Hvad er et internt kontrolsystem? Forpligtelser under Japansk selskabslov og finansielle instrumenthandelslov, og bestyrelsens ansvar

Et internt kontrolsystem er en mekanisme inden for en virksomhed, der skal forhindre ulovlige handlinger og forhindre lækage af information. Interne kontrolsystemer er defineret i både den japanske virksomhedslov (Japansk Virksomhedslov) og den japanske lov om finansielle instrumenter og børshandel (Japansk Lov om Finansielle Instrumenter og Børshandel), og virksomheder, der opfylder visse krav, er forpligtet til at opbygge et internt kontrolsystem.

I virksomhedsledelse er det meget vigtigt for overholdelse at korrekt opbygge, drive og vedligeholde et internt kontrolsystem.

I denne artikel vil vi forklare, hvad et internt kontrolsystem er, især det interne kontrolsystem til at minimere risikoen for cyberhændelser, og det ansvar, som direktører har.

Hvad er et internt kontrolsystem?

Et internt kontrolsystem er et system, som virksomheder og organisationer etablerer og anvender for at sikre overholdelse af love, regler og branchestandarder ved at implementere passende processer og systemer.

Især for børsnoterede virksomheder er det nødvendigt at opbygge et passende internt kontrolsystem for at forbedre virksomhedens omdømme og brandimage og for at håndtere risici.

Internt kontrolsystem i henhold til den japanske virksomhedslov

Det interne kontrolsystem i henhold til den japanske virksomhedslov (“Japansk virksomhedslov”) er defineret i Artikel 362, afsnit 4, punkt 6 i virksomhedsloven [ja] som:

“Etablering af systemer for at sikre, at udførelsen af direktørernes pligter overholder love og vedtægter, og andre systemer, som er nødvendige for at sikre passende drift af virksomheden og virksomhedsgruppen bestående af aktieselskabet og dets datterselskaber, som fastsat ved forordning fra Justitsministeriet.”

Dette er defineret som et eksklusivt ansvar for bestyrelsen.

Det interne kontrolsystem i henhold til virksomhedsloven har til formål at sikre passende drift af aktieselskabet og dets datterselskaber og andre gruppevirksomheder.

Internt kontrolsystem i henhold til den japanske lov om finansielle instrumenter og børshandel

I henhold til den japanske lov om finansielle instrumenter og børshandel (“Japansk lov om finansielle instrumenter og børshandel”) har børsnoterede virksomheder og lignende en pligt til at indsende en intern kontrolrapport. Børsnoterede virksomheder og lignende skal opbygge et internt kontrolsystem i henhold til loven om finansielle instrumenter og børshandel og offentliggøre dets indhold.

Det interne kontrolsystem i henhold til loven om finansielle instrumenter og børshandel adskiller sig fra virksomhedsloven, idet det kræves ud fra et synspunkt om beskyttelse af investorer.

Hvilke virksomheder har pligt til at opbygge et internt kontrolsystem?

Virksomheder, der opfylder visse krav, er forpligtet til at opbygge et internt kontrolsystem. Virksomheder, der har pligt til at opbygge et internt kontrolsystem, er defineret i den japanske virksomhedslov (Japanese Companies Act) og den japanske lov om finansielle instrumenter og børshandel (Japanese Financial Instruments and Exchange Act).

Virksomheder, der er forpligtet til at opbygge et internt kontrolsystem under virksomhedsloven, er store virksomheder med et bestyrelsesorgan. Store virksomheder er virksomheder med en kapital på 500 millioner yen eller mere, eller en gæld på 20 milliarder yen eller mere (Artikel 2, punkt 6 i den japanske virksomhedslov).

Virksomheder, der har etableret et internt kontrolsystem, skal inkludere en oversigt over driftssituationen for det interne kontrolsystem i deres forretningsrapport. Desuden, i virksomheder med en revisor, udfører revisoren en intern kontrolsystemrevision som en del af revisionen af direktørernes pligtopfyldelse.

På den anden side, ifølge den japanske lov om finansielle instrumenter og børshandel, er det børsnoterede virksomheder mv., der har pligt til at opbygge et internt kontrolsystem og offentliggøre dets indhold. Børsnoterede virksomheder mv. skal offentliggøre en intern kontrolrapport for hvert regnskabsår sammen med deres værdipapirrapport.

Bestyrelsesmedlemmer kan også holdes ansvarlige for mangler i interne kontrolsystemer

Hvem bærer ansvaret, når der opstår en cyberhændelse, såsom uautoriseret adgang eller datalæk, i forbindelse med interne kontrolsystemer?

Hvis der er sårbarheder i sikkerhedssystemet, og der opstår datalæk eller lignende, kan de personer (kunder osv.), der lider skade som følge af datalækket, potentielt kræve erstatning for manglende opfyldelse af forpligtelser eller ulovlige handlinger i henhold til den japanske civillov.

Bestyrelsesmedlemmer er, ifølge den japanske selskabslov, betroet med ledelsen af virksomheden og har en pligt til at udføre deres opgaver med den omhu, en god leder ville udvise, for at undgå at påføre virksomheden skade (pligten til god ledelse).

Ifølge retspraksis er pligten til at opbygge interne kontrolsystemer en del af pligten til god ledelse.

Derfor, hvis der opstår et datalæk eller lignende, og de skadelidte kræver erstatning fra virksomheden, kan bestyrelsesmedlemmerne også blive bedt om at betale erstatning, hvis det vurderes, at de har overtrådt deres pligt til god ledelse ved ikke at have forbedret sikkerhedsniveauet eller taget foranstaltninger for at eliminere sårbarheder.

Domme om interne kontrolsystemer

Som nævnt ovenfor er virksomheder og direktører forpligtet til at opbygge interne kontrolsystemer. Lad os nu gå videre med en detaljeret forklaring baseret på specifikke retssager.

Yakult-sagen Tokyo District Court afgørelse (Tokyo District Court afgørelse, 16. december 2004)

Yakult fejlede i højrisiko derivathandel med det formål at dække tab på værdipapirer, hvilket i stedet forøgede tabene. I lyset af dette indgav aktionærerne en repræsentativ søgsmål mod den daværende ledelse, krævende 53,3 milliarder yen i erstatning.

I denne sag blev det diskuteret, om der var et risikostyringssystem for derivathandel.

Retten beordrede den tidligere næstformand, der håndterede derivathandel som ansvarlig for aktivforvaltning, til at betale 6,7 milliarder yen for “overtrædelse af hans pligt til omhu som direktør”. Men retten anerkendte ikke ansvaret for den øvrige ledelse, da der var “en vis risikostyringsstruktur i virksomheden”. Desuden benægtede retten mangler i risikostyringssystemet på grund af det faktum, at bevidstheden om risikoen ved derivathandel udviklede sig hurtigt efter tabet (= det var ikke tilstrækkeligt på tidspunktet for forekomsten). Både anden instans i Tokyo High Court i maj 2008 og Højesteret støttede første instans’ afgørelse.

I denne retssag blev det indikeret, at indholdet af det interne kontrolsystem skal bestemmes ved at henvise til administrative studier om risikostyring og risikoeksempler.

JCOM aktiefejlbestillingssag (Tokyo High Court afgørelse, 24. juli 2013)

Dette er en sag, hvor en medarbejder hos Mizuho Securities fejlagtigt indtastede en ordre, der skulle have været “sælg 610.000 yen pr. aktie” af JCOM-aktier, der var betroet af en kunde, som “sælg 61 millioner aktier for 1 yen hver”, hvilket forårsagede betydelige tab for kunden.

Mizuho Securities bemærkede fejlen og forsøgte at annullere ordren, men på grund af en fejl i Tokyo Stock Exchange’s system blev annulleringen ikke gennemført, og aktiekursen faldt drastisk på grund af en usædvanlig stor salgsordre. Som et resultat opstod der et tab på over 40 milliarder yen. Mizuho Securities hævdede, at det var på grund af en fejl i Tokyo Stock Exchange’s system, at de ikke kunne annullere den fejlagtige ordre og led et tab på over 40 milliarder yen, og søgte erstatning fra Tokyo Stock Exchange.

I denne retssag var det store spørgsmål, om “systemfejlen var grov uagtsomhed”. Tokyo High Court beordrede Tokyo Stock Exchange til at betale omkring 10,7 milliarder yen, idet det fastslog, at “det var grov uagtsomhed af Tokyo Stock Exchange ikke at have udøvet sin ret til at stoppe handelen straks”.

Om det teknisk set var muligt for Tokyo Stock Exchange at opdage og håndtere denne fejl blev også et stridspunkt, men Tokyo High Court undgik at afgøre det tekniske aspekt, idet det sagde, “de fremlagte ekspertudtalelser er modstridende, og det er svært at afgøre, hvilken der er bedst”.

Imidlertid anerkendte retten, at det var grov uagtsomhed af Tokyo Stock Exchange at ikke annullere handelen, selvom det bemærkede, at der blev foretaget åbenlyst unormale handler.

Som det kan ses, er der tilfælde, hvor ulovlige handlinger anerkendes ved at fokusere på aspekter uden for teknologien, når retten ikke kan afgøre det tekniske aspekt.

Opsummering: Kontakt en advokat for at opbygge et internt kontrolsystem

Især for børsnoterede virksomheder er det nødvendigt at opbygge og drive et passende internt kontrolsystem for risikostyring.

Hvis der skulle opstå en hændelse relateret til informationssikkerhed, og det bliver fastslået, at virksomheden ikke har implementeret passende informationssikkerhedsforanstaltninger i forhold til virksomhedens størrelse og forretningsindhold, løber virksomheden en risiko for at blive holdt ansvarlig for manglende opfyldelse af sine forpligtelser. I sådanne tilfælde kan der også blive rejst krav om erstatning mod direktører for overtrædelse af deres pligt til omhyggelig ledelse. Kontakt venligst en advokat, der er bekendt med IT og virksomhedsret, om det interne kontrolsystem for informationssikkerhed så tidligt som muligt.

Relaterede artikler: Hvordan forhindrer man sikkerhedshændelser hos underleverandører? Forklaring af opbygning og drift af det interne kontrolsystem for ordregiveren [ja]

Vores kontors tiltag

Monolith Advokatfirma er et advokatfirma med høj ekspertise inden for IT, især internettet og lovgivning. Behovet for juridisk kontrol i forbindelse med opbygning af interne kontrolsystemer stiger stadig. På vores kontor tilbyder vi løsninger til mange virksomheder med henblik på overholdelse af compliance. Detaljer er angivet i artiklen nedenfor.

Monolith Advokatfirmas områder: IT og opstartsvirksomhedersager [ja]