Що таке система внутрішнього контролю? Обов'язки за Японським корпоративним законодавством та законодавством про фінансові інструменти, та відповідальність директорів

Система внутрішнього контролю – це механізм в компанії, який запобігає незаконним діям та витоку інформації. Система внутрішнього контролю визначена в Японському корпоративному законодавстві та Законі про фінансові інструменти, і компанії, які відповідають певним вимогам, зобов’язані створювати систему внутрішнього контролю.

У керуванні компанією дуже важливо належним чином створювати, використовувати та підтримувати систему внутрішнього контролю для дотримання норм корпоративного управління.

У цій статті ми пояснимо, що таке система внутрішнього контролю, зокрема система внутрішнього контролю для зменшення ризику кіберінцидентів, а також обговоримо відповідальність, яку несуть директори.

Що таке система внутрішнього контролю

Система внутрішнього контролю – це система, яку компанії та організації розробляють і впроваджують для відповідності законодавству, нормативам та стандартам галузі.

Особливо для публічних компаній важливо належним чином розробити систему внутрішнього контролю для підвищення репутації та бренду, а також для управління ризиками.

Система внутрішнього контролю за Законом про корпорації (Японія)

Система внутрішнього контролю за Законом про корпорації (Японія) визначена в Статті 362, пункт 4, підпункт 6 Закону про корпорації (Японія)[ja] як:

“Створення системи для забезпечення виконання обов’язків директорів відповідно до законодавства та статуту, а також інші необхідні заходи для забезпечення належного виконання обов’язків корпорації та групи компаній, що складаються з цієї корпорації та її дочірніх компаній, відповідно до нормативних актів Міністерства юстиції.”

Це визначено як виключна компетенція ради директорів.

Система внутрішнього контролю за Законом про корпорації (Японія) спрямована на забезпечення належного виконання обов’язків корпорації та її дочірніх компаній.

Система внутрішнього контролю за Законом про фінансові інструменти (Японія)

Згідно з Законом про фінансові інструменти (Японія), публічні компанії мають обов’язок подавати звіт про внутрішній контроль. Публічні компанії повинні розробити систему внутрішнього контролю відповідно до Закону про фінансові інструменти (Японія) та розкривати її зміст.

Система внутрішнього контролю за Законом про фінансові інструменти (Японія) відрізняється від Закону про корпорації (Японія) тим, що вона вимагається з точки зору захисту інвесторів.

Що таке компанії, які мають обов’язок створювати систему внутрішнього контролю

Компанії, які відповідають певним вимогам, зобов’язані створювати систему внутрішнього контролю. Компанії, які мають обов’язок створювати систему внутрішнього контролю, визначені в Японському корпоративному законі та Законі про фінансові інструменти.

Великі компанії, які мають обов’язок створювати систему внутрішнього контролю за Японським корпоративним законом, є компаніями з радою директорів. Великі компанії – це компанії з капіталом в 500 мільйонів єн або більше або з боргом в 20 мільярдів єн або більше (пункт 6 статті 2 Японського корпоративного закону).

Компанії, які мають систему внутрішнього контролю, повинні включати огляд стану використання системи внутрішнього контролю в свій звіт про діяльність. Крім того, в компаніях з аудиторами, аудитори проводять аудит системи внутрішнього контролю як частину аудиту виконання обов’язків директорами.

З іншого боку, за Законом про фінансові інструменти, компанії, які виставляють цінні папери на біржу, мають обов’язок створювати систему внутрішнього контролю та розкривати її зміст. Компанії, які виставляють цінні папери на біржу, повинні розкривати звіт про внутрішній контроль разом з звітом про цінні папери кожного фінансового року.

Недоліки в системі внутрішнього контролю: відповідальність директорів

Хто несе відповідальність у випадку кіберінцидентів, таких як несанкціонований доступ або витік інформації, пов’язаних з системою внутрішнього контролю?

Якщо в системі безпеки є вразливості, через які відбувається витік інформації, то особи, які постраждали від цього витоку (наприклад, клієнти), можуть пред’явити вимоги про відшкодування збитків за невиконання зобов’язань або незаконні дії згідно з цивільним законодавством.

Директори, згідно з Японським корпоративним законом, отримують делегування управління від компанії і мають обов’язок виконувати свої обов’язки з усією увагою добросовісного керівника, щоб не завдати шкоди компанії.

Згідно з судовою практикою, обов’язок створення системи внутрішнього контролю є одним з обов’язків добросовісного управління.

Тому, якщо відбувається витік інформації і постраждалі особи пред’являють вимоги про відшкодування збитків до компанії, можливо, що директори, які не підвищили рівень безпеки або не вжили заходів для усунення вразливостей, можуть бути визнані винними в порушенні обов’язку добросовісного управління і зобов’язані відшкодувати збитки.

Судові рішення щодо внутрішнього контрольного системи

Як вже було зазначено, компанії та директори зобов’язані створювати систему внутрішнього контролю. Тепер давайте розглянемо конкретні судові рішення.

Справа Yakult в Токійському окружному суді (Рішення Токійського окружного суду 16 грудня 2004 року (2004 рік за Григоріанським календарем))

Yakult зазнала невдачі в деривативних операціях з високим рівнем спекуляцій, спрямованих на покриття потенційних збитків від цінних паперів, що, навпаки, призвело до збільшення збитків. У відповідь на це, акціонери подали колективний позов проти тодішнього керівництва, вимагаючи відшкодування в розмірі 53,3 мільярдів єн.

У цій справі обговорювалося, чи була встановлена система управління ризиками щодо деривативних операцій.

Суд вирішив, що колишній заступник генерального директора, який займався деривативними операціями як керівник управління активами, порушив свої обов’язки як директор, і наклав на нього штраф у розмірі 6,7 мільярдів єн. Однак відповідальність інших членів керівництва не була визнана, оскільки “компанія мала певну систему управління ризиками”. Крім того, суд відхилив звинувачення в недостатній системі управління ризиками, враховуючи те, що після виникнення збитків усвідомлення ризиків деривативних операцій швидко розвивалося (тобто на момент виникнення воно не було достатнім). Рішення апеляційного суду в Токіо у травні 2008 року підтримало рішення суду першої інстанції, яке також підтримав Верховний суд.

У цьому судовому рішенні було вказано, що зміст системи внутрішнього контролю має бути визначений з урахуванням адміністративних досліджень та прикладів ризиків.

Справа про помилкове замовлення акцій JCOM в Токійському вищому суді (Рішення Токійського вищого суду 24 липня 2013 року (2013 рік за Григоріанським календарем))

Це справа, коли працівник Mizuho Securities помилково ввів замовлення від клієнта на продаж акцій JCOM за “610 тисяч єн за акцію” як “продаж 610 тисяч акцій за 1 єну”, завдавши клієнту великої шкоди.

Mizuho Securities помітила помилку і намагалася скасувати замовлення, але через дефект системи Токійської фондової біржи скасування не було здійснено, і ціна акцій різко впала через неможливо велике замовлення на продаж. В результаті виникли збитки більше ніж на 40 мільярдів єн. Mizuho Securities стверджувала, що причиною втрати більше ніж 40 мільярдів єн через неможливість скасувати помилкове замовлення був баг в системі Токійської фондової біржи, і вимагала відшкодування збитків від біржі.

У цьому судовому рішенні великим питанням було, чи є “баг системи” серйозною халатністю. Токійський вищий суд вирішив, що “невикористання права на негайне припинення торгівлі є серйозною халатністю Токійської фондової біржи” і наклав на біржу штраф у розмірі приблизно 10,7 мільярдів єн.

Також було обговорено, чи було технічно можливим виявити і вирішити цей баг, але Токійський вищий суд вирішив уникнути вирішення технічних питань, заявивши, що “думки експертів, які були подані, протирічать одна одній, і важко визначити, яка з них правильна”.

Однак, щодо того, що Токійська фондова біржа не скасувала торгівлю, незважаючи на те, що вона помітила, що відбувається явно аномальна торгівля, суд визнав серйозну халатність Токійської фондової біржи.

Таким чином, коли суд не може вирішити технічні питання, можуть бути випадки, коли незаконні дії визнаються на основі інших аспектів.

Підсумок: Будь ласка, звертайтеся до адвоката для створення системи внутрішнього контролю

Особливо для публічних компаній, необхідно належним чином створювати та використовувати систему внутрішнього контролю для управління ризиками.

У випадку, якщо станеться інцидент, пов’язаний з інформаційною безпекою, і буде визнано, що компанія не вжила відповідних заходів інформаційної безпеки відповідно до свого розміру та характеру діяльності, існує ризик, що компанію можуть вважати відповідальною за невиконання зобов’язань. У такому випадку, можливо, буде вимагатися відшкодування збитків від директорів за порушення обов’язку доброго управління. Будь ласка, зверніться до адвоката, який спеціалізується на IT та корпоративному праві, щодо системи внутрішнього контролю з питань інформаційної безпеки якомога швидше.

Пов’язана стаття: Як запобігти інцидентам безпеки у підрядника? Роз’яснення створення та використання системи внутрішнього контролю замовника[ja]

Інформація про заходи, що вживаються нашим бюро

Юридичне бюро “Моноліт” – це юридична фірма, яка має високу спеціалізацію в IT, особливо в інтернеті та праві. Потреба в юридичній перевірці при створенні системи внутрішнього контролю все більше зростає. У нашому бюро ми надаємо рішення для багатьох компаній з метою дотримання нормативних вимог. Деталі описані в статті нижче.

Сфери діяльності юридичного бюро “Моноліт”: Юридичні послуги для IT-стартапів[ja]