Financial Services Agency

12 febbraio 2010 Azione amministrativa della Financial Services Agency contro SBI SECURITIES Co., Ltd. A seguito di un'ispezione da parte della Securities and Exchange Surveillance Commission contro SBI SECURITIES Co., Ltd. (di seguito denominata "la nostra società"), la sono stati riconosciuti i seguenti fatti di violazioni legali ed è stata formulata una raccomandazione per avviare un'azione amministrativa, che si aprirà in una nuova finestra il 5 febbraio 2010. ○ Situazione in cui si riconosce che la gestione del sistema informatico di elaborazione delle informazioni relative al business degli strumenti finanziari è insufficiente Tuttavia, come descritto di seguito, più di tre quarti dei guasti del sistema che si sono verificati non sono stati oggetto di gestione del rischio, ed è è stato riconosciuto che la stessa gestione del rischio di sistema era praticamente non funzionale. Inoltre, sono state riscontrate carenze nello stato di attuazione delle fattispecie che la Società è stata sottoposta a risk management, nonché carenze nello stato di sviluppo della normativa interna. Ciò è dovuto al fatto che il management della Società ha lasciato la gestione dei rischi di sistema al preposto e alle ditte appaltatrici e non ha colto la reale situazione del business, per mancanza di consapevolezza. (1) Situazioni in cui molti guasti di sistema non sono soggetti alla gestione del rischio di sistema Fino alla data di riferimento, 188 guasti di sistema sono stati gestiti sulla base di standard di gestione. Tuttavia, quando abbiamo esaminato il verificarsi di guasti di sistema presso la nostra azienda, durante il suddetto periodo si sono verificati almeno 592 guasti di sistema diversi da quelli sopra indicati ed è stato riconosciuto che non erano soggetti a gestione del rischio. Inoltre, per quanto riguarda i 592 casi di guasti del sistema, è emerso che le funzioni e la direzione interessate non erano a conoscenza del fatto che si fossero verificati guasti, in quanto non sono state effettuate registrazioni e segnalazioni come richiesto dagli standard gestionali. Dei 592 guasti di sistema, sono stati identificati 33 guasti che interessano le transazioni dei clienti, come l'impossibilità di accedere e la sospensione dell'ordinazione e della ricezione degli ordini. (2) Insufficiente sviluppo delle misure di sicurezza Relativamente ai 188 guasti del sistema descritti al punto (1) che sono stati oggetto di gestione del rischio da parte della Società, dopo aver esaminato lo stato di implementazione, ecc., lo sviluppo e l'esercizio del sistema è stato il seguente. Sono state riscontrate carenze nelle misure di sicurezza come il mantenimento della qualità del lavoro. 1Esistono carenze nel formato delle registrazioni e dei rapporti relativi ai guasti del sistema e lo stato di attuazione delle contromisure in base all'identificazione delle cause del guasto e ai risultati dell'analisi per ciascun caso non è chiaro. Inoltre, non sono state implementate misure come la raccolta e l'analisi su base regolare e l'adozione di misure per prevenire il ripetersi. 2Ci sono fallimenti irrisolti per un lungo periodo di tempo, poiché la gestione continua dal verificarsi dei fallimenti fino al completamento della risposta e la gestione della compensazione dei fallimenti irrisolti non vengono eseguite. Inoltre, a causa di misure insufficienti per prevenire il ripetersi di guasti, si sono verificati guasti di sistema dello stesso evento. (3) Stato inadeguato dei miglioramenti relativi a questioni evidenziate da audit di sistema, ecc. Nella nostra società non sono stati apportati miglioramenti per un lungo periodo di tempo su aspetti evidenziati da audit di sistema affidati a un organismo di revisione esterno. a causa di un miglioramento insufficiente, si verificavano costantemente guasti dovuti a omissioni nella gestione del rischio e inadeguata gestione dei guasti. Inoltre, negli audit, ecc. condotti dalla Direzione Audit della Società, non è stato verificato se le operazioni aziendali fossero condotte in conformità con gli standard di gestione ed è stato riconosciuto che l'efficacia degli audit di sistema non era assicurata. (4) Carenze nelle normative, ecc., relative alla gestione dei rischi di sistema La Società non ha stabilito politiche di base relative alla gestione dei rischi di sistema, né ha individuato le sedi e le tipologie di rischi da gestire. . (5) Evento di un errore di sistema che ha un impatto significativo sulle transazioni dei clienti Nella nostra azienda, abbiamo riscontrato un errore di sistema che ha un impatto significativo sulle transazioni dei clienti, come l'impossibilità di accedere e la sospensione di ordini e ordini. Inoltre, alcuni di questi casi non erano soggetti alla gestione del rischio di sistema e la situazione reale relativa all'impatto sui clienti non è stata completamente compresa. Lo stato delle operazioni commerciali di cui sopra presso la nostra azienda si basa sull'articolo 123, paragrafo 1, punto 14 dell'ordinanza del Gabinetto sulla finanza "Situazione in cui la gestione del sistema elettronico di elaborazione delle informazioni è ritenuta insufficiente". Inoltre, in qualità di importante società di titoli solo Internet, la Società è tenuta a sviluppare e gestire sistemi con una forte tolleranza ai guasti e a sviluppare un sistema sufficiente per rispondere in modo appropriato in caso di guasto. lavorare sul miglioramento. Sulla base di quanto sopra, oggi sono stati intrapresi nei confronti della nostra società i seguenti provvedimenti amministrativi. ○ Ordine di miglioramento aziendale basato sull'articolo 51 della legge sugli strumenti finanziari e sullo scambio (1) Indagare sulla causa dell'accettazione e della normalizzazione di un sistema di gestione del rischio di sistema inappropriato, chiarire dove risieda la responsabilità e rivedere la cosa del sistema di gestione aziendale. (2) Indagare sui casi passati di errore del sistema, compresi i casi in cui l'elaborazione non è stata eseguita in conformità con gli standard di gestione per gli errori di sistema, e classificare possibili casi e contromisure per garantire l'efficacia Costruire un sistema di gestione del rischio di sistema. (3) Riaffermare l'importanza della gestione del sistema per funzionari e dipendenti e garantire un sistema operativo aziendale appropriato, rivedere i regolamenti e le procedure aziendali e implementare la formazione, ecc. (4) Rispondere in modo appropriato alle questioni evidenziate in precedenti audit di sistema esterni. Inoltre, al fine di verificare adeguatamente l'efficacia della gestione dei rischi di sistema in generale, inclusa la risposta agli elementi indicati, devono essere condotti in modo appropriato gli audit di sistema esterni e deve essere rafforzato il sistema della funzione di controllo interno. (5) Entro il 12 marzo 2010 (venerdì) per lo stato delle risposte ai punti da (1) a (4) di cui sopra (ed entro il 31 maggio 2010 (lunedì) per lo stato di avanzamento successivo e tre giorni successivi) mensilmente) per iscritto.