Co to jest system kontroli wewnętrznej? Obowiązki wynikające z Japońskiego Prawa Spółek i Prawa o Instrumentach Finansowych oraz odpowiedzialność dyrektorów

System kontroli wewnętrznej to mechanizm w firmie, który ma na celu zapobieganie działaniom niezgodnym z prawem i unikanie wycieków informacji. System kontroli wewnętrznej jest zdefiniowany zarówno w japońskim Prawie Spółek (Japanese Company Law), jak i w japońskim Prawie o Instrumentach Finansowych i Giełdach (Japanese Financial Instruments and Exchange Law), a firmy spełniające określone wymagania są zobowiązane do jego wdrożenia.

W zarządzaniu firmą, prawidłowe wdrożenie i utrzymanie systemu kontroli wewnętrznej jest niezwykle ważne dla zgodności z prawem (compliance).

W tym artykule wyjaśniamy, czym jest system kontroli wewnętrznej, ze szczególnym uwzględnieniem systemu kontroli wewnętrznej służącego do ograniczania ryzyka incydentów cybernetycznych, oraz omawiamy odpowiedzialność, jaką ponoszą dyrektorzy.

Co to jest system kontroli wewnętrznej?

System kontroli wewnętrznej to system, który firmy i organizacje tworzą i stosują, aby zapewnić zgodność z przepisami prawa, regulacjami i standardami branżowymi poprzez utrzymanie odpowiednich procesów i systemów.

Szczególnie dla spółek giełdowych, konieczne jest odpowiednie zbudowanie systemu kontroli wewnętrznej i zarządzanie ryzykiem w celu poprawy wiarygodności firmy i wizerunku marki.

System kontroli wewnętrznej w prawie spółek

System kontroli wewnętrznej w prawie spółek, zgodnie z Artykułem 362, paragraf 4, punkt 6 Japońskiego Prawa Spółek[ja], jest zdefiniowany jako:

“Utrzymanie systemu zapewniającego, że wykonanie obowiązków przez dyrektorów jest zgodne z prawem i statutem, oraz inne systemy wymagane do zapewnienia prawidłowości działania spółki akcyjnej i grupy przedsiębiorstw składającej się z tej spółki akcyjnej i jej spółek zależnych, jak określono w rozporządzeniu Ministerstwa Sprawiedliwości.”

Jest to zdefiniowane jako wyłączna kompetencja zarządu.

System kontroli wewnętrznej w prawie spółek ma na celu zapewnienie prawidłowości działania spółki akcyjnej i jej spółek zależnych, czyli grupy spółek.

System kontroli wewnętrznej w prawie o instrumentach finansowych

Według Japońskiego Prawa o Instrumentach Finansowych, spółki giełdowe mają obowiązek składania raportów z kontroli wewnętrznej. Spółki giełdowe muszą tworzyć system kontroli wewnętrznej zgodnie z Prawem o Instrumentach Finansowych i ujawniać jego treść.

System kontroli wewnętrznej w Prawie o Instrumentach Finansowych różni się od Prawa Spółek, ponieważ jest wymagany z punktu widzenia ochrony inwestorów.

Co to jest firma, która ma obowiązek budowy systemu kontroli wewnętrznej

Firmy spełniające określone wymagania są zobowiązane do budowy systemu kontroli wewnętrznej. Firmy, które mają obowiązek budowy systemu kontroli wewnętrznej, są zdefiniowane w japońskim prawie spółek (japońskie: 会社法) i prawie o instrumentach finansowych (japońskie: 金融商品取引法).

Obowiązek budowy systemu kontroli wewnętrznej na mocy prawa spółek dotyczy dużych firm, które mają radę dyrektorów. Duże firmy to takie, które mają kapitał na poziomie 500 milionów jenów lub więcej, lub dług na poziomie 20 miliardów jenów lub więcej (zgodnie z artykułem 2, punkt 6 prawa spółek).

Firmy, które mają system kontroli wewnętrznej, muszą zawrzeć w swoim raporcie rocznym ogólny opis funkcjonowania systemu kontroli wewnętrznej. Ponadto, w firmach z audytorem, jeden z obowiązków audytora jest przeprowadzanie audytu systemu kontroli wewnętrznej jako część audytu wykonania obowiązków przez dyrektorów.

Z drugiej strony, na mocy prawa o instrumentach finansowych, firmy notowane na giełdzie, które składają sprawozdanie finansowe, mają obowiązek budowy systemu kontroli wewnętrznej i ujawniania jego treści. Firmy notowane na giełdzie muszą co roku ujawniać raport o systemie kontroli wewnętrznej wraz ze sprawozdaniem finansowym.

Niedociągnięcia w systemie kontroli wewnętrznej obciążają również odpowiedzialnością członków zarządu

Kim jest osoba odpowiedzialna za incydenty związane z systemem kontroli wewnętrznej, takie jak nieautoryzowany dostęp czy wyciek informacji?

Jeśli system bezpieczeństwa ma luki, które prowadzą do wycieku informacji, osoba, która poniosła szkodę (np. klient) z powodu tego wycieku, może domagać się odszkodowania na podstawie odpowiedzialności za niewykonanie zobowiązań lub czynu niedozwolonego zgodnie z prawem cywilnym.

Członkowie zarządu, na mocy prawa spółek, są powołani przez firmę do zarządzania nią i mają obowiązek prowadzić działalność z należytą starannością dobrego menedżera, aby nie wyrządzić szkody firmie.

Zgodnie z orzecznictwem, obowiązek budowy systemu kontroli wewnętrznej jest jednym z obowiązków należytej staranności.

W związku z tym, jeśli dojdzie do wycieku informacji i osoba, która poniosła szkodę, złoży roszczenie o odszkodowanie od firmy, możliwe jest, że członkowie zarządu mogą być wezwani do zapłacenia odszkodowania, jeśli nie podjęli kroków w celu zwiększenia poziomu bezpieczeństwa lub usunięcia luk, co stanowi naruszenie ich obowiązku należytej staranności.

Orzecznictwo dotyczące systemów kontroli wewnętrznej

Jak już wspomniano, firmy i ich dyrektorzy są zobowiązani do wdrożenia systemów kontroli wewnętrznej. Teraz przejdźmy do omówienia konkretnych przypadków opartych na rzeczywistych wyrokach sądowych.

Przypadek Yakult w wyroku Sądu Okręgowego w Tokio (wyrok Sądu Okręgowego w Tokio z 16 grudnia 2003 roku)

Yakult poniosło straty na skutek spekulacyjnych transakcji na instrumentach pochodnych, które miały na celu pokrycie strat z papierów wartościowych. W odpowiedzi na to, akcjonariusze wniósł pozew o odszkodowanie w wysokości 53,3 miliarda jenów od ówczesnego zarządu.

W tym przypadku sporne było, czy został wdrożony system zarządzania ryzykiem związanym z transakcjami na instrumentach pochodnych.

Sąd nakazał byłemu wiceprezesowi, który jako menedżer zarządzania aktywami prowadził transakcje na instrumentach pochodnych, zapłatę 6,7 miliarda jenów za naruszenie obowiązku staranności jako dyrektora. Jednakże, odpowiedzialność pozostałych członków zarządu nie została uznana, ponieważ “firma miała pewien system zarządzania ryzykiem”. Ponadto, po wystąpieniu strat, sąd zaprzeczył niedostateczności systemu zarządzania ryzykiem, argumentując, że świadomość ryzyka związana z transakcjami na instrumentach pochodnych szybko się rozwinęła (co oznacza, że nie była wystarczająca w momencie wystąpienia). Wyrok drugiej instancji z maja 2008 roku oraz wyrok Sądu Najwyższego potwierdziły wyrok pierwszej instancji.

W tym procesie sąd wskazał, że treść systemu kontroli wewnętrznej powinna być ustalana na podstawie administracyjnych badań dotyczących zarządzania ryzykiem i przypadków ryzyka.

Przypadek błędnej emisji akcji J:COM (wyrok Sądu Apelacyjnego w Tokio z 24 lipca 2013 roku)

W tym przypadku pracownik Mizuho Securities błędnie wprowadził do komputera zlecenie sprzedaży “61 tysięcy jenów za akcję” zamiast “sprzedaż 61 tysięcy akcji po 1 jenie” dla akcji J:COM powierzonej przez klienta, powodując znaczne straty dla klienta.

Mizuho Securities zauważyło błąd i podjęło kroki w celu jego anulowania, ale z powodu błędu w systemie Giełdy Papierów Wartościowych w Tokio anulowanie nie zostało przeprowadzone, a cena akcji gwałtownie spadła z powodu niewyobrażalnej ilości zleceń sprzedaży. W rezultacie powstała strata przekraczająca 40 miliardów jenów. Mizuho Securities twierdziło, że nie mogło anulować błędnej transakcji i poniosło stratę przekraczającą 40 miliardów jenów z powodu błędu w systemie Giełdy Papierów Wartościowych w Tokio, i domagało się od niej odszkodowania.

W tym procesie głównym punktem sporu było, czy “błąd systemu stanowi poważne zaniedbanie”. Sąd Apelacyjny w Tokio orzekł, że “nie skorzystanie natychmiast z uprawnienia do zawieszenia handlu stanowi poważne zaniedbanie ze strony Giełdy Papierów Wartościowych w Tokio” i nakazał jej zapłatę około 10,7 miliarda jenów.

Kwestia, czy Giełda Papierów Wartościowych w Tokio mogła technicznie wykryć i zaradzić temu błędowi, była również punktem sporu, ale Sąd Apelacyjny w Tokio stwierdził, że “argumenty przedstawione w opinii eksperta są sprzeczne i trudno jest wybrać jedną stronę”, unikając wydania orzeczenia na temat aspektu technicznego.

Jednakże, Sąd Apelacyjny w Tokio uznał poważne zaniedbanie Giełdy Papierów Wartościowych w Tokio, która, mimo że zauważyła, że odbywa się wyraźnie nieprawidłowa transakcja, nie anulowała jej.

W ten sposób, nawet jeśli sąd nie jest w stanie wydać orzeczenia na temat aspektu technicznego, może być uznany za czyn niedozwolony, skupiając się na aspektach innych niż techniczne.

Podsumowanie: Skonsultuj się z adwokatem w sprawie budowy systemu kontroli wewnętrznej

Szczególnie w przypadku spółek publicznych, istnieje konieczność odpowiedniego budowania i zarządzania systemem kontroli wewnętrznej w celu zarządzania ryzykiem.

W przypadku, gdy dojdzie do incydentu związanego z bezpieczeństwem informacji, jeżeli stwierdzi się, że firma nie podjęła odpowiednich środków bezpieczeństwa informacji zgodnie z jej rozmiarem i charakterem działalności, istnieje ryzyko, że firma zostanie pociągnięta do odpowiedzialności za niewykonanie zobowiązań. W takim przypadku, istnieje również możliwość żądania odszkodowania od dyrektorów za naruszenie obowiązku należytej staranności. Proszę skonsultować się jak najszybciej z adwokatem specjalizującym się w IT i prawie korporacyjnym w sprawie systemu kontroli wewnętrznej dotyczącego bezpieczeństwa informacji.

Artykuł powiązany: Jak zapobiegać incydentom bezpieczeństwa u dostawców? Wyjaśniamy budowę i zarządzanie systemem kontroli wewnętrznej przez zamawiającego[ja]

Informacje o środkach podjętych przez naszą kancelarię

Kancelaria prawna Monolith to firma specjalizująca się w prawie IT, a w szczególności w prawie internetowym. Wzrasta potrzeba przeprowadzania kontroli prawnej w zakresie budowy systemów kontroli wewnętrznej. Nasza kancelaria oferuje wiele firmom rozwiązania związane z przestrzeganiem zasad compliance. Szczegóły znajdują się w poniższym artykule.

Zakres usług Kancelarii Prawnej Monolith: Prawo dla firm IT i startupów[ja]