Top dix des billets publiés sur le Forum du Harvard Law School on Corporate Governance au 26 janvier 2023


Voici, comme à l’habitude, les dix plus importants billets publiés sur le Forum du Harvard Law School on Corporate Governance le 26 janvier 2023.

Bonne lecture !


Top 10 des billets publiés sur Harvard Law School Forum au 3 février 2022 | Gouvernance | Jacques Grisé


  1. Compensation Season 2023
  2. Get boardroom ready: five ways to improve executive interactions with the board
  3. M&A Predictions and Guidance for 2023
  4. The CEO’s ESG dilemma
  5. Financing Year in Review: The Tide Turns
  6. How Twitter Pushed Stakeholders Under The Bus
  7. ISS Updates Frequently Asked Questions for Equity Compensation Plans, Peer Group Selection and Compensation Policies
  8. SEC Strategic Plan for Fiscal Years 2022-2026
  9. Amendments to Rules Governing Trading Plans and Insider Filings
  10. Oversight of Proxy Voting Advisors: US and EU Regulators Converge

10 Breakthrough Technologies 2023 | MIT Technology Review

Voici une publication incontournable qui sera assurément d’un grand intérêt pour tous les administrateurs.

Chaque année, le MIT sélectionne les 10 technologies qui comptent le plus en ce moment. Vous en reconnaîtrez certaines; d’autres pourraient vous surprendre.

Le MIT recherche des avancées qui auront un impact important sur nos vies, puis les chercheurs expliquent pourquoi elles sont importantes.

Bonne lecture !

10 Breakthrough Technologies 2022 | MIT Technology Review

— À lire sur :

10 Breakthrough Technologies 2023 | MIT Technology Review

La rédaction des procès-verbaux : Considérations légales


Voici un article publié par Sonia K. Nijjar, Jenness E. Parker, Lauren N. Rosenello et Skadden, Arps, Slate de la firme Meagher & Flom sur le Forum du HLS, qui traite d’un sujet majeur, lequel ne fait pas souvent l’objet d’attention alors que de nombreuses questions se posent sur le sujet.

En effet, on minimise trop souvent l’importance d’un procès-verbal bien rédigé qui permet au conseil d’administration de bien jouer son rôle de représentation des intérêts des parties prenantes, dont les actionnaires.

Les règlementations en gouvernance sont plutôt discrètes sur la façon de rédiger les procès-verbaux des entreprises. La jurisprudence à cet égard est abondante dans les cas de poursuites judiciaires pour protéger les droits des actionnaires !

La rédaction des PV est une activité qui peut avoir des effets positifs ou négatifs sur un plan légal. L’article ci-dessous fait état des enjeux à cet égard.

Bonne lecture !


La vraie façon de rédiger un procès-verbal aujourd'hui | Secrétaire-inc


  • Boards should see minutes as a way to tell how they worked to fulfill their duties to stockholders, capturing a board’s deliberations and the reasoning behind its decisions.
  • Properly documenting the board’s deliberative process takes on heightened significance for “mission-critical matters” such as major deals, oversight of monoline businesses or significant revenue flows, or catastrophic events, where board actions may be the subject of stockholder litigation.
  • Well-drafted board minutes can help contain the scope of stockholders’ books and records requests and make it easier to win early dismissal of lawsuits.
  • To protect against claims that a company’s disclosures were misleading, a company’s public statements and filings should be consistent with the board minutes.

Board minutes are an essential part of a company’s internal record keeping. But they are more than a routine, formal exercise. They also play a pivotal role in stockholder litigation. As a contemporaneous record, plaintiff stockholders will scrutinize minutes when evaluating and pursuing claims against directors and officers, and judges will consider minutes at the pleadings stage. Boards should see minutes as a way to tell how they worked in fulfilling their duties to stockholders.

Minutes of important board meetings, and proxy statements describing them, have become increasingly important in recent years as a result of developments in Delaware law. Courts have sometimes granted stockholders early access to documents beyond formal board materials, such as directors’ emails and text messages, where they found that minutes offered too sparse an account of a board’s consideration of a particular issue. In addition, if a formal board record is lacking, stockholders may argue that a board breached its duty to oversee and address risk.

By contrast, a sufficiently clear record in the minutes of directors’ deliberations and the process by which they reached decisions can position the company to head off intrusive probes of internal records at the outset, help prevent complaints from being filed, and potentially aid in winning early dismissal of suits.


Logistical Drafting Considerations

There is no one-size-fits-all approach to drafting board minutes, but they typically reflect, among other things, formal matters such as the date that the board meeting was noticed or, alternatively, if notice was waived by all directors; who attended the meeting (including executives, employees and any outside advisers) and how they participated (in person or remotely); as well as when the meeting commenced and adjourned. If the board received presentations, those may also be attached as exhibits.

In some instances, where individual directors make comments or raise questions, good practice is to identify the issues considered, inputs the board received and other details about the discussion generally without a need to detail specific questions or name individual directors.

Potential Stockholder Challenges

When drafting board minutes, keep in mind that there can be several types of stockholder challenges to board action or inaction of a Delaware public company. The board should expect such challenges, whether in the form of a books and records demand, derivative or direct litigation, or demands that the company pursue litigation. Here are the most common issues raised by stockholders, and how good minutes can be helpful in defending against legal challenges:

Delegation to a committee. If a board determines that a committee would be helpful to oversee an investigation or transaction, whether to avoid a potential conflict or allow for more agility and speed with a smaller group, it is best to document the decision with board resolutions. The minutes may (i) explain why the board concluded it was in the company’s best interest to enlist a committee and (ii) specify the committee’s mandate and scope of authority. For example, it may be helpful to explain whether the committee has full authority (like a special committee weighing a transaction where there is a potential conflict of interest for other board members), or whether the committee will make a recommendation for full board approval.

Oversight. When the board is deliberating about significant issues, including those that Delaware courts have deemed “mission-critical,” the board’s process and actions should be adequately captured to reflect its oversight. This may include documenting how it received and considered the input of management and advisers, as well as a discussion of a board’s consideration and decision regarding risks and mitigation of those.

Director independence and conflicts. Directors and officers may complete questionnaires on a regular basis as well as in a specific context, like a transaction, to evaluate their independence and to identify potential conflicts of interest. Certain disclosures, particularly ones that might pose a potential conflict, may warrant board-level consideration. The minutes should reflect this deliberation and subsequent determinations.

Good, thorough minutes are even more important today than in the past because of the proliferation of stockholder books and records requests.

Other conflicts. Where there is a potential conflict regarding any matter, the board should weigh whether that should be disclosed and document that consideration in the minutes. For example, stockholders commonly challenge a board’s choice of advisers — particularly financial firms assisting on transactions. A board may require disclosure of potential adviser conflicts, and consider those before retaining an adviser. It may also insist on updates if any additional material conflicts arise. It is important that the minutes clearly document this process and any conflict considerations. Not all conflicts are fatal, particularly if understood and appropriately considered and addressed (if appropriate), but failing to identify and consider conflicts can be problematic.

Deal processes. Just as it is important to document the board’s deliberation regarding significant issues, it is critical to make a record of the board’s process when selling the company. Boards should receive regular updates about the sale process, including any important communications (or lack thereof) with bidders. For a significant M&A transaction, the record should reflect a thorough, board-centric process, even if — as is generally perfectly appropriate and typical — the CEO is leading negotiations.

It is common to use code names when discussing M&A deal counterparties even in the official record, as other parties may end up seeing the board’s minutes.

Disclosure claims. The company’s public statements and publicly filed documents should reflect what actually happened at the board. Accordingly, when preparing public filings, care should be given to reviewing board materials and minutes. If there are discrepancies, stockholders may allege that the company’s disclosures were incomplete or misleading.

Potential disclosure violations take on heightened significance in the deal context. If a stockholder successfully alleges a disclosure deficiency, directors may not benefit from the protections of two important Delaware decisions, Corwin and MFW. Under Corwin, a transaction approved by fully informed, uncoerced stockholders, not involving a controlling stockholder, is protected by the business judgment rule, which shields directors from liability if they acted in good faith and followed proper procedures.

MFW and later cases that follow also apply the business judgment rule to controlling-stockholder “squeeze out” mergers if certain conditions are satisfied. One condition is that there was a fully informed vote of minority stockholders. Accordingly, when drafting the disclosure document, the board minutes should be used as a guide so that the documents track each other and accurately reflect the board’s deliberations and actions so the board may receive the benefits of Corwin and MFW in any litigation down the road.

Protecting Privilege

It is important to ensure that the fact that legal advice was given to the board is reflected in the minutes at least at a high level, but boards need to guard against waiving the attorney-client privilege. Although privileged information is typically redacted when minutes are produced to plaintiff stockholders, legal advice may at some point become an issue in litigation if the board asserts that it relied on that advice.

To protect privileged information from disclosure, minutes reflecting legal advice should be characterized as an outside attorney or in-house counsel “providing legal advice” about a matter as opposed to “advising the board” to take a certain action, because advice from a lawyer that is not legal in substance — say, advice on business strategy — potentially may not be protected by the privilege. See our April 13, 2021, Informed Board article “Just Between You and Us: The 10 Most Common Client Misconceptions About the Attorney-Client Privilege.”

The Increase in Books and Records Demands Makes Board Minutes All the More Important

Good, thorough minutes are even more important today than in the past because of the proliferation of stockholder books and records requests. Several developments in Delaware law have given stockholders and their counsel strong incentives to make those demands before taking other legal steps. As a result, many Delaware companies find themselves deluged with those requests, which can furnish stockholders with ammunition for litigation. See our June 1, 2022, Informed Board article, “In the Name of the Company: When Stockholders Interfere in the Boardroom.”

By observing careful practices regarding minutes, companies can make it more likely that the courts will not allow access to books and records beyond formal documents such as minutes, thereby limiting the material that can be used in complaints. Moreover, at the pleadings stage, companies may point the court to portions of minutes to rebut the inference given to plaintiffs’ allegations, or to demonstrate “cherry picking” or inaccuracies in the plaintiffs’ characterizations that create a false picture of the board’s process.

In sum, prepared carefully, minutes tell the board’s side of the story to stockholders and courts.

Top dix des billets publiés sur le Forum du Harvard Law School on Corporate Governance au 5 janvier 2023

Voici, comme à l’habitude, les dix plus importants billets publiés sur le Forum du Harvard Law School on Corporate Governance.

Bonne lecture !


Top Ten Survey Writing Tips | QuestionPro


  1. SEC Press Release provides Compliance Checklist for Corporations
  2. The Top 15 Anticipated ESG-Related Considerations That Will Influence Strategy in 2023
  3. Crisis prevention and readiness
  4. How Companies Should Approach Shareholder Proposals This Proxy Season
  5. The board’s role: building trust in a multi-stakeholder world
  6. ESMA Consultation Paper on Fund Names to Tackle Greenwashing
  7. Activating Sustainability in the Boardroom
  8. 2022 U.S. CEO Outlook
  9. Between Public and Private Enterprise: The Role and Structure of Special-Purpose Governmen2022 U.S.
  10. Shareholder Activism and Activist Settlement Agreements

Top dix des billets du HLS au 22 décembre 2022


Voici, comme à l’habitude, les dix plus importants billets publiés sur le Forum du Harvard Law School on Corporate Governance.

Bonne lecture et joyeuses fêtes!

top ten - Illustrations et vecteurs libres de droits - Stocklib

Corporate Governance Evolves Amid Increasing Sustainability Awareness
 Activism and Stewardship Pressure on Boards
Dual Class Share Structures: Is the Sun Setting Too Slowly?
What Do Outside CEOs Really Do? Evidence from Plant-Level Data
The Activism Vulnerability Report – Q3 2022
Audit committee effectiveness: practical tips for the chair
Good Corporate Citizenship We Can All Get Behind?: Toward A Principled, Non-Ideological Approach To Making Money The Right Way
Overseeing internal investigations
Proxy Advisors Update Voting Guidelines for 2023


Gestion des risques d’entreprise (GRE) et rôle de surveillance du conseil d’administration : Comment bien faire ?


Aujourd’hui, je vous propose la lecture d’un article publié par Maria Castañón Moats*, Paul DeNicola, Stephen G. Parker de la firme PricewaterhouseCoopers, et paru sur le Forum de la Harvard Law School on Corporate Governance.

Les administrateurs sont de plus en plus impliqués dans les activités de surveillance, d’évaluation et de gestion des risques d’entreprises (GRE).

Les auteurs présentent une approche empirique très utile pour aider les administrateurs à s’acquitter de leurs responsabilités eu égard aux risques.

L’article fait le tour des moyens utilisés par les conseils d’administration pour se prémunir des risques organisationnels. L’article est assez long, mais il est très complet.

Afin d’aider les lecteurs, j’en ai une adaptation en utilisant l’outil de traduction de Google, et en faisant une adaptation soignée.

Bonne lecture !

Risk oversight and the board: navigating the evolving terrain


Nous vivons à une époque d’événements imprévus qui engendrent des risques, notamment des conflits géographiques et des événements si imprévisibles qu’ils  ne sont sur le radar de personne – une pandémie mondiale aux conséquences économiques et sociales de grande envergure. Bien qu’une entreprise ne puisse pas toujours anticiper ce qui pourrait arriver, une surveillance rigoureuse des risques par le conseil d’administration peut aider l’entreprise à réagir avec plus de rigueur et d’agilité. Le nombre et les types de risques que le conseil surveille continuent d’augmenter, même si leur nature change. Certains deviennent plus probables à mesure que les entreprises sont plus interconnectées. Certains sont susceptibles d’avoir un impact sur un certain domaine de l’entreprise. D’autres pourraient avoir de graves répercussions sur l’ensemble des opérations.

Ces dernières années ont renforcé la nécessité de reconnaître l’occurrence d’événements qui semblaient autrefois être improbables. Comment les organisations et leurs conseils d’administration peuvent-ils utiliser cette leçon pour améliorer leurs processus de surveillance des risques ? Garder un esprit ouvert, mais sceptique, en constitue une grande partie. Compte tenu de l’expérience collective de la plupart des conseils d’administration, et du fait que les administrateurs siègent en dehors de la gestion quotidienne de l’entreprise, ils sont bien placés pour apporter cette ouverture d’esprit et cette volonté d’explorer divers scénarios. Adopter une vision à long terme des risques, alignée sur le plan stratégique au niveau du conseil d’administration, permet à la direction de l’entreprise de se concentrer sur la gestion quotidienne de ces risques.

L’évolution de la GRE

La gestion des risques d’entreprise (GRE) a toujours consisté à identifier et à gérer les principaux risques pour l’organisation. Cela n’a pas changé. Les intrants, la méthodologie, les résultats et le processus global l’ont été, parce qu’ils le devaient. Comme illustré ci-dessous, il existe plusieurs moteurs de l’évolution des processus de GRE et de surveillance des risques.


Le lien entre stratégie et risque

Les grands investisseurs institutionnels ont fait pression pour obtenir plus d’informations sur la façon dont la déclaration d’intention d’une entreprise est liée à sa stratégie et à son succès à long terme. Avec cette attention externe croissante sur la stratégie, les conseils d’administration doivent comprendre comment la mission de leur entreprise a un impact sur ses processus pour  identifier les risques et déterminer l’appétit pour le risque de l’entreprise. Les risques et l’appétit pour le risque de l’entreprise doivent être considérés non seulement du point de vue de l’entreprise, mais aussi du point de vue des actionnaires et des autres parties prenantes (par exemple, les employés, les clients, les fournisseurs, les communautés et les régulateurs).

Prenons les risques GRE pour illustrer cela. Pour de nombreuses entreprises, ces risques étaient déjà sur leur radar, quelque part. Mais l’attention récente des grands investisseurs institutionnels, combinée à une augmentation des propositions d’actionnaires demandant la divulgation, a mis ces risques au premier plan. Les grands investisseurs institutionnels suggèrent que les risques GRE pourraient avoir un impact sur la valeur durable à long terme de l’entreprise. Par exemple, l’entreprise dépend peut-être de l’eau comme ressource clé. En raison des changements climatiques, l’approvisionnement en eau pourrait devenir un enjeu, ce qui finira par affecter la valeur à long terme de l’entreprise. Les entreprises se concentrent désormais davantage sur l’identification des risques GRE matériels de ce type, sur le suivi et la surveillance de ces risques, et sur la communication de leurs efforts aux actionnaires et aux autres parties prenantes.

Le conseil doit se concentrer sur les principaux risques commerciaux qui font l’objet d’un suivi et d’une surveillance actifs à tous les niveaux, y compris au niveau du conseil. Ils peuvent ajouter une valeur réelle en prenant du recul et en se demandant quels risques ne seraient pas pleinement soupesés.

Marge d’amélioration dans les discussions GRE

Seuls 62 % des administrateurs déclarent que leur conseil d’administration discute de la GRE dans le cadre de la discussion sur la gestion des risques d’entreprise

Source : PwC, Sondage annuel 2021 auprès des administrateurs de sociétés, octobre 2021.

Pour en savoir plus sur la GRE, lisez Préserver la confiance : le rôle du conseil d’administration dans l’intégration de la GRE.


Tout d’abord : la composition du conseil d’administration

La surveillance des risques relève de l’entière responsabilité du conseil d’administration.



Il est essentiel de disposer de compétences et d’expériences diverses au sein du conseil d’administration pour comprendre le large éventail de risques auxquels une entreprise peut être confrontée. Il est important d’avoir des membres du conseil d’administration ayant une grande expertise dans l’industrie et qui peuvent aider à anticiper ce qui va arriver. D’un autre côté, il est également important d’avoir de nouvelles perspectives, qu’il s’agisse de nouveaux administrateurs, de personnes ayant de l’expérience dans différents secteurs ou de compétences différentes, pour voir le risque sous différents angles. Les administrateurs qui ont une expertise spécifique en gestion des risques peuvent également apporter une réelle valeur ajoutée.

Composition et diversité du conseil

Comment décririez-vous l’importance des aptitudes, compétences ou qualités suivantes au sein de votre conseil ?

La diversité du conseil peut également avoir une incidence sur la surveillance des risques. En fait, 76 % des répondants à notre sondage annuel 2021 sur les administrateurs de sociétés ont convenu que la diversité au sein du conseil améliore la stratégie/la surveillance des risques et peut réduire le risque de passer à côté de risques clés.

Une fois que les administrateurs ont évalué la composition du conseil, et constaté qu’ils disposent des compétences adéquates au sein du conseil pour superviser efficacement les risques, il s’agit ensuite de comprendre comment l’entreprise identifie et gère ces risques.

La diversité du conseil a une incidence sur la surveillance

76 % des administrateurs déclarent que la diversité au sein du conseil améliore la stratégie/la surveillance des risques

Source : PwC, Sondage annuel 2021 auprès des administrateurs de sociétés, octobre 2021.

Comprendre et maximiser la GRE

La gestion des risques d’entreprise (GRE) signifie différentes choses pour différentes personnes. Certaines entreprises utilisent simplement la GRE pour identifier, hiérarchiser et signaler les risques, protégeant ainsi la valeur. Les meilleures entreprises utilisent également la GRE pour prendre des décisions plus éclairées et améliorer leurs performances stratégiques, financières et opérationnelles, ce qui génère de la valeur. Mais, il faut du travail et de l’adhésion à tous les niveaux pour que cela se produise.

Qu’est-ce que la GRE ? (et ce qu’elle n’est pas)

La GRE est l’ensemble des capacités, de la culture, des processus et des pratiques qui aident les entreprises à prendre de meilleures décisions face à l’incertitude. Il donne aux employés un cadre et des politiques pour les aider à comprendre, identifier, évaluer, gérer et surveiller les risques afin que l’entreprise puisse atteindre ses objectifs. Elle est plus utile lorsqu’elle est intégrée à la planification stratégique et à la prise de décision.

Les meilleures entreprises utilisent également la GRE pour prendre des décisions plus éclairées et ainsi améliorer leurs performances stratégiques, financières et opérationnelles, ce qui génère de la valeur.

La simple évaluation des risques (identification et hiérarchisation des principaux risques) ne relève pas de la GRE. Si une entreprise s’arrête là, elle peut connaître le risque, mais ne pas le gérer activement. Cela ne veut pas dire que l’identification et l’évaluation des risques ne sont pas un élément clé de la maximisation de la valeur de la GRE pour l’entreprise. La recherche de risques nécessite non seulement de comprendre les inducteurs de valeur de l’organisation, mais également les risques (et les opportunités) qui peuvent survenir lorsque ces inducteurs de valeur changent. La GRE peut être un outil pour aider les organisations à considérer les avantages potentiels des décisions associées à chaque risque spécifique. Par exemple, de nombreuses organisations ont changé leurs modèles d’affaires à la suite de la pandémie de COVID-19, en adoptant une politique de main-d’œuvre à distance et en offrant aux clients d’autres manières d’interagir avec eux, ouvrant ainsi de nouveaux canaux de distribution.

Les conseils d’administration et les hauts dirigeants doivent regarder au-delà de ce trimestre ou de cette année pour élaborer la bonne stratégie et prendre les bons paris. Il est peu probable que la GRE et la haute direction prédisent le prochain événement « cygne noir ». Mais une GRE robuste peut mettre en lumière une technologie disruptive : nouveaux concurrents, problèmes environnementaux ou sociaux et changements dans les réglementations, l’économie ou le paysage politique. L’évaluation continue des risques de l’entreprise doit englober les risques émergents pour aider l’entreprise à se concentrer sur les risques futurs afin d’identifier tout impact stratégique.

Il est également important de garder à l’esprit que la surveillance des risques ne signifie pas d’éviter tous les risques. Pour avoir une stratégie réussie, les entreprises doivent prendre des risques. Correctement effectuée, la GRE identifie les principaux risques qui pourraient faire obstacle et s’assure qu’ils sont (a) communiqués aux parties prenantes qui ont besoin de savoir, et (b) gérés de manière appropriée. Mais, la GRE etant différente dans chaque entreprise, comment les administrateurs peuvent-ils savoir si cela fonctionne dans leur entreprise ?

Signes indiquant que la direction pourrait améliorer la GRE

Pour en savoir plus sur l’amélioration de la GRE, consultez l’ enquête mondiale sur les risques 2022.

Veiller à ce que la GRE survive aux changements de direction

Si la GRE ne fonctionne qu’au niveau de la direction, elle n’influencera pas le comportement dans toute l’organisation. En fait, certaines entreprises trouvent utile d’évaluer les risques ou de hiérarchiser les risques à différents niveaux. Si vous demandez à différents groupes de personnes de hiérarchiser une poignée de risques clés dans l’entreprise, vous pouvez obtenir des réponses différentes en fonction du domaine de compétence de chacun. Le conseil d’administration et l’équipe de direction peuvent être alignés sur la hiérarchisation des risques, mais les cadres intermédiaires peuvent avoir une hiérarchisation très différente. Il vaut la peine de demander à ceux qui ne font pas partie de la haute direction comment ils pourraient hiérarchiser les risques. Alors, soit que  les cadres intermédiaires obtiennent plus d’informations sur les risques de la part des clients, des fournisseurs et d’autres employés que le processus GRE ne capte pas, soit que l’équipe de direction ne sensibilise pas efficacement les cadres intermédiaires aux principaux risques et à la nécessité de se concentrer sur leur atténuation. Dans tous les cas, ces informations peuvent être très utiles pour comprendre comment l’entreprise s’aligne sur l’identification et la hiérarchisation des risques.

Autres acteurs concernés par la GRE

En plus de la haute direction et du conseil d’administration, de nombreuses entreprises trouvent utile d’inclure des personnes de différents niveaux de l’organisation dans leur processus de GRE. Cela peut être aussi simple que de demander à la direction d’ajouter certains cadres intermédiaires à toutes les entrevues pendant le processus d’évaluation des risques. Lors des mises à jour de la GRE, les administrateurs peuvent demander à la direction s’ils ont envisagé cette approche plus holistique pour identifier et évaluer les risques.

Appétit pour le risque

Nous avons tous lu sur des entreprises qui ont pris des décisions impliquant des niveaux de risque qu’elles ne comprenaient pas entièrement. Également, d’autres organisations craignent de prendre trop peu de risques et de rater des opportunités en termes de performance et de croissance. À la lumière de ce qu’ils voient se produire, il n’est pas rare que les administrateurs se demandent quel niveau de risque l’entreprise doit prendre pour réaliser le plan stratégique .

L’instinct pousse à prendre des risques dans de nombreuses entreprises. La plupart des gens savent comment ils doivent se comporter et quels risques sont acceptables. Mais comment la haute direction et le conseil d’administration peuvent-ils savoir que tout le monde est sur la même longueur d’onde lorsqu’il s’agit de prendre des risques ? Cela revient à tirer parti d’un appétit pour le risque. La direction peut informer les employés du niveau de risque acceptable pour atteindre ses objectifs en déclarant son d’appétit pour le risque. Certaines entreprises voient cela comme un exercice académique qui finit sur une tablette. Mais, lorsqu’il est bien fait, il peut fournir un véritable aperçu des types et de la quantité de risques qui conviennent à l’entreprise, tout en précisant la prise de décision en matière de risque dans l’organisation.

Les déclarations d’appétit pour le risque réussies correspondent à la stratégie et éclairent les décisions commerciales. La déclaration d’appétence au risque comprend des informations quantitatives et qualitatives. Le conseil d’administration revoit annuellement la déclaration d’appétit pour le risque dans le cadre de ses efforts de surveillance de la GRE. Et dans le cadre de rapports réguliers, les conseils d’administration obtiennent une vue consolidée des risques dans l’ensemble de l’organisation afin d’être en mesure d’évaluer l’agrégation des risques par rapport à l’appétit pour le risque.

Qu’est-ce qui fait une bonne déclaration d’appétit pour le risque ?

Une bonne déclaration d’appétit pour le risque peut promouvoir une culture saine et aider à la prise de décision. Cela devient un manuel de l’entreprise pour déterminer le degré d’incertitude acceptable. Il définit les limites du niveau de risque à prendre pour atteindre les objectifs stratégiques et opérationnels. (Ces limites seront différentes pour différents types de risques.) En réalité, plusieurs expressions peuvent être nécessaires pour exprimer le degré de risque adéquat (le plancher) et le degré acceptable (le plafond) pour atteindre les objectifs. En résumé, cela rend la prise de risque plus transparente.

Pour obtenir des exemples, consultez Appétit pour le risque du COSO – Essentiel au succès.

Quel rôle la culture joue-t-elle dans la discussion sur les risques ?

L’appétence au risque fait partie intégrante de la culture d’entreprise. Une culture d’entreprise qui reflète un ton clair, cohérent et éthique au sommet peut favoriser une prise de risque appropriée ainsi qu’une nécessaire transparence. D’un autre côté, si le ton du sommet est celui de la méfiance et de la microgestion, la prise de décision peut être paralysée et conduire à une culture de l’aversion au risque. Et une culture d’entreprise qui fournit des messages mitigés (les actions et les mots ne concordent pas) peut conduire à une prise de risque inappropriée. Des conseils avisés évaluent le leadership, les personnes, la communication, la stratégie, la responsabilité, le renforcement, la gestion des risques et l’infrastructure pour évaluer l’impact du risque sur la culture du risque de l’entreprise.

Voir Pourquoi les conseils d’administration doivent-ils connaître la culture de leur entreprise ? Indice : pour sassurer qu’il s’agit d’un atout, et non d’un handicap, pour plus d’informations sur le rôle du conseil d’administration dans la surveillance de la culture.



Rapports sur les risques

De nombreuses entreprises utilisent une approche en silo et manuelle pour gérer et signaler les risques. Cela signifie que différentes parties de l’entreprise peuvent signaler les risques au conseil à différentes fréquences, sous différents formats et avec différents domaines d’intérêt. Pour aggraver l’inefficacité de cette approche fragmentée, chaque partie de l’entreprise peut utiliser des systèmes différents, rapportant ainsi différents types de données.

Certaines entreprises préparent des rapports de risques complets en distillant les informations fournies par divers groupes de gestion des risques. Mais une telle approche soulève d’autres défis et le processus lui-même peut être inefficace. De plus en plus d’entreprises utilisent une plate-forme technologique GRC (gouvernance, risques et conformité) pour consolider et rationaliser le processus de reporting des risques.

Le conseil devrait déterminer le type, le niveau et la fréquence des rapports qui lui permettraient de s’acquitter efficacement de ses responsabilités en matière de surveillance des risques. Les principales organisations font rapport trimestriellement au conseil d’administration sur la GRE. Dans le cadre d’une analyse approfondie annuelle du processus global de GRE, la direction peut présenter son processus d’identification et d’évaluation des principaux risques pour l’organisation. Ces principaux risques (généralement entre 10 et 15 risques, pouvant varier en fonction de l’entreprise) et toute modification de ceux-ci feraient partie d’un rapport de prélecture trimestriel cohérent pour le conseil.

Votre entreprise obtient-elle les données dont elle a besoin pour gérer les risques ?

Parmi les participants à l’étude sur les risques mondiaux 2022 de PwC :

38 % ont déclaré que la fonction de risque de leur entreprise ne recherchait pas activement des informations externes pour évaluer et surveiller les risques

Source : PwC, 2022 Global Risk Survey, mai 2022.

Pour chaque risque clé, un cadre supérieur doit être désigné et un plan d’atténuation détaillé. Ce suivi devrait préciser les indicateurs de risque clés (KRI) pour chaque risque surveillé au niveau du conseil. Les KRI peuvent servir de signes avant-coureurs et peuvent être particulièrement utiles pour les administrateurs. Ces mesures peuvent donner aux conseils d’administration une idée de la façon dont la direction analyse l’horizon du risque à la recherche de signaux d’alarme. Les KRI ne prédisent pas l’avenir, mais ils permettent à la direction de surveiller les changements possibles dans l’impact ou la probabilité des risques clés pour aider à minimiser les surprises. Par exemple, une baisse du produit intérieur brut ou une augmentation du chômage peuvent signaler à un détaillant que les ventes de vacances ne seront pas aussi robustes que prévu et qu’il peut être temps d’alléger les stocks ou de réduire les effectifs.

En plus des prélectures trimestrielles récurrentes pour le conseil d’administration, les responsables de la GRE de l’organisation et quelques-uns des responsables des risques peuvent fournir des commentaires lors d’une réunion sur les changements et sur ce qui pourrait émerger. Les questions que le conseil pourrait envisager de poser incluent : (1) y a-t-il des risques qui ne figurent pas sur la liste des principaux risques et qui pourraient apparaître subséquemment? (2) Que se passe-t-il si deux risques ou plus interagissent ? Il peut être plus utile de considérer ceux pour lesquels la probabilité semble faible, mais dont l’impact serait critique.

Il est essentiel de comprendre que des discussions régulières avec la direction sur les risques sont impératives. Les rapports de la direction et/ou les discussions avec le conseil d’administration doivent, au minimum, identifier les risques les plus critiques pour l’entreprise, l’impact possible et la probabilité de ces risques, l’identification des responsables des risques et la situation eu égard aux activités d’atténuation.

Structure du conseil et pratiques de surveillance

Tout le conseil ou responsabilité d’un comité?

L’ensemble du conseil d’administration est responsable de la surveillance des risques et doit comprendre le programme de GRE d’une entreprise. Toutefois, le conseil peut souhaiter déléguer les détails de la surveillance de risques spécifiques à des comités. Par exemple, le comité de rémunération peut se concentrer sur les risques posés par les plans de rémunération remaniés tandis que le comité de la technologie se concentre sur ceux inhérents à une nouvelle intégration des systèmes informatiques.

Avec l’augmentation du nombre et du type de risques que les conseils d’administration surveillent, de nombreux conseils d’administration réexaminent la manière dont ils répartissent la surveillance des risques entre l’ensemble du conseil et les comités. Les principaux conseils d’administration réexaminent la répartition des risques au moins une fois par an pour s’assurer que rien ne passe entre les mailles du filet et que tous les risques clés sont à l’ordre du jour au conseil d’administration plénier ou à un comité.

Les comités des risques suscitent beaucoup d’intérêt, mais les comités des risques sont encore relativement rares. En effet, seulement 12 % des entreprises du S&P 500 ont des comités des risques. Cela inclut les entreprises du secteur des services financiers et d’autres secteurs hautement réglementés, où elles peuvent être obligatoires.

Bien que l’ensemble du conseil d’administration soit responsable de la surveillance des risques, beaucoup de CA confient l’entièreté de la surveillance quotidienne au comité d’audit, qui a déjà beaucoup de pain sur la planche. Les risques distincts sont ensuite répartis dans l’ensemble de la structure du comité, le comité d’audit en assumant également certains. En plus des contraintes de temps et du large champ d’application, le comité d’audit peut ne pas être le bon endroit pour surveiller certains risques qui peuvent nécessiter une expérience plus spécifique à un sujet.

Quelle que soit la structure d’attribution de la surveillance que le conseil adopte, les administrateurs doivent s’assurer qu’ils sont en mesure de faire les liens appropriés. Une focalisation cloisonnée sur les risques individuels pourrait empêcher le conseil d’identifier comment les risques se recoupent. Une lecture rigoureuse des rapports des comités aide à garantir que les idées et les conclusions importantes sont communiquées à l’ensemble du conseil. Pour une surveillance efficace, il est essentiel de s’assurer que les aspects distincts de la gestion des risques se rejoignent au niveau de l’entreprise pour un examen de la façon dont ces risques distincts interagissent, s’ils peuvent devenir covariants et quelles circonstances externes pouvaient conduire à des risques apparemment indépendants, en alignement ou en cascade.

Utilisation d’une matrice de répartition des risques

Certaines sociétés bénéficient de l’utilisation d’une matrice de répartition des risques, qui peut faire partie du résumé des risques clés fourni au conseil d’administration. Une matrice de répartition des risques, qui fonctionne mieux lorsqu’elle fait partie du cadre de gouvernance de la GRE, aide les membres du conseil à comprendre quel comité, ou éventuellement l’ensemble du conseil, détient la responsabilité de la surveillance de chaque risque. Cela devrait également faire partie du cadre de gouvernance de la GRE, un élément clé qui définit clairement qui gère et qui supervise chaque risque.

Selon un sondage de la NACD , seuls 53 % des administrateurs ont indiqué que leur conseil d’administration avait attribué des rôles de surveillance des risques clairement définis à chacun de leurs comités.

Exemple de matrice de répartition des risques


Tirer le meilleur parti du temps consacré aux réunions

Qu’il s’agisse de l’ensemble du conseil d’administration ou d’un comité chargé de superviser les risques, des analyses approfondies périodiques peuvent aider les administrateurs à mieux comprendre les principaux risques. Les responsables du risque (unité commerciale ou cadres fonctionnels) peuvent expliquer la nature du risque, son impact potentiel sur les objectifs stratégiques, la manière dont il est géré, y compris les limites acceptables, et le type de contrôles en place. C’est aussi le moment idéal pour découvrir comment ils intègrent les pratiques de gestion des risques dans leurs activités. Et c’est l’occasion de comprendre s’ils gèrent les risques et les performances ensemble, car les risques individuels peuvent avoir un impact sur plusieurs objectifs. La mise en évidence de 1 à 2 domaines de risque clés chaque trimestre est une bonne cadence. Envisagez d’intégrer ces séances dans le calendrier de planification de l’agenda annuel.

Les administrateurs peuvent ensuite passer du temps à discuter du risque et de la façon dont l’évaluation de la direction peut changer, par exemple, si l’impact potentiel est plus grave ou change plus rapidement que prévu.

Enfin, les administrateurs doivent solliciter d’autres avis sur la manière dont la direction gère un risque spécifique en demandant leur avis au personnel de la GRE, de la conformité et de l’audit interne.

Transparence du conseil

Comment un conseil d’administration peut-il rassurer les investisseurs et les autres parties prenantes sur le fait qu’il surveille efficacement les risques ?

Depuis 2010, les sociétés ouvertes sont tenues d’inclure des informations sur le rôle du conseil d’administration dans la surveillance des risques dans leurs circulaires de sollicitation de procurations. La divulgation anticipée des procurations comprenait peu de détails. Ils ont souvent simplement déclaré que le conseil a la responsabilité globale de la surveillance des risques, le comité d’audit surveille les risques liés aux finances, le comité de gouvernance surveille les risques liés à la gouvernance et le comité de rémunération surveille les risques liés à la rémunération. De telles divulgations de base ne donnent pas aux actionnaires une grande confiance dans le fait que le conseil surveille activement les risques qui comptent.

Récemment, les actionnaires ont exigé que les entreprises fournissent des informations plus significatives et transparentes sur les activités et les performances de surveillance des risques du conseil d’administration. En particulier, les grands investisseurs veulent comprendre comment les entreprises se concentrent sur les risques de développement durable qui pourraient avoir un impact sur la capacité d’une entreprise à générer de la valeur à long terme. Pour inciter à l’action, certains investisseurs ont même annoncé des changements dans leurs politiques de vote des administrateurs. Dans certains cas, l’incapacité d’une entreprise à se concentrer de manière appropriée sur ces risques et à divulguer des mesures pertinentes pourrait désormais déclencher des votes contre certains administrateurs.

En réponse à la demande des investisseurs, les régulateurs ont également commencé à faire pression pour une plus grande divulgation de la surveillance des risques. En 2022, la SEC a proposé des règles relatives à la fois au changement climatique et aux divulgations en matière de cybersécurité. Les règles proposées traitent de la divulgation de plus d’informations sur la gestion des risques de l’entreprise dans ces domaines et sur la surveillance du conseil d’administration dans chacun d’eux. Compte tenu de cette attention accrue portée à la surveillance des risques par les investisseurs et les régulateurs, de nombreuses entreprises élargissent désormais leurs informations sur les risques. Les administrateurs doivent lire leurs déclarations de procuration actuelles avec un œil critique et s’assurer de faire connaître le travail qu’ils accomplissent.

Les administrateurs peuvent demander à la direction de comparer les informations fournies par la société sur la surveillance des risques par le conseil. L’examen des meilleures divulgations peut inciter le conseil à être plus transparent. Cet exercice peut également souligner la nécessité de consacrer plus de temps au conseil à la gestion des risques ou d’identifier d’autres lacunes dans le processus de surveillance du conseil qui doivent être corrigées.

Quelle est la solidité de vos informations sur la surveillance des risques ?

Les déclarations de procuration ont évolué pour inclure des informations supplémentaires liées à la surveillance des risques, telles que :

  • Si l’ensemble du CA est engagé;
  • Une description de la façon dont le conseil examine la fonction de gestion des risques de l’entreprise (GRE);
  • L’approche du conseil d’administration pour répartir la surveillance des risques par comité, y compris une liste détaillée des principaux domaines de risque sur lesquels chaque comité se concentre;
  • La nature et la fréquence des rapports au conseil ou au comité;
  • Le rôle de la haute direction relativement à la surveillance des risques, y compris une description du comité de gestion des risques, de ses membres et de ses responsabilités;
  • Les détails concernant la surveillance de la cybersécurité, y compris le nombre de fois où la cybersécurité était à l’ordre du jour du conseil, qui (par exemple, CIO, CISO, CRO) présente des mises à jour au conseil, s’ils entendent également des experts externes et s’ils tiennent des séances privées avec le CIO ou RSSI;
  • Spécificités concernant la surveillance des risques GRE, y compris les objectifs et les cibles;
  • Comment le conseil se familiarise-t-il avec ses propres connaissances techniques dans ces domaines, que ce soit par le biais d’une expertise spécifique, de l’utilisation de conseillers tiers, d’une formation continue ou d’un perfectionnement des compétences ?

En conclusion…

Dans un environnement de risque commercial qui devient de plus en plus complexe et interconnecté, les conseils d’administration jouent un rôle crucial dans la surveillance des risques et de l’information aux actionnaires.

  • Pour commencer, les conseils peuvent regarder autour de la table. Y a-t-il une diversité d’expérience, de pensée, de genre et de race pour apporter des perspectives différentes sur le risque ?
  • Les conseils d’administration voudront également comprendre le programme de GRE de l’entreprise, et comment ils contribuent à ce programme.
  • Le conseil voudra également consacrer du temps à sa propre structure de surveillance.
  • Enfin, les conseils d’administration doivent considérer les diverses parties prenantes de l’entreprise : quelles informations leur sont fournies sur les programmes et les activités de gestion des risques de l’entreprise ?

En examinant et en affinant son approche de la surveillance des risques, un conseil peut offrir une valeur accrue à l’entreprise et à ses actionnaires.

*Maria Castañón Moats  est leader,  Paul DeNicola est directeur et Stephen Parker est associé au Governance Insights Center de PricewaterhouseCoopers LLP.

Sondage sur la gouvernance d’entreprise et la rémunération des dirigeants

Voici un article qui porte sur les caractéristiques de la gouvernance des 100 plus importantes sociétés américaines.

L’article a été publié aujourd’hui par Richard Alsop, Doreen Lilienfeld, Gillian Moldowan, Shearman & Sterling, Partners à Shearman & Sterling LLP.

L’infographie est formidable.

Bonne lecture !

Corporate Governance & Executive Compensation Survey

The Survey consists of a review of key governance characteristics of the Top 100 Companies, including a review of key ESG matters.

Board Size and Leadership

The average size of the board of the Top 100 Companies has decreased from 12.5 directors in 2015 to 11.8 directors in 2021, and 46 of the Top 100 Companies have split the CEO and board chair positions.

Director Independence

Over the last 10 years, the number of companies at which the CEO is the only non-independent director has increased significantly.

Board Refreshment

Board refreshment continues to be one of the key issues facing nominating and governance committees, and boards as a whole, as they are increasingly under pressure to change the face of the boardroom by re-examining topics such as director tenure, experience, performance and diversity, with gender and ethnic diversity at the forefront.

Board Diversity

Director Skill Set

Women in Leadership

ESG Disclosure and Governance

Format of Annual Shareholder Meetings


Cybersecurity and data protection and related risk-management discussions continue to be areas of focus for directors.

IPO Governance Practices

IPO companies continue to adopt the corporate governance practices that are disfavored by proxy advisory firms.

Human Capital Management

Share Ownership Requirements

Equity Plans

99 of the Top 100 Companies maintain equity plans to compensate employees and non-employee directors. We highlight trends in the Top 100 Companies with regard to board discretion, non-employee director compensation and share recycling.


2022 represented the 11th proxy season under the Dodd-Frank Act’s mandatory say-on-pay regime. Although most Top 100 Companies continue to receive high approval rates, this year saw an increase in say-on-pay failures.

Clawback Policies

The SEC proposed rules implementing Section 954 of the Dodd-Frank Act in 2015. In October 2021 and again in June 2022, the SEC reopened the comment period on the proposed clawback rules with an indication that the final rule could be broader than the 2015 proposal. Notwithstanding the lack of final rules, many Top 100 Companies voluntarily maintain clawback policies as a best practice. Their policies, however, are not uniform. Should the SEC finalize its rule, many companies will need to reassess their policies.

CEO Pay Ratio

Executive Perquisites

Golden Parachute Provisions

With the advent of say-on-pay and increased focus by institutional investors on executive compensation, golden parachute gross-up provisions have become all but obsolete at the Top 100 Companies. Many of the Top 100 Companies are implementing reduction provisions intended to protect executives from the excise tax known as either “cutback” provisions or ”better-of” provisions.

The link to the complete piece is located here.



Voici un article, publié sur le blogue d’Adam J. Epstein, le 2 décembre 2022, qui dénonce l’encroutement de certains administrateurs sur les conseils pendant trop d’années. Cet article est très engageant, surtout dans la perspective :

(1) de laisser plus de place aux nouvelles générations et

(2) de créer un espace pour le recrutement de membres issus de la diversité.

J’ai déjà abordé ce sujet délicat dans plusieurs billets au cours des dix dernières années. Voici un aperçu des différentes publications sur le sujet —

Le texte a été publié en anglais. Afin de faciliter la compréhension, j’ai révisé la traduction électronique produite par Google. Je crois que cette traduction est très acceptable.

Bonne lecture ! Vos commentaires sont les bienvenus.

There’s One Thing Board Members Should Do A Lot More Often: Resign


Why Board Members Decide To Step DownWhy Board Members Decide To Step Down

L’un des points de données les plus choquants de l’état des conseils d’administration chaque année est une gracieuseté de PwC. Leur sondage annuel auprès des administrateurs de grandes sociétés ouvertes pose une question formidable : « Y a-t-il des administrateurs dans votre conseil qui, selon vous, ne devraient pas l’être ? Si oui, combien ? »

Voici la réponse en 2022.

Près de la moitié des administrateurs (48 %) pensent qu’un ou plusieurs administrateurs de leur conseil devraient être remplacés. Dix-neuf pour cent (19 %) remplaceraient au moins deux de leurs collègues administrateurs.

Vous avez bien lu.

Je ne cesse de m’étonner du peu de gens qui en parlent.

Il y a de nombreuses raisons pour lesquelles des milliers de personnes siégeant à des conseils d’administration privés, publics et à but non lucratif ne devraient pas l’être. Vous pourriez facilement écrire 10 000 mots dessus.

Il y en aurait beaucoup moins si plus de gens discutaient ouvertement d’un seul mot.


La résignation se situe, dans le lexique américain, d’un autre mot que nous n’aimons pas.


Quitter n’est pas américain — c’est l’antithèse de ce qui a construit notre pays. Et on nous l’a tous rappelé quotidiennement quand nous étions enfants, « Personne n’aime un lâcheur. »

Démissionner n’est pas la même chose que quitter, bien sûr, comme nous le savons tous.

Quitter évoque une réticence à déployer l’effort requis.

Démissionner n’est pas une question d’effort ; c’est un départ plus réfléchi et raisonné.

Mais, ils se ressemblent tous les deux sur le tableau de bord : une personne a volontairement décidé de quitter un poste.

Pourquoi tout cela est-il important ? Je pense que ça compte beaucoup, en fait.

Je pense que c’est en partie la raison pour laquelle vous pouvez assister à tous les grands événements de gouvernance d’entreprise aux États-Unis, année après année, et ne pas voir un seul panel où des membres expérimentés du conseil d’administration discutent des tendances factuelles qui les ont incités à démissionner d’un conseil d’administration, et pourquoi ils étaient ravis qu’ils l’aient fait.

C’est drôle ce qui se passe quand les gens ne discutent jamais d’une ligne de conduite. Cela n’arrive pas.

Donc, dans l’esprit que la lumière du soleil est le meilleur désinfectant, soyons résolument clairs : parfois, la meilleure chose que vous puissiez faire en tant que membre du conseil d’administration est de démissionner.

Demandez à Avie Tevanian .

J’ai discuté de cette question avec énormément de membres du conseil d’administration au fil des ans. Je ne peux pas vous dire combien de fois j’ai entendu des choses comme :

  • « Je savais que mes compétences et mon expérience ne s’additionnaient plus. J’ai été nommé au conseil d’administration pour aider à résoudre un ensemble de problèmes discrets, et ces problèmes ont disparu lorsque l’entreprise a effectué une transition ».
  • « Le PDG n’était pas la bonne personne pour diriger l’entreprise… pour de nombreuses raisons. Mais, les autres membres du conseil d’administration étaient de bons amis du PDG, et j’étais sur une île. Je savais que de mauvaises performances étaient pratiquement garanties avec cette personne. Et j’avais raison. »
  • « Les autres membres du conseil d’administration n’étaient pas assez expérimentés pour savoir que l’équipe des finances était non seulement en sous-effectif, mais c’était aussi un groupe d’amateurs. Je pouvais juste dire que cela se dirigeait vers des dépôts tardifs et une situation potentielle de retraitement. Tous les indicateurs étaient là, mais je n’ai pu convaincre aucun des autres membres du conseil d’administration de voir le problème. »
  • « Les autres membres du conseil d’administration — et même nos avocats externes — étaient tellement entichés du PDG. Je ne suis pas avocat, mais même moi, j’ai pu voir que ce que le PDG suggérait équivalait à un délit d’initié.


Et toutes ces réflexions poignantes se terminaient de la même manière : “J’aurais dû démissionner du conseil d’administration, Adam ».

Aucun d’eux ne l’a fait.

Tous l’ont regretté.

Si votre instinct vous dit de démissionner d’un conseil… démissionnez. Ce n’est pas « anti-américain ». C’est intelligent. Et beaucoup plus de membres du conseil d’administration devraient le faire, que les « experts » du conseil d’administration veuillent en parler ou non.


Pourquoi les cadres « éthiques » sont-ils encore si bien payés ?

Pourquoi les CEO et les hauts dirigeants sont-ils toujours hyper payés, même dans des organisations qui sont reconnues pour leur approche éthique ?

L’article de Sandy Pepper* tente d’apporter une explication à ce phénomène.

La façon dont le marché du travail fonctionne — ou ne fonctionne pas — présente un dilemme pour les comités de rémunération en ce qui concerne la rémunération des dirigeants.

Comment expliquer cette situation ?

Selon l’auteur, quelque chose est cassé dans le système de rémunération des entreprises. Les CEO et les hauts dirigeants « sont les bénéficiaires les plus chanceux d’une défaillance du marché. L’isomorphisme et le dilemme du comité des rémunérations ont conduit à une inflation galopante des hauts salaires ».

L’auteur donne des explications très séduisantes aux dilemmes des comités de rémunération, mais il ne propose pas une solution toute faite.

Qu’en pensez-vous ?

Bonne lecture !

Why are ‘ethical’ executives still highly paid?

ethics high pay
Image: naum/

A fundamental problem in business ethics is deciding which moral code should apply. Many religions have something to say about commercial practice. There are ‘Christian business ethics’ and ‘Islamic business ethics’.

One of the earliest texts which discusses morality and commercial practice is the Tirukkural, a Tamil book dating back to the 5th century or even earlier. Modern philosophers, attempting to develop secular systems, have proposed Neo-Aristotelian and Neo-Kantian approaches.

Milton Friedman famously articulated the neoliberal perspective on business ethics when he wrote: ‘in a free-enterprise private-property system, a corporate executive is an employee of the owners of the business. He has a direct responsibility to his employers. That responsibility is to conduct the business in accordance with their desires, which generally will be to make as much money as possible’.

As an aside—it is only occasionally noted that Friedman goes on to add: ‘while conforming to the basic rules of society, both those embodied in law and those embodied in ethical custom’—which arguably begs the question of what is ‘ethical custom’ in the first place.

One of the most compelling frameworks for thinking about the moral obligations that private actors have towards each other in a market economy was articulated a few years ago by the Canadian philosopher Joseph Heath. The ‘Market Failures Approach’ to business ethics, as it is known, shows that a moral code can be developed from the basic idea that the fundamental obligation of managers is to ensure that markets operate efficiently.

Between 2000 and 2015, FTSE 100 CEO pay increased at an average rate of around 10% per year… recent reports suggest it is rising steeply again
‘Market failures’, such as monopolies, oligopolies and cartels, and ‘negative externalities’, such as pollution and climate change, become ethical issues. For any economists who are reading this, stated formally Heath’s argument is that, if general equilibrium theory is critical to maintaining an efficient economy, then it should be a normative ethical principle as well as a positive economic principle.

One of the issues which has exercised business ethicists in recent years is the marked inflation in senior executive pay. Between 2000 and 2015, FTSE 100 CEO pay increased at an average rate of around 10% per year, compared with a 3% increase in average household earnings, and while there was a pause during the Covid-19 pandemic, recent reports suggest it is rising steeply again.

The question of top pay has become one of the defining issues of our age, stated most clearly by Thomas Piketty in his book Capital in the Twenty-First Century. Is it fair that some top executives—people that Thomas Piketty describes as ‘super-managers’—appear to obtain a disproportionate share of income and wealth generated by companies?

I believe that ethical questions about senior executive pay are particularly susceptible to analysis using the market failures approach.

Economists have known for a long time that labour markets are different from other commodity markets. Robert Solow, an American Nobel prize winner, once put it simply as follows: ‘Labour is not a commodity like fish’. That labour is not a commodity is particularly true of the market for super-managers.

An efficient market requires many buyers and sellers, homogenous products or at least good substitutes, free market entry and exit, plentiful information, and little economic friction. The problem with the market for top executives is that practically none of these conditions hold good. The result is a market failure, so that super-manager earnings cannot in any sense be said to represent a market-clearing wage.

Copycats, laws and benchmarking

Because executive labour markets fail to provide effective price signals, the non-executive directors whose job is to determine the remuneration of top managers seek alternative ways of resolving the uncertainty which they face in deciding how to determine top pay.

Remuneration committees copy the pay strategies of other comparable organisations
Two American economic sociologists, Paul DiMaggio and Walter Powell, have described how three ‘isomorphic processes’ come to operate in response to such uncertainty. ‘Isomorphism’ describes a process whereby social practices develop similar forms over time.

Remuneration committees copy the pay strategies of other comparable organisations (known as ‘mimetic isomorphism’). Companies are constrained by laws and codes of practice established by government and regulators (‘coercive isomorphism’). They seek advice from remuneration consultants who benchmark pay data and recommend standard solutions (‘normative isomorphism’).

The remuneration committee’s dilemma

To make matters worse, mimetic isomorphism leads to a tricky conundrum when it comes to top pay. I call this ‘the remuneration committee’s dilemma’.

To illustrate, think about the market for CEOs of large companies. Assume for a moment that all CEOs were to be paid broadly equal amounts, with only marginal variations in pay, justifiable by reference to job size, industry and specialist expertise. Also assume that in the available population of CEOs, 20% are superior to the others and would, if they worked for your company, increase the value of the firm by more than the average; 10% are inferior to the others and would, if you employed them, potentially reduce the firm’s value.

No one will congratulate a company’s remuneration committee for its financial prudence if the result is a second-rate management team
If all companies offered moderate remuneration, then it would be in the interests of an individual company to defect and pay over the odds-by doing so they might attract top talent and be more successful than their competitors. Conversely, a company would not want to find itself in the position of paying significantly below average. To do so might mean it could only attract an inferior chief executive. No one will congratulate a company’s remuneration committee for its financial prudence if the result is a second-rate management team.

Thus offering higher salaries is the dominant strategy, even though by doing so, companies will generally be no better off than if they all paid more moderate salaries. On the other hand, it is better than risking being in the bottom 10%.

The table below the remuneration committee’s dilemma for a company ‘F’ competing in the CEO pay field with firms ‘G’, ‘H’, ‘I’, ‘J’ etc.

Everyone would be happy being in the top left-hand quadrant, the second best outcome. However, by paying over the odds Company F hopes it might move to the bottom left hand quadrant, its best outcome. If it doesn’t do this, but the other companies pay over the odds, then Company F might end up in the top right hand quadrant, potentially a very bad outcome. As all the companies see the situation in the same way, the result is that they all pay over the odds and end up in the bottom right hand quadrant, the third best outcome for everyone.

There is more to the market failure approach to executive pay, but not enough space to explain it here—an incentive to read my new book.

Something is broken

Senior executives are not, in the main, the self-interested ethical egoists of popular culture—some are, but most are not. Instead, they are the most fortunate beneficiaries of a market failure. Isomorphism and the remuneration committee’s dilemma have led to spiralling inflation in top pay.

From a public policy perspective, these dilemmas are not easy to solve through conventional means. It is why I believe that government, companies, investors and executives all need to recognise inflation in top pay for what it is—an important ethical problem.

When it comes to senior executive reward, for too long companies have behaved as if they are in the equivalent of an arms race. It is a broken system—an example of a significant market failure—and it needs to change if inflation in the pay of super-managers is to be brought under control.

*Alexander Pepper is Emeritus Professor of Management Practice at The London School of Economics and Political Science. His book on the ethics of high pay, ‘If You’re So Ethical, Why Are You So Highly Paid?’ has just been published by LSE Press.

Le processus de gestion des réunions d’un conseil d’administration | Première partie – en reprise

Depuis quelques années, plusieurs personnes me demandent de l’information sur le processus de gestion des réunions d’un conseil d’administration.

Cet article est parmi ceux qui sont les plus consultés sur mon blogue.

Souvent, les personnes intéressées souhaitent obtenir des documents pratico-pratiques et tangibles. Il y a cependant très peu d’informations aussi précises dans la littérature sur le sujet.

Afin d’explorer plus à fond  cette problématique, j’ai effectué une recherche documentaire assez exhaustive sur les bonnes pratiques eu égard aux réunions de conseils d’administration.

Cette recherche m’a amené à considérer quatre étapes incontournables dans la mise en place d’un processus efficace de gouvernance :

  1. la préparation de l’information et de la documentation pertinente ;
  2. la conduite de la réunion du conseil ;
  3. l’évaluation de la réunion ;
  4. les suivis apportés à la réunion.

Chacune de ces activités représente un niveau d’importance égal à mes yeux. Dans ce billet, j’aborderai les deux premières activités.

(1) La préparation de l’information et de la documentation à l’intention des administrateurs


La préparation d’une réunion de CA est une activité très importante et trop souvent négligée. Le document Comment bien préparer une réunion du CA, publié par la Base de référence entrepreneuriale 2016, présente, de façon sommaire, certaines activités à prendre en compte pour bien réussir une réunion du CA.

Ainsi, il appert très clair que le président du conseil d’administration a un rôle capital à jouer afin d’assurer le bon déroulement des réunions.

Étapes à effectuer :

  • Convoquer les membres par écrit en leur accordant un délai raisonnable ;
  • Fixer à l’avance la date des réunions régulières et établir l’ordre du jour normal ;
  • Le président du CA et le chef de la direction (directeur général) rédigent l’ordre du jour en vérifiant que tous les sujets abordés relèvent bien de la compétence du conseil ;
  • Envoyer aux membres du CA le projet d’ordre du jour avec l’avis de convocation. L’avis de convocation est un document envoyé aux membres du conseil d’administration les informant qu’il y aura une réunion du CA. Ce document doit mentionner la date, l’heure, l’endroit de la rencontre ainsi que le procès-verbal de la dernière réunion :
  • S’assurer que les documents à étudier sont simples et courts. Vérifier qu’ils ne soient pas trop techniques. Veiller à ce que des analyses et des synthèses aient été effectuées par la permanence (surtout en ce qui a trait aux états financiers à défaut de quoi il serait difficile d’expliquer les écarts entre le budget et les résultats) ;
  • Le président du conseil et le chef de la direction (directeur général) doivent bien connaître leurs dossiers et s’assurer de la disponibilité des cadres afin que ceux-ci puissent répondre aux demandes additionnelles d’information et clarifier certains points ;
  • Exiger de chaque membre du conseil qu’il se prépare convenablement à la réunion et qu’il lise à l’avance les documents qui lui seront transmis.

Dans l’article de Johanne Bouchard, Comment un bon président de conseil d’administration se prépare-t-il pour sa réunion?le processus de préparation est présenté sous forme de questions.

Avant toute chose, il est très important de planifier les réunions du conseil sur une période assez longue (24 mois, si possible) à raison de 4-5 réunions formelles par année. En ce qui a trait aux réunions des comités, elles doivent également être fixées longtemps d’avance, à raison de 4 à 5 pour le comité d’audit et de 2 à 4 pour les comités de gouvernance et de ressources humaines.

Afin de bien se préparer pour une réunion du conseil, le président doit :

  • Effectuer un retour sur la conduite de la dernière rencontre et réviser le PV afin de s’assurer qu’aucun sujet ne sera omis ;
  • Explorer les sujets à mettre à l’ordre du jour en consultant les autres administrateurs, notamment les présidents des comités du conseil (ex. audit, gouvernance et ressources humaines) ;
  • Au moins deux semaines avant la réunion, le président doit créer une esquisse de l’Ordre du jour qu’il complétera avec l’apport du DG et du secrétaire du conseil ;
  • Avant l’envoi aux membres du conseil, le président doit revoir le dossier au complet et s’assurer qu’il contient toutes les informations utiles pour les administrateurs. C’est alors qu’il conviendra, avec le secrétaire, d’un agenda d’approbation, si le CA souhaite un tel document, pour mieux préparer les questions et les décisions lors de la rencontre.


Comment préparer l’ordre du jour et la réunion?


Le document Le fonctionnement d’un conseil d’administration précise qui prépare l’ordre du jour et quelle préparation est nécessaire pour la réunion.

Ainsi, «la responsabilité de préparer l’ordre du jour revient à la personne responsable de la présidence de l’organisation, en collaboration avec celle qui en agit comme le secrétaire du conseil. Dans les organisations ayant une personne salariée chargée d’assumer la direction générale ou la coordination, il arrive fréquemment que celle-ci propose les principaux points à traiter et en discute avec le président et/ou le secrétaire».

En ce qui a trait à la préparation de la réunion comme telle, l’article met l’accent sur les points suivants :

– Planifiez un ordre du jour «réalisable» en moins de trois heures.

– Si possible, envoyez auparavant aux membres du conseil l’ordre du jour proposé, le procès-verbal de la dernière réunion, les documents préliminaires et les dossiers d’information sur les sujets importants qui seront traités. Cela leur permettra de se préparer et de prendre des décisions plus éclairées.

– Placez dans l’ordre du jour les sujets les plus importants juste après les points obligatoires du début. De cette manière, vous vous donnez la possibilité de prendre plus de temps si nécessaire pour un débat sur un sujet important en reportant les sujets mineurs à la prochaine réunion.

– Pour chaque sujet prévu à l’ordre du jour, essayez d’évaluer le temps de débat qui sera nécessaire avant que les membres du CA en arrivent à s’entendre sur la décision à prendre (proposition).

– Proposez un minutage des points à l’ordre du jour. Cela vous permettra de ramener le conseil à l’ordre lorsque le temps imparti pour un point est près de s’achever.

– Il faut se rappeler que la valeur ajoutée d’un conseil d’administration réside dans son apport déterminant à la conception et à réalisation de la stratégie. C’est la raison pour laquelle les points de nature stratégiques doivent être couverts en priorité.

 L’article donne un exemple d’ordre du jour en indiquant :

(1) la durée prévue pour chaque point

(2) la nature des activités reliées à chaque point (Information, discussion, décision)

(3) la fiche de référence ou le sommaire exécutif se rapportant à chaque point, lorsque pertinent.

Le sommaire exécutif est généralement préparé par le secrétaire du conseil en collaboration avec la direction ; on y retrouve :

(1) la problématique et le contexte

(2) les impacts et les risques associés

(3) les documents de référence utilisés

(4) les recommandations ou les résolutions proposées.

Très souvent, les documents à l’intention des administrateurs comportent un agenda d’approbation préliminaire qui consiste à présenter les considérants, les attendus et les propositions. À mon avis, il s’agit de points très utiles pour la formulation du procès-verbal par le secrétaire, mais peu utile, voire confondant, pour les administrateurs.

L’ordre du jour doit aussi inclure un point de huis clos à la fin de la réunion. Comme le mentionne l’article suivant paru sur mon blogue, Attention aux huis clos!, la mise en place d’une période de huis clos est une pratique relativement récente, depuis que les conseils d’administration ont réaffirmé leur souveraineté sur la gouvernance des entreprises. Cette activité est maintenant considérée comme une pratique exemplaire de gouvernance et presque toutes les sociétés l’ont adoptée.

Certains conseils ont aussi comme pratique de faire un huis clos au début de la session, mais cela doit être fait dans des cas très particuliers, à mon point de vue.

Notons que le rôle du président du conseil, en tant que premier responsable de l’établissement de l’agenda, est primordial à cet égard. C’est lui qui doit informer le président de l’entreprise (ou le DG) de la position des membres indépendants à la suite du huis clos, un exercice qui demande du tact !

Ainsi, le huis clos :

  1. ne doit pas être une activité imprévue et occasionnelle inscrite à l’ordre du jour
  2. doit inclure une limite de temps
  3. doit être piloté par le président du conseil
  4. doit comporter un suivi systématique et
  5. doit se dérouler dans un lieu qui permet de préserver la confidentialité absolue des discussions

(2) La conduite de la réunion du conseil

 L’article Le fonctionnement d’un conseil d’administration, cité précédemment, présente très bien le rôle de la présidence du conseil. Ainsi, selon ce document, «la personne assumant la présidence n’a aucun pouvoir décisionnel. Si cette personne est également la présidente de l’organisme, son vote devient prépondérant quand il y a égalité des votes sur une proposition.

Lors d’une réunion du conseil, le président ou la présidente :

– ouvre la séance;

– vérifie si le quorum est atteint pour que la réunion puisse être valide;

– fais adopter l’ordre du jour;

– assure le bon déroulement des réunions du conseil en proposant des règles de fonctionnement et en les faisant respecter (et en les respectant soi-même);

– ouvre et clôt les discussions sur chaque point de l’ordre du jour;

– conduit les discussions en faisant en sorte que chaque membre du conseil puisse exprimer son opinion;

– accorde le droit de parole et le retire lorsque nécessaire;

– s’assure que le temps prévu pour la réunion sera respecté.

Pour assumer efficacement cette responsabilité, un minimum d’habiletés en animation et en communication est requis».

L’article Comment bien préparer une réunion du C.A donne également plusieurs conseils sur la direction des réunions de CA.

L’article d’Yvan Allaire, président exécutif du conseil de l’Institut sur la gouvernance (IGOPP), Performance et dynamique des conseils d’administration, est très pertinent pour assurer une conduite efficace du CA. On y traite, entre autres, de la présidence du conseil et de la gestion de l’information. L’information a été recueillie auprès de 14 administrateurs siégeant au sein de 75 conseils.

Les documents suivants proposent de nombreuses recommandations en ce qui regarde la gestion des réunions de conseils.

Dix mesures que les présidents de CA devraient examiner afin d’affirmer leurs rôles de leader

Quinze (15) astuces d’un CA performant

Une réunion du conseil ennuyante ou une réunion du conseil inspirante?

On note que les CA sont de moins en moins tolérants à l’utilisation des téléphones intelligents aux réunions du conseil. Dans beaucoup de cas, ils sont interdits, ou ils ne doivent pas être placés sur la table !

Joanne Desjardins, dans son article Quinze (15) astuces d’un CA performant, nous donne une bonne liste de points à considérer :

Le CA doit rassembler des administrateurs aux compétences, expériences et connaissance présentant un juste équilibre, une diversité et une complémentarité avec celles de la haute direction et contribuant à alimenter la stratégie de l’organisation. Il n’y a pas de nombre idéal d’administrateurs. Cependant, un CA impair, composé de moins de 13 personnes fonctionne généralement mieux.

Le CA assure l’intégration efficace des nouveaux administrateurs pour leur permettre de se familiariser avec leurs fonctions aisément (par ex. : programme d’accueil et d’intégration, coaching, mentorat, etc.).

 Les administrateurs sont dédiés et ils s’engagent à consacrer le temps, les efforts et l’énergie nécessaires pour agir efficacement dans les meilleurs intérêts de l’entreprise. Ils partagent les valeurs de l’entreprise.

 Le CA désigne un président indépendant, mobilisateur, à l’écoute, qui a la capacité et le courage de concilier les points de vue divergents, de prendre des décisions difficiles et de régler les conflits. Le président gère efficacement les réunions du CA en favorisant un équilibre entre la spontanéité dans les échanges et les règles de régie interne.

 Les rencontres sont programmées à l’avance. Les rencontres sont d’une durée raisonnable et à des intervalles réguliers. Le président du CA et le président de l’entreprise s’entendent sur l’ordre du jour de chaque réunion du CA et priorisent les sujets en fonction de la stratégie de l’entreprise et des risques.

 Les administrateurs démontrent une capacité d’écoute, de communication et de persuasion pour pouvoir participer activement et constructivement aux délibérations du CA. Ils ont le courage de poser des questions difficiles.

 Le CA ne s’ingère pas dans les opérations de l’entreprise (¨Nose in, fingers out¨).

 La haute direction transmet aux administrateurs, en temps opportun, des informations fiables dont l’exhaustivité, la forme et la qualité sont appropriées pour permettre aux administrateurs de remplir adéquatement leurs fonctions.

 Le rôle, les responsabilités et les attentes envers les administrateurs, les comités et le CA sont clairement définis. Les administrateurs comprennent les obligations de fiduciaires qui leur incombent et les implications qui en découlent.

 Le CA a mis en place une procédure d’évaluation rigoureuse, fiable et confidentielle. Les attentes envers les administrateurs ainsi que les critères d’évaluation sont clairs et connus de tous. En fonction des résultats de l’évaluation, des mesures sont prises pour améliorer l’efficacité du CA et des administrateurs (par ex. : formation, outils, modifications aux pratiques, etc.).

 Le CA participe activement à la sélection et à l’évaluation du rendement du président de l’entreprise.

 Le CA participe à l’élaboration de la stratégie de l’entreprise et approuve le plan stratégique. Une fois approuvé, le CA suit l’état d’avancement du plan stratégique et les risques inhérents.

 Un système robuste de gestion des risques a été mis en place et la responsabilité́ de la surveillance des risques relève d’un comité du CA. Les administrateurs connaissent les principaux risques pouvant influencer la réalisation de la stratégie et le plan de mitigation.

Les administrateurs mettent à jour et actualisent leurs compétences et connaissances.

 On planifie la relève pour veiller au renouvellement du CA et assurer un équilibre entre les administrateurs expérimentés ayant une connaissance approfondie de l’organisation et les nouveaux, apportant une perspective différente aux problématiques.

À ce stade-ci, il est important de mentionner que les impératifs relatifs à la gestion des réunions de comité du conseil obéissent essentiellement aux mêmes règles de gouvernance que celles qui prévalent pour les CA.

Enfin, il faut souligner l’importance de la formation des administrateurs, notamment leurs rôles et leurs responsabilités en tant que fiduciaires, les questionnements de nature éthique et le caractère confidentiel de leurs fonctions. L’article Nature des relations entre le CA et la direction | Une saine tension est l’assurance d’une bonne gouvernance illustre très éloquemment pourquoi une saine tension entre le CA et la direction est garant d’une bonne gouvernance.

J’espère que cette documentation s’avérera utile pour bien organiser les réunions du conseil. Je vous invite à lire la deuxième partie relative aux deux autres étapes du processus de gestion des réunions d’un conseil :

3. l’évaluation de la réunion ;

4. les suivis apportés à la réunion.

Le processus de gestion des réunions d’un conseil d’administration | Deuxième partie

Mise à jour des informations sur les facteurs de risque dans le rapport annuel

Je reproduis ici la version française de l’article publié par Maia Gez, Era Anagnosti, Melinda Anderson de la firme White & Case, paru dans HLS Forum  on Corporate Governance.

Nous entrons dans une nouvelle ère eu égard aux risques envisagés par les entreprises. Il est donc très important de revoir systématiquement les énoncés de risque dans le rapport annuel.

Voici dix développements clés à prendre en compte lors de la mise à jour des informations sur les facteurs de risque dans le rapport annuel.

Bonne lecture !

Updating Annual Report Risk Factors


Updating Annual Report Risk Factors: Key Developments and Drafting Considerations for Public Companies | White & Case LLP


La saison des rapports annuels approchera bientôt, et il est important d’évaluer dès le départ les facteurs de risque d’une entreprise et de déterminer si les développements récents, y compris ceux liés aux conditions macroéconomiques, géopolitiques et de santé publique, ont eu (ou devraient avoir) une incidence importante sur les activités, la situation financière et les résultats d’exploitation d’une entreprise. [1] Bien que chaque société devra évaluer ses propres risques importants et adapter sa divulgation des facteurs de risque à sa situation particulière, cette alerte fournit une liste de 10 développements clés dans  la partie I  et quatre considérations rédactionnelles importantes dans  la partie II  que toutes les sociétés ouvertes devraient considérer lorsqu’ils mettent à jour leurs facteurs de risque.

I. Dix développements clés à prendre en compte lors de la mise à jour des informations sur les facteurs de risque dans le rapport annuel

  1. Conditions du marché : Les changements dans les conditions économiques mondiales, y compris la volatilité des marchés des capitaux propres, peuvent avoir une incidence négative sur les activités, les revenus et les bénéfices d’une entreprise. De telles conditions pourraient avoir une incidence sur les plans de croissance d’une entreprise et sur sa capacité à accéder aux marchés des capitaux pour lever des fonds à des fins générales ou en contrepartie de fusions et d’acquisitions. Une entreprise doit évaluer tous les risques importants liés à ces développements et s’ils doivent être divulgués dans ses facteurs de risque.
  2. Inflation et taux d’intérêt : Les entreprises doivent envisager de divulguer ou de mettre à jour tout risque lié à l’inflation et à la hausse des taux d’intérêt, y compris leur impact sur les revenus ou les bénéfices. Ces risques pourraient inclure des augmentations actuelles et futures des coûts d’exploitation, tels que le carburant et l’énergie, le transport et l’expédition, les matériaux, les salaires et les coûts de main-d’œuvre, ainsi qu’un impact négatif sur les revenus en raison de la baisse de confiance des consommateurs et des dépenses discrétionnaires. De plus, la hausse des taux d’intérêt pourrait avoir un impact sur une entreprise en raison des changements dans la disponibilité du financement, du coût de la dette et des fluctuations des taux de change. [2]
  3. Impact de la COVID-19: Alors que nous entrons dans la troisième année de la pandémie, il est peut-être encore trop tôt pour éliminer complètement les facteurs de risque spécifiques au COVID-19, mais les entreprises pourraient être en mesure de rationaliser considérablement leurs divulgations. Les entreprises devraient revoir leur divulgation actuelle des facteurs de risque COVID-19 et la mettre à jour pour tenir compte des risques actuels auxquels elles sont confrontées, notamment en éliminant ou en minimisant les risques qui ne devraient plus être importants. Par exemple, toutes les entreprises sont confrontées au risque d’émergence de nouvelles souches virales, à la disponibilité de traitements efficaces et aux effets réglementaires et macroéconomiques potentiels découlant de tels impacts. Cependant, en dehors de la Chine, les confinements, les restrictions d’abris sur place et les mandats de vaccination, qui prévalaient aux premiers stades de la pandémie, ont été levés pour la plupart des entreprises.
  4. Questions environnementales, ESG et de durabilité : Des questions telles que le changement climatique continuent de recevoir une attention particulière de la part de la SEC et des investisseurs. Le 22 septembre 2021, la SEC a publié un modèle de lettre de commentaires aux entreprises, [3]   près de six mois (jour pour jour) avant de publier ses propositions de règles de divulgation sur le changement climatique qui obligeraient les entreprises publiques à divulguer des informations détaillées sur le climat dans leurs Dépôts auprès de la SEC. [4] Le modèle de lettre de commentaires de la SEC sur le changement climatique contenait des exemples de commentaires concernant la divulgation des entreprises sur le climat ou l’absence d’une telle divulgation, y compris des commentaires demandant des informations sur les effets importants des risques de transition liés au changement climatique. [5]  Suite à cet exemple de lettre de commentaires, notre examen des récentes lettres de commentaires de la SEC entre mars 2021 et août 2022 a révélé que la SEC avait émis 334 commentaires liés au changement climatique à plus de 100 entreprises au cours de cette période, avec plus de 50 de ces commentaires (15 %) liés à divulgation des facteurs de risque. [6]   Ces commentaires de la SEC comprenaient des demandes de description des effets importants des risques de transition, [7]   des risques de litige importants liés au changement climatique, [8]   et une description de la considération accordée à l’inclusion des informations et des risques divulgués dans les rapports de développement durable. [9]  De plus, notre enquête sur les formulaires 10-K 2022 de 50 entreprises du Fortune 100 a révélé que 30 % (ou 15 entreprises) ont ajouté des facteurs de risque entièrement nouveaux consacrés aux impacts liés au climat, et 28 % supplémentaires (ou 14 entreprises) ont augmenté références aux impacts liés au climat dans leurs facteurs de risque existants. [dix]La divulgation des facteurs de risque liés aux questions environnementales doit être adaptée aux circonstances particulières de l’entreprise et tenir compte des risques importants propres à l’entreprise. Les sujets peuvent inclure les risques liés à l’impact du changement climatique sur les activités d’une entreprise, tels que les risques d’augmentation des coûts ou de réduction de la demande de produits ; les risques physiques liés aux phénomènes météorologiques violents, à l’élévation du niveau de la mer et à d’autres conditions naturelles ; les risques de transition liés au changement climatique attribuables aux changements réglementaires, technologiques, de marché ou de tarification ; le risque de responsabilité légale et les frais de défense ; les risques de réputation, y compris ceux liés à l’examen minutieux des parties prenantes sur les questions ESG ou le risque de ne pas atteindre les objectifs et cibles annoncés ; et/ou des contrôles internes inadéquats liés à la divulgation des données ESG.
  5. Conflit en Ukraine : Alors que le conflit entre l’Ukraine et la Russie se poursuit, les entreprises doivent tenir compte de leurs éventuelles obligations de divulgation supplémentaires liées aux impacts directs ou indirects que les actions en cours de la Russie en Ukraine et la réponse internationale ont ou peuvent avoir sur leurs activités et comment elles ont changé depuis le le conflit a commencé. Notamment, la SEC peut exiger des divulgations même par des entreprises qui n’ont pas d’activités en Russie, en Ukraine ou en Biélorussie. Le 10 mai 2022, la SEC a publié un modèle de lettre aux entreprises soulignant les obligations de divulgation potentielles des entreprises liées aux impacts directs ou indirects que les actions de la Russie en Ukraine et la réponse internationale ont ou pourraient avoir sur leurs activités. [11]  La SEC a spécifiquement noté que, dans la mesure du possible, les entreprises devraient fournir des informations détaillées sur les risques liés aux perturbations réelles ou potentielles des chaînes d’approvisionnement et sur les risques nouveaux ou accrus de cyberattaques potentielles par des acteurs étatiques ou autres. Notre examen des lettres de commentaires a révélé que la SEC avait émis 117 commentaires liés à l’Ukraine à plus de 60 entreprises entre mars et septembre 2022. Ces commentaires comprenaient des demandes d’ajout de divulgation des facteurs de risque concernant les opérations en Ukraine et les impacts matériels liés au conflit, [12]   demandes de divulguent spécifiquement tout risque accru de cyberattaques, [13]   les risques liés aux perturbations potentielles de la chaîne d’approvisionnement [14]  et les demandes de divulgation des risques de réputation potentiels liés aux opérations de l’entreprise en Russie. [15]   Les divulgations supplémentaires que les entreprises devraient envisager incluent les sanctions russes ; hausses des prix des produits de base; impacts sur la disponibilité et le coût de l’énergie; impacts sur les vendeurs et les fournisseurs ; impacts sur la réputation ; et les impacts continus sur la situation économique mondiale.
  6. Cybersécurité : Alors que les incidents de cybersécurité, l’utilisation abusive des données et les attaques de rançongiciels continuent de proliférer et de devenir plus sophistiqués, le personnel de la SEC s’est concentré sur les divulgations de cybersécurité et de confidentialité et a fourni des commentaires à ce sujet. La SEC a publié des directives en 2018 qui comprenaient des considérations pour évaluer la divulgation des facteurs de risque de cybersécurité, [16]   et en mars 2022, la SEC a proposé des règles de divulgation obligatoires en matière de cybersécurité liées aux incidents matériels, à la gouvernance et à la stratégie de risque. [17]  La SEC a également publié des directives en décembre 2019 appelant spécifiquement les entreprises à évaluer les risques liés au vol ou à la compromission potentiels de leur technologie, de leurs données ou de leur propriété intellectuelle (« PI ») dans le cadre de leurs opérations internationales et à les divulguer le cas échéant. [18]   La SEC devrait continuer à être agressive dans l’examen de la divulgation par les entreprises publiques des incidents de cybersécurité, et en mai 2022, la SEC a presque doublé la taille de l’unité chargée de surveiller les divulgations des entreprises. [19]   En outre, la SEC a intenté des actions coercitives contre des entreprises publiques concernant le moment et le contenu des divulgations d’incidents de cybersécurité. [20]  Celles-ci font suite à d’autres mesures d’application très médiatisées pour des divulgations présumées inadéquates ou trompeuses, [21]   qui témoignent toutes de l’attention continue de la SEC sur la manière dont les entreprises publiques réagissent et divulguent les incidents et les risques importants en matière de cybersécurité. De plus, en 2021, le neuvième circuit a constaté que la divulgation d’une grande entreprise technologique selon laquelle des risques de cybersécurité « peuvent » ou « pourraient » se produire était trompeuse alors que l’entreprise était prétendument déjà au courant d’une violation de la cybersécurité. [22]  La plupart des entreprises incluent déjà la divulgation des facteurs de risque de cybersécurité, mais les entreprises devraient envisager de mettre à jour ces divulgations, y compris s’il existe une augmentation des risques liés à la cybersécurité en raison des technologies liées à la pandémie qu’elles peuvent avoir adoptées pour permettre le travail à distance ou en relation avec le conflit en cours. en Ukraine (voir ci-dessus). [23]
  7. Perturbations de la chaîne d’approvisionnement : les pénuries d’approvisionnement ou les retards d’expédition peuvent devoir être divulgués comme un risque, d’autant plus qu’ils continuent d’être courants en raison de l’impact persistant du COVID-19 ou du conflit en Ukraine, ainsi que d’un ralentissement économique mondial. Les entreprises doivent évaluer si elles ont subi ou pourraient subir à l’avenir des perturbations de la chaîne d’approvisionnement qui devraient être divulguées comme un risque important. Cela inclut tous les risques liés à la pénurie mondiale actuelle de puces à semi-conducteurs, qui pourrait avoir un impact sur le développement, la production et la fabrication de logiciels, entre autres, selon le secteur d’activité de l’entreprise.
  8. Capital humain et questions de main-d’œuvre: Les risques importants auxquels les entreprises peuvent être confrontées en matière de capital humain comprennent les risques liés à la capacité d’attirer et de retenir des employés qualifiés, les problèmes de santé et de sécurité des employés, les augmentations des coûts de main-d’œuvre et l’augmentation du roulement du personnel. Bien que le marché du travail ait ralenti et que plusieurs entreprises du Fortune 100 aient commencé à annoncer des licenciements, les pénuries de main-d’œuvre qualifiée peuvent devoir être divulguées comme un risque important pour certaines entreprises, car ces problèmes continuent d’être courants en raison des impacts liés au COVID-19. ainsi que les retombées de « la grande démission ». De plus, la volatilité du cours des actions d’une entreprise pourrait avoir une incidence négative sur la valeur des attributions d’actions aux employés et sur la capacité d’une entreprise à conserver ses employés et dirigeants clés. Les entreprises devraient évaluer si elles ont, ou pourraient avoir à l’avenir, des problèmes liés aux pénuries de main-d’œuvre,
  9. Réglementation : Les changements et les changements potentiels dans la loi, la réglementation, la politique et/ou le leadership politique, y compris le programme réglementaire de l’administration Biden, peuvent nécessiter des modifications de la divulgation des facteurs de risque pour certaines entreprises. L’un de ces changements réglementaires que les entreprises devraient envisager est la loi sur la réduction de l’inflation (l' »IRA »), qui comprend plusieurs dispositions potentiellement impactantes, telles que : (i) une taxe d’accise de 1 % sur les rachats d’actions des entreprises, qui peut affecter les décisions des entreprises en ce qui concerne aux marchés des capitaux et aux opérations de fusions et acquisitions, entre autres, [24] (ii) un impôt minimum de remplacement sur les sociétés (applicable aux entreprises dont le revenu moyen des états financiers ajustés est supérieur à 1 milliard de dollars au cours des trois dernières années) égal à l’excédent de 15 % du revenu des états financiers ajustés d’une société, et (iii) une taxe sur l’énergie crédits, qui créent des incitations fiscales pour l’énergie verte. Les entreprises doivent se demander si l’IRA crée des risques qui justifient la divulgation. D’autres exemples incluent les changements actuels et potentiels des politiques d’immigration, du salaire minimum, des tarifs, des taxes, des politiques environnementales, des soins de santé et d’autres développements politiques.
  10. Risques liés à la conduite d’affaires avec des entreprises dans des régions soumises à des sanctions commerciales : les entreprises doivent divulguer tout risque important lié à des relations commerciales avec des entreprises dans des régions soumises à des sanctions ou à des interdictions commerciales. Par exemple, toute entreprise recevant des marchandises produites dans la région autonome ouïghoure du Xinjiang en Chine, ou par certaines entités identifiées, doit divulguer les risques liés au fait que, aux fins de la loi sur la prévention du travail forcé ouïghour, qui renforce les mesures disponibles pour faire respecter une loi existante mesure préventive de l’article 307 du Tariff Act de 1930, ces marchandises sont présumées avoir été fabriquées avec du travail forcé et sont donc soumises à une interdiction d’importation aux États-Unis. [25]Le service des douanes et de la protection des frontières des États-Unis peut donc détenir, exclure ou saisir des marchandises et imposer des sanctions pécuniaires, à moins que des « preuves claires et convaincantes » ne montrent qu’aucun travail forcé, situé n’importe où dans la chaîne d’approvisionnement, n’a produit une partie des marchandises (et que les importateurs se conforment aux autres exigences spécifiées dans les directives publiées de l’agence). Il est important de noter que la loi ne contient aucune exception de minimis et rien ne garantit qu’une entreprise sera en mesure de prouver l’absence de travail forcé tout au long de la chaîne d’approvisionnement. Toute chaîne d’approvisionnement potentielle ou d’autres impacts de ces développements qui sont importants pour une entreprise doivent être divulgués.

II. Quatre considérations rédactionnelles importantes lors de la mise à jour des informations annuelles sur les facteurs de risque

  1. Une note sur les hypothétiques . Il est essentiel que les entreprises examinent les déclarations hypothétiques dans leurs informations existantes sur les facteurs de risque (par exemple, les déclarations selon lesquelles un événement « pourrait » ou « pourrait » se produire plutôt que « s’est » ou « s’est » produit dans le passé). La SEC a intenté des actions en justice et les actionnaires ont déposé des réclamations en vertu de l’article 10 (b) de la Securities Exchange Act de 1934, telle que modifiée, alléguant que les déclarations dans les facteurs de risque d’une entreprise étaient matériellement trompeuses parce qu’une entreprise a déclaré qu’un événement seulement « peut » ou « pourrait » se produire, lorsque l’événement n’était plus hypothétique au moment de la divulgation. Par conséquent, une entreprise doit examiner attentivement le libellé de ses facteurs de risque hypothétiques et clarifier si un risque potentiel divulgué s’est effectivement produit dans une certaine mesure. [26]
  2. Remarque sur les déclarations prospectives. En plus d’être légalement requis, des facteurs de risque bien rédigés peuvent protéger une entreprise de toute responsabilité pour ses déclarations prospectives et servir de forme d’assurance responsabilité gratuite pour protéger une entreprise lorsqu’elle divulgue à la fois des projections en ce qui concerne les informations financières et les informations non financières. , y compris les objectifs et cibles liés à l’ESG. En particulier, les entreprises doivent tenir compte des modèles financiers qui étayent leurs projections et confirmer que les risques importants liés à ces projections, y compris les modèles financiers, les bases et les hypothèses qui les étayent, sont suffisamment divulgués. De plus, dans le cas d’objectifs ESG net zéro et d’autres objectifs et plans de transition liés à l’ESG, les entreprises doivent déterminer si leur divulgation des facteurs de risque doit inclure une divulgation relative aux défis potentiels pour atteindre ces objectifs et plans,
  3. Note sur la présentation des risques . Bien que l’article 105 du règlement SK n’exige pas que les facteurs de risque soient classés en fonction de celui qui est le plus important ou qui a le plus grand impact potentiel, il est considéré comme une bonne pratique de le faire. [27]  L’article 105 stipule que les risques doivent être « organisés logiquement », de sorte que les entreprises doivent considérer l’ordre qui a le plus de sens pour les investisseurs. En outre, les entreprises sont tenues d’organiser les facteurs de risque en groupes de facteurs de risque connexes sous des «rubriques pertinentes» et de fournir des sous-titres pour chaque facteur de risque. En outre, pour tous les facteurs de risque qui s’appliquent de manière générique à toute personne inscrite ou à toute offre, la société doit soit (i) adapter ces facteurs de risque pour souligner la relation spécifique du risque avec la société, soit (ii) divulguer les facteurs de risque génériques à la fin de la section des facteurs de risque sous la rubrique « Facteurs de risque généraux ». Ces exigences sont en vigueur depuis 2020 et les entreprises doivent revoir chaque année leurs regroupements et leurs rubriques pour confirmer toute mise à jour ou modification de l’organisation de leur section des facteurs de risque.[28]
  4. Remarque sur les résumés des facteurs de risque . Si la section sur les facteurs de risque d’une entreprise dépasse 15 pages, elle doit inclure une série d’énoncés concis, à puces ou numérotés ne dépassant pas deux pages résumant les principaux facteurs de risque et placer ce résumé au « avant » ou au début de la Formulaire 10-K ou Formulaire 20-F. Un certain nombre d’entreprises ont choisi de combiner cette divulgation avec leurs légendes de déclarations prospectives afin d’éviter les répétitions, et les entreprises peuvent envisager cette approche tant que la légende est intitulée pour refléter son double objectif (c. Déclarations prospectives et résumé des facteurs de risque »).

III. Conclusion

Compte tenu du nombre de vents contraires auxquels les entreprises peuvent être confrontées dans cet environnement économique et géopolitique difficile, ainsi que des exigences réglementaires, de la surveillance et de l’application nouvelles et en évolution, les entreprises gagneraient à prendre dès maintenant une longueur d’avance sur la mise à jour des facteurs de risque de leur rapport annuel. Il est essentiel que les entreprises divulguent comment elles sont spécifiquement affectées par les tendances macroéconomiques, plutôt que de se fier à une divulgation générique. En outre, les entreprises ne doivent pas perdre de vue la mise à jour de leurs facteurs de risque pour tenir compte des risques uniques auxquels elles sont confrontées au-delà de ces tendances macroéconomiques qui pourraient avoir un impact négatif sur leurs activités, leur situation financière et leurs résultats d’exploitation.

Notes de fin

1 Voir l’article 105 du règlement SK, disponible  ici .(retourner)

2 Pour plus d’informations, consultez notre alerte précédente, « L’inflation et la hausse des taux d’intérêt remodèlent les marchés financiers à effet de levier aux États-Unis ».(retourner)

3  Pour plus d’informations, consultez notre alerte précédente,  » La SEC publie un exemple de lettre de commentaires alors qu’elle intensifie l’examen des divulgations climatiques « .(retourner)

4  Pour plus d’informations, consultez notre alerte précédente, « La SEC propose des règles de divulgation sur le changement climatique attendues depuis longtemps ». Le 7 octobre 2022, la SEC a rouvert la période de commentaires pour 11 propositions de réglementation, y compris les règles de divulgation proposées sur le changement climatique, avec des commentaires attendus d’ici le 1er novembre 2022.(retourner)

5 Les risques de transition liés au changement climatique sont liés à des développements tels que des changements politiques et réglementaires qui pourraient imposer des charges opérationnelles et de conformité et des tendances du marché ou des prix susceptibles de modifier les opportunités commerciales, les risques de crédit et les changements technologiques.(retourner)

6 Par exemple, « [i]l semble que vous ayez identifié votre « stratégie d’électrification » comme un risque de transition lié au changement climatique. Dites-nous comment vous avez envisagé de fournir des informations plus détaillées sur les facteurs susceptibles d’affecter votre intention d’apporter une électrification supplémentaire à votre … portefeuille (par exemple, la disponibilité des matériaux nécessaires, le rythme des changements technologiques, etc.) et l’effet potentiel sur votre entreprise, la situation financière et les résultats d’exploitation. De plus, décrivez les autres risques de transition liés au changement climatique que vous avez pris en compte, tels que ceux liés à vos politiques environnementales, et comment vous avez envisagé de les aborder dans votre formulaire 10-K.(retourner)

7 Par exemple, « Divulguer les effets significatifs des risques de transition liés au changement climatique qui peuvent affecter votre entreprise, votre situation financière et vos résultats d’exploitation, tels que les changements de politique et de réglementation qui pourraient imposer des charges opérationnelles et de conformité, les tendances du marché qui peuvent modifier des opportunités, des risques de crédit ou des changements technologiques.(retourner)

8 Par exemple, « Divulguer tout risque important de litige lié au changement climatique et expliquer l’impact potentiel sur l’entreprise ».(retourner)

9 Par exemple, « Nous notons que vous avez fourni des informations plus détaillées dans votre rapport sur la RSE que dans vos documents déposés auprès de la SEC. Veuillez nous indiquer dans quelle mesure vous avez envisagé de fournir le même type de divulgation liée au climat dans vos documents auprès de la SEC que celui que vous avez fourni dans votre rapport RSE. »(retourner)

10 Pour plus d’informations, consultez notre alerte précédente, « ESG Disclosure Trends in SEC Filings – Annual Survey 2022 ».(retourner)

11 Pour plus d’informations, consultez notre alerte précédente, « La SEC publie un exemple de lettre de commentaires sur les obligations de divulgation liées aux actions de la Russie en Ukraine ».(retourner)

12 Par exemple, « Dans la mesure où elles sont importantes, veuillez divulguer toute tendance ou incertitude connue qui a eu ou est raisonnablement susceptible d’avoir une incidence importante sur votre liquidité, votre situation financière ou vos résultats d’exploitation découlant du conflit entre la Russie et l’Ukraine.(retourner)

13 Par exemple, « [d]ans la mesure du possible, divulguer tout risque nouveau ou accru de cyberattaques potentielles par des acteurs étatiques ou autres depuis l’invasion de l’Ukraine par la Russie ».(retourner)

14 Par exemple, « [v]euillez indiquer si et comment vos secteurs d’activité, produits, gammes de services, projets ou opérations sont matériellement affectés par les perturbations de la chaîne d’approvisionnement, en particulier à la lumière de l’invasion de l’Ukraine par la Russie. Par exemple, discutez si vous avez ou prévoyez d’être… exposé au risque de la chaîne d’approvisionnement à la lumière de l’invasion de l’Ukraine par la Russie et/ou des tensions géopolitiques connexes.(retourner)

15 Par exemple, « [d]ans les prochains dépôts, veuillez réviser les éléments suivants en ce qui concerne vos activités en Russie et en Ukraine : divulguez tout risque important pour la réputation qui pourrait avoir un impact négatif sur votre entreprise associé à votre réponse à l’invasion russe de l’Ukraine , par exemple en relation avec une action ou une inaction résultant du conflit ou en rapport avec celui-ci ».(retourner)

16 Pour plus d’informations, consultez notre alerte précédente, « SEC Issues Interpretive Guidance on Public Company Cybersecurity Disclosures: Greater Engagement Required of Officers and Directors ».(retourner)

17 Pour plus d’informations, consultez notre alerte précédente, « SEC Proposes Mandatory Cybersecurity Disclosure Rules ».(retourner)

18 Les  directives de la SECencourage les entreprises à examiner une série de questions lors de l’évaluation de ces risques, y compris si elles opèrent dans des juridictions étrangères où la capacité de faire respecter les droits sur la propriété intellectuelle est limitée en tant que question légale ou pratique, et si elles ont mis en place des contrôles et des procédures pour protéger de manière adéquate technologie et propriété intellectuelle. Le personnel a également souligné que la divulgation des risques importants doit être spécifiquement adaptée et que lorsque la technologie, les données ou la propriété intellectuelle d’une entreprise sont (ou ont été) matériellement compromises, la divulgation hypothétique des risques potentiels n’est pas suffisante pour satisfaire aux obligations de déclaration de l’entreprise. Par conséquent, les entreprises doivent continuer à tenir compte de ce domaine de risque en évolution et mettre à jour régulièrement les informations fournies pour refléter les circonstances actuelles dans la mesure où elles sont importantes.(retourner)

19 Voir le communiqué de presse de la SEC, « SEC Nearly Doubles Size of Enforcement’s Crypto Assets and Cyber ​​Unit ».(retourner)

21En août 2021, la SEC a conclu un accord avec une société d’édition et de services éducatifs pour son incapacité à divulguer de manière adéquate une violation importante de la cybersécurité et pour avoir fait des déclarations trompeuses dans ses documents déposés auprès de la SEC. Plus précisément, la SEC a constaté que : (i) plusieurs mois après la violation, la société a émis un formulaire 6-K qui faisait référence à un risque général de violation de données/incident de cybersécurité, mais ne faisait pas spécifiquement référence à la violation qui s’était produite ; et (ii) le communiqué de presse de la société ne faisait référence qu’à « l’accès non autorisé » et à « l’exposition de données » qui « peuvent [avoir] inclus » des dates de naissance et des e-mails, même si la société savait que des données personnelles importantes avaient été téléchargés, et n’ont fait aucune mention du volume de données piratées ni des autres vulnérabilités critiques du système. En juin 2021, la SEC a réglé avec une société de services de règlement immobilier pour son prétendu manquement à divulguer de manière adéquate une vulnérabilité de sécurité qui pourrait être utilisée pour compromettre les systèmes informatiques de la société. En mai 2019, la société a été informée d’une vulnérabilité logicielle qui exposait des données personnelles et financières, après quoi elle a publié une déclaration et fourni un formulaire 8-K, indiquant qu’elle avait pris des « mesures immédiates » pour mettre fin à l’accès externe aux données. Cependant, les dirigeants responsables de la déclaration et du formulaire 8-K n’ont pas été informés que le personnel de sécurité de l’information de l’entreprise était au courant de la vulnérabilité depuis janvier 2019 ou que l’entreprise n’avait pas remédié à cette vulnérabilité en temps opportun conformément à ses politiques. Selon la SEC, les conclusions de janvier 2019 « auraient été pertinentes pour l’évaluation par la direction de la réponse de la société en matière de divulgation… et de l’ampleur du risque qui en résulte » et la société n’a pas maintenu les contrôles et procédures de divulgation pour s’assurer que la direction disposait de toutes les informations pertinentes avant de faire ses divulgations . En ce qui concerne la cybersécurité, la SEC a constaté que les divulgations des facteurs de risque de Yahoo dans ses rapports annuels et trimestriels étaient substantiellement trompeuses en ce sens qu’elles affirmaient que l’entreprise n’était confrontée qu’au « risque de futures violations de données potentielles » qui pourraient exposer l’entreprise à des pertes et à une responsabilité « sans révélant qu’une violation massive de données s’était en fait déjà produite. L’action de la SEC est disponible la SEC a constaté que les divulgations des facteurs de risque de Yahoo dans ses rapports annuels et trimestriels étaient substantiellement trompeuses en ce sens qu’elles affirmaient que l’entreprise n’était confrontée qu’au « risque de futures violations de données potentielles » qui pourraient exposer l’entreprise à des pertes et à une responsabilité « sans divulguer qu’un volume massif de données violation avait en fait déjà eu lieu. L’action de la SEC est disponible la SEC a constaté que les divulgations des facteurs de risque de Yahoo dans ses rapports annuels et trimestriels étaient substantiellement trompeuses en ce sens qu’elles affirmaient que l’entreprise n’était confrontée qu’au « risque de futures violations de données potentielles » qui pourraient exposer l’entreprise à des pertes et à une responsabilité « sans divulguer qu’un volume massif de données violation avait en fait déjà eu lieu. L’action de la SEC est disponible ici . Pour plus d’informations, consultez notre alerte précédente,  » La SEC inflige une amende de 35 millions de dollars à Yahoo pour défaut de divulgation en temps opportun d’une cyber-violation « .(retourner)

22 Pour plus d’informations, consultez notre alerte « Il est temps de revoir les facteurs de risque dans les rapports périodiques ».(retourner)

23 Une enquête de White & Case LLP sur les divulgations faites par les entreprises du Fortune 50 a révélé que chaque entreprise incluait au moins un facteur de risque lié à la cybersécurité dans son formulaire 10-K 2022, et 42 des 50 entreprises incluaient des facteurs de risque détaillés discutant de l’impact que qu’un incident de cybersécurité ou une violation de données pourrait avoir sur les résultats d’exploitation ou la situation financière de l’entreprise.(retourner)

24For more information, see our prior alert, “New 1% Excise Tax on Stock Buybacks May Have Far-Reaching Consequences for Capital Markets, SPAC and M&A Transactions.”(go back)

25For more information, see our prior alert, “Uyghur Forced Labor Prevention Act: Commercial Implications, Compliance Challenges and Responses.”(go back)

26 Disclosure may be required whether or not the degree of occurrence is material on its own. For more information, see our prior alerts, “Time to Revisit Risk Factors in Periodic Reports” and “Key Considerations for the 2022 Annual Reporting and Proxy Season Part I: Form 10-K Considerations.”(go back)

27The Form 20-F also states that “companies are encouraged, but not required, to list the risk factors in the order of their priority to the company.” See Part I, Item 3.D of Form 20-F. In addition, Item 105 applies to foreign private issuers to the extent their Form 20-F is incorporated by reference into a registration statement, such as a Form F-1, F-3, or F-4.(go back)

28For more information, see our prior alert “SEC Adopts Amendments to Modernize Disclosures and Adds Human Capital Resources as a Disclosure Topic: Key Action Items and Considerations for U.S. Public Companies.”(go back)

La direction de Twitter a poussé ses parties prenantes sous le bus dans ses transactions avec Musk


Voici un cas d’actualité présenté par Lucian A. Bebchuk, Kobi Kastiel et Anna Toniolo* (Harvard Law School) sur le Forum du HLS on Corporate Governance.

L’analyse fait clairement ressortir que, dans le cas de la transaction d’achat de Twitter par Elon Musk, les dirigeants de l’entreprise n’ont accordé aucune importance aux parties prenantes, notamment aux employés (qui ont été poussés sous le bus).

Les auteurs constatent « que l’on ne peut pas s’attendre à ce que les dirigeants d’entreprise qui vendent une entreprise veillent aux intérêts de leurs parties prenantes ».

La direction de Twitter a choisi d’allouer le produit de la vente de l’entreprise entièrement aux actionnaires, et à elle-même !

De plus, l’analyse du cas Twitter montre que l’on remet facilement en question l’importance des beaux énoncés concernant la mission, le but et les valeurs fondamentales de l’entreprise, lorsque le gain est très important .

J’ai corrigé la version traduite par Google, et le résultat final me semble très acceptable.

Vos commentaires sont bienvenus. Bebchuk ne fait pas toujours l’unanimité…

Bonne lecture et bonnes réflexions.

How Twitter Pushed its Stakeholders under the (Musk) Bus


Elon Musk a pris le contrôle de Twitter et limogé sa direction - CNET France


Notre essai à paraître, « Comment Twitter a poussé ses parties prenantes sous le bus », propose une étude de cas sur l’acquisition de Twitter par Elon Musk. Compte tenu du fort intérêt actuel pour cette acquisition, nous discutons, dans cet article et les suivants, de certaines de nos conclusions et de leurs implications pour les débats actuels sur le capitalisme des parties prenantes.

Une bataille épique a été menée cette année entre Twitter et Elon Musk après que Musk ait tenté de se retirer de l’accord d’acquisition entre eux. Twitter a gagné, et ses actionnaires et dirigeants ont ainsi obtenu d’importants gains financiers.

Alors que la bataille entre ces deux parties a attiré une couverture médiatique massive, nous pensons qu’une attention insuffisante a été accordée à un autre groupe qui devait être affecté par l’accord — les « parties prenantes » de Twitter (c’est-à-dire les composantes non-actionnaires). En particulier, notre analyse conclut que, malgré leur rhétorique des parties prenantes au fil des ans, lors de la négociation de l’accord, les dirigeants de Twitter ont choisi de pousser leurs parties prenantes sous le bus de Musk.

Ce n’est pas parce que la direction de Twitter a été bousculés par Musk. Au contraire, les dirigeants de Twitter ont obtenu de Musk, (et ils se sont battus pour le conserver), d’importants gains monétaires pour les actionnaires (une prime d’environ 10 milliards de dollars), ainsi que pour les dirigeants eux-mêmes (qui, ensemble, ont réalisé un gain de plus d’un milliard de dollars grâce à l’accord). En se concentrant exclusivement sur ces gains monétaires cependant, la direction de Twitter a choisi de ne pas tenir compte des intérêts des parties prenantes.

C’est ainsi que les employés de Twitter, que l’entreprise appelait affectueusement « tweeps » ont été poussés sous le bus, alors que Twitter avait, depuis longtemps, promis de prendre soin d’eux. Les dirigeants de Twitter n’ont pas tenté d’évoquer avec Musk, comment les tweeps seraient affectés par l’accord négocié.

Au lieu de cela, les dirigeants de Twitter ont choisi d’allouer le très important excédent monétaire produit par l’accord entièrement aux actionnaires et aux dirigeants eux-mêmes. Ils ont choisi de n’utiliser aucune partie de cet excédent pour fournir un coussin monétaire aux tweeps qui perdraient leurs positions après la transaction. Notons, qu’allouer, ne serait-ce que 2 % des gains monétaires (qui sont finalement allés aux actionnaires et aux dirigeants d’entreprise), à la protection des employés, auraient permis de fournir un coussin monétaire substantiel aux quelque 50 % des tweeps qui ont été licenciés peu de temps après la conclusion de l’accord.

Notamment, les dirigeants de Twitter n’ont même pas mené de négociations ou de discussions avec Musk pour s’assurer que les tweeps apprendraient leurs licenciements de manière humaine, plutôt que de le déduire après avoir été déconnectés au milieu de la nuit, ou que le travail à distance, l’environnement auquel Twitter avait exprimé un engagement, serait graduel plutôt que soudain.

Les déclarations de mission et les valeurs fondamentales auxquelles les dirigeants de Twitter avaient, depuis longtemps, prêté allégeance, ont également été poussées sous le bus. Lors de la négociation des conditions de la transaction, les dirigeants de Twitter n’ont négocié avec Musk aucune contrainte ni même aucun engagement souple concernant le maintien de ces engagements après la transaction. Les dirigeants de Twitter ne semblent même pas avoir eu de discussions avec Musk concernant ses plans à cet égard, car ils ont déclaré aux employés qu’ils n’avaient aucune information sur ces plans. Les dirigeants de Twitter ont choisi de procéder de cette manière malgré les avertissements et les indications selon lesquels Musk pourrait bien abandonner tout ou partie les solides engagements de Twitter avant l’accord.

Twitter avait depuis longtemps communiqué son engagement à avoir une mission et pas seulement un objectif de profit, et à faire progresser des valeurs telles que l’intégrité civique, l’exclusion des discours de haine, le respect des droits de l’homme, et même le soutien à l’Ukraine dans sa défense contre l’agression. Mais ces engagements semblent avoir reçu peu d’attention ou de poids de la part des dirigeants de Twitter lorsqu’ils ont négocié l’accord Musk.

Au-delà de l’affaire Twitter, nos conclusions ont des implications pour le débat houleux en cours sur la gouvernance des parties prenantes. À cet égard, nos conclusions soutiennent l’idée que la rhétorique des parties prenantes des chefs d’entreprise est principalement pour le spectacle et n’est généralement pas accompagnée de choix réels (par exemple, Bebchuk et Tallarita (2020).

Nos résultats suggèrent en outre que l’on ne peut pas s’attendre à ce que les dirigeants d’entreprise qui vendent leur entreprise veillent aux intérêts des parties prenantes. Ceci est contraire aux prédictions des promesses implicites et des théories de production en équipe de Shleifer-Summers (1988)Coffee (1988) et Blair-Stout (1999), qui ont longtemps été utilisées comme argument pour donner aux dirigeants d’entreprise un droit de veto sur les acquisitions d’entreprises afin qu’ils puissent utiliser ce pouvoir pour défendre les intérêts des parties prenantes.

Enfin, notre étude de cas remet en question le point de vue qui attache de l’importance à l’adoption par les entreprises d’énoncés concernant la mission, le but et les valeurs fondamentales (par exemple, Eccles & Youmans (2016) et Mayer (2019) ). Twitter a été « long » sur de telles déclarations pendant un certain temps, mais décidément « court » sur l’une d’entre elles.

Notre analyse de l’étude de cas sur Twitter est cohérente avec les conclusions de travaux empiriques antérieurs co-écrits par deux d’entre nous. Ce travail empirique a montré que les chefs d’entreprise se sont concentrés sur les intérêts des actionnaires et des hauts dirigeants eux-mêmes, et qu’ils n’ont pas réussi à négocier la protection des parties prenantes dans deux grands échantillons de transactions :

(i) les acquisitions d’entreprises publiques pendant la période COVID au cours de laquelle la rhétorique concernant les parties prenantes était largement employée par les chefs d’entreprise ( Bebchuk, Kastiel et Tallarita (2022) ) ;

(ii) les acquisitions régies par les statuts de la constitution des États autorisant et obligeant les dirigeants vendant leur entreprise à prendre en compte les intérêts des parties prenantes ( Bebchuk, Kastiel et Tallarita (2021)). En complément de ces études, notre étude de cas Twitter actuelle fournit un exemple particulièrement frappant et puissant de la façon dont les dirigeants d’entreprise ignorent en fait les parties prenantes (et toutes rhétoriques antérieures favorable aux parties prenantes) lors de la négociation d’une vente de leur entreprise.

*Lucian Bebchuk  est titulaire de la chaire James Barr Ames de droit, d’économie et de finance et directeur du programme sur la gouvernance d’entreprise à la faculté de droit de Harvard ; Kobi Kastiel  est professeur agrégé de droit à l’Université de Tel-Aviv et chercheur principal du programme de la faculté de droit de Harvard sur la gouvernance d’entreprise ; et Anna Toniolo est boursière postdoctorale au Programme sur la gouvernance d’entreprise de la Harvard Law School.

Pour une gouvernance efficace de la cybersécurité


Voici un article majeur publié par Orla Cox et Hetal Kanji*, de FTI Consulting, paru sur le site du Forum de la Harvard Law School on Corporate Governance.

Compte tenu de l’importace croissante de la cybersécurité et des responsabilités accrues des administrateurs dans ce domaine, j’ai opté pour un billet qui présente l’ensemble de la publication. Cependant, la premièere partie constitue un résumé de la problématique soulevée.

Cet article présente, en détail, toutes les mesures que les conseils d’administration doivent connaître et mettre en oeuvre pour pallier les cyber-risques de plus en plus prévalents. Les auteurs présentent un état des lieux eu égard à la cybersécurité.

J’ai corrigé la version traduite par Google, et le résultat final me semble très acceptable.

Bonne lecture !


Cybersécurité Entreprise : Audit Sécurité Informatique & Sécurité Réseau


La numérisation a changé la façon dont les entreprises fonctionnent et a donné lieu à un ensemble de risques en évolution rapide auxquels les entreprises sont confrontées et auxquelles elles doivent se préparer — les risques de cybersécurité. La prévalence croissante des cyberattaques, notamment les rançongiciels, associée à la diminution de la disponibilité de la cyberassurance, expose de plus en plus les entreprises aux impacts souvent importants d’un incident de cybersécurité. Il y a naturellement un coût financier à court terme — les recherches d’IBM [1] révèlent que le coût total moyen d’une violation de ransomware en 2022 est de 4,54 millions de dollars — mais, sur le plan de la réputation, l’impact d’un incident peut être plus durable.

Conscients de la façon dont les entreprises sont de plus en plus exposées à la cybersécurité, les gouvernements, les régulateurs et les investisseurs augmentent la pression sur les organisations pour qu’elles améliorent leurs mesures de cybersécurité, augmentent la transparence autour des divulgations et mettent en place des structures de gouvernance et de gestion qui démontrent que la cybersécurité est une priorité aux plus hauts niveaux du monde.

Veiller à ce que des structures de surveillance soient en place au niveau du conseil d’administration est un élément clé de la cybergouvernance. En tant que risque important affectant les entreprises, les conseils d’administration sont de plus en plus tenus responsables de s’assurer que l’équipe de direction prend les mesures appropriées pour atténuer le risque d’attaque de cybersécurité, et également de s’assurer que l’organisation réagit de manière appropriée en cas d’incident. Souvent, les conseils d’administration ont peu ou pas d’expérience dans ce domaine, et bien que la nature dynamique du cyberrisque signifie que les membres du conseil d’administration ne sont pas censés être des cyberexperts — bien qu’il y ait un mérite à avoir une expertise au sein du conseil d’administration — ils sont censés être capables de interpeller la direction sur ce sujet et informer les actionnaires sur les mesures mises en place pour atténuer l’impact des incidents de cybersécurité.

Pour de nombreuses entreprises, le Chief Information Security Officer (CISO) est l’exécutif responsable du cyberrisque. Les investisseurs et les régulateurs faisant pression pour une plus grande surveillance au niveau du conseil d’administration, le RSSI devra communiquer les cyberrisques et les mesures en des termes qui résonnent avec le conseil d’administration, et les structures de gouvernance devront donner la priorité à l’engagement avec le RSSI sur les cyberrisques.

La cybersécurité fait également de plus en plus partie de l’examen minutieux des entreprises par les investisseurs et les conseillers en vote. Nos recherches indiquent que les investisseurs considèrent désormais la cybersécurité comme une priorité essentielle, les cyberattaques étant systématiquement citées comme la préoccupation ou le domaine de risque le plus important pour les investisseurs. Parallèlement à cela, les principaux gestionnaires d’actifs mondiaux fournissent plus de détails sur ce qu’ils attendent en termes de divulgation — y compris un désir de détails sur les structures en place pour gérer le cyberrisque, mais aussi le nombre et l’ampleur des cyber-incidents affectant une entreprise.

La manière dont les entreprises communiquent leur gouvernance du risque cyber aux investisseurs est donc de plus en plus importante. Lors de l’annonce des règles proposées par la SEC sur la divulgation de la cybersécurité, le président de la SEC, Gary Gensler, a déclaré : « Je pense que les entreprises et les investisseurs gagneraient à ce que ces informations soient requises de manière cohérente, comparable et utile à la prise de décision. » Cela met en évidence un manque de transparence autour des cyberrisques et de la divulgation des incidents ; et un indicateur clair que la réglementation ne va que dans un sens.

Dans l’évaluation de l’environnement réglementaire ; l’examen de l’attention accrue de la communauté des investisseurs ; et compte tenu des avantages d’une plus grande transparence, nous estimons qu’il peut être avantageux pour les entreprises d’aborder la cybersécurité d’une manière similaire à la façon dont le groupe de travail sur les informations financières liées au climat (TCFD) aborde le risque climatique. Celui-ci est construit autour de quatre piliers et permettra aux conseils d’administration et aux investisseurs des entreprises de reconnaître les risques posés par la cybersécurité d’une manière plus holistique couvrant i) la gouvernance ; ii) Stratégie ; iii) gestion des risques ; iv) Paramètres et cibles.

En fin de compte, une combinaison de réglementation et d’exigence d’une plus grande transparence signifiera un changement radical dans la divulgation pour les entreprises. Cependant, il est probable qu’il y ait un avantage clair — financier et de réputation — pour les entreprises qui sont les premières à adopter une approche plus proactive de la gouvernance et de la surveillance du cyberrisque et de la divulgation.


Le Forum économique mondial a classé la cybersécurité parmi les cinq principaux risques mondiaux [2] et a appelé les entreprises à intégrer les considérations de cybersécurité dans leur gestion des risques ESG. Avec la croissance des menaces de cybersécurité et l’augmentation significative du nombre d’attaques de ransomwares et de logiciels malveillants, la cybersécurité reste en tête du registre des risques pour de nombreuses entreprises. Malgré une prise de conscience accrue, un incident de cybersécurité continue d’être une affaire coûteuse, les recherches d’IBM estimant que le coût total moyen d’une violation de ransomware en 2022 était de 4,54 millions de dollars . [3]

Avec la numérisation croissante des entreprises, le travail à distance et l’évolution du paysage géopolitique, ainsi que l’augmentation du volume et de la gravité des cyberattaques, les pratiques de gestion des risques des entreprises et la surveillance efficace du cyber et de la technologie font l’objet d’un examen accru de la part des investisseurs, tandis que les régulateurs continuent d’accélérer la mise en œuvre des cadres de surveillance nécessaires. Les entreprises qui ne parviennent pas à mettre en œuvre une bonne gouvernance en matière de cybersécurité ou à utiliser des outils et des mesures appropriés seront considérées comme « moins résilientes et moins durables » , a déclaré le WEF.

État des lieux de la cybersécurité

Un paysage de menaces en constante expansion

L’année 2021 a été sans précédent tant par l’ampleur que par l’impact des cyberattaques. Une grande attention a été accordée, à juste titre, aux rançongiciels et a été motivée par des attaques de grande envergure menées par des groupes professionnels de la cybercriminalité dotés des compétences et des ressources nécessaires pour infiltrer les grandes organisations et les infrastructures étatiques. La prévalence des ransomwares continue d’augmenter d’année en année, mais a fait un bond significatif en 2021 lorsqu’elle a augmenté de 13 %  [4] — une augmentation équivalente aux cinq années précédentes combinées.

La prolifération des ransomwares a été facilitée par le modèle commercial « Ransomware en tant que service » dans lequel les développeurs vendent leur souche de ransomwares à des affiliés, en échange d’une réduction des bénéfices. L’utilisation de la double extorsion (menacer de divulguer des données) et de la triple extorsion (menacer d’autres parties prenantes telles que les employés et les clients) a également augmenté les enjeux pour les organisations qui réagissent à un incident.

Le paysage géopolitique changeant de 2022 a également signifié que les entreprises se sont retrouvées dans la ligne de mire non seulement des cybercriminels, mais aussi des acteurs des États-nations [5]  menant des cyberattaques parallèlement aux activités militaires traditionnelles. Les hacktivistes [6]  ont également ciblé des organisations pour des raisons idéologiques, par exemple celles qui continuent à faire des affaires en Russie. Alors que nous entrons dans une période de « cyberguerre froide », les inquiétudes concernant les attaques potentielles contre les secteurs dits critiques — tels que les industries, les services financiers et les services publics — se sont considérablement accrues, car les impacts plus larges et systémiques de ces attaques prennent une nouvelle dimension.

Parallèlement à cette activité de menace accrue, les organisations voient également leur surface d’attaque s’élargir en raison de la numérisation accélérée, de l’augmentation de l’activité en ligne et des chaînes d’approvisionnement numériques complexes. Cela signifie que les risques auxquels sont confrontées les organisations augmentent et changent constamment, tandis que la sophistication avec laquelle les acteurs externes peuvent mener des attaques augmente.

Les régulateurs et les investisseurs sont de plus en plus conscients de ce risque croissant de cybersécurité et du coût élevé d’un incident d’un point de vue commercial, financier et de réputation, et mettent en place des mesures qui obligeront les entreprises à mettre en œuvre une surveillance appropriée de la cybersécurité et, par conséquent, à tenir leurs conseils d’administration et leurs cadres supérieurs responsables.

Disponibilité et abordabilité de la cyberassurance

Ces dernières années, les entreprises avaient recours à la cyberassurance pour gérer les retombées d’un incident de cybersécurité. Cependant, l’incidence accrue des cyberattaques, en particulier les rançongiciels, combinée à l’augmentation des demandes de rançon, a entraîné un plus grand volume de réclamations d’assurance.

Les assureurs ont augmenté les prix [7]  en réponse à l’augmentation des sinistres, la compagnie d’assurance Marsh rapportant [8]  que le prix de la couverture au quatrième trimestre 2021 a augmenté de 130 % aux États-Unis et de 92 % au Royaume-Uni, et a augmenté de 110 % supplémentaires aux États-Unis et de 102 % au Royaume-Uni au premier trimestre 2022. L’augmentation des sinistres a été si importante que de nombreuses compagnies d’assurance limitent leur couverture ou ne proposent tout simplement plus de cyber-assurance. En août 2022, Lloyds of London a publié un bulletin  [9] à ses membres déclarant qu’à partir du 31 mars 2023, en raison du risque systémique pour les marchés de l’assurance posé par les cyber-polices, toutes les cyber-polices autonomes nouvellement rédigées doivent exclure la responsabilité pour les pertes résultant de toute cyber-attaque soutenue par l’État.

Environnement réglementaire plus strict

C’est dans le contexte d’une prévalence et d’une gravité accrues des attaques que les gouvernements et les régulateurs continuent d’augmenter la pression sur les organisations pour qu’elles améliorent leur position en matière de cybersécurité tout en augmentant la transparence grâce à une plus grande divulgation de la cybersécurité. Le non-respect de la réglementation peut être coûteux pour les entreprises ; le coût d’une violation de données en particulier est supérieur de plus de 50 % [10]  pour les organisations présentant un niveau élevé d’échecs de conformité. Ces augmentations de coûts sont principalement le résultat d’amendes, de pénalités et de poursuites.


La réglementation de la cybersécurité en Europe se concentre principalement sur la protection des données personnelles et le maintien de l’intégrité des infrastructures, systèmes et services critiques. Le RGPD, qui couvre le traitement des données personnelles et la notification des violations de données dans l’UE, est bien établi et, pour l’essentiel, bien compris. Sa mise en œuvre a permis de mettre en évidence les responsabilités des entreprises en tant que dépositaires des données personnelles. La directive sur la sécurité des réseaux et de l’information (NIS) a également fourni des exigences en matière de cybersécurité et de notification pour les fournisseurs de services numériques et les opérateurs de services essentiels tels que la santé, les transports et les services financiers depuis 2018. Avec la nature en constante évolution des cyberrisques et leur fréquence accrue et de sophistication, le Parlement européen a approuvé le NIS2 en décembre 2021, » qui sont critiques pour l’économie et la société » . La politique est conçue dans le but de renforcer les mesures existantes et de rationaliser le reporting des entreprises. Le Royaume-Uni élargit également le champ d’application de sa directive NIS pour inclure un ensemble plus large d’industries.

En outre, la loi imminente sur la résilience des opérations numériques (DORA) augmentera les exigences de divulgation et de déclaration pour le secteur des services financiers et leurs fournisseurs tiers dans l’UE.


Les régulateurs américains se sont concentrés sur la matérialité des incidents, la SEC indiquant depuis 2018 que les cyberattaques représentent des risques commerciaux existentiels et peuvent avoir un impact matériel, justifiant la divulgation. En mars 2022, la SEC a développé ce point et proposé de nouvelles règles  [11]  qui rendraient la divulgation des incidents obligatoire pour les entreprises publiques. Selon les nouvelles règles, les entreprises devraient signaler les incidents matériels de cybersécurité dans les quatre jours suivant leur découverte.

En plus de la divulgation des incidents, les propositions traitent également de la surveillance de la cybersécurité en indiquant que la réglementation obligerait les entreprises « à fournir une divulgation plus cohérente et informative concernant leur gestion et leur stratégie des risques de cybersécurité » . Les propositions consacrent une section entière à la gouvernance de la cybersécurité décrivant les exigences de divulgation liées à la surveillance et à l’expertise du conseil d’administration en matière de cybersécurité, le rôle et l’expertise de la direction dans la gestion des risques de cybersécurité et la manière dont le risque de cybersécurité est pris en compte par rapport à la stratégie commerciale, à la gestion des risques et à la surveillance financière. Les détails partagés par la SEC à la suite de récents règlements ont également révélé le niveau de contrôle actuellement exercé sur les incidents de cybersécurité. Les manquements décrits dans les règlements comprennent :

  • Retards dans les notifications aux investisseurs
  • Absence de processus et de contrôles de divulgation internes entraînant des déclarations inexactes de la part des cadres supérieurs
  • Politiques de sécurité écrites qui n’ont pas été mises en œuvre dans la pratique
  • Langage trompeur, inexactitudes et omissions dans les notifications

Bien que ces propositions soient encore en phase de consultation, il est tout à fait clair que la SEC considère la cybersécurité comme un risque important pour les entreprises. Les entreprises seront non seulement évaluées sur les structures en place pour gérer et superviser le cyberrisque, mais également sur la manière dont elles réagissent immédiatement après un incident.

Gouvernance d’entreprise et cybersécurité

La croissance du cyberrisque a entraîné une prise de conscience accrue et des attentes plus élevées concernant les problèmes de cybersécurité, les entreprises étant évaluées sur leur état de préparation, leur résilience et leur réaction à la suite d’un incident. Alors que les entreprises doivent bien comprendre les bases et avoir une compréhension claire de leurs obligations de divulgation au niveau du marché et du secteur industriel, les régulateurs et les investisseurs attendent également des conseils d’administration qu’ils mettent en place une structure de gouvernance qui donne la priorité à la cybersécurité. Une gouvernance appropriée est considérée comme essentielle à la fois pour atténuer les risques, répondre aux incidents de cybersécurité et démontrer la préparation.

Les nouvelles orientations proposées par la SEC sur la gestion des risques de cybersécurité, la stratégie, la gouvernance et les règles de divulgation des incidents augmenteront la responsabilité des conseils d’administration en matière de cyberrisque. Étant donné que les propositions exigeront que les incidents matériels soient signalés dans les quatre jours, les entreprises devront évaluer rapidement l’impact total d’un incident. Afin de répondre à ces exigences strictes et d’éviter les sanctions, les conseils d’administration devront avoir une compréhension complète de leur cyberrisque et de l’impact financier potentiel d’un incident, avant qu’il ne se produise. De nombreuses entreprises comptaient sur la cyberassurance pour gérer certains éléments de leur exposition aux risques, mais les fournisseurs limitant de plus en plus leur couverture, les entreprises sont effectivement auto-assurées pour la majorité des coûts associés à un cyberincident.

Ce nouvel environnement de risque, combiné à une réglementation exigeant transparence et responsabilité, accompagné d’une pression croissante des actionnaires pour mieux comprendre comment le risque cyber est atténué, signifie que l’accent est désormais mis sur le rôle des administrateurs dans la surveillance du risque cyber. .

Élargir le rôle et l’importance du RSSI

Avoir un Chief Information Security Officer (CISO) dédié, qui est séparé et distinct du rôle de Chief Information Officer (CIO), est devenu de plus en plus important avec la transformation numérique accélérée et les risques de sécurité associés que la pandémie et les problèmes géopolitiques ont apportés. Un RSSI habilité et digne de confiance est également essentiel lors d’une véritable crise informatique, lorsque des décisions doivent être prises et communiquées rapidement, non seulement pour protéger les opérations et la réputation, mais aussi pour éviter de futures sanctions réglementaires.

Les lignes directrices en matière de gouvernance dans les directives de la SEC exigent une discussion sur les points suivants :

  • Si l’ensemble du conseil d’administration, des membres spécifiques du conseil d’administration ou un comité du conseil d’administration sont responsables de la surveillance des risques de cybersécurité ;
  • Les processus par lesquels le conseil est informé des risques de cybersécurité et la fréquence de ses discussions sur ce sujet ; et
  • si et comment le conseil ou le comité du conseil considère les risques de cybersécurité dans le cadre de sa stratégie commerciale, de sa gestion des risques et de sa surveillance financière.

Le bureau du RSSI a peut-être été traditionnellement considéré comme une fonction informatique, mais les implications profondes d’un incident de cybersécurité signifient que la cybersécurité doit être considérée comme un risque commercial. Garner [12] prévoit qu’au moins 50 % des cadres de niveau C auront des exigences de performance liées au cyberrisque d’ici 2026, ce qui renforce la façon dont la responsabilité du cyberrisque est passée d’une simple responsabilité informatique à une responsabilité des chefs d’entreprise dans tous les segments d’une entreprise. Historiquement, ces dirigeants n’ont peut-être pas pris en compte le cyberrisque dans leur prise de décision et leurs priorités, et le RSSI devra donc s’assurer que ces dirigeants d’entreprise disposent des connaissances et de la capacité de prendre des décisions appropriées en matière de risque, dans le cadre de la gestion plus large des risques de l’entreprise.

Ce changement, combiné à un paysage réglementaire qui pousse la responsabilité de la surveillance au niveau du conseil d’administration, signifie que le RSSI moderne doit être capable de communiquer les cyberrisques dynamiques et en évolution rapide en termes qui résonnent à la fois avec l’entreprise et le conseil d’administration. Les mesures doivent être définies en termes d’impact commercial et financier pour redéfinir la cybersécurité comme un investissement obligatoire et non comme un coût opérationnel. Cependant, une nouvelle enquête de FTI Consulting auprès de 165 RSSI aux États-Unis a révélé que 58 % ont du mal à communiquer avec la haute direction. [13]

Surveillance du conseil

Alors que le CISO joue un rôle important dans la préparation de la stratégie globale de cybersécurité d’une entreprise, s’assurer que les mesures de cybersécurité d’une entreprise sont adéquates devrait également faire partie des responsabilités de surveillance du conseil d’administration. La cybersécurité doit faire partie de l’ordre du jour récurrent des réunions du conseil d’administration.

Il est de pratique courante que la fonction de surveillance des cyberrisques fasse partie des attributions du comité d’audit du conseil d’administration. Cette décision concernant la structure de surveillance la plus efficace doit être basée sur la structure de chaque entreprise. En outre, à mesure que les investisseurs institutionnels et les conseillers en vote se concentrent davantage sur la surveillance de la cybersécurité, les conseils d’administration — et pas seulement la direction — doivent être préparés à un dialogue régulier avec les actionnaires sur ces questions.

Il est essentiel que le CISO alimente régulièrement les discussions du conseil d’administration afin de communiquer les risques de cybersécurité auxquels une entreprise est confrontée et les investissements nécessaires pour atténuer ces risques, et que le conseil d’administration soit prêt à poser des questions pertinentes sur la stratégie de cybersécurité.

L’enquête RSS de FTI Consulting a révélé que 53 % des RSSI estiment que les priorités en matière de cybersécurité ne sont pas complètement alignées sur celles de la haute direction. Un CISO sera souvent confronté à des intérêts concurrents de l’entreprise et, par conséquent, il est important que le conseil d’administration contribue à favoriser une culture où la cybersécurité est prioritaire et ne perd pas face à des intérêts concurrents (par exemple, en la reconnaissant comme un investissement et non comme un coût). Bien que le RSSI soit responsable de la conception et de la mise en œuvre du programme de cybersécurité de l’entreprise, il appartient au conseil d’administration de s’assurer que la stratégie appropriée a été élaborée et mise en œuvre par l’équipe de direction.

Compétences du conseil

Bien que des rapports solides au conseil d’administration de la part d’un RSSI ou d’un autre cadre améliorent la surveillance des risques de cybersécurité, tout comme le fait d’avoir un sens aigu des finances au sein du conseil d’administration, il est tout aussi important que le conseil lui-même ait l’expertise et les compétences appropriées pour comprendre les rapports et les risques en matière de cybersécurité. Les conseils d’administration doivent faire appel à l’industrie externe et à d’autres conseils ainsi qu’à l’expertise en cybersécurité de leurs collègues administrateurs, de tiers et de ressources internes pour superviser efficacement la cybersécurité de l’organisation au sein d’une structure appropriée axée sur la surveillance. Dans un paysage en évolution rapide, les réalisateurs gagneraient à chercher continuellement à élargir leurs propres connaissances sur ce sujet.

En outre, établir des relations en interne avec des parties prenantes capables de fournir une expertise pour guider les décisions stratégiques en matière de cybersécurité ; rechercher des conseillers tiers externes qui font régulièrement rapport au conseil ; et la mise en œuvre d’audits périodiques et/ou d’analyses comparatives par des tiers jouent un rôle important dans le renforcement des compétences du conseil dans ce domaine. À mesure que la compréhension du cyberrisque se développe, de nombreuses entreprises ont séparé les équipes informatiques et de sécurité de l’information dans le cadre de leur stratégie de gouvernance. Compte tenu de la fréquence et du risque accru de faire face à une cyberattaque ou à une défaillance de la cybersécurité, il est devenu de plus en plus important de disposer d’une expertise en cybersécurité à la disposition du conseil d’administration. Nos recherches précédentes, basées sur les données de 2020 [14], ont indiqué qu’un manque d’expertise technologique au sein d’un conseil crée une lacune réelle et significative dans l’ensemble des compétences du conseil. Sur la base de ces données, seuls 8,5 % des administrateurs des indices FTSE 350 et ISEQ20 ont été jugés avoir une expertise technologique. En ce qui concerne les données de 2022, ce nombre est tombé à 7,2 %, avec la diminution du nombre d’administrateurs ayant une expertise technologique dans l’ensemble du FTSE350 et une augmentation de 1 % dans l’ISEQ20, comme détaillé dans le tableau.

Dans la lignée du ralentissement macroéconomique qui a caractérisé les deux dernières années, la légère diminution du nombre d’administrateurs ayant une expertise technologique au sein des conseils d’administration des entreprises britanniques et irlandaises entre 2020 et 2022 ne doit pas être considérée comme une diminution de l’importance accordée aux sujets de la cybersécurité par les investisseurs.

Intérêt des investisseurs

Alors que les régulateurs tentent de mettre en place des cadres qui serviront à protéger les investisseurs, certains de ces mêmes investisseurs prennent également les choses en main.

Selon le rapport sur les Principes d’investissement responsable des Nations Unies, le sujet de la cybersécurité fait de plus en plus partie du programme d’engagement des investisseurs, compte tenu de l’impact négatif potentiel sur les valorisations des portefeuilles et les bénéfices du risque juridique et réglementaire associé aux cyberincidents. L’impact potentiel sur le cours de l’action d’une entreprise, en particulier lorsque ces incidents deviennent de plus en plus probables, fait partie de l’analyse d’une entreprise par les investisseurs, avec des recherches récentes de HSBC [15] soulignant le fait que 73 % des organisations ont sous-performé le marché après une attaque de ransomware. Recherche menée par FTI Consulting qui a sondé c. 204 investisseurs institutionnels en 2021 ont constaté que les cyberattaques sont parmi les plus grandes préoccupations des entreprises dans lesquelles ils sont investis. Alors que les récents bouleversements sociétaux et géopolitiques ont mis en évidence des préoccupations supplémentaires, les cyberattaques sont toujours restées une préoccupation majeure au cours des deux dernières années.

Attentes des investisseurs

Reflétant les préoccupations croissantes et l’examen minutieux des pratiques de cybersécurité des entreprises par les investisseurs, les conseillers en vote ont intégré, dans leurs rapports de recherche, des informations et des points de données supplémentaires sur ce sujet.

En outre, ces informations ont également été intégrées dans l’analyse d’autres tiers et fournisseurs de notation, Refinitiv ayant récemment annoncé l’incorporation de données de cybersécurité de tiers dans ses rapports de diligence raisonnable axés sur les risques. De même, fournisseur d’outils de gouvernance d’entreprise, de rémunération, de durabilité et de cybersécurité, ISS Corporate Solutions s’est associé à une autre plateforme technologique de premier plan qui opérationnalise les risques, la confidentialité et la sécurité des tiers. Grâce à ce partenariat, les entreprises auront accès à une gamme d’informations détaillées et d’évaluations exclusives sur la stratégie/les pratiques de cybersécurité de leurs fournisseurs et de tiers, afin de s’assurer qu’elles contribuent positivement à la réputation et aux opérations commerciales de l’organisation.

En 2021, le conseiller en proxy Glass Lewis a annoncé un partenariat avec une société de notation de sécurité pour fournir des données et des informations sur la cybersécurité dans leurs rapports de recherche. La notation fournie est basée sur une évaluation des données externes disponibles telles que les systèmes compromis, les niveaux de correctifs et les incidents divulgués publiquement. Les entreprises sont ensuite comparées à leur secteur d’activité.


La note « ISS ESG QualityScore » comprend désormais également plusieurs questions liées à la gouvernance de la cybersécurité, y compris l’expertise du conseil d’administration en matière de cybersécurité, les politiques et la surveillance publiées en matière de cybersécurité et des détails sur toute violation de la cybersécurité qui fournissent un cadre utile pour mieux comprendre le niveau de pratique actuel d’une entreprise.

Intendance et cybersécurité

À la lumière des complexités et du paysage en constante évolution de la cybersécurité, avec des cadres réglementaires toujours en phase de rattrapage, l’évaluation de la cyberpréparation d’une entreprise est devenue une considération clé pour de nombreux investisseurs institutionnels. Un rapport sur les principes d’investissement responsable (PRI) [16] a  révélé que si les entreprises reconnaissent de plus en plus le cyberrisque, la divulgation ne se développe pas au même rythme. L’étude a révélé que « bien que les entreprises reconnaissent de plus en plus les cyberrisques et leurs impacts, les informations d’entreprise dans le domaine public ne garantissent pas aux investisseurs que les entreprises disposent de structures et de mesures de gouvernance adéquates pour faire face aux défis de la cybersécurité ».. L’information étant au centre de marchés fonctionnant efficacement, le cyberespace peut être une sorte d’angle mort.

ISS inclut une série de questions liées à la cybersécurité lors de la détermination de la note ISS ESG QualityScore :

  • L’entreprise divulgue-t-elle une approche d’identification et d’atténuation des risques de sécurité de l’information ?
  • Quel pourcentage du comité responsable de la sécurité de l’information est indépendant ?
  • À quelle fréquence la haute direction informe-t-elle le conseil d’administration sur les questions de sécurité de l’information ?
  • Combien d’administrateurs ayant une expérience en sécurité de l’information sont membres du conseil d’administration ?
  • L’entreprise a-t-elle connu une violation de la sécurité des informations au cours des trois dernières années ?
  • L’entreprise a-t-elle souscrit une police d’assurance contre les risques liés à la sécurité de l’information ?
  • L’entreprise est-elle auditée en externe ou certifiée selon les normes de sécurité de l’information les plus élevées ?
  • L’entreprise a-t-elle un programme de formation en sécurité de l’information ?
  • Depuis combien de temps la violation de la sécurité des informations la plus récente s’est-elle produite (en mois) ?

Perspectives et mises à jour des investisseurs institutionnels

BlackRock, le plus grand gestionnaire d’actifs au monde, a identifié dans son rapport annuel de gérance 2021  [17]  que la cybersécurité est un risque systémique, étant donné les risques de confidentialité et de sécurité des données qui peuvent affecter les informations personnelles, en tant qu’employés ou clients, ainsi que l’effet d’entraînement qu’elle pourrait par l’intermédiaire du système financier au sens large. Dans son rapport sur les votes de 2022[18] BlackRock a continué d’identifier la confidentialité et la sécurité des données comme un sujet prioritaire pour les entreprises et les investisseurs, à la lumière du rôle croissant de la technologie dans les modèles commerciaux des entreprises et les interactions avec les employés, les clients et les autres parties prenantes. BlackRock considère cette question dans le contexte de l’industrie et du marché des entreprises qu’elle engage  [19] avec et cherche à mieux comprendre comment chaque entreprise est préparée à naviguer au mieux dans ce paysage en évolution.

« Du point de vue d’un investisseur à long terme, cherchant à assurer des rendements durables pour nos clients, l’accès accru aux données personnelles par les entreprises s’accompagne de risques commerciaux importants qui peuvent avoir un impact sur la réputation d’une entreprise et sa capacité à fonctionner. Alors que le coût direct et indirect moyen mondial d’une seule violation de données est estimé à plus de 4 millions de dollars en 2021, le risque financier extrême associé à une violation de données très importante peut atteindre des centaines de millions de dollars. Bien que les méga-brèches ne soient pas l’expérience normale pour la plupart des entreprises, ils peuvent avoir un impact démesuré sur les consommateurs et les industries […] Cependant, les investisseurs peuvent être confrontés à d’importants manques de transparence lorsqu’ils évaluent la gestion de ces risques par les entreprises et leur préparation à un événement de crise. Plus récemment, nous avons constaté des efforts pour combler cette lacune, en mettant davantage l’accent sur les rapports réguliers et la transparence sur les politiques et la surveillance du conseil d’administration, ce que nous saluons compte tenu de la sensibilité associée au sujet ainsi que de la nature relativement nouvelle de ces risques et de la réglementation. »

Source : approche de BlackRock en matière de confidentialité et de sécurité des données

Dans son rapport semestriel sur la gestion des investissements  [20] en 2020, Vanguard a également souligné l’importance de structures de gouvernance d’entreprise solides pour prévenir ou réduire l’impact des risques matériels tels que la cybersécurité sur la valeur à long terme, comme indiqué :

« En fin de compte, les conseils d’administration devraient s’efforcer d’empêcher que les risques ne se transforment en échecs de gouvernance. Nous avons vu de plus en plus de preuves que des risques non traditionnels, mais matériels liés à des sujets environnementaux et sociaux (tels que le changement climatique, la cybersécurité et la gestion du capital humain) peuvent nuire à la valeur à long terme d’une entreprise. Si les pratiques, la culture organisationnelle ou les produits d’une entreprise mettent en danger la santé, la sécurité ou la dignité des personnes, ils peuvent également présenter un risque financier pour les investisseurs. De solides pratiques de surveillance permettent à un conseil d’administration de diriger une entreprise à travers des crises imprévisibles.

Source : Rapport semestriel sur la gestion des investissements de Vanguard 2020


Bien qu’il n’y ait pas de méthode définie pour s’engager sur la cybersécurité, Schroders a noté les questions ci-dessous qui guident ses engagements sur la cybersécurité :

  1. Existe-t-il une responsabilité en matière de cybersécurité et de confidentialité des données au niveau du conseil d’administration et de la direction ?
  2. Comment s’organise l’expertise technique de l’entreprise ?
  3. Quels sont les formations et le suivi des employés et des fournisseurs mis en place ?

Engagement actionnarial

Outre l’examen des divulgations et des notations de tiers, les investisseurs ont utilisé l’engagement comme moyen d’acquérir une meilleure compréhension des approches des entreprises face à ce risque important, d’autant plus que les exigences de divulgation sont encore en développement. Les entreprises ont montré une certaine réticence à divulguer des détails importants sur leurs stratégies et cadres de cybersécurité, mais ont, à leur tour, montré leur disponibilité à dialoguer directement avec leurs actionnaires sur leurs pratiques. Le rapport PRI précité, notait également que les entreprises contactées dans le cadre de cet engagement collectif » étaient ouverts au dialogue privé et ont volontairement mis leurs experts — généralement des responsables de la sécurité de l’information ou des directeurs numériques (ainsi que le personnel de leurs équipes de développement durable et de relations avec les investisseurs) — à disposition pour aider les investisseurs à développer une vision plus complète de la manière dont ils gèrent les risques de cybersécurité ».

Cette profondeur d’information, y compris la combinaison d’antécédents et d’idées, n’aurait pas été capturée dans le seul examen des documents publics, et souligne en outre le mérite important de l’engagement des actionnaires pour obtenir une vision plus holistique de l’approche d’une entreprise, et met également en évidence le niveau d’interaction entre le conseil d’administration et l’équipe de direction. À mesure que l’engagement et la gestion de la cybersécurité augmentent, les membres du conseil d’administration devront être préparés à ces conversations. Un engagement régulier avec les RSSI et les équipes de sécurité permettra une meilleure compréhension de l’état de la cybersécurité de l’entreprise. BlackRock a développé son approche pour s’engager avec les entreprises, en particulier celles qui présentent le plus grand risque, sur la confidentialité et la sécurité des données et les objectifs de leur engagement sont détaillés ci-dessous :


L’approche de BlackRock en matière d’engagement en matière de confidentialité et de sécurité des données :

Évaluation de la matérialité

  • Quelle est l’exposition de l’entreprise aux risques liés à la confidentialité et à la sécurité des données en fonction de son modèle commercial, par exemple
  • la quantité, le type et la sensibilité des données qu’il recueille (c.-à-d. utilisateurs vs clients ; particuliers vs entreprises ; privés vs publics, sensibles vs non sensibles) ?
  • Quelles sont les implications financières concrètes pour l’entreprise en matière de confidentialité, de données et de cybersécurité ?
  • Des mesures réglementaires connexes ont-elles été prises ou sont-elles prévues ? Pour une entreprise opérant/cotée dans plusieurs juridictions, comment parvient-elle à se conformer aux multiples réglementations en matière de sécurité/confidentialité des données ?

Surveillance et ressources du conseil

  • Dans quelle mesure le conseil d’administration maintient-il une surveillance et une compréhension complètes des risques importants en matière de confidentialité et de sécurité des données ?
  • Comment ces questions sont-elles prises en compte dans le plan de continuité des activités de l’entreprise ?
  • Quelles sont les ressources dédiées à la gestion des risques cyber et pourquoi sont-elles considérées comme adéquates pour l’entreprise ? Les paramètres liés à la formation des employés sont-ils largement partagés avec les parties prenantes en interne et en externe ?
  • L’entreprise utilise-t-elle un cadre de sécurité de l’industrie et comment se mesure-t-elle par rapport à ce cadre ?
  • Comment l’entreprise identifie-t-elle et traite-t-elle les problèmes de sécurité techniques et organisationnels pour se protéger contre les atteintes à la sécurité des données ?

Surveillance et ressources du conseil

  • Comment l’entreprise détermine-t-elle quelles données sont appropriées pour collecter et équilibrer l’utilisation des informations personnelles des clients pour les opportunités de revenus avec les risques juridiques, réglementaires et de réputation tout en maintenant la confiance des clients ?
  • À mesure que les clients prennent conscience de l’importance et des risques associés à leurs données, comment l’entreprise prend-elle en compte les changements potentiels dans la volonté des clients de partager leurs données à long terme ?
  • Comment l’entreprise s’assure-t-elle que les données collectées sont utilisées aux fins déclarées et qu’il n’y a pas d’écart ?
  • Si l’entreprise applique des algorithmes aux informations personnelles des utilisateurs à des fins de ciblage, quelle est la politique d’examen de ces algorithmes (au niveau de la direction et du conseil d’administration) pour s’assurer qu’il n’y a pas de discrimination perçue fondée sur l’origine ethnique, le pouvoir d’achat ou d’autres catégories démographiques qui pourraient être perçus comme sensibles ?

Gestion des tiers

  • En cas de transfert de données à des tiers, comment l’entreprise s’assure-t-elle que le traitement des données est effectué de manière responsable lors du transfert et conforme aux politiques de protection de l’entreprise ?

Stratégies d’engagement collectif

Une autre approche pour mieux comprendre la gouvernance de la cybersécurité dans différentes entreprises a consisté à utiliser des stratégies d’engagement collectif, qui offrent aux investisseurs un meilleur accès et une meilleure compréhension, mais offrent également une échelle supplémentaire pour influencer les pratiques de l’entreprise. À partir de 2019, le Border to Coast Pensions Partnerships, un fonds de pension du gouvernement local, et Royal London Asset Management, ont mené une initiative collaborative sur la cybersécurité, ce qui leur a permis de faire évoluer leur compréhension des risques et de l’approche de la cybersécurité, notant la valeur significative de ces interactions : « un dialogue approfondi plutôt que des divulgations générales croissantes peut être dans le meilleur intérêt des investisseurs ». À travers les différentes étapes de l’engagement, l’initiative a maintenant détaillé les attentes des investisseurs  [21] sur ce sujet, qui guidera son engagement individuel et ses décisions de vote.

Entre 2017 et 2019, les PRI ont coordonné un programme d’engagement mondial sur la gouvernance de la cybersécurité, avec la participation de 55 investisseurs institutionnels, représentant plus de 12 milliards de dollars d’actifs sous gestion, couvrant 53 entreprises, en mettant l’accent sur les secteurs de la finance, de la santé, des télécommunications, de l’informatique et de la consommation discrétionnaire. Les principaux objectifs de la mission, en particulier compte tenu des niveaux limités de divulgation, étaient les suivants :

  1. Renforcer les connaissances des investisseurs sur la manière dont les sociétés de leur portefeuille sont positionnées pour gérer le cyberrisque (en mettant l’accent sur les politiques et les structures de gouvernance des sociétés) ;
  2. Améliorer la quantité et la qualité de la divulgation sur le cyberrisque et la gouvernance ;
  3. Établir les attentes des investisseurs sur ce que les entreprises peuvent et doivent divulguer concernant la gouvernance des cyberrisques.

Alors que les divulgations publiques des entreprises ont une distance importante à parcourir, le rapport note que les entreprises ont mis leurs experts à la disposition des investisseurs, pour fournir une vue complète de leur approche de la cybersécurité, et à leur tour, ces conversations ont aidé les investisseurs à examiner les pratiques de gouvernance et à discuter des attentes sur ce sujet. En outre, ces dialogues et cette collaboration ont permis d’élaborer des conseils aux investisseurs sur la manière de s’engager dans la cybersécurité.

Approche de gestion d’actifs de la frontière à l’autre et de Royal London


  • Identification et surveillance des risques au niveau du conseil
  • Un responsable de la sécurité de l’information (CISO) nommé avec des ressources de soutien.
  • Inclusion de cyber-engagements dans les contrats des fournisseurs et diligence raisonnable efficace.
  • Inclusion de considérations cyber dans les stratégies de croissance inorganique, y compris dans les phases de diligence raisonnable et d’intégration.
  • Divulgation en temps opportun des failles de cybersécurité.
  • Divulgations sur une culture cyber-résiliente, pour inclure une formation sur mesure pour l’ensemble de la main-d’œuvre.


  • Inclusion de la sécurité de l’information et de la cyber-résilience dans les KPI de la rémunération des dirigeants.
  • Utilisation du NIST Cybersecurity Framework comme référence pour la gestion des risques de cybersécurité.
  • ISO 27000 pour toutes les opérations.

Celles-ci sont mises en évidence dans le rapport PRI [22] qui présente diverses questions d’engagement que les actionnaires peuvent utiliser pour mieux comprendre :

  1. la surveillance du conseil d’administration et la structure de gouvernance soutenant les efforts de cybersécurité ;
  2. Veiller à ce que la cyber-résilience soit intégrée dans la stratégie globale, et quelles sont les principales priorités à cet égard ;
  3. Trouver un langage commun sur la cybersécurité et la manière dont les informations sont transmises au conseil d’administration et dans l’ensemble de l’entreprise ;
  4. Au-delà des contrôles techniques, les entreprises mettent continuellement à jour leur approche autour du cyber, et enfin
  5. définir les attentes en matière de divulgation qui mettent en évidence certains domaines clés où la divulgation a été couramment et de plus en plus mise en œuvre.

Cadre proposé par FTI pour les rapports sur la cybersécurité

Afin de satisfaire les demandes croissantes des investisseurs et des régulateurs en matière de gouvernance et de surveillance renforcées de la cybersécurité, les entreprises, en particulier leurs dirigeants, devront être en mesure de communiquer de manière claire et concise les structures et les contrôles de cybersécurité qu’elles ont mis en place à leurs principales parties prenantes. En fait, lors de l’annonce des règles récemment proposées sur la cybersécurité aux États-Unis, le président de la SEC, Gary Gensler, a déclaré : « Je pense que les entreprises et les investisseurs bénéficieraient si ces informations étaient requises de manière cohérente, comparable et utile à la prise de décision ». Cependant, il y a actuellement un manque d’orientations et de meilleures pratiques établies sur la manière dont ces informations doivent être partagées.

L’état actuel de la cybersécurité fait écho à certaines des conversations qui ont eu lieu ces dernières années concernant le climat et la biodiversité, ainsi que la durabilité plus généralement ; et comment les stratégies et l’impact des entreprises peuvent être communiqués de manière significative aux investisseurs ? La Task Force on Climate-related Financial Disclosures (TCFD) et la Task Force on Nature-related Financial Disclosures (TNFD) ont été créées par le Financial Stability Board (FSB) pour remédier aux incohérences dans les informations sur le climat et la biodiversité tandis que, plus généralement, la Sustainable Accounting Le Conseil des normes (SASB) a publié des normes conçues pour « permettre aux entreprises du monde entier d’identifier, de gérer et de communiquer à leurs investisseurs des informations financières importantes sur la durabilité. “Il est possible de réfléchir aux enseignements tirés de ces cadres de divulgation et de les appliquer à la cybersécurité, étant donné qu’ils mettent l’accent sur des structures de gouvernance robustes et une approche basée sur les risques. En effet, il existe des éléments d’orientation déjà définis dans les cadres existants — le SASB et la Global Reporting Initiative (« GRI »), par exemple — qui peuvent fournir des éléments de base vers un cadre plus spécifique pour le reporting et l’évaluation de la stratégie. Les mesures de cybersécurité décrites dans le cadre SASB fournissent un ensemble clair de mesures comptables qui peuvent fournir une référence d’information significative aux investisseurs sur la façon dont une entreprise aborde son risque de cybersécurité. Comme point de départ, il examine des indicateurs tels que le nombre de violations de données, le pourcentage impliquant des informations personnellement identifiables ou le nombre d’utilisateurs concernés. Pour les entreprises plus lourdes en technologie, qui, avec la prévalence croissante de la numérisation, sont devenues de plus en plus uniformes, les entreprises doivent également décrire leur approche pour identifier et traiter les risques de sécurité des données, et l’utilisation de normes de cybersécurité tierces est également incluse. Cette « double approche » fournit aux entreprises une structure pour divulguer leur approche de la cybersécurité de manière plus significative, quantifiable et harmonisée.

Nous proposons ci-dessous un cadre d’orientation qui tente d’expliquer comment les entreprises, et le conseil d’administration en particulier, peuvent démontrer la surveillance de la cybersécurité, tout en maintenant les niveaux de confidentialité nécessaires. Le cadre est basé sur la structure de rapport recommandée proposée par TCFD et TNFD, mais adaptée pour refléter le paysage réglementaire actuel de la cybersécurité, l’orientation des investisseurs et les pressions générales sur les entreprises. L’intention est que ce cadre fournisse une méthode cohérente et normalisée, ainsi qu’un langage commun, permettant au conseil d’administration et aux responsables de la sécurité de communiquer leur approche de la cybersécurité aux investisseurs et aux autres parties prenantes clés. De nombreuses entreprises craignent de divulguer les détails de leur stratégie de cybersécurité, car elles pensent que cela pourrait les exposer à une attaque potentielle. Nous pensons que ce cadre pourrait permettre aux entreprises de reconnaître les risques posés par la cybersécurité de manière plus globale sans partager de détails qui pourraient être utilisés à mauvais escient par un acteur de cybermenace ou fournir publiquement des informations commercialement sensibles. Cette communication avec les principales parties prenantes relève du conseil d’administration d’une entreprise. Cette approche pourrait également être utilisée comme outil de diagnostic et amorce de conversation entre le conseil d’administration et les équipes de cybersécurité, aidant une entreprise à identifier et à atténuer les risques futurs posés par les menaces de cybersécurité en constante évolution. Cela garantira également un engagement régulier et structuré entre le conseil d’administration et les responsables de la sécurité, ce qui est d’une importance cruciale compte tenu de la nature dynamique de la cybersécurité et du paysage des menaces.

Approche de FTI en matière de risques et d’opportunités en matière de cybersécurité et de divulgation

Gouvernance Stratégie
  • Le conseil est-il directement responsable de la surveillance de la cybersécurité ?
  • Le conseil d’administration comprend-il l’impact de la cybersécurité sur ses responsabilités collectives ?
  • Y a-t-il une expertise appropriée en cybersécurité à bord ?
  • À quelle fréquence la haute direction informe-t-elle le conseil d’administration sur la cybersécurité ?
  • Quel pourcentage du comité responsable de la sécurité de l’information est indépendant ?
  • Quelle couverture de cyber-assurance est en place ?
  • La stratégie décrit-elle clairement les priorités, les risques et les opportunités liés à la cybersécurité ?
  • La stratégie est-elle alignée sur les objectifs de gestion des risques ?
  • La stratégie articule-t-elle l’impact matériel des risques et des opportunités sur la stratégie commerciale et la planification financière de l’organisation, et la diligence raisonnable des fusions et acquisitions ?
  • La stratégie décrit-elle la résilience de l’organisation face à un incident de cybersécurité et la gestion post-infraction ?
Gestion des risques Métriques et cibles
  • Les processus d’identification, d’évaluation et de gestion des risques liés à la cybersécurité sont-ils clairement définis et compris ?
  • Les processus d’identification, d’évaluation et de gestion des risques liés à la cybersécurité sont-ils intégrés dans la gestion globale des risques de l’organisation ?
  • Les procédures de gestion des risques prennent-elles en compte les risques internes et externes, notamment les risques liés à la chaîne d’approvisionnement ?
  • Les menaces de cybersécurité pour l’entreprise sont-elles analysées et comprises pour s’assurer que les efforts défensifs sont pertinents et appropriés ?
  • Des métriques sont-elles définies et utilisées pour évaluer le risque de cybersécurité ?
  • Combien d’incidents se sont produits au cours des 12 derniers mois ?
  • Des contrôles définis sont-ils en place et correspondent-ils aux menaces auxquelles l’organisation est confrontée ?
  • Les investissements dans la cybersécurité peuvent-ils être directement liés à la réduction des risques, à la résilience et à la fiabilité fournies par ces investissements ?
  • Comment les employés, les partenaires, les fournisseurs et les principales parties prenantes sont-ils formés et comment la sensibilisation est-elle maintenue ?
  • La culture de sécurité est-elle mesurée ?


L’augmentation de l’activité des menaces et l’évolution rapide du paysage de l’assurance, combinées à une surveillance accrue des parties prenantes et à un environnement réglementaire plus strict, augmentent la pression sur les entreprises pour qu’elles investissent dans la cybersécurité et mettent en place simultanément des structures de gouvernance et de gestion qui traitent directement de la cybersécurité. Les régulateurs et les investisseurs veulent non seulement voir une meilleure divulgation des incidents, mais veulent également que les entreprises démontrent clairement qu’elles traitent de manière proactive les cyberrisques. Avec une plus grande responsabilisation des conseils d’administration et de la direction pour bien comprendre le cyberrisque et les contrôles en place, il n’y a plus de place pour l’inaction.

Il n’existe pas d’approche unique pour s’assurer que les conseils d’administration sont en mesure de surveiller le cyberrisque et, même s’il n’est pas prévu que les conseils d’administration deviennent des experts en cybersécurité, s’assurer que — en tant que collectif — le conseil d’administration est en mesure de s’engager efficacement et, en fin de compte, de remettre en question le RSSI et la stratégie de cybersécurité de l’entreprise est un impératif. S’il est de la responsabilité des équipes exécutives et opérationnelles d’élaborer et de préparer le plan de préparation à la cybersécurité, le conseil joue un rôle crucial en posant les bonnes questions pour challenger et tester ce processus, et aussi en gérant les tensions entre risque, utilisabilité, sécurité et Coût. Les conseils d’administration doivent être pleinement conscients des infrastructures, des processus et des personnes qui supervisent les risques de cybersécurité, et avoir une solide compréhension des parties de leur organisation qui sont considérées comme présentant un risque plus élevé, quelles sont les vulnérabilités de son cadre de contrôle — en particulier du point de vue de l’erreur humaine — ou si le risque de tiers a été pris en compte dans l’analyse. En outre, afin de gérer l’écart de « connaissances » entre le conseil d’administration et les spécialistes de la cybersécurité, des canaux de communication clairs et cohérents et un engagement avec les équipes exécutives et opérationnelles sur la cybersécurité sont essentiels, ainsi qu’un engagement clair à continuer à développer la compréhension de l’évolution de la cybersécurité., les menaces et les risques liés à l’activité.

Si la cybersécurité est aujourd’hui principalement abordée sous le pilier de la gouvernance, elle peut toucher d’autres aspects de l’ESG, notamment le pilier social. Les incidents de cybersécurité peuvent avoir un impact sociétal de grande envergure lorsqu’ils perturbent les infrastructures critiques et les services essentiels, tandis que les violations de données peuvent causer une détresse importante aux personnes concernées, les employés étant souvent directement touchés. Alors qu’une gouvernance appropriée de la cybersécurité devrait être une priorité, ces structures de gouvernance ne font que jeter les bases de ce qui sera probablement un examen plus approfondi à l’avenir.

*Orla Cox et Hetal Kanji sont directeurs des communications stratégiques, et Simon Onyons est directeur général chez FTI Consulting.

Références (retourner) (retourner) (retourner) (retourner) (retourner) (retourner) (retourner) Market Bulletin – Cyber-attack exclusions.pdf(retourner)



12 (retourner)

13 données non encore publiées. Méthodologie de recherche : FTI Consulting a mené une enquête en ligne auprès de n=165 RSSI et responsables de la sécurité de l’information pour de grandes organisations à travers les États-Unis entre les dates du 27 juin et du 5 juillet 2022. Pour les questions liées à la recherche, veuillez contacter cyberbrand@ (retourner)

14 (retourner)

15 (retourner)

16 (retourner)

17 (retourner)

18 (retourner)

19 (retourner)

20 (retourner)

21 (retourner)

22 (retourner)


Top 5 des billets publiés sur Harvard Law School Forum au 3 novembre 2022


Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 3 novembre 2022.

Cette semaine, j’ai relevé les cinq principaux billets.

Bonnes découvertes !

Rétrospective : Nos 5 articles les plus lus | Jobboom


SEC’s New Pay Versus Performance Disclosure Rule: Important Things To Know

Lessons from Twitter v. Musk on Access to Directors’ and Executives’ Emails

ESG Trends – What the boards of all companies should know about ESG regulatory trends in Europe

Twenty-Year Review of Audit and Non-Audit Fee Trends

2022 ISS Global Benchmark Policy Survey
A Survey of Private Debt Funds

La parité et la diversité au sein des conseils d’administration | IGOPP


Voici le sommaire de la 12e prise de position adoptée par l’Institut sur la gouvernance d’organisation privées et publiques (IGOPP). Je publie ce texte avec l’approbation de ce dernier.

« La présente prise de position considère différents aspects du concept de « diversité », lesquels auront permis de formuler des recommandations qui, nous le souhaitons, pourront apporter une contribution utile à la réflexion sur cet enjeu ».

Le Groupe de travail, présidé par Guylaine Saucier, était composé de :

Louis Audet
Mary-Ann Bell
François Dauphin
Robert Greenhill
Isabelle Marcoux

Bonne lecture !




En Amérique du Nord, les questions de diversité et d’inclusion se sont manifestées avec insistance au cours des dernières années, et les enjeux de représentativité au sein des conseils d’administration se sont étendus bien au-delà des questions de genre. Le Canada, faisant office de pionnier en la matière, a intégré dans la Loi canadienne sur les sociétés par actions des exigences de divulgation ciblant quatre groupes « désignés ». Depuis 2020, en sus de la représentation féminine, les sociétés d’incorporation fédérale inscrites en bourse doivent désormais divulguer des renseignements au sujet des personnes issues de minorités visibles, de communautés autochtones et des personnes handicapées parmi les membres de leur conseil d’administration et de leur haute direction.

Les premières statistiques recueillies à la suite de cette nouvelle règlementation ont montré une nette sous-représentation de certains de ces groupes au sein des conseils d’administration comparativement à leur présence dans la population active, et que si la représentation féminine a presque doublé depuis 10 ans, la parité est encore loin d’être atteinte.

Les pressions exercées sur les conseils d’administration pour que ceux-ci affichent une diversité accrue sont multiples. Des catégories d’investisseurs institutionnels manifestent ouvertement à cet égard, utilisant leur poids actionnarial pour exiger des changements.

Avec l’évolution rapide de la sensibilité pour ces questions, il est à prévoir que le ton durcira non seulement par ces catégories d’investisseurs, mais aussi dans les lignes directrices émises par les agences de conseil en vote par procuration, et que des recommandations d’abstention ou de vote
« contre » certains administrateurs ou certains membres de comité seront émises de façon plus systématique dans l’avenir pour des questions reliées à la diversité ou la représentativité de certaines minorités — jugée insuffisante — au sein des conseils.

Le concept de diversité a cependant plusieurs définitions, et la littérature qui aborde ce concept a des racines puisant dans les fondements théoriques de nombreuses disciplines. Dans le cadre de notre analyse, nous distinguons trois formes de diversité : 1° la diversité d’attributs sociaux et personnels, 2° la diversité de compétences et perspectives, et 3° la diversité de valeurs. Si la diversité est aujourd’hui considérée comme une caractéristique essentielle en matière de composition des conseils d’administration, c’est d’abord sous la prémisse que la diversité permet d’éviter le risque d’un processus de prise de décision vicié par une trop forte homogénéité, une trop grande complaisance.

La véritable forme de diversité à laquelle on fait habituellement référence à cet égard est la diversité de « compétences et perspectives ». Non seulement cette forme de diversité est-elle souhaitable, mais elle devrait constituer l’assise principale sur laquelle devrait reposer toute la planification en matière de recrutement et de sélection des administrateurs.

Par ailleurs, on cherchera à maintenir une haute cohésion de valeurs et d’idéologies au sein du conseil d’administration et de la haute direction. Donc, la diversité qui peut prendre place au conseil d’administration doit s’effectuer avec des personnes qui ont des valeurs compatibles.

La diversité d’attributs sociaux et personnels peut contribuer aux autres formes de diversité, mais apporte aussi des avantages qui lui sont propres, notamment en facilitant le recrutement, en favorisant la rétention des employés, en participant à la création d’un climat favorable à l’inclusion, sans compter sur la légitimité sociale qu’elle confère.

La sélection de nouveaux administrateurs repose ainsi sur l’évaluation de critères multivariés, et chaque nomination doit être réfléchie en soupesant ses effets sur les différentes dimensions de la diversité du conseil dans son ensemble.

À la lumière de notre analyse, nous formulons donc les sept recommandations suivantes :

1. Les conseils d’administration devraient promouvoir la diversité à tous les niveaux de l’organisation. La diversité et l’inclusion ne doivent pas être des questions réservées à la simple composition du conseil d’administration, mais bien constituer de véritables préoccupations véhiculées et vécues à
tous les niveaux de l’organisation ;

2. Il faudrait faire appel au concept de « parité » pour qualifier la représentation des femmes sur les conseils. Le risque élevé d’amalgame entre la diversité de genre et les autres formes de diversité invite à l’utilisation d’un lexique plus précis. Les femmes, qui composent la moitié de la population, ne constituent pas un groupe minoritaire et leur présence devrait donc statistiquement tendre à représenter la moitié des administrateurs de l’ensemble des conseils d’administration des sociétés
cotées ;

3. Les conseils d’administration devraient établir le profil de diversité du conseil pertinent pour leur organisation. Un conseil d’administration est composé en moyenne de 11 à 13 membres, ce qui rend impossible la représentativité systématique de toutes les formes de minorités qui composent la population active. La diversité pertinente doit s’inscrire dans une logique de soutien à la stratégie de l’entreprise, et la présence de cette diversité sera favorable à une meilleure prise en compte des intérêts à long terme de l’ensemble des parties prenantes de la société ;

4. L’atteinte des objectifs en matière de diversité devrait se faire en respectant le rythme d’intégration de nouveaux administrateurs propre à chaque société. Ceci peut se faire à l’aide de mesures incitatives (par des exigences de divulgation, par exemple), mais nous croyons qu’il faut éviter le recours à des interventions législatives ou à des mesures coercitives (par l’imposition de quotas, par exemple) ;

5. On ne devrait pas imposer des mesures universelles pour l’établissement de mécanismes de renouvellement accéléré des conseils. Ainsi, on ne devrait pas imposer un âge de retraite obligatoire pour les administrateurs ni une limite de terme. Une telle approche n’est pas souhaitable, car les caractéristiques qui définissent la qualité de la contribution d’un administrateur au sein d’un conseil sont variables ;

6. Chaque conseil devrait s’interroger et statuer sur sa taille optimale avant d’ajouter de nouveaux membres ;

7. Le conseil devrait rendre compte annuellement de ses efforts en matière de parité, de diversité et de renouvellement.

Les avantages de la diversité sont manifestes, et vont bien au-delà de la simple volonté pour les sociétés de conserver une forme de légitimité sociale en se conformant aux attentes minimales. Toutefois, pour que ces avantages se matérialisent pleinement, la question de la diversité doit être abordée avec réflexion; elle se doit d’être contextualisée.

La présente prise de position formule un ensemble de recommandations qui visent à aider les conseils à aborder cette question de façon pragmatique, en cohérence avec la stratégie actuelle et future de leur organisation. On y retrouve implicitement des recommandations aux gouvernements et autorités règlementaires, les invitant à éviter toute forme d’intervention qui contraindrait les conseils à modifier leur composition à court terme sans tenir compte de leurs particularités.

La diversité doit recevoir une pleine adhésion, s’instituer comme une conviction. C’est ainsi que s’établira un réel climat d’inclusion à tous les niveaux de la société.

Survey des administrateurs de sociétés 2022 | PricewaterhouseCoopers

Bonne lecture !

2022 Annual Corporate Directors Survey



In 2022, as both the ongoing direct impacts and unexpected side effects of the COVID-19 pandemic continue to mount, the landscape of the business world is shifting yet again. An ongoing war. in Ukraine, rising global inflation, fears of recession, and the near-constant drumbeat of catastrophic environmental news and predictions are changing the geopolitical context. In the US, market turmoil, social upheaval, political polarization, looming midterm elections, and uncertain regulatory developments make the landscape feel like uncharted territory. When the path is uncertain, boards are a source for constancy and guidance.

Against this backdrop, business leaders are confronting a new trust crisis. While surveys show that the public trusts business over other institutions like the government, media, and NGOs, the picture isn’t perfect. In fact, business leaders vastly overestimate this sentiment. A recent PwC survey shows that while 87% of business executives believe consumers highly trust their company, only 30% of consumers actually do. Trust is hard won and easily lost, and stakeholders are coming to expect more from companies. This lands at the feet of the board of directors as the stewards of the company.

Their role on the board of a public company demands that directors keep their eyes on the horizon, plotting the course amid sometimes choppy waters. As shareholder and consumer expectations rise, our survey of more than 700 public company directors shows that board oversight and board practices are shifting in response. Above all, boards are becoming much more transparent. They are engaging with shareholders and providing more disclosure than ever, with the hope that it will build and maintain trust.

One of the areas drawing this increased focus and disclosure is ESG, with boards spending more time than ever on a host of ESG topics. But we see the ESG journey for boards starting to diverge based on company size. When it comes to the nature and the extent of the discussion, the boards of smaller companies have seen less progress than those of larger companies. Many of them haven’t devoted the time, aren’t as prepared for regulations, and have yet to begin integrating ESG into their strategic planning. As an emerging area of focus, many of these boards are not giving ESG equal attention—creating a blind spot in their oversight role.

But boards of companies of all sizes, from micro-cap to mega-cap, have blind spots, making it difficult for the board to navigate the company through hard times. And failing to recognize the issue hampers a board’s ability to stay ahead of the next challenge. We have identified these blind spots most commonly in areas like board refreshment, cybersecurity oversight, and ESG concerns (see page 5). Recognizing that these blind spots exist in boardrooms and examining how your own boards confront (or don’t confront) these issues is integral to bringing the company through this time of change.

Key Findings

Board blind spots

Board refreshment

Directors increasingly critical of peer performance

As the governance landscape has evolved, so too has the topic of board composition. With so much oversight responsibility held by just a dozen or fewer board members, every seat matters, and matters greatly. Investors and other stakeholders want to be sure that the board is comprised of the highest quality, most competent directors who will together, draw on a diverse set of experiences and backgrounds to effectively oversee the company.

With the intense focus on board composition, data shows that in 2021, S&P 500 boards added more new independent directors than in any recent year. But still, directors tell us that more change could—and should—be made.

Almost half of directors (48%) think one or more directors on their board should be replaced. Nineteen percent (19%) would replace two or more of their fellow directors.

What’s more—directors are more likely to identify performance-related issues with their peers this year. Almost one in five (19%) say that fellow board members are reluctant to challenge management—up from 12% last year. Directors are also more likely to identify peers who overstep the bounds of their authority (17%, up from 11%). After a year when fewer voiced these types of complaints, directors seem more critical of their peers than in the past.

Despite discontent, boards reject refreshment tools

Directors tell us that they would like to see more turnover on their boards (see page 7). But few say their own boards would embrace policies that would set real limits on board service and drive greater turnover.

A mandatory retirement age can be a strong tool to encourage refreshment. But only 14% of directors think their board would be willing to adopt a retirement age of 72 or younger. Sixty-two percent (62%) think they would not.

Mandatory term limits are even more unpopular. Seventy percent (70%) of directors say their board would not adopt term limits of 12 years or less. Just 7% say their board has such a policy in place, and less than a quarter (23%) think their board would be willing to adopt it.

But implementing an individual assessment process may be one area that could make a difference in board refreshment. More than one-third of directors (37%) say their board uses the practice, and another 35% think their board would be willing to adopt it. A rigorous assessment process can help identify the board’s strengths and the areas that need improvement—including, ideally, when a director is no longer the right fit for the board.

Directors take a conservative view on overboarding

The demands of public company board service are significant. Directors can spend upwards of 250 hours per year in their role, and major events like a CEO search or an activist investor can increase that time commitment even more. Ensuring that directors have enough time and attention to devote to their role is critical.

Investors and proxy advisors have honed in on overboarding as a significant concern for director performance. Directors who serve on too many boards, and especially those who have active executive careers at the same time, might not have the bandwidth necessary for effective board service.

Investor overboarding policies vary, but many have converged around four or five boards as an upper limit for independent directors. For directors who are active CEOs or executive officers, policies usually allow for two total boards (including the executive’s own board, if applicable).

Directors take a more limited view. While they most commonly agree that CEOs and NEOs should serve on no more than two total boards (including their own), almost one-third (31%) think CEOs should not serve on another board at all. And 40% say the same about other sitting executives. Few investors have such a narrow view of executives’ ability to serve on outside boards.

When it comes to independent directors, directors most commonly say that three boards should be the upper limit (48%). Thirty-one percent (31%) think up to four boards is appropriate, and just 9% think it’s acceptable for directors to serve on five or more boards.

Board diversity

Diversity of thought comes in many forms

Board diversity has been an area of intense focus from investors for years. Voting policies have evolved as large institutional investors have made stricter and more specific calls for diversity. Regulations, including a listing standard for NASDAQ companies, push boards to ensure certain types of individuals are represented on the board. Much of the focus, especially when it comes to meeting certain specific diversity requirements, has been on gender, though there is increasing focus on other “under-represented communities” as well.

This trend is clear among directors as well. When we ask about what is important to create diversity of thought, gender diversity is still the most commonly cited (88%). But the percentage saying the same about racial/ ethnic diversity is not far behind at 83%. This reflects a 6-point increase since 2019. Directors are also likely to say that diversity of age and board tenure (79% and 74%, respectively) are important.

The percentage of directors who think diversity of socio-economic background is important has increased significantly since 2019, from 39% to 58%. As the concept of cognitive diversity in workplaces and boardrooms continues to evolve, it’s becoming more apparent that the traditional view of what makes a “diverse” board will need to evolve as well.

Board diversity has been an area of intense focus from investors for years. Voting policies have evolved as large institutional investors have made stricter and more specific calls for diversity.

Drive for diversity leads to change

As investors push for board diversity, boardrooms have felt the impact. The new independent directors joining S&P 500 boards in 2021 represented the most diverse group ever. And it’s not just the S&P 500—directors regardless of company size tell us their boards are making changes in response to calls for diversity.

Almost all directors (96%) say their board has done something in the past two years regarding board diversity. Their most common action: increased disclosure. The percentage of directors saying their company disclosed information in the proxy statement about board diversity jumped 15 points from 54% in 2021 to 69% this year.

Two-thirds (67%) of directors say their boards replaced a retiring director with one who increases the board’s diversity, showing that the need for diversity has impacted succession planning in a significant way.

Finally, more than one-third (36%) of directors say their board increased its size to add a director who increases the board’s diversity. In fact, in 2021, 78 boards in the S&P 500 expanded their size to add one or more female directors, and 88 increased their size to add racial/ethnic diversity. For boards without looming vacancies, increasing the board size can be an effective way to add diversity to the board without forcing a vacancy at an inopportune time.

As boards diversify, some directors are skeptical

Among public company directors, there is agreement that board diversity has real benefits. More than nine out of ten directors (93%) say that diversity brings unique perspectives to the boardroom. But while a majority of directors also see benefits such as improving relationships with investors, improving strategy/risk oversight, and enhancing company performance, we don’t see a growing consensus in those areas. The percentage of directors who agree with those statements hasn’t increased as boards have become more diverse. In many cases, the percentages have actually declined.

What we do see growing is the share of directors who see issues with the new diverse candidates. Compared to 2019, directors are quite a bit more likely to say that efforts to diversify boards results in unneeded candidates (34%, up from 27%). Almost one-third of directors (31%) say that the push for diversity is resulting in unqualified candidates—up from just 23% three years ago.


ESG oversight

Confidence is high, even as demands grow

ESG (environmental, social, and governance) has evolved from what was once a peripheral topic to one that is central in the boardroom today. It dominates how many investors analyze a company and its stewardship priorities.

The expectation that directors be deeply involved in a company’s ESG strategy is a central aspect of board service at most companies. So it’s encouraging that the vast majority of directors (86%) say their board understands the company’s ESG strategy. Another 82% say the board understands the company’s ESG risks, and 77% think the board understands the opportunities ESG presents.

Directors are even more confident of the board’s understanding in traditional areas of oversight that fall under the ESG umbrella. This includes talent and culture, which 92% of directors say the board understands. Ninety percent (90%) of directors also tell us that their board understands both the company’s diversity and inclusion efforts and its data privacy and cybersecurity policies and practices.

But directors are much less confident in emerging areas like climate risk and related regulations. Fewer than two-thirds of directors say their board understands the company’s climate risk/strategy or the internal processes and controls around data collection. And just more than half (56%) think they understand the company’s carbon emissions. With SEC regulations pending in this area, boards may find it is the next area that calls for significant focus and learning.

ESG is on the agenda, but fewer directors see a connection to the bottom line

As boards continue to grapple with ESG oversight, they are settling on more systematic board processes. Almost two-thirds of directors (65%) say that ESG is part of the board’s enterprise risk management (ERM) discussions, meaning it is being built into the central board discussions of company-wide risk calculations.

We also see an increasing percentage of directors (55%, up three points from last year) who say ESG is regularly a part of the board’s agenda. And directors are more satisfied with their oversight, with only 24% saying the board needs more definition around the process.

But at the same time, directors are less likely to see a connection between ESG and company fundamentals. Just 57% of directors say ESG issues are linked to company strategy, down from 64% last year. And only 45% of directors think that ESG issues have an impact on company performance, down nine points from a year ago. So even as processes become more solidified, the connection between ESG and the fundamentals of the company may be less obvious, at least in directors’ eyes.

The ESG topics few boards are discussing

Although more than half of directors say ESG is regularly on the board’s agenda (see page 16), the term “ESG” is broad and covers a wide range of topics. Among these areas, the level of discussion in the boardroom varies widely.

Which topics are usually covered? Over 90% of directors say their board has discussed data security and talent management in the past 12 months. Almost as many (86%) say the same about board composition. These areas are important elements of ESG, but they are also well-trodden areas of board oversight.

What’s less common is board attention on newer, emerging areas. Just 39% of directors say their board has somewhat or substantially covered their company’s stance on social issues in the past 12 months. Less than one-third say they’ve covered human rights issues and only 30% say the same about corporate political activity.

These may be areas that are less central to company strategy, but they are topics where investors are looking for company action. When stakeholders expect companies to make statements and take positions, board oversight should not be absent.

Support for ESG measures in executive compensation shifts

As boards and companies work to integrate ESG concerns into company strategy, many are also considering how to create the right incentives for executives. Where once executive compensation plans were focused primarily around financial goals, companies are now adding non-financial metrics as well. Some companies use these metrics because they are looking to reflect, or change, the culture at a company. Others are looking to manage business risks or pursue opportunities related to ESG. As of last year, more than half of companies in the S&P 500 (57%) used at least one ESG metric in their plans.

More than nine out of ten directors (92%) agree that some type of non-financial metrics are appropriate, and the most commonly supported measure is customer satisfaction (62%). But this year we have seen rapidly increasing support for workforce-related measures as well. More than half of directors (52%) support using diversity and inclusion metrics, compared to just 39% in 2020. More directors also show support for metrics related to employee engagement (57%, up from 54% in 2020) and succession planning (54%, up from 43% in 2020).

How company size dictates the board’s ESG path

In many areas, the experiences and views of directors at public companies, both large and small, are similar. They have fairly consistent views about board refreshment and diversity, and about board practices—except when it comes to the core ESG issues. We hear from directors on the boards of large companies (more than $10 billion in annual revenue) that they spend more time on ESG issues, and they understand the core areas and how they connect to company strategy more commonly than directors on the boards of small companies (less than $1 billion in annual revenue). Their boards are more likely to see how ESG integrates with company and board practices. They also put more value on ESG expertise on their board, and they are more likely to believe that actions in the area will impact their relationships with stakeholders.

Shareholder engagement

Shareholder engagement reaches new heights

The once-unusual practice of having non-executive directors meet with investors is now the norm. While just 42% of directors reported this practice in 2017, in 2022, 60% of directors say that a member of their board (other than the CEO) had direct engagement with shareholders in the past 12 months. This represents almost a 50% increase in prevalence compared to five years ago.

For the companies where board members are not involved in these meetings—what’s keeping them away? Most commonly, directors say it’s because shareholders were not interested (49%). Investors have limited time and want to spend it wisely, while also respecting the time of directors. If they don’t have specific reasons to meet with directors, they will make that clear, but will typically appreciate the offer to have a director available.

A large percentage of directors (42%) also tell us that their boards don’t think direct discussions between investors and directors are appropriate. With shareholder engagement becoming more and more expected, these directors may find themselves out of step with current trends and expectations.

Another nearly one in five (19%) say management prefers that directors not have a role in shareholder engagement. For directors on those boards, it may be time for a deeper discussion on the topic. If shareholder requests to meet with a director are rebuffed, this could be seen as a red flag, indicating either a lack of trust between management and the board, a lack of critical knowledge among board leadership, or other issues that would call for some skepticism about the board’s involvement and oversight.

Directors give shareholder engagement positive reviews

Most directors whose boards engage with shareholders have a positive experience. More than four out of five (84%) say the discussion was productive. Eighty-three percent (83%) say investors were well prepared, and 81% say the level of discussion was appropriate. These are strong reviews for a practice that seemed unusual a decade ago.

And directors don’t just say that the meeting was positive. They also say that their board took some action as a result of the discussion. Most commonly, directors say that the engagement impacted board discussions of certain topics (41%). It may have brought up issues the board had not previously identified or discussed, or it may have impacted the way those topics were considered.

Another 28% of directors say their board made a change to their public disclosure in response to the engagement. Nearly one in five (18%) said their board asked different questions of management. A small percentage say their boards made changes to their governance policies (12%), revised an element of company strategy (11%), or changed their board succession plan (5%).

These findings show that a productive engagement with shareholders doesn’t have to result in upheaval on the board. Simple steps like shifting the discussion in the boardroom can make a difference and make the engagement a valuable tool. That type of feedback/discussion can improve the board’s performance and enhance their oversight without calling for wholesale changes.

Shareholder engagement can lead to changes without upheaval. Even simple things like a shift in boardroom discussions can be valuable.

Directors forecast shifts in investor focus

With inflation numbers reaching levels not seen in decades, rising interest rates, and increasing market turmoil, the economic outlook is becoming more uncertain for companies and for their shareholders. Institutional investors, who have put a heavy focus on governance improvements and on ESG concerns over the past decade, have done so largely within a bull market. How do directors think an economic downturn would affect their views?

A majority of directors think that a downturn would shift more attention to capital allocation (81%), long-term strategy (73%), short-term stock performance (66%), and executive compensation (62%).

The area least likely to be affected, according to directors, is board diversity. Almost half of directors (45%) think a downturn would have no effect on the amount of shareholder focus on the issue.

The areas directors think would receive less attention: carbon emissions and climate risk. Sixty-one percent (61%) of directors think a downturn would mean less shareholder focus on each of those issues. This could be related to the fact that only 45% of directors think that ESG issues have a financial impact on the company—and are therefore issues that would become less important to shareholders when company financial performance might be in question.

Trust and transparency

Searching for ways to impact stakeholder trust

Amid social and economic disruption, the public increasingly sees corporations as agents of stability. In fact, business is the most trusted institution in America, according to the Edelman Trust Barometer. But stakeholder trust is hard to win and easy to lose. To maintain trust, companies must be intentional when it comes to thinking through their stakeholder relationships.

When it comes to board actions that could increase trust, directors look to increasing transparency and accountability. Seventy-one percent (71%) of directors say that engaging directly with shareholders would enhance stakeholder trust. This compares to the 60% of directors who say their boards are doing this (see page 23). While 60% represents a new high of shareholder engagement, the gap also indicates that more boards could be finding a benefit in this area.

Second to engagement, directors point to enhanced shareholder communications. Seventy percent (70%) of directors say that enhancing disclosure or reporting can have a positive impact on stakeholder trust. Making governance changes in a central focus area can also help. Almost two-thirds (64%) of directors say increasing board diversity can improve trust.

Less likely to have an impact: actions around social/political issues. Just 24% of directors think making statements about social issues improves trust, and only 21% say that being more transparent about political spending will have a positive impact.

The complete memorandum is available here.

Bilan trimestriel de l’activisme actionnarial – T3 2022


Voici un texte publié par Mary Ann Deignan, Rich Thomas, et Christopher Couvelier de la firme Lazard sur le site du HBLS on Corporate Governance.

Cet article  montre les principaux changements observés eu égard à l’activisme international au troisième trimestre de 2022.

Je vous invite à lire la version française de l’article, publiée sur le Forum de Harvard Law School on Corporate Governance, effectuée par Google, que j’ai corrigé.

Bonne lecture !

Quarterly Review of Shareholder Activism – Q3 2022

Que recherchent les investisseurs activistes?

1. Poursuite d’une activité robuste alimentée par un troisième trimestre solide

44 nouvelles campagnes lancées au T3, une augmentation de 52 % par rapport au T3 de l’année précédente, marquant le troisième trimestre consécutif d’augmentation significative de l’activité d’une année sur l’autre

Nombre total de campagnes depuis le début de l’année (171) en hausse de 39 % par rapport à la même période l’an dernier, approchant déjà le total pour l’année 2021 (173)

Poursuivant une tendance au premier semestre, les entreprises technologiques ont été les plus fréquemment ciblées au troisième trimestre, représentant 22 % des nouvelles cibles activistes

Avec 5 nouvelles campagnes au troisième trimestre, Elliott a continué d’accélérer son rythme de 2022 et a maintenant lancé 11 campagnes depuis le début de l’année (plus du double des prochains noms les plus prolifiques)

2. Cibles américaines en ligne de mire

Les cibles nord-américaines représentaient les deux tiers de toutes les nouvelles campagnes au troisième trimestre, au-dessus des niveaux du premier semestre (55 %) et de la moyenne 2018-2021 (59 %)

L’activité du troisième trimestre aux États-Unis (28 nouvelles campagnes) a représenté une augmentation de 133 % par rapport au troisième trimestre de l’année précédente (12 nouvelles campagnes)

L’activité aux États-Unis depuis le début de l’année (96 nouvelles campagnes) a augmenté de 43 % d’une année sur l’autre et correspond désormais au total de l’année 2021

Les récentes campagnes américaines ont ciblé les leaders de l’industrie des méga-capitalisations (dont Cardinal Health, Chevron, Disney, Pinterest et PayPal)

3. L’activité européenne approche déjà du niveau record de l’exercice 2021

Malgré un troisième trimestre relativement lent (10 nouvelles campagnes), l’activité depuis le début de l’année en Europe (45 campagnes) est en hausse de 32 % d’une année sur l’autre et approche déjà le total de l’année 2021 (50 campagnes)

Alors que les entreprises britanniques sont restées les cibles les plus fréquentes de l’Europe (40 % des campagnes européennes depuis le début de l’année, en ligne avec les niveaux moyens pluriannuels), la France a enregistré une part d’activité supérieure à celle des périodes précédentes (18 % des campagnes européennes, contre 12 % de 2019 à 2021)

4. Les revendications de la campagne reflètent l’approche « faites-le ou vendez-le »

Les objectifs liés aux fusions et acquisitions figuraient dans 48 % des campagnes du T3, un rebond significatif par rapport à 39 % au T2 et 32 % au T1

Les demandes « Vendre l’entreprise » depuis le début de l’année (26 campagnes) dépassent déjà les totaux annuels pour 2021 (20) et 2020 (14)

Les demandes autour de la stratégie/des opérations ont continué d’augmenter en fréquence au cours des derniers trimestres (21 % des campagnes du T3, contre 20 % au T2 et 14 % au T1) et restent supérieures à la moyenne 2018 – 2021 (15 %)

5. Thèmes émergents à surveiller

Avec la règle de procuration universelle maintenant en vigueur et une partie importante des fenêtres de nomination des sociétés ouvertes pour la saison AGA 2023 se déroulant au quatrième et au premier trimestre, les campagnes axées sur la représentation au conseil d’administration sont sur le point de se multiplier

Le rôle de l’ESG et l’attention que les entreprises et les investisseurs devraient lui accorder commencent à être remis en question

Le nouvel activiste Strive Asset Management s’en prend à plusieurs sociétés de premier ordre pour avoir donné la priorité aux problèmes E&S au détriment de la création de valeur pour les actionnaires

Le Texas a interdit à certaines entreprises et fonds (dont BlackRock) de faire des affaires dans l’État en raison de pratiques ESG en contradiction avec le secteur énergétique de l’État

Activité de campagne mondiale

L’activité YTD 2022 approche déjà les niveaux de l’année 2020 et 2021 ; alors que les tendances régionales depuis le début de l’année sont conformes aux dernières années, le troisième trimestre a vu une activité nord-américaine accrue


Le cas d’un conseil exigent, mais peu décisif !

Voici un cas publié sur le site de Julie McLelland qui aborde une situation souvent rencontrée dans les relations entre la direction et le conseil d’administration d’une OBNL de grande taille.

Dans ce cas-ci, Octavia, la PDG ressent de plus en plus de difficulté à composer avec un gros CA qui, selon elle, a de très grandes exigences, tout en étant peu décisif.

Comment aborder cette situation et s’assurer que le CA prenne les décisions concernant l’avenir de l’organisation ?

Le cas a d’abord été traduit en français en utilisant Google Chrome, puis je l’ai édité et adapté. On y présente la situation de manière sommaire, puis trois experts se prononcent sur le cas.

Voici le point de vue de Julie à titre d’exemple.

Bonne lecture ! Vos commentaires sont toujours les bienvenus.

The Director’s Dilemma

Octavia est PDG d’une organisation à but non lucratif. Elle relève d’un conseil de 15 personnes et trouve cela épuisant. Les membres du conseil d’administration n’ont pas d’opinion partagée sur quoi que ce soit. Ils sont tous passionnés par la mission, mais ne s’entendent pas sur la meilleure façon de l’accomplir.

Le conseil d’administration est diligent dans l’examen des opérations et exige des rapports détaillés et détaillés à chaque réunion. Ceux-ci sont longuement analysés et discutés. Il y a souvent des demandes d’informations supplémentaires à fournir lors de la prochaine réunion, entre les réunions ou à un comité.

L’entreprise est confrontée à de grandes décisions stratégiques et Octavia a vraiment besoin d’une direction stratégique et d’un appétit approprié pour le risque. Elle n’arrive pas à obtenir du conseil d’administration qu’il se mette d’accord sur quoi que ce soit au-delà des activités des prochains mois, et même cela est controversé.

Chaque fois qu’elle essaie d’obtenir un engagement à long terme dans un plan d’action, elle reçoit des demandes d’analyse plus approfondie, puis le conseil débat de l’exactitude des hypothèses et des données dans les rapports au lieu de choisir une direction à suivre.

Le personnel en a assez de répondre aux demandes d’information, et Octavia craint que certains partent pour des organisations où leurs efforts mèneront à quelque chose de plus inspirant qu’un débat présomptueux au sein du conseil d’administration.

Que doit faire Octavia ?

La réponse de Julie

Lors de la prochaine réunion du conseil d’administration, Octavia devrait discuter de l’orientation actuelle à court terme et du danger pour l’organisation si cela continue. Ensuite, elle devrait fixer une date pour la présentation d’une stratégie et indiquer clairement qu’un plan d’action à long terme convenu est nécessaire.

Le Conseil a besoin d’une stratégie claire et cohérente; les administrateurs doivent comprendre qu’une fois approuvée, la stratégie doit être mise en œuvre de manière cohérente. Chaque stratégie comporte des risques et ceux-ci doivent être compris et acceptés par le Conseil. L’appétit pour le risque doit décrire les niveaux acceptables pour chaque risque clé ; le conseil d’administration doit être déterminé à permettre à l’organisation de poursuivre la stratégie tant que ces niveaux ne sont pas dépassés.

Avant de présenter sa stratégie, Octavia doit discuter avec le président du potentiel de catastrophe si le conseil d’administration ne peut pas s’unir derrière un plan d’action à long terme. Il vaudra mieux parvenir à un consensus sur une stratégie moins ambitieuse que de se lancer dans une stratégie plus ambitieuse avec un Conseil désuni. L’un des aspects clés du travail du président consiste à établir un véritable consensus éclairé.

Si le président est d’accord, Octavia peut rencontrer chaque membre du conseil d’administration, en tête-à-tête, pour discuter des points clés de la stratégie et s’assurer qu’elle est bien comprise. Elle ne devrait pas solliciter de soutien lors de ces réunions, simplement un engagement à comprendre la stratégie. Si le président n’est pas d’accord pour des réunions individuelles, Octavia doit s’assurer que le plan est diffusé bien avant la réunion et proposer de répondre à toute question. La stratégie d’Octavia peut être radicalement modifiée lorsque le conseil en discute, mais le résultat de la réunion doit être une stratégie que tous les administrateurs soutiendront.

Chaque membre du conseil d’administration, à un moment donné de sa carrière, soutiendra une stratégie qui n’est pas sa préférence personnelle ; ce n’est pas un problème tant que la stratégie est appropriée pour l’organisation et ne met pas en péril sa survie. Tout membre du conseil d’administration qui fait passer ses préférences personnelles avant le bien à long terme de l’organisation n’en vaut pas la peine. Le président devrait être prêt à soutenir Octavia et son personnel pour s’assurer qu’ils obtiennent le soutien dont ils ont si désespérément besoin.

Julie Garland McLellan est consultante spécialisée en conseils d’administration et administratrice non exécutive en exercice basée à Sydney.

Top 10 des billets publiés sur Harvard Law School Forum au 29 septembre 2022

Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 29 septembre 2022.

Cette semaine, j’ai relevé les dix principaux billets.

Bonnes découvertes !

Boards Need More Women: Here’s How to Get There

How Compensation Decisions Support CEO Succession

California’s proposed Climate Corporate Accountability Act goes belly up

Battle for Our Souls: A Psychological Justification for Corporate and Individual Liability for Organizational Misconduct

How Boards Can Assess the Potential and Readiness of Future CEOs

Empowering Corporate Compliance Functions in a Post-Pandemic Environment

Making it Count: Accountability is Needed to Fast-Track DE&I

The Market for Corporate Criminals
Planning for Tomorrow’s Public Company CFO

5 Factors Impacting Activists’ Declining Success Rate

Top 10 des billets publiés sur Harvard Law School Forum au 23 septembre 2022

Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 23 septembre 2022.

Cette semaine, j’ai relevé les dix principaux billets.

Bonnes découvertes !

Top Ten FAQ's About Community Solar - mySolar


CEO Political Leanings and Store-Level Economic Activity during COVID-19 Crisis: Effects on Shareholder Value and Public Health
A Primer on DAOs
Risk Management and the Board of Directors
“Pay Versus Performance” Rule Increase Disclosure Obligations for Public Firms
ESG, Stakeholder Governance, and the Duty of the Corporation
The Global ESG Regulatory Framework Toughens Up
CEO Succession Practices in the Russell 3000 and S&P 500: 2022 Edition
Delaware’s Shifting Judicial Role in Business Governance
Safeguarding Trust: The Board’s Role in Integrating ESG and ERM
What’s Next for US M&A


%d blogueueurs aiment cette page :