年向管理层提交报告,内容包括:
核查工作与结果
高风险流程改进进展
法规与组织变更对模式的影响
违规处罚情况
其他重要信息
模式整体适当性评估
会议与报告需存档。
下方为文件原文下载地址
