Vad är ett internt kontrollsystem? Skyldigheter enligt japanska företagslagen och finansiella instrumenthandelslagen samt styrelseledamotens ansvar

Ett internt kontrollsystem är en mekanism inom ett företag för att förhindra olagliga handlingar och förhindra informationsläckor. Interna kontrollsystem definieras i både ‘Japanska företagslagen’ och ‘Japanska finansiella instrument och börshandelslagen’, och företag som uppfyller vissa krav är skyldiga att bygga upp interna kontrollsystem.

I företagsledning är det mycket viktigt för efterlevnad att korrekt bygga upp, driva och underhålla ett internt kontrollsystem.

I denna artikel kommer vi att förklara vad ett internt kontrollsystem är, särskilt internt kontrollsystem för att minska risken för cyberincidenter, och förklara det ansvar som styrelseledamöter har.

Vad är ett internt kontrollsystem?

Ett internt kontrollsystem är ett system som företag och organisationer utvecklar och tillämpar för att säkerställa att de följer lagar, regler och branschstandarder genom att etablera lämpliga processer och system.

Speciellt för börsnoterade företag är det nödvändigt att korrekt bygga upp ett internt kontrollsystem och hantera risker för att förbättra företagets anseende och varumärkesimage.

Internt kontrollsystem enligt företagslagen (japanska företagslagen)

Det interna kontrollsystemet enligt företagslagen definieras av Företagslagen paragraf 362, stycke 4, punkt 6 som,

“Att etablera ett system för att säkerställa att styrelsens uppgifter utförs i enlighet med lagar och stadgar, och andra system som krävs för att säkerställa korrektheten i verksamheten för aktiebolaget och företagsgruppen bestående av detta aktiebolag och dess dotterbolag, som fastställs av justitieministeriets förordning.”

Detta definieras som en exklusiv befogenhet för styrelsen.

Det interna kontrollsystemet enligt företagslagen kan sägas vara ett system som syftar till att säkerställa korrektheten i verksamheten för ett aktiebolag och dess dotterbolag och andra gruppbolag.

Internt kontrollsystem enligt lagen om finansiella instrument och börshandel (japanska lagen om finansiella instrument och börshandel)

Enligt lagen om finansiella instrument och börshandel har börsnoterade företag och liknande en skyldighet att lämna in interna kontrollrapporter. Börsnoterade företag och liknande måste bygga upp ett internt kontrollsystem enligt lagen om finansiella instrument och börshandel och offentliggöra dess innehåll.

Det interna kontrollsystemet enligt lagen om finansiella instrument och börshandel skiljer sig från företagslagen, eftersom det krävs ur ett investerarskyddsperspektiv.

Vilka företag har skyldighet att bygga upp ett internt kontrollsystem?

Företag som uppfyller vissa krav är skyldiga att bygga upp ett internt kontrollsystem. Företag som har denna skyldighet definieras i den japanska företagslagen (Japanese Companies Act) och den japanska lagen om finansiella instrument och börshandel (Japanese Financial Instruments and Exchange Act).

Enligt företagslagen är det stora företag, det vill säga företag med en styrelse, som är skyldiga att bygga upp ett internt kontrollsystem. Stora företag definieras som företag med ett kapital på 500 miljoner yen eller mer, eller skulder på 20 miljarder yen eller mer (Artikel 2, punkt 6 i den japanska företagslagen).

Företag som har ett internt kontrollsystem måste inkludera en översikt över driftssituationen för det interna kontrollsystemet i sin verksamhetsrapport. Dessutom, i företag med revisorer, genomför revisorerna en revision av det interna kontrollsystemet som en del av deras revision av styrelsens arbetsutförande.

Å andra sidan, enligt lagen om finansiella instrument och börshandel, är det börsnoterade företag och liknande som har en skyldighet att bygga upp ett internt kontrollsystem och offentliggöra dess innehåll. Dessa företag måste offentliggöra en rapport om det interna kontrollsystemet tillsammans med sin värdepappersrapport för varje räkenskapsår.

Styrelseledamöter kan hållas ansvariga för brister i internkontrollsystemet

Vem bär ansvaret när det inträffar en cyberincident, som obehörig åtkomst eller informationsläckage, relaterat till internkontrollsystemet?

Om det finns sårbarheter i säkerhetssystemet och informationsläckage inträffar, kan de som drabbats (t.ex. kunder) kräva skadestånd på grund av kontraktsbrott eller olagliga handlingar enligt den japanska civilrätten.

Enligt den japanska företagslagen har styrelseledamöter fått förtroendet att leda företaget och har en skyldighet att utföra sina uppgifter med omsorg som en god förvaltare för att inte skada företaget.

Enligt rättspraxis anses skyldigheten att bygga ett internkontrollsystem vara en del av denna skyldighet att utöva god förvaltning.

Därför, om det inträffar informationsläckage och de drabbade kräver skadestånd från företaget, kan styrelseledamöterna också krävas på skadestånd om det anses att de har brutit mot sin skyldighet att utöva god förvaltning genom att inte höja säkerhetsnivån eller vidta åtgärder för att eliminera sårbarheter.

Rättsfall gällande interna kontrollsystem

Som nämnt ovan är företag och styrelseledamöter skyldiga att implementera interna kontrollsystem. Låt oss nu gå vidare med att diskutera specifika rättsfall.

Yakult-händelsen, Tokyo District Court dom (Tokyo District Court dom den 16 december 2004)

Yakult misslyckades med högriskderivathandel, som syftade till att täcka potentiella förluster på värdepapper, vilket i stället ledde till större förluster. Som svar på detta inledde aktieägarna en grupptalan mot dåvarande ledning, krävande 53,3 miljarder yen i skadestånd.

I detta fall var frågan om det fanns ett riskhanteringssystem för derivathandel.

I domstolen beordrades den tidigare vice VD, som hanterade derivathandel som ansvarig för tillgångsförvaltning, att betala 6,7 miljarder yen för att ha brutit mot sin skyldighet att utöva omsorg som styrelseledamot. Men ansvaret för övriga ledningsmedlemmar erkändes inte eftersom det fanns ett “grundläggande riskhanteringssystem på företagsnivå”. Dessutom förnekades brister i riskhanteringssystemet på grund av att medvetenheten om riskerna med derivathandel snabbt utvecklades efter förlusterna (dvs. det var inte tillräckligt vid tidpunkten för förlusterna). Domstolen i andra instans, Tokyo High Court, stödde domen i första instans i maj 2008, och Supreme Court stödde också domarna i första och andra instans.

I detta rättsfall indikerade domstolen att innehållet i det interna kontrollsystemet bör bestämmas med hänvisning till administrativa studier om riskhantering och riskfall.

JCOM aktie felorder händelse (Tokyo High Court dom den 24 juli 2013)

Detta är ett fall där en anställd på Mizuho Securities felaktigt matade in en order att sälja “61 000 yen per aktie” av JCOM-aktier som kunden hade delegerat till “1 yen för 610 000 aktier”, vilket orsakade stor skada för kunden.

Mizuho Securities märkte felet och försökte avbryta ordern, men på grund av ett fel i Tokyo Stock Exchange-systemet kunde ordern inte avbrytas, och aktiekursen sjönk kraftigt på grund av en otänkbar stor försäljningsorder. Som ett resultat uppstod skador på över 40 miljarder yen. Mizuho Securities hävdade att det var på grund av ett fel i TSE-systemet som de inte kunde avbryta den felaktiga ordern och ledde till en förlust på över 40 miljarder yen, och krävde skadestånd från TSE.

I detta rättsfall var den stora tvistefrågan om “systembuggen var grov försummelse”. Tokyo High Court beordrade TSE att betala cirka 10,7 miljarder yen, eftersom det var “grov försummelse av TSE att inte snabbt utöva sin befogenhet att stoppa handeln”.

Om det var tekniskt möjligt för TSE att upptäcka och hantera denna bugg var också en tvistefråga, men Tokyo High Court undvek att göra ett beslut om den tekniska aspekten, eftersom “de framförda expertutlåtandena var motsägelsefulla och det var svårt att avgöra vilket som var korrekt”.

Emellertid erkände domstolen TSE:s grova försummelse eftersom TSE, trots att de märkte att det pågick uppenbart onormal handel, inte avbröt handeln.

Således, även när domstolen inte kan göra ett beslut på teknisk nivå, finns det fall där olagliga handlingar erkänns genom att fokusera på icke-tekniska aspekter.

Sammanfattning: Kontakta en advokat för att bygga upp ett internt kontrollsystem

Speciellt för börsnoterade företag är det nödvändigt att korrekt bygga upp och driva ett internt kontrollsystem för riskhantering.

Om det skulle inträffa en incident relaterad till informationssäkerhet, och det fastställs att företaget inte har vidtagit lämpliga informationssäkerhetsåtgärder i enlighet med företagets storlek och verksamhet, kan företaget riskera att bli ansvarigt för kontraktsbrott. I sådana fall kan det också finnas en möjlighet att skadestånd krävs från företagets styrelseledamöter för brott mot deras skyldighet att utöva rimlig omsorg. Kontakta en advokat som är kunnig inom IT och företagsjuridik i god tid angående det interna kontrollsystemet för informationssäkerhet.

Relaterad artikel: Hur förhindrar man säkerhetsincidenter hos leverantörer? Förklaring av uppbyggnad och drift av interna kontrollsystem för beställare[ja]

Information om åtgärder från vår byrå

Monolith Advokatbyrå är en juridisk byrå med hög expertis inom IT, särskilt internet och lag. Behovet av juridisk granskning vid uppbyggnaden av interna kontrollsystem ökar alltmer. På vår byrå tillhandahåller vi lösningar till många företag för att följa reglerna. Detaljer finns i artikeln nedan.

Monolith Advokatbyrås områden: IT och företag inom startup-sektorn lagtjänster[ja]