Wat is een intern controlesysteem? Verplichtingen onder de Japanse Bedrijfswet en de Wet op Financiële Instrumenten en de verantwoordelijkheid van bestuurders

Een intern controlesysteem is een mechanisme binnen een bedrijf dat bedoeld is om illegale activiteiten te voorkomen en te zorgen dat er geen informatie lekt. Het intern controlesysteem is gedefinieerd in zowel de Japanse Bedrijfswet (‘Japanse Wet op de Vennootschappen’) als de Japanse Wet op Financiële Instrumenten en Beurstransacties (‘Japanse Wet op Financiële Instrumenten en Beurstransacties’), en bedrijven die aan bepaalde criteria voldoen, zijn verplicht om een intern controlesysteem op te zetten.

In bedrijfsbeheer is het zeer belangrijk voor naleving om een intern controlesysteem op de juiste manier op te zetten en te onderhouden.

In dit artikel leggen we uit wat een intern controlesysteem is, met name het intern controlesysteem om het risico op cyberincidenten te verminderen, en de verantwoordelijkheden die bestuurders hebben.

Wat is een intern controlesysteem?

Een intern controlesysteem is een systeem dat bedrijven en organisaties opzetten en toepassen om te voldoen aan wetten, regelgeving en industriestandaarden door middel van passende processen en systemen.

Vooral voor beursgenoteerde bedrijven is het noodzakelijk om een adequaat intern controlesysteem op te zetten en risicobeheer uit te voeren om de bedrijfsreputatie en het merkimago te verbeteren.

Intern controlesysteem volgens de Japanse bedrijfswet

Het intern controlesysteem volgens de Japanse bedrijfswet (Company Act) wordt gedefinieerd in Artikel 362, paragraaf 4, subparagraaf 6 van de bedrijfswet[ja] als,

“Het opzetten van een systeem om te zorgen dat de uitvoering van de taken van de directeuren in overeenstemming is met de wetten en de statuten, en andere systemen die nodig zijn om de juistheid van de bedrijfsactiviteiten van de vennootschap en de groep van bedrijven bestaande uit de vennootschap en haar dochterondernemingen te waarborgen, zoals bepaald bij ministeriële verordening van het Ministerie van Justitie.”

Dit wordt beschouwd als een exclusieve bevoegdheid van de raad van bestuur.

Het intern controlesysteem volgens de bedrijfswet is bedoeld om de juistheid van de bedrijfsactiviteiten van de vennootschap en haar groepsmaatschappijen, zoals dochterondernemingen, te waarborgen.

Intern controlesysteem volgens de Japanse wet op financiële instrumenten en beurstransacties

Volgens de Japanse wet op financiële instrumenten en beurstransacties (Financial Instruments and Exchange Act) hebben beursgenoteerde bedrijven en dergelijke de plicht om een intern controleverslag in te dienen. Beursgenoteerde bedrijven en dergelijke moeten een intern controlesysteem opzetten volgens de wet op financiële instrumenten en beurstransacties en de inhoud daarvan openbaar maken.

Het intern controlesysteem volgens de wet op financiële instrumenten en beurstransacties verschilt van de bedrijfswet in die zin dat het wordt vereist vanuit het oogpunt van bescherming van de beleggers.

Bedrijven die verplicht zijn een intern controlesysteem op te zetten

Bedrijven die aan bepaalde eisen voldoen, zijn verplicht een intern controlesysteem op te zetten. De bedrijven die deze verplichting hebben, worden gedefinieerd in de Japanse Bedrijfswet (Kaishahō) en de Japanse Wet op Financiële Instrumenten en Beurstransacties (Kin’yū Shōhin Torihiki Hō).

Volgens de Japanse Bedrijfswet zijn grote bedrijven, oftewel bedrijven met een raad van bestuur, verplicht een intern controlesysteem op te zetten. Grote bedrijven zijn bedrijven met een kapitaal van 500 miljoen yen of meer, of een schuld van 20 miljard yen of meer (Artikel 2, Paragraaf 6 van de Japanse Bedrijfswet).

Bedrijven die een intern controlesysteem hebben opgezet, moeten een overzicht van de werking van het intern controlesysteem in hun bedrijfsrapport opnemen. Bovendien voeren in bedrijven met een raad van commissarissen, de commissarissen een audit van het intern controlesysteem uit als onderdeel van hun audit van de uitvoering van de taken door de bestuurders.

Aan de andere kant, volgens de Japanse Wet op Financiële Instrumenten en Beurstransacties, zijn de bedrijven die verplicht zijn een intern controlesysteem op te zetten en de inhoud ervan te openbaren, de beursgenoteerde bedrijven die een effectenrapport indienen. Deze beursgenoteerde bedrijven moeten elk boekjaar, samen met hun effectenrapport, een rapport over het intern controlesysteem openbaar maken.

Bestuursleden zijn ook verantwoordelijk voor tekortkomingen in het interne controlesysteem

Wie is verantwoordelijk als er een cyberincident, zoals ongeautoriseerde toegang of informatielekken, optreedt in verband met het interne controlesysteem?

Als er een informatielek of iets dergelijks optreedt vanwege kwetsbaarheden in het beveiligingssysteem, kan degene die schade heeft geleden (zoals klanten) mogelijk een schadevergoeding eisen op grond van de Japanse Burgerlijk Wetboek voor contractbreuk of onrechtmatige daad.

Bestuursleden hebben een zorgplicht (de plicht van een goede beheerder) onder de Japanse Vennootschapswet, omdat zij zijn aangesteld om het bedrijf te leiden en de plicht hebben om geen schade toe te brengen aan het bedrijf.

Volgens jurisprudentie wordt de plicht om een intern controlesysteem op te zetten beschouwd als een van de zorgplichten.

Daarom, als er een informatielek of iets dergelijks optreedt en er een schadevergoeding wordt geëist van het bedrijf door degenen die schade hebben geleden, kan het bestuurslid ook worden gevraagd om schadevergoeding te betalen als het niet nemen van maatregelen om het beveiligingsniveau te verhogen of kwetsbaarheden te elimineren wordt beschouwd als een schending van de zorgplicht.

Rechtspraak over interne controlesystemen

Zoals hierboven vermeld, zijn bedrijven en bestuurders verplicht om een intern controlesysteem op te zetten. Laten we nu verder gaan met de uitleg op basis van specifieke rechtszaken.

Yakult-zaak Tokyo District Court beslissing (Tokyo District Court beslissing, 16 december 2004 (Heisei 16))

Yakult heeft gefaald in speculatieve derivatentransacties bedoeld om onder andere de latente verliezen van effecten te compenseren, waardoor de verliezen juist toenamen. In reactie hierop hebben aandeelhouders een aandeelhoudersvertegenwoordigingszaak aangespannen tegen het toenmalige management, waarbij ze 53,3 miljard yen aan schadevergoeding eisten.

In deze zaak werd betwist of er een risicobeheersysteem was ingesteld voor derivatentransacties.

In de rechtszaak werd de voormalige vice-president, die als vermogensbeheerder verantwoordelijk was voor de derivatentransacties, bevolen om 6,7 miljard yen te betalen omdat hij “in strijd had gehandeld met zijn zorgplicht als bestuurder”. Echter, de verantwoordelijkheid van het overige management werd niet erkend omdat “het bedrijf een zeker risicobeheersysteem had”. Bovendien werd het gebrek aan een risicobeheersysteem ontkend om redenen zoals het feit dat het bewustzijn van het risico van derivatentransacties snel evolueerde (= was niet voldoende op het moment van optreden) na het optreden van het verlies. De uitspraak van de tweede rechter in mei 2008 (Tokyo High Court) steunde de eerste rechter, en het Hooggerechtshof steunde ook de eerste en tweede rechter.

In deze rechtszaak werd aangegeven dat de inhoud van het interne controlesysteem moet worden bepaald door te verwijzen naar administratieve studies over risicobeheer en risicovoorbeelden.

JCOM-aandelenfoutbestelling incident (Tokyo High Court beslissing, 24 juli 2013 (Heisei 25))

Dit is een incident waarbij een medewerker van Mizuho Securities per ongeluk een order invoerde in de computer om “61.000 yen per aandeel te verkopen” van JCOM-aandelen die aan de klant waren toevertrouwd, in plaats van “verkopen 61.000 aandelen voor 1 yen”, waardoor de klant aanzienlijke schade opliep.

Mizuho Securities merkte de fout op en probeerde de transactie te annuleren, maar door een defect in het systeem van de Tokyo Stock Exchange werd de annulering niet uitgevoerd, en de aandelenkoers kelderde door een ongebruikelijk groot aantal verkooporders. Als gevolg hiervan ontstond er meer dan 40 miljard yen aan schade. Mizuho Securities beweerde dat het feit dat ze de foutieve order niet konden annuleren en meer dan 40 miljard yen aan verlies leden te wijten was aan een bug in het systeem van de Tokyo Stock Exchange, en eiste schadevergoeding van de Tokyo Stock Exchange.

In deze rechtszaak was de vraag of “de bug in het systeem ernstige nalatigheid vormde” een groot twistpunt. De Tokyo High Court oordeelde dat “het niet onmiddellijk uitoefenen van de bevoegdheid om de handel te stoppen een ernstige nalatigheid van de Tokyo Stock Exchange was” en beval de Tokyo Stock Exchange om ongeveer 10,7 miljard yen te betalen.

Of het technisch mogelijk was voor de Tokyo Stock Exchange om deze bug te ontdekken en aan te pakken was ook een punt van discussie, maar de Tokyo High Court zei: “De argumenten in de ingediende expertverklaringen zijn tegenstrijdig en het is moeilijk om te bepalen welke de overhand heeft”, en vermeed een oordeel over de technische aspecten.

Echter, het feit dat de Tokyo Stock Exchange, ondanks dat ze zich bewust was van de duidelijk abnormale transacties, de transacties niet annuleerde, werd erkend als ernstige nalatigheid van de Tokyo Stock Exchange.

Zoals u kunt zien, zijn er gevallen waarin onrechtmatig gedrag wordt erkend door zich te concentreren op aspecten buiten de technologie wanneer de rechtbank geen oordeel kan vellen over technische aspecten.

Samenvatting: Neem contact op met een advocaat voor de opbouw van een intern controlesysteem

Vooral voor beursgenoteerde bedrijven is het noodzakelijk om een intern controlesysteem op te zetten en te beheren voor risicobeheer.

In het onwaarschijnlijke geval dat er een incident met betrekking tot informatiebeveiliging plaatsvindt, loopt het bedrijf het risico aansprakelijk te worden gesteld voor contractbreuk als wordt vastgesteld dat het geen informatiebeveiligingsmaatregelen heeft genomen die passen bij de omvang en aard van het bedrijf. In dat geval kan er ook een schadevergoeding worden geëist van de directeuren op grond van schending van de zorgplicht. Neem alstublieft vroegtijdig contact op met een advocaat die bekend is met IT en bedrijfsjuridische zaken over het interne controlesysteem voor informatiebeveiliging.

Gerelateerd artikel: Hoe voorkom je beveiligingsincidenten bij de opdrachtnemer? Uitleg over de opbouw en werking van het interne controlesysteem van de opdrachtgever[ja]

Informatie over onze maatregelen

Monolith Law Office is een advocatenkantoor met hoge expertise in zowel IT, met name internet, als recht. De noodzaak van juridische controles bij de opbouw van interne controlesystemen neemt steeds meer toe. Ons kantoor biedt oplossingen aan veel bedrijven gericht op naleving van de compliance. Details worden beschreven in het onderstaande artikel.

Behandelingsgebieden van Monolith Law Office: IT & Startende bedrijvenRechtZaken[ja]