Mikä on sisäinen valvontajärjestelmä? Yhtiölain ja Japanin rahoitusvälineiden kaupankäynnin lain mukaiset velvollisuudet ja hallituksen jäsenten vastuut

Sisäisen valvonnan järjestelmä viittaa yrityksen sisäiseen mekanismiin, joka estää laittoman toiminnan ja tietovuodot. Sisäisen valvonnan järjestelmä on määritelty sekä Japanin yhtiölaissa (‘Japanese Companies Act’) että rahoitusvälineiden kaupankäynnistä annetussa laissa (‘Japanese Financial Instruments and Exchange Act’), ja tietyt vaatimukset täyttävät yritykset ovat velvollisia rakentamaan sisäisen valvonnan järjestelmän.

Yrityksen johtamisessa on erittäin tärkeää rakentaa, käyttää ja ylläpitää sisäisen valvonnan järjestelmää compliance-syistä.

Tässä artikkelissa selitämme, mitä sisäisen valvonnan järjestelmä on, erityisesti sisäisen valvonnan järjestelmän, joka vähentää kyberrikosten riskiä, ja selitämme hallituksen jäsenten vastuut.

Mikä on sisäinen valvontajärjestelmä?

Sisäinen valvontajärjestelmä on järjestelmä, jonka yritykset ja organisaatiot kehittävät ja soveltavat varmistaakseen, että ne noudattavat lakeja, säännöksiä ja toimialastandardeja.

Erityisesti pörssiyhtiöiden on tärkeää rakentaa asianmukainen sisäinen valvontajärjestelmä yrityksen maineen ja brändikuvan parantamiseksi sekä riskien hallitsemiseksi.

Sisäinen valvontajärjestelmä Japanin yhtiölain mukaan

Japanin yhtiölain mukainen sisäinen valvontajärjestelmä on määritelty yhtiölain pykälässä 362, kohta 4, alakohta 6[ja] seuraavasti:

“Järjestelmän kehittäminen varmistamaan, että hallituksen jäsenten tehtävien hoito on lainmukaista ja yhtiöjärjestyksen mukaista, sekä muita järjestelmiä, jotka ovat tarpeen osakeyhtiön ja sen tytäryhtiöiden muodostaman yritysryhmän toiminnan asianmukaisuuden varmistamiseksi, kuten määritelty oikeusministeriön asetuksessa.”

Tämä on määritelty hallituksen yksinomaiseksi tehtäväksi.

Yhtiölain mukainen sisäinen valvonta tarkoittaa järjestelmää, jonka tarkoituksena on varmistaa osakeyhtiön ja sen tytäryhtiöiden liiketoiminnan asianmukaisuus.

Sisäinen valvontajärjestelmä Japanin rahoitusvälineiden kaupankäynnin lain mukaan

Rahoitusvälineiden kaupankäynnin lain mukaan pörssiyhtiöillä on velvollisuus jättää sisäisen valvontaraportti. Pörssiyhtiöiden on rakennettava sisäinen valvontajärjestelmä rahoitusvälineiden kaupankäynnin lain mukaisesti ja ilmoitettava sen sisällöstä.

Rahoitusvälineiden kaupankäynnin lain mukainen sisäinen valvontajärjestelmä eroaa yhtiölaista, koska se vaaditaan sijoittajansuojan näkökulmasta.

Mitä yrityksiä sisäisen valvontajärjestelmän rakentamisvelvollisuus koskee

Tiettyjä vaatimuksia täyttävät yritykset ovat velvollisia rakentamaan sisäisen valvontajärjestelmän. Sisäisen valvontajärjestelmän rakentamisvelvollisuus koskee yrityksiä, jotka on määritelty Japanin yrityslain (Japanese Companies Act) ja rahoitusvälineiden ja pörssikaupan lain (Japanese Financial Instruments and Exchange Act) mukaan.

Yrityslain mukaan sisäisen valvontajärjestelmän rakentaminen on pakollista suurille yrityksille, joilla on hallintoneuvosto. Suurilla yrityksillä tarkoitetaan yrityksiä, joiden osakepääoma on yli 500 miljoonaa jeniä tai velkaa yli 20 miljardia jeniä (Yrityslaki, 2. luku, 6. pykälä).

Yritykset, jotka ovat rakentaneet sisäisen valvontajärjestelmän, ovat velvollisia kuvaamaan sen toiminnan tilanteen yleisesti liiketoimintakertomuksessaan. Lisäksi yrityksissä, joissa on tilintarkastajia, tilintarkastajat suorittavat sisäisen valvontajärjestelmän tarkastuksen osana hallituksen jäsenten tehtävien suorittamisen tarkastusta.

Toisaalta, rahoitusvälineiden ja pörssikaupan lain mukaan sisäisen valvontajärjestelmän rakentamis- ja julkistamisvelvollisuus koskee pörssilistattuja yrityksiä, jotka jättävät arvopaperiraportin. Pörssilistatut yritykset ovat velvollisia julkistamaan sisäisen valvontaraportin joka liiketoimintavuosi arvopaperiraportin yhteydessä.

Johtajat ovat vastuussa sisäisen valvontajärjestelmän puutteista

Kuka kantaa vastuun, jos sisäiseen valvontajärjestelmään liittyvässä onnettomuudessa, kuten luvattomassa pääsyssä tai tietovuodossa, tapahtuu kyberhyökkäys?

Jos tietoturvajärjestelmässä on haavoittuvuuksia ja tietovuotoja tapahtuu, vahinkoa kärsineet osapuolet (kuten asiakkaat) voivat vaatia korvauksia siviilioikeudellisen sopimusrikkomuksen tai laittoman toiminnan perusteella.

Johtajat ovat yrityslain mukaan saaneet yritykseltä toimeksiannon johtaa, ja heillä on velvollisuus hoitaa tehtävänsä hyvän johtajan huolellisuudella vahingoittamatta yritystä.

Tuomioistuimen päätöksen mukaan sisäisen valvontajärjestelmän rakentamisvelvollisuus on yksi hyvän johtajan huolellisuusvelvollisuuksista.

Siksi, jos tietovuotoja tapahtuu ja vahinkoa kärsineet osapuolet vaativat yritykseltä korvauksia, johtajat voivat joutua korvausvastuuseen, jos he eivät ole nostaneet tietoturvatasonsa tai toteuttaneet toimenpiteitä haavoittuvuuksien poistamiseksi, mikä voidaan katsoa hyvän johtajan huolellisuusvelvollisuuden rikkomiseksi.

Sisäisen valvonnan järjestelmää koskevat oikeustapaukset

Kuten edellä mainittiin, yritysten ja hallituksen jäsenten on velvollisuus rakentaa sisäisen valvonnan järjestelmä. Käydään seuraavaksi läpi konkreettisia oikeustapauksia.

Yakult-tapaus, Tokion alioikeuden päätös (Tokion alioikeuden päätös 16. joulukuuta 2004 (Heisei 16))

Yakult epäonnistui spekulatiivisessa johdannaisten kaupankäynnissä, jonka tarkoituksena oli kattaa arvopapereiden latenteista tappioista, ja päinvastoin laajensi tappioitaan. Tähän reagoiden osakkeenomistajat nostivat 533 miljardin jenin korvauskanteen tuolloista johtoryhmää vastaan.

Tässä tapauksessa kiisteltiin siitä, oliko johdannaisten kaupankäynnin riskienhallintajärjestelmä otettu käyttöön.

Oikeudessa määrättiin entiselle varatoimitusjohtajalle, joka toimi varainhoitovastaavana ja hoiti johdannaisten kauppaa, maksamaan 67 miljardia jeniä, koska hän oli rikkonut hallituksen jäsenenä olevan huolellisuusvelvollisuutensa. Kuitenkin muiden johtoryhmän jäsenten vastuuta ei tunnustettu, koska yrityksellä oli “jonkinlainen riskienhallintajärjestelmä”. Lisäksi, koska tappioiden jälkeen johdannaisten kaupankäynnin riskitietoisuus kehittyi nopeasti (= ei ollut riittävä tappioiden aikaan), kiisteltiin riskienhallintajärjestelmän puutteista. Tokion ylioikeuden päätös toukokuussa 2008 tuki alioikeuden päätöstä, samoin kuin korkein oikeus.

Tässä oikeudenkäynnissä sisäisen valvonnan järjestelmän sisältöä tulisi määrittää viittaamalla hallinnollisiin riskienhallintatutkimuksiin ja riskitapauksiin.

JCOM-osakkeiden virheellinen tilaus (Tokion ylioikeuden päätös 24. heinäkuuta 2013 (Heisei 25))

Tässä tapauksessa Mizuho Securitiesin työntekijä syötti tietokoneeseen virheellisesti JCOM-osakkeiden tilauksen, joka olisi pitänyt olla “myy 1 osake 610 000 jenillä”, “myy 610 000 osaketta 1 jenillä”, aiheuttaen asiakkaalle suuria tappioita.

Mizuho Securities huomasi virheen ja yritti peruuttaa sen, mutta Tokion pörssin järjestelmän vika esti peruutuksen, ja osakekurssi romahti epätavallisen suuren myyntitilauksen seurauksena. Tämän seurauksena syntyi yli 40 miljardin jenin tappiot. Mizuho Securities väitti, että se ei pystynyt peruuttamaan virheellistä tilausta ja aiheutti yli 40 miljardin jenin tappiot, koska Tokion pörssin järjestelmässä oli vika, ja vaati Tokion pörssiä korvaamaan vahingot.

Tässä oikeudenkäynnissä suuri kiistakysymys oli, “onko järjestelmän vika vakava laiminlyönti”. Tokion ylioikeus määräsi Tokion pörssin maksamaan noin 10,7 miljardia jeniä, koska se ei ollut “käyttänyt oikeuttaan keskeyttää kaupankäynti välittömästi”.

Kiisteltiin myös siitä, oliko Tokion pörssin teknisesti mahdollista havaita ja korjata tämä vika, mutta Tokion ylioikeus totesi, että “asiantuntijalausuntojen väitteet ovat ristiriitaisia ja vaikea arvioida”, ja vältti teknisen arvioinnin.

Kuitenkin, se, että Tokion pörssi ei peruuttanut kauppaa huolimatta siitä, että se huomasi selvästi epänormaalin kaupankäynnin tapahtuvan, tunnustettiin Tokion pörssin vakavaksi laiminlyönniksi.

Näin ollen, jos tuomioistuin ei pysty tekemään päätöstä teknisestä näkökulmasta, on tapauksia, joissa laittomuus tunnustetaan keskittymällä teknisiin seikkoihin.

Yhteenveto: Konsultoi asianajajaa sisäisen valvontajärjestelmän rakentamisessa

Erityisesti pörssiyhtiöiden on tarpeen rakentaa ja ylläpitää asianmukaisesti sisäistä valvontajärjestelmää riskienhallinnan vuoksi.

Mikäli tietoturvaan liittyvä onnettomuus sattuisi, yritys saattaa joutua vastuuseen velvoitteiden laiminlyönnistä, jos sen katsotaan laiminlyöneen yrityksen kokoon ja liiketoiminnan luonteeseen sopivat tietoturva-toimenpiteet. Tällöin myös hallituksen jäseniä voidaan vaatia korvaamaan vahingot, jos heidän katsotaan rikkoneen hyvän hallintotavan velvoitteita. Konsultoi IT- ja yrityslainsäädäntöön perehtynyttä asianajajaa sisäisen valvontajärjestelmän rakentamisesta tietoturvan osalta mahdollisimman pian.

Liittyvä artikkeli: Miten estää tietoturvaongelmat alihankkijalla? Selitämme sisäisen valvontajärjestelmän rakentamista ja ylläpitoa tilaajan näkökulmasta[ja]

Toimenpiteet, joita toimistomme tarjoaa

Monolith Lakitoimisto on lakitoimisto, jolla on korkea asiantuntemus IT:stä, erityisesti internetistä ja laista. Tarve oikeudelliselle tarkastukselle sisäisen valvontajärjestelmän rakentamisessa kasvaa jatkuvasti. Toimistossamme tarjoamme ratkaisuja monille yrityksille noudattaakseen säännösten noudattamista. Yksityiskohdat on esitetty alla olevassa artikkelissa.

Monolith Lakitoimiston käsittelemät alueet: IT- ja startup-yritykset[ja]lakitoimet