Mis on sisekontrollisüsteem? Ettevõtete seaduse ja finantstoodete kauplemise seaduse kohustused ning juhatuse liikmete vastutus

Sisemise kontrollisüsteemi all mõistetakse ettevõtte sisest mehhanismi, mis takistab ebaseaduslikku tegevust ja infolekkeid. Sisemise kontrollisüsteemi määratlevad nii Jaapani ettevõtete seadus (Japanese Companies Act) kui ka finantstoodete kauplemise seadus (Japanese Financial Instruments and Exchange Act), ning teatud nõuetele vastavad ettevõtted on kohustatud sisemise kontrollisüsteemi looma.

Ettevõtte juhtimisel on väga oluline sisemise kontrollisüsteemi korrektne loomine, rakendamine ja hooldamine, et tagada ettevõtte vastavus seadusandlusele.

Käesolevas artiklis selgitame, mis on sisemine kontrollisüsteem, eriti seoses küberrünnakute riski vähendamiseks mõeldud sisemise kontrollisüsteemiga, ning selgitame juhatuse liikmete vastutust.

Sisemise kontrollisüsteemi mõiste

Sisemine kontrollisüsteem on süsteem, mille ettevõtted ja organisatsioonid loovad ja rakendavad, et tagada nende protsesside ja süsteemide vastavus seadustele, määrustele ja tööstusstandarditele.

Eriti börsiettevõtete puhul on oluline sisemise kontrollisüsteemi nõuetekohane loomine ja riskijuhtimine, et parandada ettevõtte mainet ja brändi imago.

Sisemine kontrollisüsteem ettevõtete seaduse järgi

Ettevõtete seaduse järgi on sisemine kontrollisüsteem määratletud ettevõtete seaduse paragrahvi 362 lõike 4 punkti 6[ja] alusel,

juhatuse liikmete tööülesannete täitmise tagamiseks seaduste ja põhikirja järgi ning aktsiaseltsi ja selle tütarettevõtete tegevuse nõuetekohasuse tagamiseks vajaliku süsteemi loomiseks, nagu on määratletud justiitsministeeriumi määrusega.

See on määratletud juhatuse ainupädevuse küsimusena.

Ettevõtete seaduse järgi on sisemine kontrollisüsteem süsteem, mille eesmärk on tagada aktsiaseltsi ja selle tütarettevõtete tegevuse nõuetekohasus.

Sisemine kontrollisüsteem finantsinstrumentide kauplemise seaduse järgi

Finantsinstrumentide kauplemise seaduse kohaselt on börsiettevõtetel kohustus esitada sisemise kontrolli aruanne. Börsiettevõtted peavad finantsinstrumentide kauplemise seaduse alusel looma sisemise kontrollisüsteemi ja avalikustama selle sisu.

Finantsinstrumentide kauplemise seaduse järgi on sisemine kontrollisüsteem erinev ettevõtete seadusest, kuna see on nõutav investorite kaitse seisukohast.

Mis on ettevõtted, kes peavad looma sisekontrollisüsteemi

Ettevõtted, mis vastavad teatud nõuetele, peavad looma sisekontrollisüsteemi. Ettevõtted, kes peavad looma sisekontrollisüsteemi, on määratletud Jaapani äriühingute seaduses (Japanese Companies Act) ja finantstoodete kauplemise seaduses (Japanese Financial Instruments and Exchange Act).

Äriühingute seaduse kohaselt on suurettevõtetel, millel on juhatuse struktuur, kohustus luua sisekontrollisüsteem. Suurettevõte on ettevõte, mille omakapital on 500 miljonit jeeni või rohkem või kelle võlg on 20 miljardit jeeni või rohkem (äriühingute seaduse artikkel 2, lõige 6).

Ettevõtted, kes on loonud sisekontrollisüsteemi, peavad äriaruandes kirjeldama sisekontrollisüsteemi toimimise üldist olukorda. Lisaks peavad ettevõtted, kus on audiitorid, läbi viima sisekontrollisüsteemi auditi kui ühe juhatuse liikmete tööülesannete täitmise auditi.

Teiselt poolt, finantstoodete kauplemise seaduse kohaselt on ettevõtetel, kes esitavad väärtuspaberite aruande, kohustus luua sisekontrollisüsteem ja avalikustada selle sisu. Need ettevõtted peavad iga majandusaasta kohta avalikustama sisekontrolli aruande koos väärtuspaberite aruandega.

Juhatus vastutab sisemise kontrollisüsteemi puuduste eest

Kui sisemise kontrollisüsteemiga seotud õnnetus juhtub, näiteks küberintsident nagu ebaseaduslik juurdepääs või info leke, kes siis vastutab?

Kui turvasüsteem on haavatav ja info leke või muu sarnane juhtub, võib kahju kannatanud isik (näiteks klient) nõuda tsiviilõiguse alusel võla mittetäitmise või õigusvastase tegevuse eest vastutust ning nõuda kahjutasu.

Juhatus on ettevõtte seaduse kohaselt ettevõttelt juhtimise delegeerinud ja neil on kohustus teha oma tööd hea halduse põhimõtete järgi, et mitte kahjustada ettevõtet.

Kohtupraktika kohaselt on sisemise kontrollisüsteemi loomise kohustus üks hea halduse põhimõtetest.

Seega, kui info leke või muu sarnane juhtub ja kahju kannatanud isik nõuab ettevõttelt kahjutasu, võib juhatuse liikmele esitada nõude kahjutasu maksmiseks, kui ta ei ole tõstnud turvalisuse taset ega võtnud meetmeid haavatavuste kõrvaldamiseks, mis võib olla juhatuse hea halduse põhimõtte rikkumine.

Sisemise kontrollisüsteemi kohta käinud kohtuotsused

Nagu eespool mainitud, on ettevõtetel ja juhatuse liikmetel kohustus luua sisemine kontrollisüsteem. Alustame konkreetsete kohtuotsuste põhjal selgitamist.

Yakult’i juhtum, Tokyo ringkonnakohtu otsus (Tokyo ringkonnakohtu otsus 2004. aasta (Heisei 16) 16. detsembril)

Yakult kaotas suure summa raha spekulatiivsetes derivaaditehingutes, mille eesmärk oli katta varjatud kahjumid väärtpaberitest. Selle tulemusena suurenesid kahjumid veelgi. Selle peale esitasid aktsionärid juhtkonnale 53,3 miljardi jeeni suuruse hüvitise nõude.

Kohtuasjas vaidlustati, kas derivaaditehingute riskijuhtimissüsteem oli olemas või mitte.

Kohus mõistis endise asepresidendi, kes tegutses varahalduse juhina ja tegeles derivaaditehingutega, süüdi “juhatuse liikme hoolsuskohustuse rikkumises” ja mõistis talle 6,7 miljardi jeeni suuruse trahvi. Kuid teiste juhtkonna liikmete vastutust ei tunnistatud, kuna “ettevõttel oli olemas teatav riskijuhtimissüsteem”. Peale selle lükkas kohus tagasi väite, et riskijuhtimissüsteem oli puudulik, põhjendades seda asjaoluga, et pärast kahjumi tekkimist arenes derivaaditehingute riski mõistmine kiiresti (st see ei olnud piisav kahjumi tekkimise ajal). 2008. aasta (Heisei 20) mais toetas Tokyo apellatsioonikohus esimese astme kohtu otsust ja ka kõrgeim kohus toetas esimese ja teise astme kohtu otsuseid.

Selles kohtuasjas näitas kohus, et sisemise kontrollisüsteemi sisu peaks olema määratletud viidates haldusuuringutele ja riskijuhtumitele.

JCOM aktsiate eksliku tellimuse juhtum, Tokyo apellatsioonikohtu otsus (Tokyo apellatsioonikohtu otsus 2013. aasta (Heisei 25) 24. juulil)

Selles juhtumis sisestas Mizuho Securities’i töötaja arvutisse ekslikult kliendi tellimuse JCOM aktsiate “müügiks 610 000 jeeni eest ühe aktsia kohta” asemel “müügiks 61 000 aktsiat ühe jeeni eest”, põhjustades kliendile suurt kahju.

Mizuho Securities märkas viga ja püüdis tellimuse tühistada, kuid Tokyo börsi süsteemi viga takistas tühistamist ja aktsiahind langes järsult ebatavaliselt suure müügitellimuse tõttu. Selle tulemusena tekkis üle 40 miljardi jeeni suurune kahju. Mizuho Securities väitis, et nad ei suutnud ekslikku tellimust tühistada ja tekitasid üle 40 miljardi jeeni suuruse kahju, kuna Tokyo börsi süsteemis oli viga, ning nõudis Tokyo börsilt kahjutasu.

Selles kohtuasjas oli suur vaidluspunkt, kas “süsteemi viga on tõsine hooletus”. Tokyo apellatsioonikohus mõistis Tokyo börsile “tõsise hooletuse eest, et nad ei kasutanud õigeaegselt kauplemise peatamise õigust” umbes 10,7 miljardi jeeni suuruse trahvi.

Vaidluse all oli ka küsimus, kas Tokyo börsil oli tehniliselt võimalik avastada ja parandada see viga, kuid Tokyo apellatsioonikohus väitis, et “esitatud ekspertarvamused on vastuolulised ja raskesti eristatavad” ning vältis tehnilise aspekti otsustamist.

Kuid Tokyo börs tunnistas, et nad olid teadlikud ilmselgelt ebanormaalsest kauplemisest, kuid ei tühistanud tehingut, mis oli Tokyo börsi tõsine hooletus.

Nagu näha, kui kohtud ei suuda tehnilistes küsimustes otsustada, võivad nad keskenduda tehnilistele aspektidele ja tunnistada ebaseaduslikku tegevust.

Kokkuvõte: Palun konsulteerige sisemise kontrollsüsteemi loomisel advokaadiga

Eriti börsiettevõtetel on vajalik riskijuhtimiseks sisemine kontrollsüsteem korrektselt luua ja kasutada.

Kui juhtub infoturbe seotud õnnetus, ja kui ettevõtet tunnistatakse, et ei ole võtnud ettevõtte suurusele ja tegevusele vastavaid infoturbe meetmeid, võib ettevõtet süüdistada võlgade täitmata jätmise eest. Sel juhul võib juhatuse liikmetelt nõuda ka kahjude hüvitamist, kui nad rikuvad hea halduse nõuet. Palun konsulteerige infoturbe sisemise kontrollsüsteemi osas varakult IT ja ettevõtte õigusnõustajaga.

Seotud artikkel: Kuidas vältida turvaintsidente alltöövõtjate juures? Selgitame tellija sisemise kontrollsüsteemi loomist ja kasutamist[ja]

Meie büroo poolt pakutavad meetmed

Monolith õigusbüroo on IT, eriti interneti ja õiguse mõlemal küljel kõrge spetsialiseerumisega õigusbüroo. Sisemise kontrollisüsteemi loomise õigusliku kontrolli vajadus kasvab üha enam. Meie büroo pakub paljudele ettevõtetele lahendusi vastavuse tagamiseks. Üksikasjad on kirjeldatud allpool toodud artiklis.

Monolith õigusbüroo tegevusvaldkonnad: IT- ja idufirmadõigusküsimused[ja]