Ce este sistemul de control intern? Obligațiile conform Legii Japoneze a Companiilor și Legii Japoneze a Tranzacțiilor cu Produse Financiare și responsabilitatea directorilor

Sistemul de control intern se referă la mecanismele din cadrul unei companii care previn actele ilegale și evită scurgerile de informații. Sistemul de control intern este definit atât în Legea Japoneză a Companiilor, cât și în Legea Japoneză a Instrumentelor Financiare și a Bursei, iar companiile care îndeplinesc anumite cerințe sunt obligate să implementeze un sistem de control intern.

În managementul unei companii, este foarte important să construiești, să operezi și să menții în mod corespunzător un sistem de control intern pentru conformitate.

Acest articol explică ce este un sistem de control intern, în special sistemul de control intern pentru a reduce riscul incidentelor cibernetice și responsabilitatea pe care o au directorii.

Ce este sistemul de control intern

Sistemul de control intern este un sistem pe care companiile și organizațiile îl pun în aplicare pentru a se conforma legilor, reglementărilor și standardelor industriei, prin stabilirea și aplicarea proceselor și sistemelor adecvate.

În special pentru companiile listate, este necesar să construiască în mod corespunzător un sistem de control intern pentru a îmbunătăți credibilitatea și imaginea brandului și pentru a gestiona riscurile.

Sistemul de control intern în conformitate cu Legea Companiilor Japoneze

Sistemul de control intern conform Legii Companiilor Japoneze (Legea Companiilor nr. 362, alineatul 4, punctul 6[ja]) este definit ca:

“Stabilirea unui sistem pentru a asigura că executarea îndatoririlor directorilor este în conformitate cu legile și statutul, precum și alte sisteme necesare pentru a asigura corectitudinea afacerilor corporației și a grupului de companii format din corporație și filialele sale, așa cum este stabilit de Ordonanța Ministerului Justiției.”

Acesta este considerat a fi o problemă exclusivă a consiliului de administrație.

Sistemul de control intern conform Legii Companiilor Japoneze este un sistem destinat să asigure corectitudinea afacerilor corporației și a grupului de companii format din corporație și filialele sale.

Sistemul de control intern în conformitate cu Legea Instrumentelor Financiare și a Bursei Japoneze

Conform Legii Instrumentelor Financiare și a Bursei Japoneze, companiile listate au obligația de a depune rapoarte de control intern. Companiile listate trebuie să construiască un sistem de control intern conform Legii Instrumentelor Financiare și a Bursei Japoneze și să dezvăluie conținutul acestuia.

Sistemul de control intern în conformitate cu Legea Instrumentelor Financiare și a Bursei Japoneze este diferit de cel al Legii Companiilor, fiind solicitat din perspectiva protecției investitorilor.

Ce înseamnă companiile care au obligația de a construi un sistem de control intern

Companiile care îndeplinesc anumite cerințe sunt obligate să construiască un sistem de control intern. Companiile care au această obligație sunt definite în Legea Japoneză a Companiilor și în Legea Japoneză a Instrumentelor Financiare și a Bursei.

Companiile care sunt obligate să construiască un sistem de control intern conform Legii Japoneze a Companiilor sunt companiile mari, adică cele care au un consiliu de administrație. O companie mare este definită ca o companie cu un capital de 500 de milioane de yeni sau mai mult sau cu datorii de 20 de miliarde de yeni sau mai mult (Articolul 2, paragraful 6 al Legii Japoneze a Companiilor).

Companiile care au implementat un sistem de control intern trebuie să includă un rezumat al stării de funcționare a sistemului de control intern în raportul lor de afaceri. În plus, în companiile care au un auditor corporativ, auditorul corporativ efectuează un audit al sistemului de control intern ca parte a auditului privind executarea funcțiilor directorilor.

Pe de altă parte, conform Legii Japoneze a Instrumentelor Financiare și a Bursei, companiile listate și altele care depun rapoarte de valori mobiliare sunt obligate să construiască un sistem de control intern și să dezvăluie conținutul acestuia. Companiile listate și altele sunt obligate să dezvăluie un raport de control intern pentru fiecare an fiscal, împreună cu raportul lor de valori mobiliare.

Deficiențele în sistemul de control intern implică responsabilitatea directorilor

În cazul incidentelor legate de sistemul de control intern, cum ar fi accesul neautorizat sau scurgerile de informații, cine este responsabil?

Dacă există vulnerabilități în sistemul de securitate și se produc scurgeri de informații, persoanele care au suferit daune (cum ar fi clienții) pot solicita despăgubiri pentru neexecutarea obligațiilor contractuale sau pentru acte ilicite în conformitate cu legea civilă japoneză.

Directorii au obligația, conform legii japoneze a companiilor, să conducă compania cu atenția unui administrator bun, pentru a nu cauza daune companiei.

Conform jurisprudenței, obligația de a construi un sistem de control intern este una dintre obligațiile de a acționa cu atenția unui administrator bun.

Prin urmare, dacă se produc scurgeri de informații și persoanele care au suferit daune solicită despăgubiri de la companie, faptul că nu au luat măsuri pentru a crește nivelul de securitate sau pentru a elimina vulnerabilitățile poate fi considerat o încălcare a obligației directorului de a acționa cu atenția unui administrator bun. În acest caz, directorul poate fi solicitat să plătească despăgubiri.

Precedente privind sistemul de control intern

După cum s-a menționat mai sus, companiile și directorii sunt obligați să implementeze un sistem de control intern. Să discutăm acum pe baza unor cazuri concrete.

Cazul Yakult, decizia Tribunalului Districtual Tokyo (Decizia Tribunalului Districtual Tokyo, 16 decembrie 2004)

Yakult a eșuat în tranzacțiile speculative cu derivate, cu scopul de a acoperi pierderile latente ale valorilor mobiliare, ceea ce a dus la extinderea pierderilor. În acest context, acționarii au intentat un proces de reprezentare a acționarilor împotriva conducerii de atunci, cerând despăgubiri de 53,3 miliarde de yeni.

În acest caz, s-a dezbătut dacă exista sau nu un sistem de gestionare a riscurilor pentru tranzacțiile cu derivate.

În instanță, fostul vicepreședinte care a gestionat tranzacțiile cu derivate ca responsabil cu gestionarea activelor a fost obligat să plătească 6,7 miliarde de yeni pentru “încălcarea datoriei de diligență ca director”. Cu toate acestea, responsabilitatea celorlalți membri ai conducerii nu a fost recunoscută, deoarece “compania avea un sistem de gestionare a riscurilor”. De asemenea, după apariția pierderilor, s-a negat deficiența sistemului de gestionare a riscurilor, pe motiv că recunoașterea riscului tranzacțiilor cu derivate s-a dezvoltat rapid (= nu era suficientă la momentul apariției). Decizia Tribunalului Superior din Tokyo din mai 2008 a susținut decizia primei instanțe, la fel și Curtea Supremă.

În acest proces, s-a indicat că conținutul sistemului de control intern ar trebui determinat prin referire la studiile administrative privind gestionarea riscurilor și la exemplele de risc.

Cazul de comandă greșită a acțiunilor JCOM (Decizia Tribunalului Superior Tokyo, 24 iulie 2013)

Acesta este un caz în care un angajat al Mizuho Securities a introdus greșit în computer o comandă care ar fi trebuit să fie “vânzare de 610.000 de yeni pe acțiune” pentru acțiunile JCOM încredințate de client, ca “vânzare de 61.000 de acțiuni la 1 yen”, provocând un prejudiciu semnificativ clientului.

Mizuho Securities a observat eroarea și a încercat să anuleze comanda, dar din cauza unei defecțiuni în sistemul Bursei de Valori Tokyo, anularea nu a fost efectuată, iar prețul acțiunilor a scăzut brusc din cauza unei comenzi de vânzare masive neobișnuite. În final, s-a produs o pierdere de peste 40 de miliarde de yeni. Mizuho Securities a susținut că pierderea de peste 40 de miliarde de yeni cauzată de incapacitatea de a anula comanda greșită a fost cauzată de un bug în sistemul Bursa de Valori Tokyo și a cerut despăgubiri de la Bursa de Valori Tokyo.

În acest proces, o mare problemă a fost dacă “bug-ul sistemului constituie o neglijență gravă”. Tribunalul Superior din Tokyo a ordonat Bursa de Valori Tokyo să plătească aproximativ 10,7 miliarde de yeni, deoarece “nu a exercitat dreptul de a opri tranzacțiile imediat, ceea ce constituie o neglijență gravă a Bursa de Valori Tokyo”.

De asemenea, a fost o problemă dacă era tehnic posibil pentru Bursa de Valori Tokyo să descopere și să remedieze acest bug, dar Tribunalul Superior din Tokyo a evitat să judece aspectul tehnic, spunând: “Argumentele din opiniile experților prezentate sunt contradictorii și este dificil să se decidă care este corect”.

În schimb, a recunoscut neglijența gravă a Bursa de Valori Tokyo pentru că nu a anulat tranzacțiile, deși a observat că se efectuau tranzacții evident anormale.

Așadar, există cazuri în care, dacă nu se poate face o judecată tehnică în instanță, se poate recunoaște un act ilegal concentrându-se pe aspecte non-tehnice.

Concluzie: Pentru construirea unui sistem de control intern, vă rugăm să consultați un avocat

În special pentru companiile listate, este necesar să construiți și să operați corespunzător un sistem de control intern pentru gestionarea riscurilor.

În cazul unui accident legat de securitatea informațiilor, dacă se constată că compania nu a luat măsuri de securitate a informațiilor corespunzătoare dimensiunii și naturii afacerii, există riscul ca aceasta să fie responsabilă pentru neexecutarea obligațiilor. În acest caz, există și posibilitatea ca directorii să fie solicitați să plătească despăgubiri pentru încălcarea obligației de a administra cu bună-credință. Vă rugăm să consultați un avocat cu experiență în IT și dreptul afacerilor cât mai curând posibil cu privire la sistemul de control intern pentru securitatea informațiilor.

Articolul corelat: Cum să preveniți incidentele de securitate la furnizorii de servicii? Explicăm construirea și operarea sistemului de control intern al clientului[ja]

Orientări privind măsurile luate de biroul nostru

Biroul nostru de avocatură Monolith este specializat în IT, în special în aspectele legale ale internetului. Necesitatea unui control legal asupra construcției sistemelor de control intern este în creștere. Biroul nostru oferă soluții multor companii pentru a respecta conformitatea. Detalii sunt prezentate în articolul de mai jos.

Domeniile de practică ale Biroului de Avocatură Monolith: Dreptul companiilor IT și start-up[ja]urilor