Cos'è il sistema di controllo interno? Obblighi secondo la Legge sulle Società Giapponese e la Legge sui Titoli e Cambi Giapponese e responsabilità degli amministratori

Il sistema di controllo interno si riferisce al meccanismo all’interno di un’azienda per prevenire atti illegali e prevenire fughe di informazioni. Il sistema di controllo interno è definito sia nel ‘Codice delle società giapponese’ che nella ‘Legge giapponese sul commercio di strumenti finanziari’, e le aziende che soddisfano determinati requisiti sono obbligate a costruire un sistema di controllo interno.

Nella gestione aziendale, è molto importante costruire adeguatamente un sistema di controllo interno e operarlo e mantenerlo per la conformità.

In questo articolo, spiegheremo cosa sia il sistema di controllo interno, in particolare il sistema di controllo interno per ridurre il rischio di incidenti cibernetici, e le responsabilità che i direttori devono assumere.

Cos’è il sistema di controllo interno

Il sistema di controllo interno è un sistema che le aziende e le organizzazioni mettono in atto per conformarsi alle leggi, ai regolamenti e agli standard del settore, stabilendo e applicando processi e sistemi appropriati.

In particolare, per le società quotate, è necessario costruire adeguatamente un sistema di controllo interno e gestire i rischi per migliorare la credibilità e l’immagine del marchio dell’azienda.

Sistema di controllo interno secondo la legge giapponese sulle società

Il sistema di controllo interno secondo la legge giapponese sulle società (Articolo 362, paragrafo 4, punto 6)[ja] è definito come:

“L’istituzione di un sistema per garantire che l’esecuzione dei doveri dei direttori sia conforme alle leggi e allo statuto, e altre misure necessarie per garantire la correttezza delle operazioni della società per azioni e del gruppo di imprese costituito dalla società per azioni e dalle sue sussidiarie, come previsto dal regolamento del Ministero della Giustizia.”

È considerato una prerogativa esclusiva del consiglio di amministrazione.

Il controllo interno secondo la legge giapponese sulle società può essere definito come un sistema volto a garantire la correttezza delle operazioni delle società per azioni e dei loro gruppi di società, tra cui le sussidiarie.

Sistema di controllo interno secondo la legge giapponese sui titoli e gli scambi

Secondo la legge giapponese sui titoli e gli scambi, le società quotate e simili sono tenute a presentare un rapporto sul controllo interno. Le società quotate e simili devono costruire un sistema di controllo interno secondo la legge giapponese sui titoli e gli scambi e divulgare i dettagli di tale sistema.

Il sistema di controllo interno secondo la legge giapponese sui titoli e gli scambi, a differenza della legge giapponese sulle società, è richiesto dal punto di vista della protezione degli investitori.

Che cosa sono le aziende obbligate a costruire un sistema di controllo interno

Le aziende che soddisfano determinati requisiti sono obbligate a costruire un sistema di controllo interno. Le aziende che hanno l’obbligo di costruire un sistema di controllo interno sono definite dalla legge giapponese sulle società e dalla legge giapponese sul commercio di strumenti finanziari.

Le grandi aziende che sono obbligate a costruire un sistema di controllo interno secondo la legge giapponese sulle società sono quelle che hanno un consiglio di amministrazione. Le grandi aziende sono quelle con un capitale di 500 milioni di yen o più o con debiti per un importo di 20 miliardi di yen o più (Articolo 2, Paragrafo 6, della legge giapponese sulle società).

Le aziende che hanno implementato un sistema di controllo interno devono descrivere un riassunto dello stato di funzionamento del sistema di controllo interno nel loro rapporto di gestione. Inoltre, nelle aziende con un revisore dei conti, il revisore dei conti svolge un’audizione del sistema di controllo interno come parte dell’audizione delle attività del direttore.

D’altra parte, secondo la legge giapponese sul commercio di strumenti finanziari, le aziende quotate e simili che presentano un rapporto sui titoli di valore sono obbligate a costruire un sistema di controllo interno e a divulgarne il contenuto. Le aziende quotate e simili devono divulgare un rapporto sul controllo interno insieme al rapporto sui titoli di valore per ogni anno fiscale.

Le carenze del sistema di controllo interno comportano responsabilità per gli amministratori

In caso di incidenti legati al sistema di controllo interno, come accessi non autorizzati o perdite di informazioni, chi ne assume la responsabilità?

Se ci sono vulnerabilità nel sistema di sicurezza che portano a perdite di informazioni, coloro che hanno subito danni (come i clienti) a causa di tali perdite di informazioni potrebbero richiedere un risarcimento per inadempimento contrattuale o responsabilità per atto illecito secondo il diritto civile giapponese.

Gli amministratori, secondo la legge sulle società giapponese, sono incaricati di gestire l’azienda e hanno il dovere di agire con la diligenza di un buon amministratore per evitare di causare danni all’azienda.

Secondo la giurisprudenza, l’obbligo di creare un sistema di controllo interno è uno degli obblighi di diligenza di un buon amministratore.

Di conseguenza, se si verificano perdite di informazioni e coloro che hanno subito danni richiedono un risarcimento all’azienda, il fatto di non aver aumentato il livello di sicurezza o di non aver preso misure per eliminare le vulnerabilità potrebbe essere considerato una violazione del dovere di diligenza di un buon amministratore da parte degli amministratori, che potrebbero quindi essere chiamati a risarcire i danni.

Precedenti riguardanti il sistema di controllo interno

Come sopra menzionato, le aziende e i direttori sono obbligati a implementare un sistema di controllo interno. Da qui in poi, procederemo con la spiegazione basandoci su casi concreti.

Il caso Yakult – Sentenza del Tribunale Distrettuale di Tokyo (16 dicembre 2004)

Yakult ha fallito in operazioni speculative ad alto rischio con derivati, come il coprire le perdite latenti di titoli, e ha invece ampliato le sue perdite. In risposta a ciò, gli azionisti hanno intentato una causa rappresentativa degli azionisti, chiedendo un risarcimento di 53,3 miliardi di yen alla dirigenza di allora.

In questo caso, è stato contestato se fosse stato adottato un sistema di gestione del rischio per le operazioni con derivati.

Il tribunale ha ordinato all’ex vicepresidente, che aveva gestito le operazioni con derivati come responsabile della gestione degli attivi, di pagare 6,7 miliardi di yen per “violazione del dovere di diligenza come direttore”. Tuttavia, non ha riconosciuto la responsabilità del resto della dirigenza, affermando che “c’era un certo sistema di gestione del rischio come azienda”. Inoltre, ha negato la mancanza di un sistema di gestione del rischio, citando il fatto che la consapevolezza del rischio delle operazioni con derivati si è sviluppata rapidamente dopo l’insorgenza delle perdite (= non era sufficiente al momento dell’insorgenza). La sentenza del secondo grado del Tribunale di Appello di Tokyo nel maggio 2008 ha sostenuto il primo grado, e la Corte Suprema ha sostenuto i primi due gradi.

In questo processo, è stato indicato che il contenuto del sistema di controllo interno dovrebbe essere determinato facendo riferimento a studi amministrativi sul gestione del rischio e a casi di rischio.

Il caso dell’ordine azionario errato di JCOM (Sentenza del Tribunale di Appello di Tokyo, 24 luglio 2013)

Questo è un caso in cui un dipendente di Mizuho Securities ha erroneamente inserito nel computer un ordine che avrebbe dovuto essere “vendita di 610.000 yen per azione di JCOM” come “vendita di 61 milioni di azioni a 1 yen”, causando un danno significativo al cliente.

Mizuho Securities si è resa conto dell’errore e ha avviato una procedura di annullamento, ma a causa di un difetto nel sistema della Borsa di Tokyo, l’annullamento non è stato effettuato e il prezzo delle azioni è crollato a causa di un ordine di vendita massiccio che normalmente non sarebbe possibile. Di conseguenza, si è verificato un danno di oltre 40 miliardi di yen. Mizuho Securities ha sostenuto che il motivo per cui non è stato in grado di annullare l’ordine errato e ha subito una perdita di oltre 40 miliardi di yen è stato a causa di un bug nel sistema della Borsa di Tokyo, e ha chiesto un risarcimento del danno alla Borsa di Tokyo.

In questo processo, la questione principale era se il “bug del sistema costituisse una grave negligenza”. Il Tribunale di Appello di Tokyo ha ordinato alla Borsa di Tokyo di pagare circa 10,7 miliardi di yen, affermando che “il fatto di non aver esercitato rapidamente il diritto di sospendere le transazioni costituisce una grave negligenza da parte della Borsa di Tokyo”.

Se fosse stato tecnicamente possibile per la Borsa di Tokyo scoprire e affrontare questo bug è stato anche un punto di contesa, ma il Tribunale di Appello di Tokyo ha affermato, “Le affermazioni presentate nell’opinione dell’esperto sono contraddittorie e difficili da giudicare”, evitando di fare un giudizio sul lato tecnico.

Tuttavia, ha riconosciuto la grave negligenza della Borsa di Tokyo per non aver annullato le transazioni nonostante si fosse resa conto che si stavano svolgendo transazioni chiaramente anomale.

In questo modo, quando il tribunale non può fare un giudizio sul lato tecnico, ci sono casi in cui un atto illecito viene riconosciuto concentrandosi su aspetti diversi dalla tecnologia.

Riassunto: Per la costruzione di un sistema di controllo interno, si prega di consultare un avvocato

In particolare per le società quotate, è necessario costruire e gestire adeguatamente un sistema di controllo interno per la gestione dei rischi.

Nel caso in cui si verifichi un incidente legato alla sicurezza delle informazioni, se l’azienda non ha adottato misure di sicurezza delle informazioni adeguate alla sua dimensione e al tipo di attività, potrebbe essere ritenuta responsabile per l’inadempimento del debito. In tale circostanza, potrebbe anche essere richiesto un risarcimento danni ai direttori per violazione del dovere di diligenza. Per quanto riguarda il sistema di controllo interno relativo alla sicurezza delle informazioni, si prega di consultare un avvocato esperto in IT e diritto aziendale il prima possibile.

Articolo correlato: Come prevenire gli incidenti di sicurezza nei fornitori? Spiegazione sulla costruzione e gestione del sistema di controllo interno del committente[ja]

Presentazione delle misure adottate dal nostro studio legale

Lo Studio Legale Monolith è un’agenzia legale con un’elevata specializzazione in IT, in particolare Internet e diritto. La necessità di un controllo legale nella costruzione di sistemi di controllo interno sta aumentando sempre di più. Il nostro studio offre soluzioni a molte aziende per la conformità. I dettagli sono descritti nell’articolo sottostante.

Aree di competenza dello Studio Legale Monolith: Diritto delle imprese IT e delle startup[ja]DirittoAziendale