Aansprakelijkheid management

Bij het afgeven van ISAE 3402 verklaring legt het management zelf expliciet verantwoording af door het uitbrengen van een management verklaring. In deze verklaring laat het management zich uit over de opzet en het bestaan van het beschreven beheersingsraamwerk. Bij een type II rapportage wordt ook met betrekking tot de werking van de beheersmaatregelen een verklaring van het management verplicht gesteld.

Het management is verantwoordelijk voor het afgeven van de verklaring, maar maakt die verantwoordelijkheid ook dat het management aansprakelijk is voor de inhoud van de verklaring? Verantwoordelijkheid is niet gelijk aan aansprakelijkheid. Als de verklaring onjuist of onvolledig is en het management wist dan wel behoorde te weten dat de verklaring niet of niet geheel juist was kan dat leiden tot aansprakelijkheid van het management.  Indien het management afgaat op informatie die zij van anderen uit de organisatie verkrijgt (hetgeen doorgaans het geval zal zijn), en deze informatie blijkt niet juist of niet volledig te zijn, dan kan het management hiervoor aansprakelijk zijn jegens de derden die afgaan op de verklaring.

Het is dus van groot belang dat het management op juiste gronden afgaat op informatie die zij intern verkrijgt. Waar moet dan  onder meer op gelet worden?

Formulering management verklaring

In het algemeen doet het management er goed aan niet meer te verklaren dan nodig is en de bewoordingen van de verklaring hierop aan te passen, als gezegd intern zorgvuldig na te gaan of de informatie juist en volledig is op basis waarvan de verklaring wordt opgesteld.
In de verklaring zelf kunnen passages worden opgenomen die aansprakelijkheid zoveel mogelijk beperken. Te denken valt aan de volgende clausules:

• Op basis van welke informatie de verklaring is opgesteld;
• Dat de verklaring is opgesteld op basis van informatie van een bepaalde datum en dat feiten en omstandigheden na deze datum niet in de verklaring zijn verwerkt;
• De verklaring wordt afgegeven naar beste wetenschap van het management;
• Het management aanvaardt geen aansprakelijkheid indien op onderdelen de verklaring niet volledig mocht zijn, onverminderd eventuele aansprakelijkheid van de vennootschap waarvan het management onderdeel uitmaakt.

Verzekering

Mogelijk is er dekking onder de afgesloten bestuurdersaansprakelijkheidsverzekering, check echter goed de uitsluitinggronden in de verzekering.

Vrijwaring

Het management kan een vrijwaring vragen van de vennootschap waar het management onderdeel van uitmaakt. Met een vrijwaring kan het management een eventuele schadeclaim verhalen op de vennootschap. De vrijwaring dient schriftelijk te worden afgegeven door de vennootschap en qua inhoud te passen bij het risico.

Nieuwe informatie: mededelingsplicht?

Indien na het afgeven van de verklaring nieuwe informatie kenbaar wordt aan het management waarbij de inhoud van de afgegeven verklaring bij nader inzien onjuist of onvolledig blijkt te zijn, dan moet overwogen worden deze informatie kenbaar te maken aan derden die af zijn gegaan op de eerdere verklaring.

Juridische monitoring SLA’s

Het is verstandig om ook de SLA’s zodanig in te richten dat deze contractuele afsprakenset aansluit op de af te geven ISAE verklaringen en te werken met uniforme prestatie-indicatoren en afspraken. Denk verder aan adequate rapportages, goede wijzigingsprocedures voor projectaanpak, niveau van dienstverlening en dergelijke.  Certificeren van software kan ook verstandig zijn om de duurzaamheid en onderhoudbaarheid van software in beeld te brengen.

Wij zullen u graag adviseren om het één en ander juridisch goed in te richten rekening houdende met  uw eigen specifieke omstandigheden. U kunt daartoe contact opnemen met Hanneke Slager of Bob Cordemeyer.