ISAE 3402 risicoverhogend voor aansprakelijkheid management

 in IT-recht, Ondernemingsrecht

Aansprakelijkheid management

Bij het afgeven van ISAE 3402 verklaring legt het management zelf expliciet verantwoording af door het uitbrengen van een management verklaring. In deze verklaring laat het management zich uit over de opzet en het bestaan van het beschreven beheersingsraamwerk. Bij een type II rapportage wordt ook met betrekking tot de werking van de beheersmaatregelen een verklaring van het management verplicht gesteld.

Het management is verantwoordelijk voor het afgeven van de verklaring, maar maakt die verantwoordelijkheid ook dat het management aansprakelijk is voor de inhoud van de verklaring? Verantwoordelijkheid is niet gelijk aan aansprakelijkheid. Als de verklaring onjuist of onvolledig is en het management wist dan wel behoorde te weten dat de verklaring niet of niet geheel juist was kan dat leiden tot aansprakelijkheid van het management.  Indien het management afgaat op informatie die zij van anderen uit de organisatie verkrijgt (hetgeen doorgaans het geval zal zijn), en deze informatie blijkt niet juist of niet volledig te zijn, dan kan het management hiervoor aansprakelijk zijn jegens de derden die afgaan op de verklaring.

Het is dus van groot belang dat het management op juiste gronden afgaat op informatie die zij intern verkrijgt. Waar moet dan  onder meer op gelet worden?

Formulering management verklaring

In het algemeen doet het management er goed aan niet meer te verklaren dan nodig is en de bewoordingen van de verklaring hierop aan te passen, als gezegd intern zorgvuldig na te gaan of de informatie juist en volledig is op basis waarvan de verklaring wordt opgesteld.
In de verklaring zelf kunnen passages worden opgenomen die aansprakelijkheid zoveel mogelijk beperken. Te denken valt aan de volgende clausules:

  • Op basis van welke informatie de verklaring is opgesteld;
  • Dat de verklaring is opgesteld op basis van informatie van een bepaalde datum en dat feiten en omstandigheden na deze datum niet in de verklaring zijn verwerkt;
  • De verklaring wordt afgegeven naar beste wetenschap van het management;
  • Het management aanvaardt geen aansprakelijkheid indien op onderdelen de verklaring niet volledig mocht zijn, onverminderd eventuele aansprakelijkheid van de vennootschap waarvan het management onderdeel uitmaakt.

Verzekering

Mogelijk is er dekking onder de afgesloten bestuurdersaansprakelijkheidsverzekering, check echter goed de uitsluitinggronden in de verzekering.

Vrijwaring

Het management kan een vrijwaring vragen van de vennootschap waar het management onderdeel van uitmaakt. Met een vrijwaring kan het management een eventuele schadeclaim verhalen op de vennootschap. De vrijwaring dient schriftelijk te worden afgegeven door de vennootschap en qua inhoud te passen bij het risico.

Nieuwe informatie: mededelingsplicht?

Indien na het afgeven van de verklaring nieuwe informatie kenbaar wordt aan het management waarbij de inhoud van de afgegeven verklaring bij nader inzien onjuist of onvolledig blijkt te zijn, dan moet overwogen worden deze informatie kenbaar te maken aan derden die af zijn gegaan op de eerdere verklaring.

Juridische monitoring SLA’s

Het is verstandig om ook de SLA’s zodanig in te richten dat deze contractuele afsprakenset aansluit op de af te geven ISAE verklaringen en te werken met uniforme prestatie-indicatoren en afspraken. Denk verder aan adequate rapportages, goede wijzigingsprocedures voor projectaanpak, niveau van dienstverlening en dergelijke.  Certificeren van software kan ook verstandig zijn om de duurzaamheid en onderhoudbaarheid van software in beeld te brengen.

Wij zullen u graag adviseren om het één en ander juridisch goed in te richten rekening houdende met  uw eigen specifieke omstandigheden. U kunt daartoe contact opnemen met Hanneke Slager of Bob Cordemeyer.

 

Recent Posts
  • 20 juni 2017

    Einde oefening voor werknemer na liegen over klantbezoek en het uiten van dreigementen

    Marion Hagenaars
    Een ontslag op staande voet is vaak wikken en wegen. Zijn de gedragingen ernstig genoeg? Kunnen de gedragingen worden bewezen? Zijn er (privé) omstandigheden die de gedragingen rechtvaardigen? Gaat het niet te ver om de werknemer loon en uitkering te ontnemen? Maar soms maakt een werknemer het zo bont dat een ontslag op staande onvermijdelijk
    Lees verder
  • 13 juni 2017

    Zelfstandig werken onder eigen voorman, toch StiPP

    Marion Hagenaars
    Voor uitleners blijft het spannend. Nederland kent dan wel geen algemene pensioenverplichting, maar via het verplicht gesteld bedrijfstakpensioenfonds voor personeelsdiensten kan deze verplichting toch bestaan. De gevolgen zijn verstrekkend. Ongevraagd met terugwerkende kracht aangesloten worden, over jaren premies afdragen met soms faillissement tot gevolg, dubbele pensioenvoorzieningen met alle fiscale gevolgen van dien. Het is dan
    Lees verder
  • 8 juni 2017

    Thuiswerkdag recht of gunst?

    Marion Hagenaars
    De meeste werkgevers hebben er wel begrip voor: thuiswerken om efficiënter te kunnen werken, reistijd te beperken of werk en zorg beter te kunnen combineren. Maar soms slaat de twijfel toe. Worden de overeengekomen arbeidsuren wel gemaakt? En werkt thuiswerken disfunctioneren niet in de hand? En kan bij deze twijfel de thuiswerkdag zomaar weer worden
    Lees verder

Plaats een reactie