Что такое система внутреннего контроля? Обязанности и ответственность директоров согласно Японскому Компаний Закону и Закону о торговле финансовыми продуктами

Система внутреннего контроля – это механизм внутри компании, направленный на предотвращение незаконных действий и утечки информации. Система внутреннего контроля определена в Японском Законе о компаниях и Законе о финансовых инструментах, и компаниям, которые соответствуют определенным требованиям, предписывается обязательство создания системы внутреннего контроля.

В управлении компанией очень важно правильно создавать, эксплуатировать и поддерживать систему внутреннего контроля в целях соблюдения нормативных требований.

В этой статье мы расскажем о том, что такое система внутреннего контроля, а также обсудим систему внутреннего контроля, направленную на снижение риска киберинцидентов, и ответственность, которую несут директора.

Что такое система внутреннего контроля

Система внутреннего контроля – это система, которую компании и организации разрабатывают и применяют для обеспечения соответствия законодательству, регулированию и отраслевым стандартам путем установления соответствующих процессов и систем.

В частности, для публичных компаний важно правильно построить систему внутреннего контроля для управления рисками и повышения доверия и имиджа бренда.

Система внутреннего контроля в соответствии с японским Корпоративным законом

Система внутреннего контроля в соответствии с японским Корпоративным законом определена в Статье 362, пункт 4, подпункт 6 Корпоративного закона[ja] как

“Система, обеспечивающая выполнение обязанностей директоров в соответствии с законодательством и уставом, а также другие меры, необходимые для обеспечения надлежащего выполнения обязанностей корпорацией и ее дочерними компаниями, как определено в постановлении Министерства юстиции.”

и является исключительной компетенцией совета директоров.

Система внутреннего контроля в соответствии с японским Корпоративным законом направлена на обеспечение надлежащего выполнения обязанностей корпорацией и ее дочерними компаниями.

Система внутреннего контроля в соответствии с японским Законом о финансовых инструментах

В соответствии с японским Законом о финансовых инструментах, публичные компании обязаны представлять отчет о внутреннем контроле. Публичные компании должны создать систему внутреннего контроля в соответствии с японским Законом о финансовых инструментах и раскрывать информацию о ней.

Система внутреннего контроля в соответствии с японским Законом о финансовых инструментах отличается от системы в соответствии с японским Корпоративным законом и требуется с точки зрения защиты инвесторов.

Какие компании обязаны создавать систему внутреннего контроля

Компании, удовлетворяющие определенным требованиям, обязаны создавать систему внутреннего контроля. Компании, которые обязаны создавать систему внутреннего контроля, определены в Японском законе о корпорациях (Japanese Companies Act) и Японском законе о финансовых инструментах и биржах (Japanese Financial Instruments and Exchange Act).

Компании, которые обязаны создавать систему внутреннего контроля по Японскому закону о корпорациях, – это крупные компании с установленным советом директоров. Крупные компании – это компании с уставным капиталом более 500 миллионов иен или долгом более 20 миллиардов иен (статья 2, пункт 6 Японского закона о корпорациях).

Компании, которые имеют систему внутреннего контроля, должны указывать общую информацию о состоянии ее функционирования в отчете о деятельности. Кроме того, в компаниях с установленным аудитором, аудитор проводит аудит системы внутреннего контроля как одну из проверок исполнения обязанностей директорами.

С другой стороны, по Японскому закону о финансовых инструментах и биржах, компании, которые обязаны создавать систему внутреннего контроля и раскрывать ее содержание, – это компании, которые представляют отчет о ценных бумагах. Эти компании должны раскрывать отчет о внутреннем контроле вместе с отчетом о ценных бумагах каждый финансовый год.

Недостатки в системе внутреннего контроля могут повлечь ответственность директоров

Кто несет ответственность в случае киберинцидентов, таких как несанкционированный доступ или утечка информации, связанных с системой внутреннего контроля?

Если система безопасности уязвима и происходит утечка информации, возможно, что лица, пострадавшие от этой утечки информации (например, клиенты), могут предъявить претензии о нарушении обязательств по гражданскому законодательству или о незаконных действиях и потребовать компенсацию ущерба.

Директора, согласно Японскому корпоративному законодательству, получают полномочия по управлению от компании и обязаны выполнять свои обязанности с должной заботой добросовестного администратора, чтобы не причинить ущерб компании.

Согласно судебной практике, обязанность построения системы внутреннего контроля является одной из обязанностей добросовестного управления.

Таким образом, если происходит утечка информации и пострадавшие лица требуют компенсацию ущерба от компании, то директора могут быть привлечены к ответственности за нарушение обязанности добросовестного управления, если они не приняли мер для повышения уровня безопасности или устранения уязвимостей, чтобы предотвратить утечку информации.

Судебные прецеденты, связанные с системой внутреннего контроля

Как уже было сказано, компании и директора обязаны создавать систему внутреннего контроля. Давайте рассмотрим конкретные судебные прецеденты на эту тему.

Дело Якурто в Токийском окружном суде (Решение Токийского окружного суда от 16 декабря 2004 года (2004 год по Григорианскому календарю))

Якурто потерпел неудачу в высокорисковых деривативных сделках, предназначенных для покрытия убытков от ценных бумаг, что привело к увеличению убытков. В ответ на это акционеры подали иск о возмещении ущерба в размере 53,3 миллиарда иен от тогдашнего руководства.

В данном деле обсуждался вопрос о наличии системы управления рисками, связанными с деривативными сделками.

Суд приказал бывшему заместителю директора, который занимался деривативными сделками в качестве ответственного за управление активами, заплатить 6,7 миллиарда иен за нарушение обязанностей директора. Однако ответственность других членов руководства не была признана, так как “в компании была система управления рисками”. Кроме того, суд отверг утверждение о недостатках в системе управления рисками, ссылаясь на то, что после возникновения убытков осознание рисков, связанных с деривативными сделками, быстро развивалось (то есть на момент возникновения убытков оно было недостаточным). Решения суда первой и второй инстанции в мае 2008 года поддержал Верховный суд.

В этом судебном процессе было указано, что содержание системы внутреннего контроля должно определяться с учетом административных исследований и примеров рисков.

Дело о неправильном заказе акций JCOM в Токийском высшем суде (Решение Токийского высшего суда от 24 июля 2013 года (2013 год по Григорианскому календарю))

Это дело связано с тем, что сотрудник Mizuho Securities ошибочно ввел в компьютер заказ от клиента на продажу акций JCOM по цене “61 миллион иен за акцию” вместо “продажи 61 тысячи акций по 1 иене”, что привело к большим убыткам для клиента.

Mizuho Securities заметила ошибку и попыталась отменить заказ, но из-за сбоя в системе Токийской фондовой биржи отмена не была выполнена, и цена акций резко упала из-за невозможно большого объема продаж. В результате возник ущерб более 40 миллиардов иен. Mizuho Securities заявила, что не смогла отменить неправильный заказ и понесла убытки более 40 миллиардов иен из-за сбоя в системе Токийской фондовой биржи, и потребовала возмещения ущерба от биржи.

В этом судебном процессе большим спорным вопросом было то, является ли сбой в системе серьезной халатностью. Токийский высший суд признал, что “неприменение права на немедленное приостановление торговли является серьезной халатностью со стороны Токийской фондовой биржи” и приказал бирже заплатить около 10,7 миллиарда иен.

Был также обсужден вопрос о том, было ли технически возможно обнаружить и устранить этот сбой, но Токийский высший суд заявил: “Мнения представленных экспертов противоречат друг другу и сложно определить, кто прав”, и избегал суждений о техническом аспекте.

Однако, Токийская фондовая биржа признала серьезную халатность в том, что, несмотря на то, что она заметила явно аномальные сделки, она не отменила их.

Таким образом, когда суд не может принять решение с технической точки зрения, незаконные действия могут быть признаны на основании других аспектов.

Вывод: Построение системы внутреннего контроля – обратитесь к адвокату

В частности, для компаний, которые вышли на биржу, необходимо правильно построить и использовать систему внутреннего контроля для управления рисками.

В случае, если произойдет инцидент, связанный с информационной безопасностью, и будет установлено, что компания не приняла меры по информационной безопасности, соответствующие ее размеру и характеру деятельности, существует риск, что компанию могут обвинить в неисполнении обязательств. В этом случае также возможно предъявление исков о возмещении ущерба к директорам за нарушение обязанности добросовестного управления. Пожалуйста, обратитесь к адвокату, специализирующемуся на IT и корпоративном праве, для консультации о системе внутреннего контроля в области информационной безопасности как можно раньше.

Связанные статьи: Как предотвратить инциденты безопасности у подрядчиков? Объясняем построение и использование системы внутреннего контроля заказчика[ja]

Информация о мерах, предпринимаемых нашей юридической фирмой

Юридическая фирма “Монолит” обладает высокой специализацией в области IT, особенно в интернете и праве. Все больше возрастает необходимость в юридической проверке при создании систем внутреннего контроля. Наша фирма предлагает решения для многих компаний, стремящихся к соблюдению нормативов. Подробности приведены в статье ниже.

Сферы деятельности юридической фирмы “Монолит”: Корпоративное право для IT-стартапов[ja]