Styreansvarets yttergrense: Når systemsvikt blir straffbart

Norsk rettspraksis har de siste årene beveget seg mot en betydelig skjerping av ledelsens personlige ansvar. Manglende oversikt over virksomhetens faktiske mangler anses ikke lenger som en unnskyldelig omstendighet, men som selve beviset på uaktsom styring.

1. Straffeloven vs. Aksjeloven: Det personlige bunnpunktet

Mens Aksjeloven § 6-12 pålegger styret å sørge for en «betryggende organisering», er det Straffeloven som definerer konsekvensene når organiseringen svikter fundamentalt. Ved alvorlige ulykker, miljøkriminalitet eller omfattende datasikkerhetsbrudd, vil påtalemyndigheten vurdere om styrets passivitet er å anse som grov uaktsomhet.

Grov uaktsomhet foreligger når styrets handlemåte representerer et markert avvik fra forsvarlig opptreden. Hvis styret ikke har etterspurt status på internkontrollen, ikke har vedtatt bindende instrukser, eller har ignorert varsler om mangler, er veien til tiltale kort. Her gjelder systemansvaret: Styret straffes ikke nødvendigvis for den utløsende feilen, men for at de ikke hadde etablert et system som kunne forebygget den.

2. Foretaksstraff: Når virksomheten blir sin egen fiende

Straffeloven § 27 åpner for at foretaket kan straffes selv om ingen enkeltperson kan domfelles. Men her ligger en felle for styret: I vurderingen av om foretaksstraff skal idømmes, legger retten avgjørende vekt på om foretaket ved retningslinjer, instruksjon, opplæring eller kontroll kunne ha forebygget overtredelsen.

Mangler virksomheten en profesjonell etterlevelse basert på systematiske instrukser, vil dette bli brukt som et skjerpende moment. Botens størrelse og tap av retten til å utøve virksomhet kan i praksis bety slutten for selskapet – alt som følge av styrets manglende tilsyn.

3. Den usynlige risikoen i spesiallovgivningen

Mange styrer fokuserer utelukkende på den økonomiske rapporteringen. Men det strafferettslige ansvaret trigges ofte av brudd på lover styret knapt har diskutert:

• Arbeidsmiljøloven: Straffansvar for styret ved systematiske brudd på sikkerhetsregler som fører til ulykker.
• Forurensningsloven: Personlig ansvar for styremedlemmer ved utslipp som skyldes manglende kontrollrutiner.
• Digitalsikkerhetsloven (NIS2): Innfører direkte sanksjonsmuligheter mot ledelsen ved manglende overvåking av digital risiko.

4. Daglig leders taushet – Styrets ansvar

Det er en utbredt misforståelse at styret er ansvarsfritt så lenge daglig leder ikke har rapportert om mangler. Retten legger til grunn en aktiv undersøkelsesplikt. Styret plikter å rigge en organisasjon hvor mangler tvinges frem i lyset gjennom avvikshåndtering og kontrollmekanismer. Hvis styret har sittet passivt og ventet på informasjon som aldri kom, har de i rettslig forstand utvist uaktsomhet.

5. Konklusjon: Internkontroll som strafferettslig vern

Det eneste vernet et styremedlem har mot personlig straffansvar, er dokumentert etterlevelse. Det holder ikke å ha "gode intensjoner". Du må kunne dokumentere at styret har identifisert risiko, vedtatt instrukser som adresserer denne risikoen, og kontinuerlig kontrollert at instruksene følges.

Gjennom IS-modellen etableres denne dokumentasjonskjeden. Den gjør det mulig for styret å bevise at de har utøvd sitt tilsynsansvar i samsvar med lovens krav til forsvarlighet. Uten et slikt system er du ikke bare uforberedt – du er rettslig sårbar.