Financial Services Agency

12 de fevereiro de 2010 Ação administrativa da Financial Services Agency contra a SBI SECURITIES Co., Ltd. Como resultado de uma inspeção da Securities and Exchange Surveillance Commission contra a SBI SECURITIES Co., Ltd. (doravante denominada "nossa empresa"), a seguintes fatos de infrações legais foi reconhecido, e foi feita uma recomendação para a adoção de medidas administrativas, que serão abertas em uma nova janela em 05 de fevereiro de 2010. ○ Situação em que se reconhece que a gestão do sistema de processamento eletrónico de informação relacionada com o negócio de instrumentos financeiros é insuficiente No entanto, conforme descrito abaixo, mais de três quartos das falhas de sistema ocorridas não foram objeto de gestão de risco, pelo que reconheceu-se que o próprio gerenciamento de riscos do sistema era virtualmente não funcional. Adicionalmente, foram constatadas deficiências no andamento da implementação dos casos em que a Companhia esteve sujeita à gestão de riscos, bem como deficiências no andamento do desenvolvimento dos normativos internos. Isso se deve ao fato de a administração da Companhia ter deixado a gestão dos riscos do sistema para os responsáveis e terceirizados, não tendo percebido a real situação do negócio, por falta de conscientização. (1) Situações em que muitas falhas de sistemas não são passíveis de gerenciamento de riscos de sistemas Até a data de referência, 188 falhas de sistemas foram gerenciadas com base em padrões de gerenciamento. No entanto, quando examinamos a ocorrência de falhas de sistema em nossa empresa, pelo menos 592 falhas de sistema diferentes das acima ocorreram durante o período acima, e foi reconhecido que as mesmas não estavam sujeitas a gerenciamento de risco. Além disso, em relação aos 592 casos de falhas do sistema, constatou-se que os departamentos e a gerência relacionados desconheciam o fato de que as falhas haviam ocorrido, pois os registros e relatórios não eram feitos conforme exigido pelas normas de gestão. Das 592 falhas do sistema, foram identificadas 33 falhas que afetaram as transações dos clientes, como impossibilidade de login e suspensão de pedido e recebimento de pedidos. (2) Desenvolvimento insuficiente das medidas de segurança Relativamente às 188 falhas do sistema descritas em (1) acima, que foram objecto de gestão de risco por parte da Empresa, após análise do estado de implementação, etc., o desenvolvimento e funcionamento do sistema foi o seguinte. Foram encontradas deficiências nas medidas de segurança, como a manutenção da qualidade do trabalho. 1Existem deficiências no formato dos registros e relatórios relacionados às falhas do sistema, e não está claro o status de implementação das contramedidas de acordo com a identificação das causas da falha e os resultados da análise para cada caso. Além disso, não foram implementadas medidas como coletar e analisar regularmente e tomar medidas para prevenir a reincidência. 2Existem falhas não resolvidas por um longo período de tempo, pois não é realizado o gerenciamento contínuo desde a ocorrência de falhas até a conclusão da resposta e gerenciamento de compensação de falhas não resolvidas. Além disso, devido a medidas insuficientes para evitar a recorrência de falhas, ocorreram falhas de sistema do mesmo evento. (3) Situação inadequada das melhorias relacionadas a questões apontadas por auditorias de sistema, etc. como resultado de melhorias insuficientes, falhas devido a omissões no gerenciamento de riscos e gerenciamento inadequado de falhas ocorriam constantemente. Adicionalmente, nas auditorias, etc. realizadas pelo Departamento de Auditoria da Empresa, não se verificou se as operações comerciais estavam a ser conduzidas de acordo com as normas de gestão, reconhecendo-se que a eficácia das auditorias do sistema não estava assegurada. (4) Deficiências de regulamentação, etc., relacionadas ao gerenciamento de riscos do sistema A Companhia não estabeleceu políticas básicas relacionadas ao gerenciamento de riscos do sistema, nem identificou os locais e tipos de riscos que devem ser gerenciados. . (5) Ocorrência de falha de sistema que impacta significativamente as transações dos clientes Em nossa empresa, temos vivenciado uma falha de sistema que impacta significativamente as transações dos clientes, como impossibilidade de login e suspensão de pedidos e pedidos. Adicionalmente, alguns destes casos não foram objeto de gestão de riscos sistémicos, não tendo sido totalmente compreendida a situação real quanto ao impacto nos clientes. O status das operações comerciais acima em nossa empresa é baseado no Artigo 123, Parágrafo 1, Item 14 da Portaria do Gabinete sobre Finanças "Situação em que o gerenciamento do sistema eletrônico de processamento de informações é considerado insuficiente". Além disso, como uma grande empresa de valores mobiliários somente na Internet, a Companhia é obrigada a desenvolver e operar sistemas com forte tolerância a falhas e desenvolver um sistema suficiente para responder adequadamente em caso de falha. Considerando as razões, considera-se necessário trabalhar na melhoria. Com base no exposto, as seguintes ações administrativas foram tomadas contra nossa empresa hoje. ○ Ordem de melhoria de negócios com base no Artigo 51 da Lei de Instrumentos Financeiros e Câmbio (1) Investigar a causa da aceitação e normalização de um sistema de gerenciamento de risco de sistema inadequado, esclarecer onde está a responsabilidade e revisar a coisa do sistema de gerenciamento de negócios. (2) Investigar casos anteriores de falha do sistema, incluindo casos em que o processamento não foi realizado de acordo com os padrões de gerenciamento para falhas do sistema e categorizar possíveis casos e contramedidas para garantir a eficácia Construir um sistema de gerenciamento de risco do sistema. (3) Reafirmar a importância do gerenciamento do sistema para executivos e funcionários e garantir um sistema de operação de negócios apropriado, revisar regulamentos e procedimentos de negócios e implementar treinamento, etc. (4) Responder adequadamente às questões apontadas em auditorias externas de sistemas anteriores. Além disso, para verificar adequadamente a eficácia do gerenciamento de riscos do sistema em geral, incluindo a resposta aos itens indicados, auditorias externas do sistema devem ser realizadas adequadamente e o sistema do departamento de auditoria interna deve ser fortalecido. (5) Até 12 de março de 2010 (sexta-feira) para o status das respostas de (1) a (4) acima (e até 31 de maio de 2010 (segunda-feira) para o status do progresso depois disso e três dias depois) mensalmente) por escrito.