Personlig styreansvar – Når systemsvikt blir straffbart

Hva er personlig styreansvar?

Personlig styreansvar betegner det rettslige ansvaret styremedlemmer kan pådra seg i kraft av sitt verv – ikke som representanter for selskapet, men som privatpersoner med privat formue og personlig integritet på spill. Ansvaret kan ramme deg på tre nivåer:

• Erstatningsansvar etter aksjeloven § 17-1 – dekkes som hovedregel av styreansvarsforsikring
• Strafferettslig ansvar etter straffeloven og særlovgivningen – dekkes ikke av forsikring
• Karantene og rettighetstap ved konkurskarantene eller tap av retten til å utøve virksomhet

Det er det strafferettslige ansvaret som er mest brutalt, fordi det rammer deg personlig uten økonomisk buffer. Det er også her norsk rettspraksis har skjerpet seg mest de siste årene.

Skillet mellom aksjeloven og straffeloven

Aksjeloven og straffeloven regulerer forskjellige sider av styreansvaret. Forskjellen er viktig fordi den avgjør hva slags konsekvens du faktisk risikerer.

Aksjeloven setter rammene. Straffeloven definerer konsekvensene når rammene svikter fundamentalt. Ved alvorlige ulykker, miljøkriminalitet eller omfattende datasikkerhetsbrudd vil påtalemyndigheten vurdere om styrets passivitet kvalifiserer til grov uaktsomhet.

Grov uaktsomhet – det rettslige bunnpunktet

Grov uaktsomhet foreligger når styrets handlemåte representerer et markert avvik fra forsvarlig opptreden. Det er ikke nok at styret har gjort en feilvurdering – feilvurderingen må være kvalifisert klanderverdig.

I praksis foreligger grov uaktsomhet typisk når:

• Styret ikke har etterspurt status på internkontrollen over lengre tid
• Styret ikke har vedtatt bindende instrukser på områder der risiko er åpenbar
• Styret har ignorert eller bagatellisert varsler om mangler
• Styret har ingen dokumentert prosess for å fange opp brudd på regelverk

Her gjelder systemansvaret: Styret straffes ikke nødvendigvis for den utløsende feilen, men for at de ikke hadde etablert et system som kunne forebygget den. Dette er en betydelig skjerping sammenlignet med tidligere rettstilstand.

Foretaksstraff – når virksomheten blir sin egen fiende

Straffeloven § 27 åpner for at foretaket kan straffes selv om ingen enkeltperson kan domfelles. Dette skulle teoretisk beskytte styret – men i praksis er det motsatt.

I vurderingen av om foretaksstraff skal idømmes, og ved straffeutmålingen, legger retten avgjørende vekt på § 28 bokstav c: om foretaket ved retningslinjer, instruksjon, opplæring eller kontroll kunne ha forebygget overtredelsen.

Når foretaket idømmes betydelige bøter, vil aksjonærene spørre hvorfor styret ikke hadde rigget systemet. Konsekvensen er ofte personlige erstatningskrav etter aksjeloven § 17-1 – og i de groveste tilfellene strafferettslig forfølgning av enkeltmedlemmer.

Den usynlige risikoen i spesiallovgivningen

Mange styrer fokuserer utelukkende på finansiell rapportering og aksjelovens regler. Men det strafferettslige ansvaret trigges ofte av brudd på lover styret knapt har diskutert:

Felles for disse lovene er at de pålegger styret en kontinuerlig kontrollplikt – ikke bare en plikt til å reagere når problemer oppstår. Manglende oppfølging er i seg selv et lovbrudd.

Daglig leders taushet – styrets ansvar

Det er en utbredt misforståelse at styret er ansvarsfritt så lenge daglig leder ikke har rapportert om mangler. Denne misforståelsen er farlig.

Retten legger til grunn en aktiv undersøkelsesplikt. Styret plikter å rigge en organisasjon hvor mangler tvinges frem i lyset gjennom avvikshåndtering, varsling og dokumenterte kontrollmekanismer. Hvis styret har sittet passivt og ventet på informasjon som aldri kom, har styret i rettslig forstand utvist uaktsomhet.

Praktisk betyr dette at styret må:

• Etterspørre periodiske rapporter om internkontrollens tilstand
• Behandle avvik og varsler som faste agendapunkter
• Dokumentere både rapportering og styrets reaksjon på rapportene
• Aktivt etterspørre informasjon styret har grunn til å tro at finnes

For mer om grensegangen mellom styrets og daglig leders ansvar, se vår fagside om roller og ansvar.

Internkontroll som strafferettslig vern

Det eneste reelle vernet et styremedlem har mot personlig straffansvar er dokumentert etterlevelse. Det holder ikke å ha gode intensjoner. Det holder ikke å huske at saken ble drøftet i et styremøte for to år siden. Du må kunne dokumentere at styret har gjort jobben sin.

Gjennom IS-modellen™ etableres denne dokumentasjonskjeden systematisk. Den gjør det mulig for styret å bevise at de har utøvd sitt tilsynsansvar i samsvar med lovens krav til forsvarlighet. Uten et slikt system er du ikke bare uforberedt – du er rettslig sårbar.

Hva tilsynsmyndighetene faktisk ser etter

Når Arbeidstilsynet, Datatilsynet, Økokrim eller Miljødirektoratet kommer på tilsyn etter en hendelse, leter de etter spor av systematikk. De typiske spørsmålene er:

• Hva visste styret, og når?
• Hvilke instrukser hadde virksomheten på det aktuelle området?
• Hvordan ble etterlevelse av instruksene kontrollert?
• Hva gjorde styret med rapporter og avvik?
• Når var siste gjennomgang av internkontrollen?

Hvis svarene på disse spørsmålene finnes i styrets protokoller, internkontrollsystemet og dokumenterte rapporter, har du gått langt for å unngå strafferettslig forfølgning. Mangler svarene, er veien til tiltale kort.

Konkrete fallgruver for styret

Norsk rettspraksis viser noen tilbakevendende fallgruver som styremedlemmer går i:

• "Vi har en god kultur": Kultur er ikke dokumentasjon. Når Økokrim spør, vil de se papir.
• "Daglig leder håndterer det": Delegering fjerner ikke styrets tilsynsansvar. Det forutsetter også at styret kontrollerer delegeringen.
• "Vi har styreansvarsforsikring": Forsikringen dekker ikke straffansvar, og dekker heller ikke krav som følge av forsettlige eller grovt uaktsomme handlinger.
• "Det var før min tid": Nyvalgte styremedlemmer arver ikke ansvar for tidligere lovbrudd, men de har et selvstendig ansvar for å avdekke og rette opp.
• "Vi diskuterte det i styremøtet": Diskusjon uten vedtak og oppfølging er ikke handling. Hvis det ikke står i protokollen, har det ikke skjedd.

Praktisk sjekkliste for det aktive styret

Som styremedlem bør du periodisk – minst én gang i året – kunne svare ja på alle disse spørsmålene:

• Har styret en oppdatert oversikt over virksomhetens vesentlige risikoer?
• Har vi vedtatt instrukser som adresserer disse risikoene?
• Får styret periodiske rapporter om internkontrollens tilstand?
• Behandles avvik og varsler som faste agendapunkter?
• Er styrets vedtak og oppfølging dokumentert i protokollene?
• Har vi en oppdatert årshjul-prosess for ledelsens gjennomgang?
• Har styret etterspurt status på områder vi vet er risikoutsatte?
• Er internkontrollen testet av andre enn de som utøver den?

Klarer du ikke å svare ja på disse spørsmålene, er det ikke et tegn på at du gjør en dårlig jobb – det er et signal om at du må handle nå.

Avsluttende vurdering

Personlig styreansvar er ikke en teoretisk risiko. Norsk rettspraksis har de siste tiårene vist en eksplosiv økning i saker mot styremedlemmer, og rettsutviklingen peker mot strengere ansvar – ikke mildere. Når strafferettslige saker oppstår, er det ikke styremedlemmenes intensjoner som vurderes, men deres dokumenterte handlinger.

Tre forhold står ut som særlig viktige:

• Forsikringen er ikke ditt vern. Ingen polise dekker straffansvar, fengsel eller rettighetstap.
• Passivitet er ikke nøytralt. Manglende undersøkelser og manglende vedtak er aktivt klanderverdige unnlatelser.
• Dokumentert internkontroll er det reelle vernet. Et fungerende internkontrollsystem reduserer både risikoen for hendelser og risikoen for at hendelser fører til personlig straffansvar.

Spørsmålet du som styremedlem bør stille deg er ikke "kan jeg bli holdt ansvarlig?" – det er "har jeg dokumentasjonen som beviser at jeg gjorde jobben min?".