O que é um Sistema de Controle Interno? Obrigações sob a Lei das Empresas Japonesas e a Lei de Transações de Instrumentos Financeiros Japoneses e Responsabilidades dos Diretores

O sistema de controlo interno refere-se à estrutura dentro de uma empresa que previne atos ilegais e evita fugas de informação. O sistema de controlo interno é definido tanto pela Lei das Sociedades Comerciais Japonesas como pela Lei dos Instrumentos Financeiros e Câmbio Japonês, e as empresas que cumprem certos requisitos são obrigadas a estabelecer um sistema de controlo interno.

Na gestão empresarial, é muito importante estabelecer, operar e manter adequadamente um sistema de controlo interno para a conformidade.

Neste artigo, explicaremos o que é um sistema de controlo interno, em particular o sistema de controlo interno para minimizar o risco de incidentes cibernéticos, e a responsabilidade que os diretores têm.

O que é um Sistema de Controlo Interno

Um Sistema de Controlo Interno é um sistema que as empresas e organizações estabelecem e aplicam para garantir a conformidade com as leis, regulamentos e padrões da indústria.

Em particular, para as empresas cotadas em bolsa, é necessário construir adequadamente um Sistema de Controlo Interno para gerir riscos, a fim de melhorar a credibilidade e a imagem da marca da empresa.

Sistema de Controlo Interno na Lei das Sociedades

O Sistema de Controlo Interno na Lei das Sociedades, conforme definido pelo Artigo 362, parágrafo 4, item 6 da Lei das Sociedades Japonesas[ja], é

um sistema para garantir que a execução dos deveres dos diretores esteja em conformidade com as leis e os estatutos, e outras medidas necessárias para garantir a adequação das operações da empresa e do grupo de empresas composto pela empresa e suas subsidiárias, conforme estabelecido por decreto do Ministério da Justiça.

É definido como uma questão exclusiva do conselho de administração.

O Sistema de Controlo Interno na Lei das Sociedades visa garantir a adequação das operações da empresa e do grupo de empresas, incluindo as suas subsidiárias.

Sistema de Controlo Interno na Lei dos Instrumentos Financeiros e das Transações de Câmbio

De acordo com a Lei dos Instrumentos Financeiros e das Transações de Câmbio, as empresas cotadas em bolsa, entre outras, têm a obrigação de apresentar um relatório de controlo interno. As empresas cotadas em bolsa devem estabelecer um Sistema de Controlo Interno de acordo com a Lei dos Instrumentos Financeiros e das Transações de Câmbio e divulgar o seu conteúdo.

O Sistema de Controlo Interno na Lei dos Instrumentos Financeiros e das Transações de Câmbio, ao contrário da Lei das Sociedades, é exigido do ponto de vista da proteção dos investidores.

O que são empresas obrigadas a implementar um sistema de controlo interno

As empresas que cumprem certos requisitos são obrigadas a implementar um sistema de controlo interno. As empresas que têm a obrigação de implementar um sistema de controlo interno são definidas na Lei das Sociedades e na Lei dos Instrumentos Financeiros e Câmbio.

A obrigação de implementar um sistema de controlo interno de acordo com a Lei das Sociedades aplica-se a grandes empresas, ou seja, empresas com um conselho de administração. Uma grande empresa é definida como uma empresa com um capital social de 500 milhões de ienes ou mais, ou com dívidas de 20 bilhões de ienes ou mais (Artigo 2, Parágrafo 6, da Lei das Sociedades Japonesas).

As empresas que têm um sistema de controlo interno devem incluir um resumo do estado de funcionamento do sistema de controlo interno no seu relatório de negócios. Além disso, nas empresas que têm um auditor, o auditor realiza uma auditoria do sistema de controlo interno como parte da sua auditoria das atividades dos diretores.

Por outro lado, de acordo com a Lei dos Instrumentos Financeiros e Câmbio, as empresas que são obrigadas a implementar um sistema de controlo interno e a divulgar o seu conteúdo são as empresas cotadas que apresentam um relatório de valores mobiliários. As empresas cotadas devem divulgar um relatório de controlo interno a cada ano fiscal, juntamente com o relatório de valores mobiliários.

Os diretores também são responsáveis por falhas no sistema de controlo interno

Quem assume a responsabilidade quando ocorrem incidentes cibernéticos, como acessos não autorizados ou vazamentos de informações, relacionados ao sistema de controlo interno?

Se ocorrerem vazamentos de informações devido a vulnerabilidades no sistema de segurança, é possível que sejam feitas reivindicações de indemnização por danos por parte daqueles que sofreram danos (como clientes) com base na responsabilidade por inadimplemento contratual ou atos ilícitos sob a lei civil japonesa.

Os diretores, de acordo com a lei das sociedades japonesas, são encarregados da gestão da empresa e têm o dever de exercer as suas funções com o cuidado de um bom administrador para evitar causar danos à empresa.

De acordo com precedentes judiciais, a obrigação de estabelecer um sistema de controlo interno é considerada uma das obrigações de diligência de um bom administrador.

Portanto, se ocorrer um vazamento de informações e for feita uma reivindicação de indemnização por danos à empresa por parte daqueles que sofreram danos, a falha em aumentar o nível de segurança para evitar vazamentos de informações ou em tomar medidas para eliminar vulnerabilidades pode ser considerada uma violação do dever de diligência de um bom administrador por parte do diretor, e pode ser solicitado que o diretor indenize os danos.

Decisões judiciais sobre o sistema de controlo interno

Como mencionado acima, as empresas e os diretores são obrigados a estabelecer um sistema de controlo interno. A partir daqui, vamos avançar com a explicação com base em casos concretos.

Caso Yakult, Decisão do Tribunal Distrital de Tóquio (Decisão do Tribunal Distrital de Tóquio, 16 de dezembro de 2004 (Heisei 16))

A Yakult falhou em negociações de derivativos altamente especulativas, destinadas a compensar as perdas latentes de valores mobiliários, e, ao contrário, ampliou as suas perdas. Em resposta a isso, os acionistas iniciaram uma ação representativa, exigindo uma indenização de 53,3 bilhões de ienes da administração da época.

Neste caso, foi discutido se um sistema de gestão de risco para negociações de derivativos foi implementado ou não.

No julgamento, o ex-vice-presidente, que lidou com as negociações de derivativos como responsável pela gestão de ativos, foi ordenado a pagar 6,7 bilhões de ienes por “violar o dever de cuidado como diretor”. No entanto, a responsabilidade do restante da administração não foi reconhecida, pois “a empresa tinha um sistema de gestão de risco adequado”. Além disso, negou-se a inadequação do sistema de gestão de risco, com base no fato de que a consciência do risco das negociações de derivativos se desenvolveu rapidamente após a ocorrência da perda (= não era suficiente na época da ocorrência). A decisão do Tribunal Superior de Tóquio em maio de 2008 (Heisei 20) apoiou o julgamento de primeira instância, e o Supremo Tribunal também apoiou as decisões de primeira e segunda instâncias.

Neste julgamento, foi indicado que o conteúdo do sistema de controlo interno deve ser determinado referindo-se a estudos administrativos sobre gestão de risco e casos de risco.

Caso de erro de emissão de ações da JCOM (Decisão do Tribunal Superior de Tóquio, 24 de julho de 2013 (Heisei 25))

Este é um caso em que um funcionário da Mizuho Securities inseriu erroneamente no computador uma ordem que deveria ter sido “vender 610.000 ações da JCOM a 1 iene cada” como “vender 610.000 ações a 1 iene cada”, causando grandes danos ao cliente.

A Mizuho Securities percebeu o erro e procedeu ao cancelamento, mas devido a uma falha no sistema da Bolsa de Valores de Tóquio, o cancelamento não foi feito, e o preço das ações caiu drasticamente devido a uma quantidade de ordens de venda que normalmente seria impossível. Como resultado, ocorreu um dano de mais de 40 bilhões de ienes. A Mizuho Securities argumentou que a razão pela qual não conseguiu cancelar o erro de emissão e sofreu uma perda de mais de 40 bilhões de ienes foi devido a um bug no sistema da Bolsa de Valores de Tóquio, e exigiu indenização da Bolsa de Valores de Tóquio.

Neste julgamento, a questão principal era se “o bug do sistema era uma negligência grave”. O Tribunal Superior de Tóquio ordenou à Bolsa de Valores de Tóquio que pagasse cerca de 10,7 bilhões de ienes, afirmando que “não exercer o direito de suspender as transações imediatamente foi uma negligência grave da Bolsa de Valores de Tóquio”.

Também foi discutido se era tecnicamente possível para a Bolsa de Valores de Tóquio descobrir e lidar com este bug, mas o Tribunal Superior de Tóquio afirmou que “as alegações do parecer do especialista apresentado são contraditórias e é difícil julgar qual é a correta”, evitando um julgamento sobre o aspecto técnico.

No entanto, foi reconhecida a negligência grave da Bolsa de Valores de Tóquio por não ter cancelado a transação, apesar de ter notado que uma transação claramente anormal estava a ocorrer.

Assim, quando o tribunal não consegue julgar no aspecto técnico, há casos em que a conduta ilegal é reconhecida com foco em pontos que não são técnicos.

Resumo: Consulte um advogado para a construção do sistema de controlo interno

Especialmente para empresas cotadas em bolsa, é necessário construir e operar adequadamente um sistema de controlo interno para gestão de riscos.

Se, por acaso, ocorrer um incidente relacionado à segurança da informação e for determinado que a empresa não tomou medidas de segurança da informação adequadas ao tamanho e ao tipo de negócio, a empresa pode correr o risco de ser responsabilizada por incumprimento de obrigações. Nesse caso, também pode ser solicitada uma indemnização por danos aos diretores, se for considerado uma violação do dever de diligência. Por favor, consulte um advogado especializado em IT e direito empresarial o mais rápido possível sobre o sistema de controlo interno relacionado à segurança da informação.

Artigo relacionado: Como prevenir incidentes de segurança no contratado? Explicação sobre a construção e operação do sistema de controlo interno do contratante[ja]

Apresentação das medidas tomadas pelo nosso escritório

O Escritório de Advocacia Monolith é um escritório de advocacia com alta especialização em IT, especialmente na intersecção entre a Internet e a lei. A necessidade de verificações legais na construção de sistemas de controlo interno está a aumentar cada vez mais. O nosso escritório oferece soluções a muitas empresas com o objetivo de cumprir a conformidade. Os detalhes estão descritos no artigo abaixo.

Áreas de atuação do Escritório de Advocacia Monolith: Empresas de IT e startups[ja]DireitoCorporativo