Co je interní kontrolní systém? Povinnosti podle Japonského zákoníku obchodních společností a Japonského zákona o obchodování s finančními produkty a odpovědnost ředitelů

Systém vnitřní kontroly je mechanismus v rámci společnosti, který má zabránit nelegálním aktivitám a úniku informací. Systém vnitřní kontroly je definován v Japonském zákoně o obchodních společnostech a Japonském zákoně o obchodování s finančními produkty a společnostem, které splňují určité požadavky, je uložena povinnost vytvořit systém vnitřní kontroly.

Ve vedení společnosti je velmi důležité správně vytvořit a provozovat systém vnitřní kontroly pro dodržování pravidel (compliance).

V tomto článku vysvětlíme, co je systém vnitřní kontroly, a zejména se zaměříme na systém vnitřní kontroly pro omezení rizika kybernetických incidentů a na odpovědnost, kterou nesou ředitelé.

Co je to interní kontrolní systém

Interní kontrolní systém je systém, který společnosti a organizace vytvářejí a uplatňují pro přizpůsobení se zákonům, předpisům a průmyslovým standardům prostřednictvím vhodných procesů a systémů.

Zejména pro veřejně obchodované společnosti je důležité správně vytvořit interní kontrolní systém pro zlepšení důvěryhodnosti a brand image společnosti a pro řízení rizik.

Interní kontrolní systém podle japonského obchodního zákoníku

Interní kontrolní systém podle japonského obchodního zákoníku je definován v Článku 362, odstavec 4, bod 6 japonského obchodního zákoníku[ja] jako:

Systém pro zajištění, že výkon povinností ředitelů je v souladu se zákony a stanovami, a další systémy, které jsou nezbytné pro zajištění správnosti operací akciové společnosti a skupiny společností tvořené touto akciovou společností a jejími dceřinými společnostmi, jak je stanoveno v nařízení Ministerstva spravedlnosti.

Toto je definováno jako výlučná pravomoc správní rady.

Interní kontrola podle japonského obchodního zákoníku je systém zaměřený na zajištění správnosti operací akciové společnosti a jejích dceřiných společností a dalších skupinových společností.

Interní kontrolní systém podle japonského zákona o obchodování s finančními produkty

Podle japonského zákona o obchodování s finančními produkty mají veřejně obchodované společnosti povinnost podávat zprávu o interním kontrolním systému. Veřejně obchodované společnosti musí vytvořit interní kontrolní systém podle japonského zákona o obchodování s finančními produkty a musí zveřejnit jeho obsah.

Interní kontrolní systém podle japonského zákona o obchodování s finančními produkty se liší od japonského obchodního zákoníku tím, že je požadován z hlediska ochrany investorů.

Co jsou společnosti povinné budovat systém vnitřní kontroly

Společnosti splňující určité požadavky jsou povinny budovat systém vnitřní kontroly. Společnosti povinné budovat systém vnitřní kontroly jsou definovány v Japonském zákoně o obchodních společnostech a Japonském zákoně o obchodování s finančními instrumenty.

Podle Japonského zákonu o obchodních společnostech jsou povinny budovat systém vnitřní kontroly velké společnosti, tedy společnosti s dozorčí radou. Velké společnosti jsou ty, jejichž kapitál je 500 milionů jenů nebo více, nebo jejichž dluh přesahuje 20 miliard jenů (podle článku 2, odstavec 6 Japonského zákonu o obchodních společnostech).

Společnosti, které mají systém vnitřní kontroly, musí ve své výroční zprávě uvést přehled o fungování systému vnitřní kontroly. Navíc, v případě společností s dozorčí radou, dozorčí rada provádí audit systému vnitřní kontroly jako součást auditu výkonu povinností ředitelů.

Na druhé straně, podle Japonského zákonu o obchodování s finančními instrumenty, společnosti kotované na burze, které podávají výroční zprávu o cenných papírech, jsou povinny budovat systém vnitřní kontroly a zveřejňovat jeho obsah. Tyto společnosti musí každý obchodní rok zveřejnit zprávu o vnitřní kontrole spolu s výroční zprávou o cenných papírech.

Ředitelé nesou odpovědnost za nedostatky v interním kontrolním systému

Kdo nese odpovědnost v případě, že dojde k incidentům souvisejícím s interním kontrolním systémem, jako je neoprávněný přístup nebo únik informací?

Pokud dojde k úniku informací kvůli zranitelnosti bezpečnostního systému, může být požadována náhrada škody od těch, kteří utrpěli škodu (například zákazníci) na základě odpovědnosti za nesplnění závazků nebo nezákonné činy podle občanského zákoníku.

Ředitelé jsou podle zákona o obchodních společnostech pověřeni řízením společnosti a mají povinnost vykonávat své povinnosti s péčí dobrého správce, aby nepoškodili společnost.

Podle soudní praxe je povinnost vytvořit interní kontrolní systém jednou z povinností péče dobrého správce.

Proto, pokud dojde k úniku informací a je požadována náhrada škody od společnosti od těch, kteří utrpěli škodu, může být požadováno, aby ředitelé nesli náhradu škody, pokud se prokáže, že porušili svou povinnost péče dobrého správce tím, že nezvýšili úroveň bezpečnosti nebo nepodnikli kroky k odstranění zranitelností.

Případová studie o interním kontrolním systému

Jak bylo uvedeno výše, společnosti a jejich ředitelé jsou povinni vytvářet interní kontrolní systémy. Nyní se podívejme na konkrétní případy, které nám pomohou lépe porozumět tomuto tématu.

Případ Yakult Tokyo District Court (Rozsudek Tokyo District Court, 16. prosince 2004)

Společnost Yakult utrpěla ztráty v důsledku spekulativních obchodů s deriváty, které měly pokrýt potenciální ztráty z cenných papírů. To vedlo k tomu, že ztráty se ještě zvýšily. Akcionáři poté podali žalobu na bývalé vedení společnosti a požadovali odškodnění ve výši 53,3 miliardy jenů.

V tomto případě bylo předmětem sporu, zda byl zaveden systém řízení rizik spojených s obchodováním s deriváty.

Soud nařídil bývalému místopředsedovi, který jako odpovědný za správu aktiv obchodoval s deriváty, zaplatit 6,7 miliardy jenů za porušení povinnosti péče jako ředitel. Nicméně, odpovědnost ostatních členů vedení nebyla uznána, protože “společnost měla určitý systém řízení rizik”. Soud také odmítl tvrzení o nedostatečnosti systému řízení rizik s odůvodněním, že po vzniku ztráty došlo k rychlému rozvoji povědomí o rizicích spojených s obchodováním s deriváty (tj. v době vzniku nebylo dostatečné). Rozsudek druhé instance z května 2008 Tokyo High Court a Nejvyšší soud podpořily rozsudek první instance.

V tomto soudním případu bylo uvedeno, že obsah interního kontrolního systému by měl být stanoven s ohledem na administrativní studie a příklady rizik spojených s řízením rizik.

Případ nesprávné objednávky akcií J:COM (Rozsudek Tokyo High Court, 24. července 2013)

Tento případ se týká situace, kdy zaměstnanec společnosti Mizuho Securities nesprávně zadá do počítače objednávku od zákazníka na prodej akcií J:COM za “61 tisíc jenů za akcii” jako “prodej 610 tisíc akcií za 1 jen”, což způsobilo zákazníkovi značné škody.

Mizuho Securities si uvědomila svou chybu a pokusila se o zrušení objednávky, ale kvůli chybě v systému Tokyo Stock Exchange nebylo možné objednávku zrušit. V důsledku toho došlo k prudkému poklesu ceny akcií v důsledku neobvykle velkého množství prodejních objednávek, což nakonec vedlo k vzniku škody přesahující 40 miliard jenů. Mizuho Securities tvrdila, že ztráta přesahující 40 miliard jenů v důsledku neschopnosti zrušit nesprávnou objednávku byla způsobena chybou v systému Tokyo Stock Exchange a požadovala odškodnění.

V tomto soudním případě bylo hlavním bodem sporu, zda “chyba v systému představuje vážnou nedbalost”. Tokyo High Court nařídil Tokyo Stock Exchange zaplatit přibližně 10,7 miliardy jenů s odůvodněním, že “nevyužití pravomoci zastavit obchodování okamžitě představuje vážnou nedbalost ze strany Tokyo Stock Exchange”.

Bylo také předmětem sporu, zda bylo technicky možné, aby Tokyo Stock Exchange tuto chybu objevila a řešila, ale Tokyo High Court uvedl, že “názory předložených odborníků se liší a je těžké je posoudit”, a vyhnul se tak rozhodnutí o technických aspektech.

Avšak, Tokyo Stock Exchange byla shledána vážně nedbalou za to, že i přes zjištění zjevně neobvyklých obchodů nezrušila obchody.

Jak je vidět, i když soud nemůže rozhodnout o technických aspektech, může být nezákonné jednání uznáno na základě jiných aspektů.

Shrnutí: Pro stavbu systému vnitřní kontroly se obraťte na právníka

Zejména u veřejně obchodovaných společností je nezbytné správně budovat a provozovat systém vnitřní kontroly pro řízení rizik.

V případě, že dojde k nehodě související s informační bezpečností, a pokud je zjištěno, že společnost nepřijala opatření pro informační bezpečnost odpovídající její velikosti a obchodní činnosti, společnost může být vystavena riziku odpovědnosti za nesplnění dluhu. V takovém případě může být také požadováno náhrada škody na řediteli za porušení povinnosti péče. Pro systém vnitřní kontroly týkající se informační bezpečnosti se prosím obraťte na právníka se znalostmi v oblasti IT a firemního práva co nejdříve.

Související článek: Jak zabránit bezpečnostním incidentům u dodavatelů? Vysvětlujeme stavbu a provoz systému vnitřní kontroly zadavatele[ja]

Představení opatření naší kanceláře

Právní kancelář Monolith je právní kancelář s vysokou odborností v oblasti IT, zejména internetu a práva. Potřeba právní kontroly při budování interních kontrolních systémů se stále zvyšuje. Naše kancelář poskytuje řadě společností řešení pro dodržování pravidel a nařízení (compliance). Podrobnosti jsou uvedeny v následujícím článku.

Obory, kterými se zabývá právní kancelář Monolith: IT a podniky v oblasti start-upůprávoobchodní[ja]