ISAE 3402 risicoverhogend voor aansprakelijkheid management

 in IT-recht, Ondernemingsrecht

Aansprakelijkheid management

Bij het afgeven van ISAE 3402 verklaring legt het management zelf expliciet verantwoording af door het uitbrengen van een management verklaring. In deze verklaring laat het management zich uit over de opzet en het bestaan van het beschreven beheersingsraamwerk. Bij een type II rapportage wordt ook met betrekking tot de werking van de beheersmaatregelen een verklaring van het management verplicht gesteld.

Het management is verantwoordelijk voor het afgeven van de verklaring, maar maakt die verantwoordelijkheid ook dat het management aansprakelijk is voor de inhoud van de verklaring? Verantwoordelijkheid is niet gelijk aan aansprakelijkheid. Als de verklaring onjuist of onvolledig is en het management wist dan wel behoorde te weten dat de verklaring niet of niet geheel juist was kan dat leiden tot aansprakelijkheid van het management.  Indien het management afgaat op informatie die zij van anderen uit de organisatie verkrijgt (hetgeen doorgaans het geval zal zijn), en deze informatie blijkt niet juist of niet volledig te zijn, dan kan het management hiervoor aansprakelijk zijn jegens de derden die afgaan op de verklaring.

Het is dus van groot belang dat het management op juiste gronden afgaat op informatie die zij intern verkrijgt. Waar moet dan  onder meer op gelet worden?

Formulering management verklaring

In het algemeen doet het management er goed aan niet meer te verklaren dan nodig is en de bewoordingen van de verklaring hierop aan te passen, als gezegd intern zorgvuldig na te gaan of de informatie juist en volledig is op basis waarvan de verklaring wordt opgesteld.
In de verklaring zelf kunnen passages worden opgenomen die aansprakelijkheid zoveel mogelijk beperken. Te denken valt aan de volgende clausules:

  • Op basis van welke informatie de verklaring is opgesteld;
  • Dat de verklaring is opgesteld op basis van informatie van een bepaalde datum en dat feiten en omstandigheden na deze datum niet in de verklaring zijn verwerkt;
  • De verklaring wordt afgegeven naar beste wetenschap van het management;
  • Het management aanvaardt geen aansprakelijkheid indien op onderdelen de verklaring niet volledig mocht zijn, onverminderd eventuele aansprakelijkheid van de vennootschap waarvan het management onderdeel uitmaakt.

Verzekering

Mogelijk is er dekking onder de afgesloten bestuurdersaansprakelijkheidsverzekering, check echter goed de uitsluitinggronden in de verzekering.

Vrijwaring

Het management kan een vrijwaring vragen van de vennootschap waar het management onderdeel van uitmaakt. Met een vrijwaring kan het management een eventuele schadeclaim verhalen op de vennootschap. De vrijwaring dient schriftelijk te worden afgegeven door de vennootschap en qua inhoud te passen bij het risico.

Nieuwe informatie: mededelingsplicht?

Indien na het afgeven van de verklaring nieuwe informatie kenbaar wordt aan het management waarbij de inhoud van de afgegeven verklaring bij nader inzien onjuist of onvolledig blijkt te zijn, dan moet overwogen worden deze informatie kenbaar te maken aan derden die af zijn gegaan op de eerdere verklaring.

Juridische monitoring SLA’s

Het is verstandig om ook de SLA’s zodanig in te richten dat deze contractuele afsprakenset aansluit op de af te geven ISAE verklaringen en te werken met uniforme prestatie-indicatoren en afspraken. Denk verder aan adequate rapportages, goede wijzigingsprocedures voor projectaanpak, niveau van dienstverlening en dergelijke.  Certificeren van software kan ook verstandig zijn om de duurzaamheid en onderhoudbaarheid van software in beeld te brengen.

Wij zullen u graag adviseren om het één en ander juridisch goed in te richten rekening houdende met  uw eigen specifieke omstandigheden. U kunt daartoe contact opnemen met Hanneke Slager of Bob Cordemeyer.

 

Recent Posts
  • 8 september 2017

    Een rechter die het functioneren van een werknemer beoordeelt?

    Marion Hagenaars
    Een werknemer die zijn beoordeling bij de rechter aanvecht. De rechter zal zich toch afgevraagd hebben: wat moet ik als buitenstaander vinden van het functioneren van een werknemer? Toch wijst de rechter de vordering van de werknemer toe. Het salaris wordt met terugwerkende kracht verhoogd. Werknemer is portfolio manager bij een bedrijf voor professionele reiniging
    Lees verder
  • 28 augustus 2017

    Waar gaat u naar toe met een internationaal IT-geschil?

    Hanneke Slager
    Van ICC naar NCC. Of toch maar liever SGOA?
    Lees verder
  • 11 augustus 2017

    Hoge bomen…stellen hun eigen verbeterplan op…

    Marion Hagenaars
    Niet alle rechters zijn het met elkaar eens, maar deze rechter is in ieder geval van oordeel dat een werkneemster verantwoordelijk is voor haar eigen verbeterplan. Wanneer is ontslag vanwege disfunctioneren mogelijk? Er moet natuurlijk sprake zijn van disfunctioneren. Maar daarnaast moet de werknemer hiervan tijdig in kennis zijn gesteld, moet de werknemer in voldoende
    Lees verder

Plaats een reactie