Mois : décembre 2022

Top dix des billets du HLS au 22 décembre 2022


 

Voici, comme à l’habitude, les dix plus importants billets publiés sur le Forum du Harvard Law School on Corporate Governance.

Bonne lecture et joyeuses fêtes!

top ten - Illustrations et vecteurs libres de droits - Stocklib

Corporate Governance Evolves Amid Increasing Sustainability Awareness
 Activism and Stewardship Pressure on Boards
Dual Class Share Structures: Is the Sun Setting Too Slowly?
What Do Outside CEOs Really Do? Evidence from Plant-Level Data
The Activism Vulnerability Report – Q3 2022
Audit committee effectiveness: practical tips for the chair
Good Corporate Citizenship We Can All Get Behind?: Toward A Principled, Non-Ideological Approach To Making Money The Right Way
Overseeing internal investigations
Proxy Advisors Update Voting Guidelines for 2023

 

Gestion des risques d’entreprise (GRE) et rôle de surveillance du conseil d’administration : Comment bien faire ?


 

Aujourd’hui, je vous propose la lecture d’un article publié par Maria Castañón Moats*, Paul DeNicola, Stephen G. Parker de la firme PricewaterhouseCoopers, et paru sur le Forum de la Harvard Law School on Corporate Governance.

Les administrateurs sont de plus en plus impliqués dans les activités de surveillance, d’évaluation et de gestion des risques d’entreprises (GRE).

Les auteurs présentent une approche empirique très utile pour aider les administrateurs à s’acquitter de leurs responsabilités eu égard aux risques.

L’article fait le tour des moyens utilisés par les conseils d’administration pour se prémunir des risques organisationnels. L’article est assez long, mais il est très complet.

Afin d’aider les lecteurs, j’en ai une adaptation en utilisant l’outil de traduction de Google, et en faisant une adaptation soignée.

Bonne lecture !

Risk oversight and the board: navigating the evolving terrain

 

Nous vivons à une époque d’événements imprévus qui engendrent des risques, notamment des conflits géographiques et des événements si imprévisibles qu’ils  ne sont sur le radar de personne – une pandémie mondiale aux conséquences économiques et sociales de grande envergure. Bien qu’une entreprise ne puisse pas toujours anticiper ce qui pourrait arriver, une surveillance rigoureuse des risques par le conseil d’administration peut aider l’entreprise à réagir avec plus de rigueur et d’agilité. Le nombre et les types de risques que le conseil surveille continuent d’augmenter, même si leur nature change. Certains deviennent plus probables à mesure que les entreprises sont plus interconnectées. Certains sont susceptibles d’avoir un impact sur un certain domaine de l’entreprise. D’autres pourraient avoir de graves répercussions sur l’ensemble des opérations.

Ces dernières années ont renforcé la nécessité de reconnaître l’occurrence d’événements qui semblaient autrefois être improbables. Comment les organisations et leurs conseils d’administration peuvent-ils utiliser cette leçon pour améliorer leurs processus de surveillance des risques ? Garder un esprit ouvert, mais sceptique, en constitue une grande partie. Compte tenu de l’expérience collective de la plupart des conseils d’administration, et du fait que les administrateurs siègent en dehors de la gestion quotidienne de l’entreprise, ils sont bien placés pour apporter cette ouverture d’esprit et cette volonté d’explorer divers scénarios. Adopter une vision à long terme des risques, alignée sur le plan stratégique au niveau du conseil d’administration, permet à la direction de l’entreprise de se concentrer sur la gestion quotidienne de ces risques.

L’évolution de la GRE

La gestion des risques d’entreprise (GRE) a toujours consisté à identifier et à gérer les principaux risques pour l’organisation. Cela n’a pas changé. Les intrants, la méthodologie, les résultats et le processus global l’ont été, parce qu’ils le devaient. Comme illustré ci-dessous, il existe plusieurs moteurs de l’évolution des processus de GRE et de surveillance des risques.

 

Le lien entre stratégie et risque

Les grands investisseurs institutionnels ont fait pression pour obtenir plus d’informations sur la façon dont la déclaration d’intention d’une entreprise est liée à sa stratégie et à son succès à long terme. Avec cette attention externe croissante sur la stratégie, les conseils d’administration doivent comprendre comment la mission de leur entreprise a un impact sur ses processus pour  identifier les risques et déterminer l’appétit pour le risque de l’entreprise. Les risques et l’appétit pour le risque de l’entreprise doivent être considérés non seulement du point de vue de l’entreprise, mais aussi du point de vue des actionnaires et des autres parties prenantes (par exemple, les employés, les clients, les fournisseurs, les communautés et les régulateurs).

Prenons les risques GRE pour illustrer cela. Pour de nombreuses entreprises, ces risques étaient déjà sur leur radar, quelque part. Mais l’attention récente des grands investisseurs institutionnels, combinée à une augmentation des propositions d’actionnaires demandant la divulgation, a mis ces risques au premier plan. Les grands investisseurs institutionnels suggèrent que les risques GRE pourraient avoir un impact sur la valeur durable à long terme de l’entreprise. Par exemple, l’entreprise dépend peut-être de l’eau comme ressource clé. En raison des changements climatiques, l’approvisionnement en eau pourrait devenir un enjeu, ce qui finira par affecter la valeur à long terme de l’entreprise. Les entreprises se concentrent désormais davantage sur l’identification des risques GRE matériels de ce type, sur le suivi et la surveillance de ces risques, et sur la communication de leurs efforts aux actionnaires et aux autres parties prenantes.

Le conseil doit se concentrer sur les principaux risques commerciaux qui font l’objet d’un suivi et d’une surveillance actifs à tous les niveaux, y compris au niveau du conseil. Ils peuvent ajouter une valeur réelle en prenant du recul et en se demandant quels risques ne seraient pas pleinement soupesés.

Marge d’amélioration dans les discussions GRE

Seuls 62 % des administrateurs déclarent que leur conseil d’administration discute de la GRE dans le cadre de la discussion sur la gestion des risques d’entreprise

Source : PwC, Sondage annuel 2021 auprès des administrateurs de sociétés, octobre 2021.

Pour en savoir plus sur la GRE, lisez Préserver la confiance : le rôle du conseil d’administration dans l’intégration de la GRE.

 

Tout d’abord : la composition du conseil d’administration

La surveillance des risques relève de l’entière responsabilité du conseil d’administration.

 

 

Il est essentiel de disposer de compétences et d’expériences diverses au sein du conseil d’administration pour comprendre le large éventail de risques auxquels une entreprise peut être confrontée. Il est important d’avoir des membres du conseil d’administration ayant une grande expertise dans l’industrie et qui peuvent aider à anticiper ce qui va arriver. D’un autre côté, il est également important d’avoir de nouvelles perspectives, qu’il s’agisse de nouveaux administrateurs, de personnes ayant de l’expérience dans différents secteurs ou de compétences différentes, pour voir le risque sous différents angles. Les administrateurs qui ont une expertise spécifique en gestion des risques peuvent également apporter une réelle valeur ajoutée.

Composition et diversité du conseil

Comment décririez-vous l’importance des aptitudes, compétences ou qualités suivantes au sein de votre conseil ?

La diversité du conseil peut également avoir une incidence sur la surveillance des risques. En fait, 76 % des répondants à notre sondage annuel 2021 sur les administrateurs de sociétés ont convenu que la diversité au sein du conseil améliore la stratégie/la surveillance des risques et peut réduire le risque de passer à côté de risques clés.

Une fois que les administrateurs ont évalué la composition du conseil, et constaté qu’ils disposent des compétences adéquates au sein du conseil pour superviser efficacement les risques, il s’agit ensuite de comprendre comment l’entreprise identifie et gère ces risques.

La diversité du conseil a une incidence sur la surveillance

76 % des administrateurs déclarent que la diversité au sein du conseil améliore la stratégie/la surveillance des risques

Source : PwC, Sondage annuel 2021 auprès des administrateurs de sociétés, octobre 2021.

Comprendre et maximiser la GRE

La gestion des risques d’entreprise (GRE) signifie différentes choses pour différentes personnes. Certaines entreprises utilisent simplement la GRE pour identifier, hiérarchiser et signaler les risques, protégeant ainsi la valeur. Les meilleures entreprises utilisent également la GRE pour prendre des décisions plus éclairées et améliorer leurs performances stratégiques, financières et opérationnelles, ce qui génère de la valeur. Mais, il faut du travail et de l’adhésion à tous les niveaux pour que cela se produise.

Qu’est-ce que la GRE ? (et ce qu’elle n’est pas)

La GRE est l’ensemble des capacités, de la culture, des processus et des pratiques qui aident les entreprises à prendre de meilleures décisions face à l’incertitude. Il donne aux employés un cadre et des politiques pour les aider à comprendre, identifier, évaluer, gérer et surveiller les risques afin que l’entreprise puisse atteindre ses objectifs. Elle est plus utile lorsqu’elle est intégrée à la planification stratégique et à la prise de décision.

Les meilleures entreprises utilisent également la GRE pour prendre des décisions plus éclairées et ainsi améliorer leurs performances stratégiques, financières et opérationnelles, ce qui génère de la valeur.

La simple évaluation des risques (identification et hiérarchisation des principaux risques) ne relève pas de la GRE. Si une entreprise s’arrête là, elle peut connaître le risque, mais ne pas le gérer activement. Cela ne veut pas dire que l’identification et l’évaluation des risques ne sont pas un élément clé de la maximisation de la valeur de la GRE pour l’entreprise. La recherche de risques nécessite non seulement de comprendre les inducteurs de valeur de l’organisation, mais également les risques (et les opportunités) qui peuvent survenir lorsque ces inducteurs de valeur changent. La GRE peut être un outil pour aider les organisations à considérer les avantages potentiels des décisions associées à chaque risque spécifique. Par exemple, de nombreuses organisations ont changé leurs modèles d’affaires à la suite de la pandémie de COVID-19, en adoptant une politique de main-d’œuvre à distance et en offrant aux clients d’autres manières d’interagir avec eux, ouvrant ainsi de nouveaux canaux de distribution.

Les conseils d’administration et les hauts dirigeants doivent regarder au-delà de ce trimestre ou de cette année pour élaborer la bonne stratégie et prendre les bons paris. Il est peu probable que la GRE et la haute direction prédisent le prochain événement « cygne noir ». Mais une GRE robuste peut mettre en lumière une technologie disruptive : nouveaux concurrents, problèmes environnementaux ou sociaux et changements dans les réglementations, l’économie ou le paysage politique. L’évaluation continue des risques de l’entreprise doit englober les risques émergents pour aider l’entreprise à se concentrer sur les risques futurs afin d’identifier tout impact stratégique.

Il est également important de garder à l’esprit que la surveillance des risques ne signifie pas d’éviter tous les risques. Pour avoir une stratégie réussie, les entreprises doivent prendre des risques. Correctement effectuée, la GRE identifie les principaux risques qui pourraient faire obstacle et s’assure qu’ils sont (a) communiqués aux parties prenantes qui ont besoin de savoir, et (b) gérés de manière appropriée. Mais, la GRE etant différente dans chaque entreprise, comment les administrateurs peuvent-ils savoir si cela fonctionne dans leur entreprise ?

Signes indiquant que la direction pourrait améliorer la GRE

Pour en savoir plus sur l’amélioration de la GRE, consultez l’ enquête mondiale sur les risques 2022.

Veiller à ce que la GRE survive aux changements de direction

Si la GRE ne fonctionne qu’au niveau de la direction, elle n’influencera pas le comportement dans toute l’organisation. En fait, certaines entreprises trouvent utile d’évaluer les risques ou de hiérarchiser les risques à différents niveaux. Si vous demandez à différents groupes de personnes de hiérarchiser une poignée de risques clés dans l’entreprise, vous pouvez obtenir des réponses différentes en fonction du domaine de compétence de chacun. Le conseil d’administration et l’équipe de direction peuvent être alignés sur la hiérarchisation des risques, mais les cadres intermédiaires peuvent avoir une hiérarchisation très différente. Il vaut la peine de demander à ceux qui ne font pas partie de la haute direction comment ils pourraient hiérarchiser les risques. Alors, soit que  les cadres intermédiaires obtiennent plus d’informations sur les risques de la part des clients, des fournisseurs et d’autres employés que le processus GRE ne capte pas, soit que l’équipe de direction ne sensibilise pas efficacement les cadres intermédiaires aux principaux risques et à la nécessité de se concentrer sur leur atténuation. Dans tous les cas, ces informations peuvent être très utiles pour comprendre comment l’entreprise s’aligne sur l’identification et la hiérarchisation des risques.

Autres acteurs concernés par la GRE

En plus de la haute direction et du conseil d’administration, de nombreuses entreprises trouvent utile d’inclure des personnes de différents niveaux de l’organisation dans leur processus de GRE. Cela peut être aussi simple que de demander à la direction d’ajouter certains cadres intermédiaires à toutes les entrevues pendant le processus d’évaluation des risques. Lors des mises à jour de la GRE, les administrateurs peuvent demander à la direction s’ils ont envisagé cette approche plus holistique pour identifier et évaluer les risques.

Appétit pour le risque

Nous avons tous lu sur des entreprises qui ont pris des décisions impliquant des niveaux de risque qu’elles ne comprenaient pas entièrement. Également, d’autres organisations craignent de prendre trop peu de risques et de rater des opportunités en termes de performance et de croissance. À la lumière de ce qu’ils voient se produire, il n’est pas rare que les administrateurs se demandent quel niveau de risque l’entreprise doit prendre pour réaliser le plan stratégique .

L’instinct pousse à prendre des risques dans de nombreuses entreprises. La plupart des gens savent comment ils doivent se comporter et quels risques sont acceptables. Mais comment la haute direction et le conseil d’administration peuvent-ils savoir que tout le monde est sur la même longueur d’onde lorsqu’il s’agit de prendre des risques ? Cela revient à tirer parti d’un appétit pour le risque. La direction peut informer les employés du niveau de risque acceptable pour atteindre ses objectifs en déclarant son d’appétit pour le risque. Certaines entreprises voient cela comme un exercice académique qui finit sur une tablette. Mais, lorsqu’il est bien fait, il peut fournir un véritable aperçu des types et de la quantité de risques qui conviennent à l’entreprise, tout en précisant la prise de décision en matière de risque dans l’organisation.

Les déclarations d’appétit pour le risque réussies correspondent à la stratégie et éclairent les décisions commerciales. La déclaration d’appétence au risque comprend des informations quantitatives et qualitatives. Le conseil d’administration revoit annuellement la déclaration d’appétit pour le risque dans le cadre de ses efforts de surveillance de la GRE. Et dans le cadre de rapports réguliers, les conseils d’administration obtiennent une vue consolidée des risques dans l’ensemble de l’organisation afin d’être en mesure d’évaluer l’agrégation des risques par rapport à l’appétit pour le risque.

Qu’est-ce qui fait une bonne déclaration d’appétit pour le risque ?

Une bonne déclaration d’appétit pour le risque peut promouvoir une culture saine et aider à la prise de décision. Cela devient un manuel de l’entreprise pour déterminer le degré d’incertitude acceptable. Il définit les limites du niveau de risque à prendre pour atteindre les objectifs stratégiques et opérationnels. (Ces limites seront différentes pour différents types de risques.) En réalité, plusieurs expressions peuvent être nécessaires pour exprimer le degré de risque adéquat (le plancher) et le degré acceptable (le plafond) pour atteindre les objectifs. En résumé, cela rend la prise de risque plus transparente.

Pour obtenir des exemples, consultez Appétit pour le risque du COSO – Essentiel au succès.
Quel rôle la culture joue-t-elle dans la discussion sur les risques ?

L’appétence au risque fait partie intégrante de la culture d’entreprise. Une culture d’entreprise qui reflète un ton clair, cohérent et éthique au sommet peut favoriser une prise de risque appropriée ainsi qu’une nécessaire transparence. D’un autre côté, si le ton du sommet est celui de la méfiance et de la microgestion, la prise de décision peut être paralysée et conduire à une culture de l’aversion au risque. Et une culture d’entreprise qui fournit des messages mitigés (les actions et les mots ne concordent pas) peut conduire à une prise de risque inappropriée. Des conseils avisés évaluent le leadership, les personnes, la communication, la stratégie, la responsabilité, le renforcement, la gestion des risques et l’infrastructure pour évaluer l’impact du risque sur la culture du risque de l’entreprise.

Voir Pourquoi les conseils d’administration doivent-ils connaître la culture de leur entreprise ? Indice : pour sassurer qu’il s’agit d’un atout, et non d’un handicap, pour plus d’informations sur le rôle du conseil d’administration dans la surveillance de la culture.

 

 

Rapports sur les risques

De nombreuses entreprises utilisent une approche en silo et manuelle pour gérer et signaler les risques. Cela signifie que différentes parties de l’entreprise peuvent signaler les risques au conseil à différentes fréquences, sous différents formats et avec différents domaines d’intérêt. Pour aggraver l’inefficacité de cette approche fragmentée, chaque partie de l’entreprise peut utiliser des systèmes différents, rapportant ainsi différents types de données.

Certaines entreprises préparent des rapports de risques complets en distillant les informations fournies par divers groupes de gestion des risques. Mais une telle approche soulève d’autres défis et le processus lui-même peut être inefficace. De plus en plus d’entreprises utilisent une plate-forme technologique GRC (gouvernance, risques et conformité) pour consolider et rationaliser le processus de reporting des risques.

Le conseil devrait déterminer le type, le niveau et la fréquence des rapports qui lui permettraient de s’acquitter efficacement de ses responsabilités en matière de surveillance des risques. Les principales organisations font rapport trimestriellement au conseil d’administration sur la GRE. Dans le cadre d’une analyse approfondie annuelle du processus global de GRE, la direction peut présenter son processus d’identification et d’évaluation des principaux risques pour l’organisation. Ces principaux risques (généralement entre 10 et 15 risques, pouvant varier en fonction de l’entreprise) et toute modification de ceux-ci feraient partie d’un rapport de prélecture trimestriel cohérent pour le conseil.

Votre entreprise obtient-elle les données dont elle a besoin pour gérer les risques ?

Parmi les participants à l’étude sur les risques mondiaux 2022 de PwC :

38 % ont déclaré que la fonction de risque de leur entreprise ne recherchait pas activement des informations externes pour évaluer et surveiller les risques

Source : PwC, 2022 Global Risk Survey, mai 2022.

Pour chaque risque clé, un cadre supérieur doit être désigné et un plan d’atténuation détaillé. Ce suivi devrait préciser les indicateurs de risque clés (KRI) pour chaque risque surveillé au niveau du conseil. Les KRI peuvent servir de signes avant-coureurs et peuvent être particulièrement utiles pour les administrateurs. Ces mesures peuvent donner aux conseils d’administration une idée de la façon dont la direction analyse l’horizon du risque à la recherche de signaux d’alarme. Les KRI ne prédisent pas l’avenir, mais ils permettent à la direction de surveiller les changements possibles dans l’impact ou la probabilité des risques clés pour aider à minimiser les surprises. Par exemple, une baisse du produit intérieur brut ou une augmentation du chômage peuvent signaler à un détaillant que les ventes de vacances ne seront pas aussi robustes que prévu et qu’il peut être temps d’alléger les stocks ou de réduire les effectifs.

En plus des prélectures trimestrielles récurrentes pour le conseil d’administration, les responsables de la GRE de l’organisation et quelques-uns des responsables des risques peuvent fournir des commentaires lors d’une réunion sur les changements et sur ce qui pourrait émerger. Les questions que le conseil pourrait envisager de poser incluent : (1) y a-t-il des risques qui ne figurent pas sur la liste des principaux risques et qui pourraient apparaître subséquemment? (2) Que se passe-t-il si deux risques ou plus interagissent ? Il peut être plus utile de considérer ceux pour lesquels la probabilité semble faible, mais dont l’impact serait critique.

Il est essentiel de comprendre que des discussions régulières avec la direction sur les risques sont impératives. Les rapports de la direction et/ou les discussions avec le conseil d’administration doivent, au minimum, identifier les risques les plus critiques pour l’entreprise, l’impact possible et la probabilité de ces risques, l’identification des responsables des risques et la situation eu égard aux activités d’atténuation.

Structure du conseil et pratiques de surveillance

Tout le conseil ou responsabilité d’un comité?

L’ensemble du conseil d’administration est responsable de la surveillance des risques et doit comprendre le programme de GRE d’une entreprise. Toutefois, le conseil peut souhaiter déléguer les détails de la surveillance de risques spécifiques à des comités. Par exemple, le comité de rémunération peut se concentrer sur les risques posés par les plans de rémunération remaniés tandis que le comité de la technologie se concentre sur ceux inhérents à une nouvelle intégration des systèmes informatiques.

Avec l’augmentation du nombre et du type de risques que les conseils d’administration surveillent, de nombreux conseils d’administration réexaminent la manière dont ils répartissent la surveillance des risques entre l’ensemble du conseil et les comités. Les principaux conseils d’administration réexaminent la répartition des risques au moins une fois par an pour s’assurer que rien ne passe entre les mailles du filet et que tous les risques clés sont à l’ordre du jour au conseil d’administration plénier ou à un comité.

Les comités des risques suscitent beaucoup d’intérêt, mais les comités des risques sont encore relativement rares. En effet, seulement 12 % des entreprises du S&P 500 ont des comités des risques. Cela inclut les entreprises du secteur des services financiers et d’autres secteurs hautement réglementés, où elles peuvent être obligatoires.

Bien que l’ensemble du conseil d’administration soit responsable de la surveillance des risques, beaucoup de CA confient l’entièreté de la surveillance quotidienne au comité d’audit, qui a déjà beaucoup de pain sur la planche. Les risques distincts sont ensuite répartis dans l’ensemble de la structure du comité, le comité d’audit en assumant également certains. En plus des contraintes de temps et du large champ d’application, le comité d’audit peut ne pas être le bon endroit pour surveiller certains risques qui peuvent nécessiter une expérience plus spécifique à un sujet.

Quelle que soit la structure d’attribution de la surveillance que le conseil adopte, les administrateurs doivent s’assurer qu’ils sont en mesure de faire les liens appropriés. Une focalisation cloisonnée sur les risques individuels pourrait empêcher le conseil d’identifier comment les risques se recoupent. Une lecture rigoureuse des rapports des comités aide à garantir que les idées et les conclusions importantes sont communiquées à l’ensemble du conseil. Pour une surveillance efficace, il est essentiel de s’assurer que les aspects distincts de la gestion des risques se rejoignent au niveau de l’entreprise pour un examen de la façon dont ces risques distincts interagissent, s’ils peuvent devenir covariants et quelles circonstances externes pouvaient conduire à des risques apparemment indépendants, en alignement ou en cascade.

Utilisation d’une matrice de répartition des risques

Certaines sociétés bénéficient de l’utilisation d’une matrice de répartition des risques, qui peut faire partie du résumé des risques clés fourni au conseil d’administration. Une matrice de répartition des risques, qui fonctionne mieux lorsqu’elle fait partie du cadre de gouvernance de la GRE, aide les membres du conseil à comprendre quel comité, ou éventuellement l’ensemble du conseil, détient la responsabilité de la surveillance de chaque risque. Cela devrait également faire partie du cadre de gouvernance de la GRE, un élément clé qui définit clairement qui gère et qui supervise chaque risque.

Selon un sondage de la NACD , seuls 53 % des administrateurs ont indiqué que leur conseil d’administration avait attribué des rôles de surveillance des risques clairement définis à chacun de leurs comités.

Exemple de matrice de répartition des risques

 

Tirer le meilleur parti du temps consacré aux réunions

Qu’il s’agisse de l’ensemble du conseil d’administration ou d’un comité chargé de superviser les risques, des analyses approfondies périodiques peuvent aider les administrateurs à mieux comprendre les principaux risques. Les responsables du risque (unité commerciale ou cadres fonctionnels) peuvent expliquer la nature du risque, son impact potentiel sur les objectifs stratégiques, la manière dont il est géré, y compris les limites acceptables, et le type de contrôles en place. C’est aussi le moment idéal pour découvrir comment ils intègrent les pratiques de gestion des risques dans leurs activités. Et c’est l’occasion de comprendre s’ils gèrent les risques et les performances ensemble, car les risques individuels peuvent avoir un impact sur plusieurs objectifs. La mise en évidence de 1 à 2 domaines de risque clés chaque trimestre est une bonne cadence. Envisagez d’intégrer ces séances dans le calendrier de planification de l’agenda annuel.

Les administrateurs peuvent ensuite passer du temps à discuter du risque et de la façon dont l’évaluation de la direction peut changer, par exemple, si l’impact potentiel est plus grave ou change plus rapidement que prévu.

Enfin, les administrateurs doivent solliciter d’autres avis sur la manière dont la direction gère un risque spécifique en demandant leur avis au personnel de la GRE, de la conformité et de l’audit interne.

Transparence du conseil

Comment un conseil d’administration peut-il rassurer les investisseurs et les autres parties prenantes sur le fait qu’il surveille efficacement les risques ?

Depuis 2010, les sociétés ouvertes sont tenues d’inclure des informations sur le rôle du conseil d’administration dans la surveillance des risques dans leurs circulaires de sollicitation de procurations. La divulgation anticipée des procurations comprenait peu de détails. Ils ont souvent simplement déclaré que le conseil a la responsabilité globale de la surveillance des risques, le comité d’audit surveille les risques liés aux finances, le comité de gouvernance surveille les risques liés à la gouvernance et le comité de rémunération surveille les risques liés à la rémunération. De telles divulgations de base ne donnent pas aux actionnaires une grande confiance dans le fait que le conseil surveille activement les risques qui comptent.

Récemment, les actionnaires ont exigé que les entreprises fournissent des informations plus significatives et transparentes sur les activités et les performances de surveillance des risques du conseil d’administration. En particulier, les grands investisseurs veulent comprendre comment les entreprises se concentrent sur les risques de développement durable qui pourraient avoir un impact sur la capacité d’une entreprise à générer de la valeur à long terme. Pour inciter à l’action, certains investisseurs ont même annoncé des changements dans leurs politiques de vote des administrateurs. Dans certains cas, l’incapacité d’une entreprise à se concentrer de manière appropriée sur ces risques et à divulguer des mesures pertinentes pourrait désormais déclencher des votes contre certains administrateurs.

En réponse à la demande des investisseurs, les régulateurs ont également commencé à faire pression pour une plus grande divulgation de la surveillance des risques. En 2022, la SEC a proposé des règles relatives à la fois au changement climatique et aux divulgations en matière de cybersécurité. Les règles proposées traitent de la divulgation de plus d’informations sur la gestion des risques de l’entreprise dans ces domaines et sur la surveillance du conseil d’administration dans chacun d’eux. Compte tenu de cette attention accrue portée à la surveillance des risques par les investisseurs et les régulateurs, de nombreuses entreprises élargissent désormais leurs informations sur les risques. Les administrateurs doivent lire leurs déclarations de procuration actuelles avec un œil critique et s’assurer de faire connaître le travail qu’ils accomplissent.

Les administrateurs peuvent demander à la direction de comparer les informations fournies par la société sur la surveillance des risques par le conseil. L’examen des meilleures divulgations peut inciter le conseil à être plus transparent. Cet exercice peut également souligner la nécessité de consacrer plus de temps au conseil à la gestion des risques ou d’identifier d’autres lacunes dans le processus de surveillance du conseil qui doivent être corrigées.

Quelle est la solidité de vos informations sur la surveillance des risques ?

Les déclarations de procuration ont évolué pour inclure des informations supplémentaires liées à la surveillance des risques, telles que :

  • Si l’ensemble du CA est engagé;
  • Une description de la façon dont le conseil examine la fonction de gestion des risques de l’entreprise (GRE);
  • L’approche du conseil d’administration pour répartir la surveillance des risques par comité, y compris une liste détaillée des principaux domaines de risque sur lesquels chaque comité se concentre;
  • La nature et la fréquence des rapports au conseil ou au comité;
  • Le rôle de la haute direction relativement à la surveillance des risques, y compris une description du comité de gestion des risques, de ses membres et de ses responsabilités;
  • Les détails concernant la surveillance de la cybersécurité, y compris le nombre de fois où la cybersécurité était à l’ordre du jour du conseil, qui (par exemple, CIO, CISO, CRO) présente des mises à jour au conseil, s’ils entendent également des experts externes et s’ils tiennent des séances privées avec le CIO ou RSSI;
  • Spécificités concernant la surveillance des risques GRE, y compris les objectifs et les cibles;
  • Comment le conseil se familiarise-t-il avec ses propres connaissances techniques dans ces domaines, que ce soit par le biais d’une expertise spécifique, de l’utilisation de conseillers tiers, d’une formation continue ou d’un perfectionnement des compétences ?

En conclusion…

Dans un environnement de risque commercial qui devient de plus en plus complexe et interconnecté, les conseils d’administration jouent un rôle crucial dans la surveillance des risques et de l’information aux actionnaires.

  • Pour commencer, les conseils peuvent regarder autour de la table. Y a-t-il une diversité d’expérience, de pensée, de genre et de race pour apporter des perspectives différentes sur le risque ?
  • Les conseils d’administration voudront également comprendre le programme de GRE de l’entreprise, et comment ils contribuent à ce programme.
  • Le conseil voudra également consacrer du temps à sa propre structure de surveillance.
  • Enfin, les conseils d’administration doivent considérer les diverses parties prenantes de l’entreprise : quelles informations leur sont fournies sur les programmes et les activités de gestion des risques de l’entreprise ?

En examinant et en affinant son approche de la surveillance des risques, un conseil peut offrir une valeur accrue à l’entreprise et à ses actionnaires.

*Maria Castañón Moats  est leader,  Paul DeNicola est directeur et Stephen Parker est associé au Governance Insights Center de PricewaterhouseCoopers LLP.

Sondage sur la gouvernance d’entreprise et la rémunération des dirigeants


Voici un article qui porte sur les caractéristiques de la gouvernance des 100 plus importantes sociétés américaines.

L’article a été publié aujourd’hui par Richard Alsop, Doreen Lilienfeld, Gillian Moldowan, Shearman & Sterling, Partners à Shearman & Sterling LLP.

L’infographie est formidable.

Bonne lecture !

Corporate Governance & Executive Compensation Survey

The Survey consists of a review of key governance characteristics of the Top 100 Companies, including a review of key ESG matters.

Board Size and Leadership

The average size of the board of the Top 100 Companies has decreased from 12.5 directors in 2015 to 11.8 directors in 2021, and 46 of the Top 100 Companies have split the CEO and board chair positions.

Director Independence

Over the last 10 years, the number of companies at which the CEO is the only non-independent director has increased significantly.

Board Refreshment

Board refreshment continues to be one of the key issues facing nominating and governance committees, and boards as a whole, as they are increasingly under pressure to change the face of the boardroom by re-examining topics such as director tenure, experience, performance and diversity, with gender and ethnic diversity at the forefront.

Board Diversity

Director Skill Set

Women in Leadership

ESG Disclosure and Governance

Format of Annual Shareholder Meetings

Cybersecurity

Cybersecurity and data protection and related risk-management discussions continue to be areas of focus for directors.

IPO Governance Practices

IPO companies continue to adopt the corporate governance practices that are disfavored by proxy advisory firms.

Human Capital Management

Share Ownership Requirements

Equity Plans

99 of the Top 100 Companies maintain equity plans to compensate employees and non-employee directors. We highlight trends in the Top 100 Companies with regard to board discretion, non-employee director compensation and share recycling.

Say-on-Pay

2022 represented the 11th proxy season under the Dodd-Frank Act’s mandatory say-on-pay regime. Although most Top 100 Companies continue to receive high approval rates, this year saw an increase in say-on-pay failures.

Clawback Policies

The SEC proposed rules implementing Section 954 of the Dodd-Frank Act in 2015. In October 2021 and again in June 2022, the SEC reopened the comment period on the proposed clawback rules with an indication that the final rule could be broader than the 2015 proposal. Notwithstanding the lack of final rules, many Top 100 Companies voluntarily maintain clawback policies as a best practice. Their policies, however, are not uniform. Should the SEC finalize its rule, many companies will need to reassess their policies.

CEO Pay Ratio

Executive Perquisites

Golden Parachute Provisions

With the advent of say-on-pay and increased focus by institutional investors on executive compensation, golden parachute gross-up provisions have become all but obsolete at the Top 100 Companies. Many of the Top 100 Companies are implementing reduction provisions intended to protect executives from the excise tax known as either “cutback” provisions or ”better-of” provisions.

The link to the complete piece is located here.

IL Y A UNE CHOSE QUE LES MEMBRES DU CONSEIL D’ADMINISTRATION DEVRAIENT FAIRE BEAUCOUP PLUS SOUVENT : DÉMISSIONNER


 

Voici un article, publié sur le blogue d’Adam J. Epstein, le 2 décembre 2022, qui dénonce l’encroutement de certains administrateurs sur les conseils pendant trop d’années. Cet article est très engageant, surtout dans la perspective :

(1) de laisser plus de place aux nouvelles générations et

(2) de créer un espace pour le recrutement de membres issus de la diversité.

J’ai déjà abordé ce sujet délicat dans plusieurs billets au cours des dix dernières années. Voici un aperçu des différentes publications sur le sujet — https://jacquesgrisegouvernance.com/?s=d%C3%A9mission+des+administrateurs.

Le texte a été publié en anglais. Afin de faciliter la compréhension, j’ai révisé la traduction électronique produite par Google. Je crois que cette traduction est très acceptable.

Bonne lecture ! Vos commentaires sont les bienvenus.

There’s One Thing Board Members Should Do A Lot More Often: Resign

 

Why Board Members Decide To Step DownWhy Board Members Decide To Step Down

L’un des points de données les plus choquants de l’état des conseils d’administration chaque année est une gracieuseté de PwC. Leur sondage annuel auprès des administrateurs de grandes sociétés ouvertes pose une question formidable : « Y a-t-il des administrateurs dans votre conseil qui, selon vous, ne devraient pas l’être ? Si oui, combien ? »

Voici la réponse en 2022.

Près de la moitié des administrateurs (48 %) pensent qu’un ou plusieurs administrateurs de leur conseil devraient être remplacés. Dix-neuf pour cent (19 %) remplaceraient au moins deux de leurs collègues administrateurs.

Vous avez bien lu.

Je ne cesse de m’étonner du peu de gens qui en parlent.

Il y a de nombreuses raisons pour lesquelles des milliers de personnes siégeant à des conseils d’administration privés, publics et à but non lucratif ne devraient pas l’être. Vous pourriez facilement écrire 10 000 mots dessus.

Il y en aurait beaucoup moins si plus de gens discutaient ouvertement d’un seul mot.

Démissionner.

La résignation se situe, dans le lexique américain, d’un autre mot que nous n’aimons pas.

Quitter.

Quitter n’est pas américain — c’est l’antithèse de ce qui a construit notre pays. Et on nous l’a tous rappelé quotidiennement quand nous étions enfants, « Personne n’aime un lâcheur. »

Démissionner n’est pas la même chose que quitter, bien sûr, comme nous le savons tous.

Quitter évoque une réticence à déployer l’effort requis.

Démissionner n’est pas une question d’effort ; c’est un départ plus réfléchi et raisonné.

Mais, ils se ressemblent tous les deux sur le tableau de bord : une personne a volontairement décidé de quitter un poste.

Pourquoi tout cela est-il important ? Je pense que ça compte beaucoup, en fait.

Je pense que c’est en partie la raison pour laquelle vous pouvez assister à tous les grands événements de gouvernance d’entreprise aux États-Unis, année après année, et ne pas voir un seul panel où des membres expérimentés du conseil d’administration discutent des tendances factuelles qui les ont incités à démissionner d’un conseil d’administration, et pourquoi ils étaient ravis qu’ils l’aient fait.

C’est drôle ce qui se passe quand les gens ne discutent jamais d’une ligne de conduite. Cela n’arrive pas.

Donc, dans l’esprit que la lumière du soleil est le meilleur désinfectant, soyons résolument clairs : parfois, la meilleure chose que vous puissiez faire en tant que membre du conseil d’administration est de démissionner.

Demandez à Avie Tevanian .

J’ai discuté de cette question avec énormément de membres du conseil d’administration au fil des ans. Je ne peux pas vous dire combien de fois j’ai entendu des choses comme :

  • « Je savais que mes compétences et mon expérience ne s’additionnaient plus. J’ai été nommé au conseil d’administration pour aider à résoudre un ensemble de problèmes discrets, et ces problèmes ont disparu lorsque l’entreprise a effectué une transition ».
  • « Le PDG n’était pas la bonne personne pour diriger l’entreprise… pour de nombreuses raisons. Mais, les autres membres du conseil d’administration étaient de bons amis du PDG, et j’étais sur une île. Je savais que de mauvaises performances étaient pratiquement garanties avec cette personne. Et j’avais raison. »
  • « Les autres membres du conseil d’administration n’étaient pas assez expérimentés pour savoir que l’équipe des finances était non seulement en sous-effectif, mais c’était aussi un groupe d’amateurs. Je pouvais juste dire que cela se dirigeait vers des dépôts tardifs et une situation potentielle de retraitement. Tous les indicateurs étaient là, mais je n’ai pu convaincre aucun des autres membres du conseil d’administration de voir le problème. »
  • « Les autres membres du conseil d’administration — et même nos avocats externes — étaient tellement entichés du PDG. Je ne suis pas avocat, mais même moi, j’ai pu voir que ce que le PDG suggérait équivalait à un délit d’initié.

 

Et toutes ces réflexions poignantes se terminaient de la même manière : “J’aurais dû démissionner du conseil d’administration, Adam ».

Aucun d’eux ne l’a fait.

Tous l’ont regretté.

Si votre instinct vous dit de démissionner d’un conseil… démissionnez. Ce n’est pas « anti-américain ». C’est intelligent. Et beaucoup plus de membres du conseil d’administration devraient le faire, que les « experts » du conseil d’administration veuillent en parler ou non.