Hệ thống kiểm soát nội bộ là gì? Nghĩa vụ theo 'Luật Công ty Nhật Bản' và 'Luật Giao dịch Sản phẩm Tài chính Nhật Bản' cùng với trách nhiệm của giám đốc điều hành

Hệ thống kiểm soát nội bộ là cơ chế trong doanh nghiệp nhằm ngăn chặn hành vi phạm pháp và tránh rò rỉ thông tin. Hệ thống kiểm soát nội bộ được định rõ trong ‘Luật Công ty Nhật Bản’ và ‘Luật Giao dịch Sản phẩm Tài chính Nhật Bản’, và các công ty đáp ứng các yêu cầu nhất định phải xây dựng hệ thống kiểm soát nội bộ.

Trong quản lý doanh nghiệp, việc xây dựng, vận hành và duy trì hệ thống kiểm soát nội bộ một cách phù hợp rất quan trọng cho việc tuân thủ pháp luật.

Bài viết này sẽ giải thích về hệ thống kiểm soát nội bộ là gì, đặc biệt là hệ thống kiểm soát nội bộ để kiểm soát rủi ro từ sự cố mạng, và trách nhiệm mà người giám đốc phải gánh chịu.

Hệ thống kiểm soát nội bộ là gì?

Hệ thống kiểm soát nội bộ là hệ thống mà doanh nghiệp và tổ chức thiết lập và áp dụng các quy trình và hệ thống phù hợp để tuân thủ các quy định pháp luật, tiêu chuẩn ngành.

Đặc biệt đối với các công ty niêm yết, việc xây dựng hệ thống kiểm soát nội bộ một cách phù hợp và quản lý rủi ro là cần thiết để nâng cao uy tín và hình ảnh thương hiệu của công ty.

Hệ thống kiểm soát nội bộ theo Luật Công ty Nhật Bản

Hệ thống kiểm soát nội bộ theo Điều 362 khoản 4 mục 6 của Luật Công ty Nhật Bản[ja] được định nghĩa là,

“Thiết lập hệ thống để đảm bảo việc thực hiện nhiệm vụ của giám đốc phù hợp với các quy định pháp luật và điều lệ, cũng như các yếu tố khác cần thiết để đảm bảo tính phù hợp của hoạt động kinh doanh của công ty cổ phần và tập đoàn doanh nghiệp bao gồm công ty cổ phần và các công ty con của nó, như quy định trong quyết định của Bộ Tư pháp.”

Điều này được coi là nhiệm vụ đặc biệt của Hội đồng quản trị.

Hệ thống kiểm soát nội bộ theo Luật Công ty Nhật Bản là hệ thống nhằm đảm bảo tính phù hợp của hoạt động kinh doanh của công ty cổ phần và các công ty con hoặc các công ty trong cùng tập đoàn.

Hệ thống kiểm soát nội bộ theo Luật Giao dịch sản phẩm tài chính Nhật Bản

Theo Luật Giao dịch sản phẩm tài chính Nhật Bản, các công ty niêm yết và tương tự có nghĩa vụ nộp báo cáo kiểm soát nội bộ. Các công ty niêm yết và tương tự phải xây dựng hệ thống kiểm soát nội bộ theo Luật Giao dịch sản phẩm tài chính và công bố nội dung của nó.

Hệ thống kiểm soát nội bộ theo Luật Giao dịch sản phẩm tài chính Nhật Bản, khác với Luật Công ty, được yêu cầu từ góc độ bảo vệ nhà đầu tư.

Công ty nào phải chịu trách nhiệm xây dựng hệ thống kiểm soát nội bộ

Các công ty đáp ứng một số yêu cầu nhất định phải xây dựng hệ thống kiểm soát nội bộ. Công ty phải chịu trách nhiệm xây dựng hệ thống kiểm soát nội bộ được định rõ trong Luật Công ty Nhật Bản và Luật Giao dịch Sản phẩm Tài chính Nhật Bản.

Công ty lớn có hội đồng quản trị, theo quy định của Luật Công ty Nhật Bản, phải xây dựng hệ thống kiểm soát nội bộ. Công ty lớn được định nghĩa là công ty có vốn điều lệ từ 500 triệu Yên trở lên hoặc tổng nợ phải trả từ 20 tỷ Yên trở lên (Điều 2, Điểm 6 của Luật Công ty Nhật Bản).

Công ty đã xây dựng hệ thống kiểm soát nội bộ phải mô tả tình hình hoạt động của hệ thống kiểm soát nội bộ trong báo cáo kinh doanh. Đối với công ty có ban kiểm toán, ban kiểm toán phải thực hiện kiểm toán hệ thống kiểm soát nội bộ như một phần của việc kiểm toán việc thực hiện nhiệm vụ của hội đồng quản trị.

Ngược lại, theo Luật Giao dịch Sản phẩm Tài chính Nhật Bản, công ty niêm yết và tương tự có nghĩa vụ xây dựng hệ thống kiểm soát nội bộ và công bố nội dung của nó. Công ty niêm yết và tương tự phải công bố báo cáo kiểm soát nội bộ cùng với báo cáo giá trị chứng khoán hàng năm.

Thiếu sót trong hệ thống kiểm soát nội bộ có thể khiến giám đốc phải chịu trách nhiệm

Trong các sự cố liên quan đến hệ thống kiểm soát nội bộ, khi xảy ra sự cố mạng như truy cập trái phép hoặc rò rỉ thông tin, ai sẽ phải chịu trách nhiệm?

Nếu hệ thống bảo mật có lỗ hổng và xảy ra rò rỉ thông tin, người bị thiệt hại (khách hàng, v.v.) có thể yêu cầu bồi thường thiệt hại dựa trên trách nhiệm vi phạm nghĩa vụ tín dụng hoặc hành vi pháp lý sai trái theo luật dân sự Nhật Bản.

Giám đốc, theo luật công ty Nhật Bản, được ủy quyền quản lý từ công ty và có nghĩa vụ thực hiện công việc với sự chú ý của một người quản lý tốt (nghĩa vụ chú ý quản lý tốt) để không gây thiệt hại cho công ty.

Theo các phán quyết tòa án, nghĩa vụ xây dựng hệ thống kiểm soát nội bộ được coi là một phần của nghĩa vụ chú ý quản lý tốt.

Do đó, nếu xảy ra rò rỉ thông tin và người bị thiệt hại yêu cầu bồi thường thiệt hại từ công ty, việc không tăng cường mức độ bảo mật để ngăn chặn rò rỉ thông tin hoặc không thực hiện các biện pháp để loại bỏ lỗ hổng có thể được coi là vi phạm nghĩa vụ chú ý quản lý tốt của giám đốc, và giám đốc cũng có thể bị yêu cầu bồi thường thiệt hại.

Thực dụ về hệ thống kiểm soát nội bộ

Như đã nêu trên, các công ty và giám đốc điều hành đều có nghĩa vụ xây dựng hệ thống kiểm soát nội bộ. Từ đây, chúng ta sẽ tiếp tục thảo luận dựa trên các thực dụ cụ thể.

Vụ Yakult tại Tòa án quận Tokyo (phán quyết của Tòa án quận Tokyo ngày 16 tháng 12 năm 2004)

Yakult đã thất bại trong việc giao dịch dẫn xuất có tính đầu cơ cao nhằm mục đích bù đắp lỗ hổng trong giá trị chứng khoán, và ngược lại, đã làm tăng thêm tổn thất. Đối với điều này, cổ đông đã khởi kiện đại diện cổ đông yêu cầu bồi thường 53,3 tỷ yên từ ban lãnh đạo thời điểm đó.

Trong vụ kiện này, việc có hệ thống quản lý rủi ro liên quan đến giao dịch dẫn xuất đã được tranh cãi.

Tại tòa án, người phụ trách quản lý tài sản đã thực hiện giao dịch dẫn xuất như một phó chủ tịch công ty cũ đã bị ra lệnh trả 6,7 tỷ yên vì “vi phạm nghĩa vụ cẩn thận của một giám đốc”. Tuy nhiên, trách nhiệm của ban lãnh đạo khác không được công nhận vì “công ty có hệ thống quản lý rủi ro tương đối”. Ngoài ra, sau khi phát sinh tổn thất, việc nhận biết rủi ro liên quan đến giao dịch dẫn xuất đã phát triển nhanh chóng (= không đủ vào thời điểm xảy ra) và các lý do khác đã bị phủ nhận vì thiếu sót trong hệ thống quản lý rủi ro. Phán quyết của Tòa án cao cấp Tokyo vào tháng 5 năm 2008 cũng ủng hộ phán quyết sơ thẩm, và Tòa án tối cao cũng ủng hộ phán quyết sơ và phúc thẩm.

Trong phiên tòa này, nội dung của hệ thống kiểm soát nội bộ nên được quyết định bằng cách tham khảo các nghiên cứu hành chính về quản lý rủi ro và các ví dụ về rủi ro.

Vụ lệnh mua cổ phiếu JCOM sai lệch tại Tòa án cao cấp Tokyo (phán quyết của Tòa án cao cấp Tokyo ngày 24 tháng 7 năm 2013)

Đây là vụ việc một nhân viên của Mizuho Securities đã nhập sai lệnh “bán 610.000 cổ phiếu JCOM với giá 1 yên” thay vì “bán 1 cổ phiếu JCOM với giá 610.000 yên” vào máy tính, gây ra thiệt hại lớn cho khách hàng.

Mizuho Securities đã nhận ra lỗi và thực hiện thủ tục hủy bỏ, nhưng do lỗi hệ thống của Sở Giao dịch Chứng khoán Tokyo, lệnh hủy bỏ không được thực hiện, và giá cổ phiếu giảm mạnh do lượng lệnh bán lớn không thể tưởng tượng được. Kết quả là, đã phát sinh tổn thất trên 40 tỷ yên. Mizuho Securities đã khẳng định rằng lý do họ không thể hủy lệnh sai và phát sinh tổn thất trên 40 tỷ yên là do hệ thống của Sở Giao dịch Chứng khoán Tokyo có lỗi, và đã yêu cầu Sở Giao dịch Chứng khoán Tokyo bồi thường thiệt hại.

Trong phiên tòa này, việc “lỗi hệ thống có phải là sơ suất nghiêm trọng hay không” đã trở thành một vấn đề lớn. Tòa án cao cấp Tokyo đã ra lệnh cho Sở Giao dịch Chứng khoán Tokyo trả khoảng 10,7 tỷ yên vì “việc không sử dụng quyền dừng giao dịch ngay lập tức là sơ suất nghiêm trọng của Sở Giao dịch Chứng khoán Tokyo”.

Việc Sở Giao dịch Chứng khoán Tokyo có thể phát hiện và xử lý lỗi này từ mặt độ kỹ thuật hay không cũng đã trở thành một vấn đề, nhưng Tòa án cao cấp Tokyo đã tránh đánh giá về mặt kỹ thuật, nói rằng “ý kiến của các chuyên gia được đưa ra có sự mâu thuẫn và khó đưa ra phán đoán”.

Tuy nhiên, việc Sở Giao dịch Chứng khoán Tokyo đã nhận ra rằng một giao dịch rõ ràng bất thường đang diễn ra nhưng không hủy bỏ giao dịch đã được công nhận là sơ suất nghiêm trọng của Sở Giao dịch Chứng khoán Tokyo.

Như vậy, trong trường hợp tòa án không thể đưa ra phán đoán về mặt kỹ thuật, có những trường hợp hành vi phạm pháp luật được công nhận dựa trên các yếu tố không liên quan đến kỹ thuật.

Tóm tắt: Hãy thảo luận với luật sư khi xây dựng hệ thống kiểm soát nội bộ

Đặc biệt đối với các công ty niêm yết, việc xây dựng và vận hành hệ thống kiểm soát nội bộ một cách phù hợp là cần thiết để quản lý rủi ro.

Trong trường hợp xảy ra sự cố liên quan đến bảo mật thông tin, nếu công ty được xác định không có biện pháp bảo mật thông tin phù hợp với quy mô công ty và nội dung kinh doanh, công ty có thể phải đối mặt với rủi ro bị kiện vì không thực hiện nghĩa vụ nợ. Khi đó, có khả năng yêu cầu bồi thường thiệt hại đối với giám đốc điều hành nếu vi phạm nghĩa vụ quản lý tốt. Về hệ thống kiểm soát nội bộ liên quan đến bảo mật thông tin, hãy thảo luận sớm với luật sư am hiểu về IT và pháp luật doanh nghiệp.

Bài viết liên quan: Làm thế nào để ngăn chặn sự cố bảo mật tại đơn vị được ủy quyền? Giải thích việc xây dựng và vận hành hệ thống kiểm soát nội bộ của đơn vị đặt hàng[ja]

Giới thiệu về các biện pháp của văn phòng luật sư của chúng tôi

Văn phòng luật sư Monolith là một văn phòng luật sư chuyên về IT, đặc biệt là Internet và luật pháp. Nhu cầu kiểm tra pháp lý đối với việc xây dựng hệ thống kiểm soát nội bộ ngày càng tăng. Văn phòng luật sư của chúng tôi cung cấp giải pháp cho nhiều công ty nhằm tuân thủ quy định. Chi tiết được mô tả trong bài viết dưới đây.

Lĩnh vực hoạt động của Văn phòng luật sư Monolith: Pháp lý cho các công ty IT và Start-up[ja]