Mik azok a belső ellenőrzési rendszerek? A felelősségek és kötelezettségek a Japán 'Társasági törvény' és a 'Pénzügyi termékek kereskedelméről szóló törvény' alapján

A belső ellenőrzési rendszer olyan vállalati mechanizmusra utal, amely megakadályozza a törvénytelen cselekményeket és az információszivárgást. A belső ellenőrzési rendszert a Japán Társasági Törvény (Japanese Company Law) és a Pénzügyi Termékek Kereskedelmi Törvény (Japanese Financial Instruments and Exchange Law) határozza meg, és bizonyos követelményeknek megfelelő vállalatok számára kötelező a belső ellenőrzési rendszer kialakítása.

A vállalatirányításban rendkívül fontos a belső ellenőrzési rendszer megfelelő kialakítása, működtetése és karbantartása a szabályok betartása érdekében.

Ebben a cikkben ismertetjük, hogy mi is a belső ellenőrzési rendszer, különös tekintettel a kibertámadások kockázatának csökkentésére szolgáló belső ellenőrzési rendszerekre és a felügyelőbizottsági tagok felelősségére.

Mi az a belső ellenőrzési rendszer?

A belső ellenőrzési rendszer olyan rendszer, amelyet vállalatok és szervezetek hoznak létre és alkalmaznak a jogszabályok, szabályozások és iparági szabványok betartása érdekében, megfelelő folyamatok és rendszerek kialakításával.

Különösen a tőzsdén jegyzett vállalatok számára fontos, hogy megfelelő belső ellenőrzési rendszert hozzanak létre és kezeljék a kockázatokat a vállalat hitelességének és márkaimage-ének javítása érdekében.

A belső ellenőrzési rendszer a társasági törvény szerint

A társasági törvény szerinti belső ellenőrzési rendszer a Társasági törvény 362. cikk 4. bekezdés 6. pontja[ja] szerint

“A felügyelőbizottság tagjainak feladatainak végrehajtása a jogszabályoknak és az alapszabálynak megfelelően, valamint a részvénytársaság és annak leányvállalataiból álló vállalatcsoport működésének megfelelőségének biztosítása érdekében szükséges rendszerek kialakítása a jogi minisztériumi rendeletben meghatározottak szerint.”

ezt úgy határozza meg, mint a felügyelőbizottság kizárólagos hatáskörét.

A társasági törvény szerinti belső ellenőrzés a részvénytársaság és annak leányvállalatai, valamint más csoportvállalatok működésének megfelelőségének biztosítására irányuló rendszer.

A belső ellenőrzési rendszer a pénzügyi eszközök kereskedelméről szóló törvény szerint

A pénzügyi eszközök kereskedelméről szóló törvény értelmében a tőzsdén jegyzett vállalatoknak belső ellenőrzési jelentést kell benyújtaniuk. A tőzsdén jegyzett vállalatoknak a pénzügyi eszközök kereskedelméről szóló törvény értelmében belső ellenőrzési rendszert kell kialakítaniuk, és annak tartalmát nyilvánosságra kell hozniuk.

A pénzügyi eszközök kereskedelméről szóló törvény szerinti belső ellenőrzési rendszer eltér a társasági törvénytől, mivel azt a befektetők védelme érdekében követelik meg.

Azok a cégek, amelyeknek belső ellenőrzési rendszer kiépítési kötelezettségük van

A bizonyos feltételeket teljesítő cégeknek kötelező belső ellenőrzési rendszert kiépíteniük. A belső ellenőrzési rendszer kiépítési kötelezettségét vállaló cégeket a Japán Társasági Törvény (Japanese Company Law) és a Pénzügyi Termékek Kereskedelmi Törvény (Japanese Financial Instruments and Exchange Act) határozza meg.

A Japán Társasági Törvény szerint a belső ellenőrzési rendszer kiépítése nagyvállalatok, azaz igazgatótanácsot működtető társaságok számára kötelező. Nagyvállalat alatt olyan céget értünk, amelynek tőkéje 5 milliárd jen (Japanese Company Law, 2. cikk, 6. pont) vagy adóssága 200 milliárd jen felett van.

A belső ellenőrzési rendszert működtető cégeknek az üzleti jelentésükben fel kell tüntetniük a belső ellenőrzési rendszer működésének áttekintését. Továbbá, a felügyelőbizottsággal rendelkező társaságoknál a felügyelőbizottság tagjai a belső ellenőrzési rendszer auditálását végzik el, mint az igazgatók munkavégzésének egyik ellenőrzését.

Másrészről, a Pénzügyi Termékek Kereskedelmi Törvény szerint a belső ellenőrzési rendszer kiépítése és annak tartalmának közzététele a tőzsdén jegyzett cégek és hasonlók kötelezettsége, akiknek értékpapír-jelentést kell benyújtaniuk. A tőzsdén jegyzett cégeknek és hasonlóknak minden üzleti évben közzé kell tenniük a belső ellenőrzési jelentést az értékpapír-jelentéssel együtt.

A belső ellenőrzési rendszer hiányosságaiért a felügyelőbizottság is felelős

A belső ellenőrzési rendszerrel kapcsolatos balesetek között, ha olyan kibertámadás történik, mint jogosulatlan hozzáférés vagy információszivárgás, ki viseli ennek a felelősségét?

Ha a biztonsági rendszer sebezhetőségei miatt információszivárgás vagy hasonló események történnek, a kárt szenvedett fél (például az ügyfél) polgári jogi kötelezettségszegési vagy jogellenes cselekmények miatt kártérítést követelhet.

A felügyelőbizottság tagjai a társasági törvény értelmében megbízást kapnak a vállalattól a vállalatirányításra, és kötelesek a vállalatnak nem okozni kárt, és gondos igazgatóként kell eljárniuk a munkájuk során (gondoskodási kötelezettség).

A bírósági ítéletek szerint a belső ellenőrzési rendszer kialakításának kötelezettsége a gondoskodási kötelezettség egyik eleme.

Ezért, ha információszivárgás vagy hasonló események történnek, és a károsult fél kártérítést követel a vállalattól, a felügyelőbizottság tagjai is felelősségre vonhatók, ha nem tettek lépéseket a biztonsági szint növelése érdekében, vagy nem hoztak intézkedéseket a sebezhetőségek kiküszöbölésére, és ez megsérti a gondoskodási kötelezettségüket.

Belső ellenőrzési rendszerekkel kapcsolatos ítélkezési gyakorlat

Ahogy azt korábban is említettük, a vállalatoknak és igazgatóiknak kötelező belső ellenőrzési rendszert létrehozniuk. Most nézzünk néhány konkrét példát, hogy jobban megértsük ezt a kérdést.

A Yakult-ügy tokiói bírósági ítélete (2004. december 16., Heisei 16)

A Yakult cég spekulatív derivatív ügyletekbe kezdett, például értékpapírjaik rejtett veszteségeinek fedezésére, de ezek az ügyletek kudarcba fulladtak, és tovább növelték a veszteségeiket. Ennek eredményeképpen a részvényesek 533 milliárd jen kártérítést követeltek a korábbi vezetőségtől, és részvényesi képviseleti perben fordultak a bírósághoz.

Ebben az ügyben vitatott kérdés volt, hogy volt-e megfelelő kockázatkezelési rendszer a derivatív ügyletekkel kapcsolatban.

A bíróság a derivatív ügyletekért felelős volt alelnöknek, mint eszközkezelési felelősnek, 67 milliárd jen kifizetését rendelte el, mert “megszegte az igazgatói gondossági kötelezettségét”. Azonban a többi vezető felelősségét nem ismerte el, mert “a vállalatnak volt egyfajta kockázatkezelési rendszere”. Továbbá, a veszteség bekövetkezte után a derivatív ügyletek kockázatának felismerése gyorsan fejlődött (= a bekövetkezéskor nem volt elegendő), és ezt a tényt és más tényeket felhasználva tagadta a kockázatkezelési rendszer hiányosságait. A tokiói fellebbviteli bíróság 2008. májusi ítélete is támogatta az elsőfokú ítéletet, és a Legfelsőbb Bíróság is támogatta az első- és másodfokú ítéleteket.

Ebben az ítéletben a bíróság kimondta, hogy a belső ellenőrzési rendszer tartalmát a kockázatkezeléssel kapcsolatos adminisztratív kutatások és kockázati esetek alapján kell meghatározni.

A J:COM részvények hibás megrendelése (2013. július 24., Heisei 25)

Ebben az esetben a Mizuho Securities alkalmazottja hibásan adta be a J:COM részvények megrendelését a számítógépbe, amelynek eredményeképpen a “61 ezer jenért 1 részvényt eladni” helyett “1 jenért 61 ezer részvényt eladni” lett beírva, ami jelentős kárt okozott az ügyfélnek.

A Mizuho Securities észrevette a hibát és visszavonási eljárást indított, de a Tokiói Értéktőzsde rendszerének hibája miatt a visszavonás nem történt meg, és a normális körülmények között elképzelhetetlen nagy mennyiségű eladási megrendelés miatt a részvényárak zuhanni kezdtek. Ennek eredményeképpen több mint 400 milliárd jen kár keletkezett. A Mizuho Securities azt állította, hogy a hibás megrendelést nem tudta visszavonni, és több mint 400 milliárd jen veszteséget szenvedett el a Tokiói Értéktőzsde rendszerének hibája miatt, és kártérítést követelt a tőzsdétől.

Ebben az ítéletben a “rendszer hibája súlyos hanyagságnak minősül-e” volt a fő vitatott kérdés. A tokiói fellebbviteli bíróság kimondta, hogy “a kereskedés azonnali leállításának jogát nem gyakorolták, ami a Tokiói Értéktőzsde súlyos hanyagságát jelenti”, és mintegy 107 milliárd jen kifizetését rendelte el a tőzsdének.

Vitatott kérdés volt az is, hogy a Tokiói Értéktőzsde technikailag képes volt-e felfedezni és kezelni ezt a hibát, de a tokiói fellebbviteli bíróság azt mondta, hogy “az előterjesztett szakértői vélemények ellentmondanak egymásnak, és nehéz eldönteni, melyik a helyes”, ezért kerülte a technikai kérdések megítélését.

Az azonban elismerték, hogy a Tokiói Értéktőzsde súlyosan hanyag volt abban, hogy nem vont vissza egy olyan ügyletet, amelyről nyilvánvalóan látható volt, hogy rendellenes.

Így, ha a bíróság nem tud dönteni a technikai kérdésekben, előfordulhat, hogy a technikai kérdéseken kívüli tényezőkre összpontosítva ismerik el a jogellenes cselekményt.

Összefoglalás: Kérjen tanácsot ügyvédünktől a belső ellenőrzési rendszer kialakításával kapcsolatban

Különösen a tőzsdén jegyzett vállalatok számára fontos, hogy megfelelően kialakítsák és működtessék a belső ellenőrzési rendszert a kockázatkezelés érdekében.

Amennyiben bármilyen információbiztonsági incidens történik, és megállapítást nyer, hogy a vállalat nem hozott megfelelő információbiztonsági intézkedéseket a vállalat méretéhez és tevékenységéhez igazodva, a vállalatot adósság nem teljesítésének felelőssége terheli. Ebben az esetben a jó vezetési gyakorlat megsértése miatt a vezető tisztségviselőkkel szemben is kártérítési igényt lehet benyújtani. Kérjük, hogy az információbiztonsággal kapcsolatos belső ellenőrzési rendszerrel kapcsolatban mielőbb forduljon IT és vállalati jogi ügyekben jártas ügyvédünkhöz.

Kapcsolódó cikk: Hogyan előzhető meg a biztonsági incidensek a megbízott helyeken? A megbízó belső ellenőrzési rendszerének kialakítását és működtetését ismertetjük[ja]

Intézkedéseink bemutatása irodánk részéről

A Monolith Jogügyi Iroda egy olyan jogi szakértői iroda, amely rendelkezik magas szintű szakértelemmel az IT, különösen az internet és a jog területén. A belső ellenőrzési rendszerek kialakításával kapcsolatos jogi ellenőrzés szükségessége egyre növekszik. Irodánk számos vállalat számára nyújt megoldásokat a jogszabályok betartása érdekében. A részleteket az alábbi cikkben ismertetjük.

A Monolith Jogügyi Iroda által kezelt területek: IT és startup vállalatok[ja]jogiügyek