Ce que les entreprises doivent savoir sur les attaques de ransomware modernes et comment y répondre


Voici un sujet qui interpelle sérieusement les conseils d’administration et la responsabilité fiduciaire des administrateurs, notamment avec l’accroissement des activités liées à la cybercriminalité.

L’article a été publié par Antonia M. Apps et Adam Fee , associés de Milbank et Matthew Laroche, conseiller juridique spécial chez Milbank sur le Forum du HLS on Corporate Governance.

Les auteurs examinent les principales caractéristiques des ransomwares modernes que les entreprises devraient prendre en compte, notamment la façon dont les acteurs des ransomwares ciblent désormais des entreprises spécifiques, menaçant de publier les données les plus sensibles de leurs victimes en ligne, et collaborer avec d’autres cybercriminels pour accroître la sophistication des attaques.

Après avoir exploré les ransomwares modernes, l’article met l’accent sur des directives aux entreprises qui réagissent immédiatement après une attaque afin que celles-ci soient mieux placées pour contenir l’incident, reprendre leurs activités commerciales normales et évaluer de manière appropriée les risques juridiques et réglementaires.

Je vous invite à lire la version française de la publication effectuée par Google, que j’ai corrigée. Ce travail de correction est certainement encore perfectible, mais le résultat est très satisfaisant.

Bonne lecture !

What Companies Need to Know About Modern Ransomware Attacks and How to Respond

Cybercriminalité : les coûts des dégâts sous-estimés

 

Les ransomwares sont une menace de cybersécurité croissante et évolutive à laquelle sont confrontées les organisations du monde entier. En 2020, les attaques de ransomwares ont été multipliées par sept à la fin de l’année, avec plus de 17 000 appareils détectant les ransomwares chaque jour. [1] En tant que défi supplémentaire, les ransomwares sont plus sophistiqués que jamais avec des variantes modernes conçues pour infliger d’immenses dégâts et les auteurs exigeant des paiements plus élevés. Au cours des derniers mois seulement, les ransomwares ont provoqué des perturbations catastrophiques dans les activités commerciales de, entre autres, Colonial Pipeline, le géant de la transformation alimentaire JBS USA Holdings Inc. et le système national de santé irlandais. [2]

Les attaques réussies coûtent des millions de dollars aux entreprises, y compris les perturbations de l’activité, le coût du personnel, le coût des appareils, le coût du réseau, les opportunités perdues, les atteintes à la réputation et le paiement potentiel d’une rançon. [3] Les cybercriminels sont exigeants et gagnent de plus en plus d’argent, le paiement moyen des ransomwares par événement passant d’environ 115 000 $ en 2018 à plus de 300 000 $ en 2020 ; et la rançon la plus élevée payée a plus que doublé, passant de 5 millions de dollars entre 2015 et 2019 à 11 millions de dollars en 2021. [4] Les gouvernements, les forces de l’ordre et les organismes de réglementation en ont pris note, les entreprises étant confrontées à des pressions pour se préparer et répondre efficacement aux attaques de ransomware. [5]

Compte tenu de l’environnement actuel des menaces, il est essentiel que les entreprises qui cherchent à gérer leurs risques de cybersécurité comprennent comment les ransomwares ont évolué pour devenir l’une des menaces de cybersécurité les plus dommageables aujourd’hui. Les entreprises sont confrontées à un examen juridique, réglementaire et politique accru à la suite de ces attaques, ce qui oblige les entreprises à mettre en place des structures de gestion et des contrôles appropriés, sous la surveillance du conseil d’administration, afin d’anticiper et de traiter les dommages importants qui peuvent être causés à la suite d’une attaque de ransomware.

Ci-dessous, nous examinons les principales caractéristiques des ransomwares modernes que les entreprises devraient prendre en compte, notamment la façon dont les acteurs des ransomwares ciblent désormais des entreprises spécifiques, menaçant de publier les données les plus sensibles de leurs victimes en ligne, et collaborer avec d’autres cybercriminels pour accroître la sophistication des attaques. Après avoir exploré les ransomwares modernes, nous recommandons ensuite des directives aux entreprises qui réagissent immédiatement après une attaque afin que les entreprises soient les mieux placées pour contenir l’incident, reprendre leurs activités commerciales normales et évaluer de manière appropriée les risques juridiques et réglementaires.

Principales caractéristiques des ransomwares modernes

Les attaques de ransomwares opéraient traditionnellement en accédant à un système, généralement via des e-mails de phishing, puis en verrouillant ou cryptant automatiquement les données en recherchant les fichiers avec certaines extensions. Dans le passé, la plupart des acteurs des ransomwares utilisaient une approche « spray and please » ou « shotgun » dans laquelle les ransomwares étaient distribués sans discernement à la recherche d’une organisation vulnérable. Bien que ces attaques opportunistes aient connu plusieurs succès notables, en 2018, les organisations s’étaient largement adaptées à la menace en mettant en œuvre des mesures de cybersécurité et des plans de reprise après sinistre et de continuité des activités en réponse aux attaques. En conséquence, les ransomwares traditionnels ont eu moins de succès et ont été, pendant un certain temps, largement éclipsés par d’autres cybermenaces. [6]

Au cours des 18 derniers mois, cependant, les ransomwares sont revenus au premier plan du paysage des cybermenaces. Les attaques de ransomware modernes sont plus sophistiquées et dommageables à plusieurs égards. Premièrement, les acteurs modernes des ransomwares utilisent fréquemment une approche ciblée, connue sous le nom de « chasse au gros gibier » ou « attaques opérées par l’homme », dans laquelle le ransomware est conçu pour des victimes spécifiques. Avant même qu’une attaque ne soit lancée, les acteurs des ransomwares procèdent à un profilage approfondi des victimes. [7] Les acteurs des ransomwares sont devenus plus compétents pour le faire pour plusieurs raisons, notamment la disponibilité de bases de données et d’autres outils qui aident à identifier les victimes en fonction de leur emplacement, de leur secteur d’activité, de leur taille et de leurs revenus ; et des plateformes de communication anonymes qui permettent des interactions sécurisées et une collaboration accrue des groupes de cybercriminels. Après avoir identifié une victime et obtenu l’accès à leur réseau, les acteurs du ransomware passent un temps considérable (généralement des semaines ou des mois) à prendre le contrôle de sections du réseau avant d’exécuter le ransomware. En passant plus de temps dans le système ciblé, les cybercriminels peuvent se déplacer latéralement pour accéder à davantage de parties du réseau, identifier les données les plus sensibles stockées par la victime et infiltrer les sauvegardes critiques, ce qui rend plus difficile la récupération des victimes après une attaque.[8]

Deuxièmement, en conjonction avec le large accès aux données sensibles fourni par les attaques ciblées, les acteurs des ransomwares utilisent désormais la « double extorsion » dans laquelle le ransomware non seulement crypte les données de la victime, mais les exfiltre également du réseau de la victime. Cela donne aux cybercriminels une autre possibilité d’extorsion : si une victime ne paie pas la rançon, l’attaquant peut publier ou menacer de publier les données de la victime en ligne, vendre les données sur le dark web ou utiliser les données volées pour exploiter les vulnérabilités des systèmes associés. Les victimes sont confrontées à une pression importante pour payer des rançons dans ces circonstances, ce qui a entraîné une augmentation substantielle du montant des demandes de rançon et des paiements. [9]

Troisièmement, les attaques de ransomwares modernes sont souvent menées par plusieurs groupes collaborant sur différents aspects de l’infiltration. Un exemple est le modèle d’abonnement dit de ransomware-as-a-service (« RaaS »), dans lequel les développeurs de ransomware recherchent des affiliés pour mener des attaques et en échange reçoivent une part du produit. [dix]Dans ces scénarios, un groupe possède le ransomware et un ou plusieurs autres groupes contrôlent l’infrastructure compromise, ce qui permet aux cybercriminels d’utiliser des experts à chaque étape de l’attaque. Avec un accès plus large à un réseau de victimes, les cybercriminels sont également devenus plus efficaces pour monétiser différentes parties des actifs compromis. Par exemple, les acteurs des ransomwares peuvent choisir de déployer des ransomwares sur une partie d’un réseau victime tout en vendant l’accès à une autre, créant ainsi plusieurs sources de revenus pour la même attaque. [11] Cette dynamique rend également plus difficile pour les organisations de victimes d’évaluer la durée et l’étendue de la violation et d’identifier tous les auteurs.

Enfin, les acteurs modernes des ransomwares utilisent désormais généralement la crypto-monnaie comme méthode préférée de paiement des rançons. Dans le passé, les cybercriminels étaient contraints d’utiliser d’autres instruments financiers pour recevoir des paiements, tels que des plateformes de paiement par téléphone mobile ou des portefeuilles électroniques, localisés dans une région géographique particulière et/ou réglementés par les gouvernements. La crypto-monnaie, en revanche, contourne les réglementations et est capable de transférer de l’argent dans le monde entier, permettant aux cybercriminels d’initier des transferts d’argent transfrontaliers à haut volume de manière anonyme avec peu de risques.

Les acteurs modernes des ransomwares ont déployé certaines ou toutes les méthodes ci-dessus, obtenant plusieurs succès récents de grande envergure. Les exemples notables incluent :

DarkSide : Darkside est l’une des variantes de ransomware modernes les plus notoires et elle a fait des ravages dans le monde entier, infiltrant des organisations de divers secteurs dans plus de 15 pays. Introduit à l’origine en 2020 par un groupe de cyberhackers connu sous le nom de Carbon Spider, Darkside fonctionne comme un RaaS et utilise diverses méthodes pour obtenir un accès initial à son système cible, notamment via le phishing, l’exploitation du protocole RDP (« RDP ») et d’autres exploits . [12] Une fois que Darkside a infecté le réseau victime, il se déplace vers le contrôleur de domaine (un serveur qui vérifie les informations d’identification de l’utilisateur sur un réseau informatique), où il vole les informations d’identification et se déplace latéralement pour identifier d’autres actifs précieux à voler. Avant de lancer la charge utile du ransomware, Darkside exfiltre les fichiers critiques, en utilisant des sites de fuite basés sur TOR pour héberger les données volées. [13]

Le déploiement de Darkside le plus notoire a été l’attaque de mai 2021 contre Colonial Pipeline, une entreprise responsable de près de la moitié de l’approvisionnement en carburant de la côte est des États-Unis. [14] Darkside a utilisé une double extorsion en verrouillant les systèmes informatiques de Colonial Pipeline et en volant plus de 100 gigaoctets de données d’entreprise. [15] Cette attaque a provoqué une perturbation importante de la distribution de carburant aux États-Unis, et Colonial Pipeline a payé une rançon de 4,4 millions de dollars en bitcoins pour retrouver l’accès à ses systèmes. Le Federal Bureau of Investigation a ensuite récupéré une partie de la rançon en surveillant un registre bitcoin visible au public alors que les pirates transféraient la rançon bitcoin vers d’autres registres numériques, qui s’apparentent à des portefeuilles numériques personnels. Lorsqu’une partie importante de la rançon, environ 64 bitcoins, a été transférée à une adresse numérique pour laquelle le FBI avait obtenu une « clé privée » ( c’est -à- dire le mot de passe pour accéder à l’adresse), le FBI a obtenu un mandat de perquisition et a saisi le bitcoin . [16] D’autres victimes récentes de Darkside couvrent plusieurs secteurs, notamment les services financiers, le droit, la fabrication, les services professionnels, la vente au détail et la technologie. [17]

Nefilim : Nefilim a été identifié pour la première fois en mars 2020 et a été l’une des variantes les plus réussies pour violer les réseaux de victimes. Nefilim obtient généralement un accès initial à un réseau victime en exploitant des informations d’identification faibles sur le RDP exposé ou d’autres services connexes. Une fois à l’intérieur d’un réseau cible, les acteurs Nefilim téléchargent des outils administratifs supplémentaires pour faciliter les déplacements latéraux dans le réseau. Nefilim exfiltre ensuite les données, les publie sur des sites Web protégés par TOR et lance la charge utile du ransomware pour crypter le réseau de la victime. Au cours de la dernière année, Nefilim a publié en ligne environ deux téraoctets de données volées. [18]

Nefilim s’est distingué des autres familles de ransomwares en ciblant des entreprises dont le chiffre d’affaires annuel se chiffre en milliards de dollars. L’attaque la plus médiatisée de Nefilim a été dirigée contre l’organisation maritime australienne, Toll Group, en mai 2020. Toll Group aurait refusé de payer les demandes de rançon de Nefilim et, en conséquence, Nefilim a divulgué des données sensibles de Toll Group et a annoncé comment Toll Group pourrait être infiltré dans le futur. [19] Nefilim a également été identifié comme l’auteur d’un certain nombre d’autres attaques, notamment contre des victimes aux États-Unis, en Amérique du Sud, en Europe et en Asie.

REvil : REvil (également connu sous le nom de Sodinokibi) est apparu en 2019 et a commencé à cibler diverses industries aux États-Unis, en Australie, au Canada, en Finlande et à Hong Kong. Les variantes récentes de REvil accèdent généralement aux réseaux des victimes via des e-mails de spam malveillants, des vulnérabilités RDP et des sites Web compromis. Comme Darkside et Nefilim, après avoir eu accès au réseau des victimes, REvil utilise la double extorsion, dispose d’un site de fuite dédié à la publication de données sensibles et aurait tenté de mettre aux enchères des données volées en ligne. [20]

REvil a été identifié comme l’auteur de plusieurs attaques de ransomware très médiatisées, notamment (i) l’attaque de juin 2021 contre Grupo Fluery, une société brésilienne de diagnostic médical qui effectue environ 75 millions d’examens cliniques chaque année ; (ii) l’attaque de juin 2021 contre l’entreprise de transformation alimentaire JBS, qui a fermé des usines qui traitent environ un cinquième de l’approvisionnement en viande des États-Unis ; et (iii) l’attaque de mai 2020 contre le cabinet d’avocats Grubman Shire Meiselas & Sacks, qui aurait entraîné le vol de près d’un téraoctet de données client sensibles. [21] JBS a finalement payé à REvil 11 millions de dollars en crypto-monnaie pour protéger JBS contre d’autres interruptions d’activité, ce qui est le plus grand paiement de ransomware signalé publiquement à ce jour. [22]

Répondre à une attaque de ransomware moderne

À la lumière du récent succès des attaques de ransomwares modernes, nous nous attendons à ce que les ransomwares continuent de tourmenter les industries du monde entier dans les années à venir. Lorsqu’une attaque se produit, l’organisation victime doit agir de manière décisive pour contenir l’incident, et les premières 48 heures suivant l’attaque sont les plus critiques. Pendant ce temps, les organisations doivent agir rapidement pour évaluer l’attaque, isoler les systèmes affectés, identifier si les données sont récupérables via des fichiers de sauvegarde ou d’autres méthodes, et évaluer les risques juridiques et réglementaires, qui sont nombreux. Une organisation qui traite efficacement chacun de ces problèmes sera dans la position la plus forte possible pour reprendre ses activités normales et déterminer si elle doit ou non payer la rançon. Compte tenu de la sophistication des attaques de ransomware modernes,

Mobiliser l’équipe d’intervention en cas de violation: Les organisations doivent former une équipe pour coordonner la réponse à la violation. Idéalement, cette équipe avait déjà été identifiée et préparée bien avant que la violation ne se produise, et comprend la haute direction, la criminalistique, la sécurité de l’information, la technologie de l’information et les composants juridiques. À la lumière de la complexité des attaques de ransomware modernes, les organisations devraient envisager de faire appel à des enquêteurs judiciaires indépendants possédant une expertise en ransomware. Les organisations devraient également envisager sérieusement de retenir les services d’un avocat externe pour les guider dans la réponse aux incidents en vertu du secret professionnel de l’avocat, y compris les questions juridiques et réglementaires discutées ci-dessous. De plus, si l’organisation décide de faire appel à des enquêteurs médico-légaux indépendants, ces personnes devraient être retenues par un avocat externe pour préserver le privilège juridique de leur travail,

Évaluer les dommages: Les organisations doivent agir le plus rapidement possible pour évaluer l’ampleur de l’attaque. Cela inclut l’identification du ou des systèmes informatiques concernés, l’origine de l’attaque, la variante du ransomware ou tout autre logiciel malveillant utilisé pour infiltrer le système et toute connexion externe actuelle au système. Cette étape est plus compliquée lors de la réponse à une attaque de ransomware moderne car, comme décrit ci-dessus, l’attaque peut impliquer plusieurs cybercriminels qui ont passé des semaines ou des mois à se déplacer sur le réseau de la victime. Les organisations de victimes ne doivent pas supposer que l’identification de logiciels malveillants sur une section de leur système constitue l’intégralité de la violation. L’équipe d’intervention doit plutôt déterminer si ce logiciel malveillant a été utilisé dans le cadre d’une attaque de ransomware ciblée plus large. Si c’était,

Conserver les fichiers journaux : les fichiers journaux sont essentiels pour évaluer l’attaque par ransomware, et les organisations doivent prendre des mesures immédiates pour les préserver. Cela inclut l’augmentation de la taille par défaut des fichiers journaux sur les serveurs et la désactivation des tâches de maintenance automatisées telles que la suppression des fichiers temporaires et la rotation des journaux pour empêcher l’écrasement des journaux. Si la journalisation n’est pas activée sur un système affecté, l’organisation doit activer la journalisation immédiatement, ce qui peut également fournir des informations utiles à la suite de la violation.

Isoler et imager les systèmes affectés : Une fois les systèmes affectés identifiés, ils doivent être isolés. Ce processus comprend non seulement la suppression de ces systèmes du réseau lui-même, mais également la sécurisation des zones physiques potentiellement liées à la violation. Une fois que ces systèmes sont isolés, ils doivent également faire l’objet d’une image médico-légale, ce qui aidera à enquêter sur les origines et les causes de la violation. De plus, si l’organisation paie l’acteur du ransomware pour une clé de déchiffrement, il est possible que la clé contienne des bogues qui peuvent endommager les données pendant le processus de déchiffrement. Si cela se produit, l’image médico-légale peut être utilisée pour tenter de répéter le décryptage sans endommager les données d’origine.

Fichiers de sauvegarde sécurisés : la sécurisation des fichiers de sauvegarde le plus rapidement possible joue un rôle crucial dans la reprise rapide des opérations commerciales. Idéalement, au moins certains fichiers de sauvegarde sont stockés sur un réseau à vide que l’attaque n’a pas atteint et n’a pas pu atteindre. Dans la mesure où les fichiers de sauvegarde sont connectés au réseau infecté, les entreprises doivent déconnecter le stockage de sauvegarde du réseau et/ou verrouiller l’accès aux systèmes de sauvegarde jusqu’à ce que l’infection soit résolue. Ici encore, les organisations doivent agir avec prudence, car les attaques de ransomwares modernes ciblent spécifiquement les fichiers de sauvegarde pour empêcher délibérément une récupération rapide. De plus, étant donné que les attaques de ransomware modernes ont des délais plus longs, les entreprises doivent être prêtes à identifier et à récupérer les fichiers de sauvegarde qui sont considérablement antérieurs à la découverte de l’intrusion.

Évaluer les problèmes juridiques et réglementaires: Les organisations sont confrontées à une variété de considérations juridiques et réglementaires aux niveaux étatique, fédéral et, potentiellement, international suite à une attaque de ransomware, et bon nombre de ces problèmes doivent être résolus immédiatement. Selon l’organisation et le type de données compromises, l’attaque de ransomware peut déclencher un patchwork complexe d’exigences de notification légale, dont certaines ont des délais de notification courts. Par exemple, les États ont promulgué une législation exigeant la notification des atteintes à la sécurité impliquant des informations personnelles, certaines dans les 24 heures suivant la découverte du vol. De plus, la SEC a publié des directives concernant les divulgations à la suite d’une violation de la cybersécurité. Et le Règlement général sur la protection des données du Royaume-Uni impose aux organisations de signaler certaines violations de données personnelles dans les 72 heures, dans la mesure du possible. [23]

Les organisations doivent également se préparer aux enquêtes gouvernementales et aux litiges. Les secteurs réglementés tels que les soins de santé, la finance et les infrastructures critiques font régulièrement l’objet d’un examen minutieux après des cyberattaques de la part des autorités de réglementation et des procureurs généraux des États. Lorsque des données de consommateurs sont impliquées, les droits d’action privés en vertu des lois de l’État sur la protection des consommateurs peuvent conduire à des recours collectifs. Au-delà de cela, les organisations doivent également déterminer si elles doivent ou non payer la rançon, ce qui soulève une foule d’autres problèmes pratiques et juridiques. Le FBI conseille généralement aux entreprises de ne pas payer de rançon. L’Office of Foreign Assets Control (« OFAC ») du département du Trésor a déclaré que certains paiements de ransomware peuvent également constituer des violations des lois sur les sanctions économiques. Au-delà de l’OFAC, le paiement de la rançon peut impliquer les lois anti-blanchiment et le Patriot Act. En outre,[24] à New York, les législateurs ont également proposé une législation qui interdirait les paiements de ransomware par toute entité exerçant des activités à New York ou dans un établissement de santé réglementé par le ministère de la Santé de New York. [25] Comme nous l’avons indiqué, la participation précoce d’un conseiller juridique est importante pour évaluer toutes ces questions tout en préservant le privilège.


Compte tenu de la prolifération d’acteurs de ransomware sophistiqués à la recherche de primes de plus en plus importantes pour les données sensibles de l’entreprise, les entreprises doivent à la fois anticiper et être prêtes à répondre à l’attaque inévitable. En prenant les mesures décrites ici, les entreprises se mettront dans la meilleure position pour contenir la violation une fois qu’elle se produira, empêcher la perte de données supplémentaires, lancer le processus de récupération, limiter l’exposition légale et réglementaire et déterminer si elles doivent payer la rançon.

Notes de fin

Voir Fortinet, Global Threat Landscape Report : A Semiannual Report by FortiGuard Labs (février 2021), disponible sur https://www.fortinet.com/content/dam/maindam/public/02_marketing/08_Report/Global-TLR-2021 -2H.pdf .(retourner)

2 Collin Eaton et Dustin Volz, PDG de Colonial Pipeline, expliquent pourquoi il a payé une rançon de 4,4 millions de dollars aux pirates , Wall St. J. (19 mai 2021) ; Catherine Stupp, Le système de santé irlandais lutte contre les perturbations technologiques après l’attaque par ransomware de mai , Wall St. J. (18 juin 2021).(retourner)

Voir Dep’t of Health & Human Serv., Ransomware Trends 2021 à 11 (3 juin 2021), disponible sur https://www.hhs.gov/sites/default/files/ransomware-trends-2021.pdf.(retourner)

4 Palo Alto Networks, rapport sur les menaces de ransomware à 4 (2021) ; voir aussi Jacob Bunge, JBS Paid $11 Million to Resolve Ransomware Attack , Wall St. J. (9 juin 2021).(retourner)

Voir, par exemple , Communiqué de presse, Sénateur américain Jackie Rosen, Rosen Leads Bipartisan Group of Senators to Reintroduce Bipartisan Electric Grid Security Legislation (24 juin 2021) ; Communiqué de presse, Féd. Bureau of Investigation, Déclaration du FBI sur les récentes attaques de ransomware (4 juin 2021) ; Communiqué de presse, Dep’t of Homeland Security, DHS annonce de nouvelles exigences en matière de cybersécurité pour les propriétaires et exploitants de pipelines critiques (27 mai 2021).(retourner)

6 Magno Logan, Erika Mendoza, et al., The State of Ransomware: 2020’s Catch-22 (3 février 2021), disponible sur https://www.trendmicro.com/vinfo/us/security/news/cybercrime- and-digital-menaces/the-state-of-ransomware-2020-s-catch-22 .(retourner)

7 Mayra Fuentes, Feike Hacquebord et al., Modern Ransomware’s Double Extorsion Tactics and How to Protect Enterprises Against Them at 9 (2021), disponible sur https://documents.trendmicro.com/assets/white_papers/wp-modern-ransomwares -double-extorsion-tactiques.pdf .(retourner)

Id. Certains acteurs de ransomware incluent une troisième couche d’extorsion en ajoutant des attaques par déni de service (« DDoS ») contre les sites Web des victimes, qui peuvent submerger un réseau de trafic, provoquant une interruption supplémentaire des opérations. D’autres ont même ajouté une quatrième couche d’extorsion en contactant directement les clients d’une victime dans le but d’augmenter la pression sur la victime pour qu’elle paie. Voir Janus Agcaoili, Miguel Ang et al., Ransomware Double Extortion and Beyond : REvil, Clop et Conti (15 juin 2021), disponible sur https://www.trendmicro.com/vinfo/dk/security/news/ cybercriminalité-et-menaces-numériques/ransomware-double-extorsion-and-beyond-revil-clop-and-conti .(retourner)

Voir le rapport Palo Alto, supra note 4, p. 4.(retourner)

10 Voir Fuentes et al., supra note 7, à 6.(retourner)

11 Bob McArdle, The Life Cycle of a Compromised (Cloud) Server, Trend Micro (1er septembre 2020), disponible sur https://blog.trendmicro.com/the-lifecycle-of-a-compromised-cloud-server .(retourner)

12 Voir, par exemple , Cybersecurity Infrastructure & Sec. Agency (« CISA »), Darkside Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks (30 mai 2021), disponible sur https://us-cert.cisa.gov/ncas/alerts/aa21-131a . TOR est un logiciel gratuit qui permet des communications anonymes sur Internet.(retourner)

13 Id.(retourner)

14 Id.(retourner)

15 Jordan Robertson & William Turton, Colonial Hackers Stole Data Thursday Ahead of Shutdown , Bloomberg (8 mai 2021), disponible sur https://www.bloomberg.com/news/articles/2021-05-09/colonial-hackers- volé-données-jeudi-avant-l’arrêt-du-pipeline .(retourner)

16 Communiqué de presse, US Dep’t of Justice, Department of Justice saisit 2,3 millions de dollars en crypto-monnaie payés aux ransomwares Extortionists Darkside (7 juin 2021).(retourner)

17 Shining a Light on Darkside Ransomware Operations, Fireeye (11 mai 2021), disponible sur https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware -opérations.html .(retourner)

18 Voir Fuentes et al., supra note 7.(retourner)

19 Ry Crozier, Toll Group peut avoir perdu plus de 200 Go de données lors d’une attaque de ransomware , IT News (20 mai 2020).(retourner)

20 Phil Muncaster, REvil Ransomware Group Auctions Stolen Data , Info Security Group (3 juin 2020), disponible sur https://www.infosecurity-magazine.com/news/revil-ransomware-group-auctions .(retourner)

21 Lawrence Abrams, Healthcare Giant Grupo Fleury Hit By REvil Ransomware Attack , BleepingComputer (23 juin 2021), disponible sur https://www.bleepingcomputer.com/news/security/healthcare-giant-grupo-fleury-hit-by- attaque-revil-ransomware/ ; Communiqué de presse, Féd. Bureau of Investigation, Déclaration du FBI sur la cyberattaque JBS (2 juin 2021).(retourner)

22 Voir Bunge, supra note 4.(retourner)

23 Voir S. 645, 117e Cong. (2021), disponible sur https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/warnerrubiodraftbill.pdf(retourner)

24 Voir, par exemple , Doug Olenick, Should Paying Ransoms to Attackers Be Banned, Data Breach (24 mai 2021) ; Cynthia Brumfield, Four States Propose Laws to Ban Ransomware Payments , CSO (28 juin 2021), disponible sur https://www.csoonline.com/article/3622888/four-states-propose-laws-to-ban-ransomware- paiements.html .(retourner)

25 N.YS 6806, 2021-2022 Sess. (18 mai 2021), disponible sur https://www.nysenate.gov/legislation/bills/2021/s6806 .(retourner)

Avancés en matière de mesure des facteurs ESG


Aujourd’hui, je vous présente les conclusions d’un rapport sur les avancés en matière de mesure des facteurs ESG dans les grandes entreprises américaines.

Cet article a été publié par John Borneman, Tatyana Day et Olivia Voorhis, Semler Brossy Consulting Group*  sur le Forum de Harvard Law School in Corporate Governance.

« Je ne me souviens pas d’une époque où il était plus important pour les entreprises de répondre aux besoins de leurs parties prenantes. Nous traversons une période de terribles difficultés économiques. Nous sommes également à un carrefour historique sur la voie de la justice raciale, qui ne peut être résolue sans le leadership des entreprises. »
— Larry Fink, 2021 Lettre aux PDG

Je vous invite à lire un extrait de la version française de la publication effectuée par Google, que j’ai corrigée. Ce travail de correction est certainement encore perfectible, mais le résultat est très satisfaisant.

Bonne lecture !

2021 ESG & Incentives Report

 

Inclusion of ESG Metrics in Incentive Plans: Evolution or Revolution?

 

Au début de la nouvelle décennie, l’engagement des entreprises envers les questions environnementales, sociales et de gouvernance (« ESG ») s’accélérait déjà, faisant partie d’un changement à grande échelle de l’objectif de l’entreprise vers la responsabilité envers un large groupe de parties prenantes. L’année 2020 a eu un impact profond sur la gouvernance et la responsabilité des entreprises, la pandémie mettant en lumière la santé et la sécurité, et l’accent national mis sur la justice raciale attirant une attention particulière sur la diversité et l’inclusion dans les entreprises américaines.

En conséquence, l’ESG est devenu l’un des ensembles de questions les plus importantes discutées dans les conseils d’administration à travers le pays au cours de la dernière année. Alors que l’attention des parties prenantes et des investisseurs sur ces questions continue de croître, la direction de l’entreprise s’est efforcée de démontrer son engagement envers le progrès. L’inclusion de mesures ESG dans la rémunération incitative est souvent considérée comme un élément clé pour démontrer publiquement cet engagement. En conséquence, les mesures ESG ont proliféré dans les plans d’intéressement.

L’année dernière, Semler Brossy a commencé à publier une série de rapports annuels pour suivre l’intégration ESG dans les plans de rémunération incitative des dirigeants, en commençant par le Fortune 200. Cette année, la série de rapports couvre l’intégralité du S&P 500, un large échantillon qui comprend les plus grandes entreprises. Au total, 57 % des sociétés du S&P 500 divulguent l’utilisation d’une certaine forme d’ESG pour déterminer les résultats de la rémunération incitative. Ce premier rapport se penche sur les principales tendances de la saison des procurations 2021 et met en évidence les changements dans les mesures ESG au cours de l’année écoulée. Les rapports ultérieurs couvriront des informations sur la conception des incitations ESG et les tendances spécifiques à l’industrie.

Ensemble de données S&P 500

L’étude de cette année englobe l’intégralité du S&P 500. Ces sociétés couvrent tous les secteurs, avec une capitalisation boursière médiane de 30 milliards de dollars et une représentation importante des secteurs de la finance, de l’industrie et de la santé. L’étendue de l’ensemble de données par rapport à l’étude Fortune 200 de l’année dernière fournit une image plus complète des industries et des pratiques (y compris les moins répandues) et étend la recherche aux entreprises qui ne sont pas couvertes dans les grands titres des médias. Pour ce premier rapport, nous avons examiné les divulgations publiques déposées entre mars 2020 et mars 2021. Nous avons constaté que 57 % du S&P 500 incluent une mesure ESG dans le plan d’intéressement annuel ou à long terme.

Mesures de durabilité par rapport aux mesures opérationnelles

Diverses mesures des intérêts des parties prenantes sont souvent classées comme « ESG ». Cependant, bon nombre de ces mesures ne sont pas explicitement liées aux progrès vers les objectifs de durabilité à long terme qui sont au cœur des demandes plus récentes des actionnaires. Aux fins de cette distinction, nous avons divisé les mesures ESG en deux catégories :

Indicateurs ESG de durabilité

 

Mesures relatives à la stabilité sociale/économique générale à long terme

Mesures ESG opérationnelles

 

Autres mesures des parties prenantes plus alignées sur les résultats commerciaux quotidiens

Empreinte carbone

 

Engagement communautaire

Culture d’entreprise

Diversité et inclusion (D&I)

Émissions/ Confinement chimique

Efficacité énergétique

Approvisionnement durable

Réduction du gaspillage

Consommation d’eau

·Satisfaction du client

 

La cybersécurité

Satisfaction des employés

La qualité des produits

Sécurité

Le développement du talent

Chiffre d’affaires/rétention

La diversité et l’inclusion (D&I) sont désormais la mesure ESG la plus répandue dans les plans de rémunération des dirigeants, devant les mesures plus traditionnelles telles que la satisfaction et la sécurité des clients. D’autres paramètres de gestion du capital humain (c.-à-d. le développement et la rétention des talents) figurent également parmi les cinq premiers. Au total, les mesures d’incitation à la gestion du capital humain se trouvent dans 41 % des entreprises du S&P 500.

La sécurité des employés faisait partie des trois principaux indicateurs ESG en 2020, peut-être sans surprise, étant donné l’accent accru mis sur la santé et la sécurité des travailleurs dans le contexte de la pandémie Covid-19.

Les mesures environnementales continuent de terminer en bas de la liste, avec seulement 14% des entreprises incluant ces mesures. Les émissions/le confinement des produits chimiques et l’empreinte carbone sont les seules mesures environnementales dans le top 10. La faible prévalence des mesures environnementales est surprenante compte tenu de l’attention portée par les actionnaires au changement climatique, et nous nous attendons à ce que la prévalence de ces mesures continue d’augmenter à mesure que les investisseurs appellent de plus en plus à des cibles nettes zéro et à l’intégration de l’ESG dans la rémunération.

D’une année sur l’autre, les mesures les plus fréquemment ajoutées étaient liées à la sécurité, à la satisfaction des clients, à la diversité et à l’inclusion. Les pics de mesure de la sécurité et des clients ont probablement été provoqués par la réponse à la pandémie de Covid-19, et dans le cas de la sécurité, l’augmentation de la prévalence peut être transitoire. En ce qui concerne la mesure ESG la plus courante dans les plans d’intéressement, la D&I est au centre de deux tendances distinctes : l’attention nationale croissante accordée aux inégalités raciales, portée au premier plan en 2020, et l’attention accrue portée à la gestion du capital humain.

Diversité et inclusion

La prévalence des D&I parmi le S&P 500 a augmenté de 19 % d’une année sur l’autre pour les procurations déposées entre janvier et mars (2021 par rapport à 2020). Ces chiffres n’incluent pas les entreprises qui ont divulgué des changements de conception d’incitations pour l’exercice 2021. Bien que l’ajout d’une nouvelle mesure de performance puisse prendre un temps considérable, de nombreuses entreprises ont été incitées à ajouter D&I en réponse à l’attention accrue du problème en 2020. Des entreprises telles que Nike et Starbucks ont également fait la une des journaux cette année pour avoir intégré le D&I dans les plans d’avenir, et nous assistons déjà à une prolifération continue des mesures d’incitation D&I au cours de l’exercice 2021.

La rapidité d’adoption de mesures incitatives est essentiellement due à sa conception. Les difficultés perçues concernant la mesure, l’établissement d’objectifs et la divulgation des performances ont probablement retardé l’adoption initiale de D&I ; mais de nombreuses entreprises semblent maintenant l’ajouter en tant qu’élément plus qualitatif, que ce soit dans le cadre d’objectifs individuels ou en tant que modificateur discrétionnaire.

Nous prévoyons qu’au fil du temps, une plus grande expérience dans la méthodologie de mesure, la gestion et la divulgation des objectifs de D&I, ainsi que la faveur des investisseurs et du public, pourraient pousser les entreprises à concevoir et à divulguer des mesures plus quantitatives.

Impact de COVID-19 sur les métriques ESG

La plupart des entreprises qui ont adopté des mesures de sécurité en réponse à Covid-19 ont intégré la métrique dans le cadre de l’évaluation des performances individuelles plutôt que comme une composante continue et pondérée.

Bien que la pandémie de Covid-19 ait commencé après que de nombreuses entreprises aient déjà fixé des objectifs, dans de nombreux cas, elle a eu un impact profond sur les incitations pour l’exercice 2020. Plus particulièrement, la pandémie a accru le besoin et les initiatives pour déterminer les résultats des incitations dans de nombreuses entreprises. Compte tenu de l’extrême volatilité macroéconomique de l’année et des perturbations des plans de l’entreprise, les conseils d’administration ont été contraints de prendre en compte un large éventail de mesures et d’indicateurs de performance clés non standard pour juger les performances des dirigeants. L’incertitude plus large et le passage au travail à domicile ont également eu un impact sur l’ESG.

Les mesures de sécurité ont enregistré l’une des augmentations les plus importantes d’une année sur l’autre pour l’exercice 2020, avec 89 % de celles ajoutées explicitement liées à la réponse à Covid-19. L’augmentation significative démontre à la fois à quelle vitesse les mesures peuvent évoluer et à quel point les organisations possèdent l’autonomie pour faire avancer certaines mesures.

Presque tous les ajouts de sécurité liés à Covid ont été intégrés dans des composants individuels, ce qui implique que les conseils d’administration ont pris en compte le traitement des employés par l’entreprise pendant la pandémie (c’est-à-dire la santé et la sécurité des employés) dans une évaluation rétrospective des performances des dirigeants. Par conséquent, nous ne prévoyons pas que l’augmentation de l’utilisation des mesures de sécurité sera permanente.

Bien que la situation de Covid-19 ait mené à  l’adoption de  mesure de sécurité qui semblent transitoires, le mouvement fait également partie d’une tendance ESG plus large autour de la responsabilité envers un plus grand groupe de parties prenantes. Beaucoup plus d’entreprises ont ressenti un plus fort besoin de divulgation de leur approche du bien-être des employés, d’autant plus que les investisseurs ont appelé les entreprises à démontrer leur engagement envers toutes les parties prenantes.

Utilisation des métriques ESG par taille de chiffre d’affaires

Les plus grandes entreprises utilisent plus fréquemment des méthodes de mesures ESG : 62 % intégrant l’ESG, contre 55 % pour les plus petites entreprises. Les grandes entreprises se concentrent également davantage sur la durabilité que sur les mesures opérationnelles.

L’échantillon plus large de cette année nous permet d’examiner si les entreprises les plus importantes et les plus en vue intègrent l’ESG différemment des plus petites. 

L’une des premières différences à émerger est la prévalence globale : 62 % des 200 plus grandes entreprises intègrent l’ESG, contre 55 % pour les 300 plus petites. Cela correspond aux attentes : les entreprises de premier plan sont souvent parmi les premières à adopter de nouvelles tendances en gouvernance et elles font l’objet d’un examen plus public.

Des différences apparaissent également dans les types de métriques. Les grandes entreprises incluaient plus fréquemment des mesures liées aux talents, à la culture et à l’environnement, tandis que les plus petites se concentraient davantage sur les mesures opérationnelles traditionnelles telles que la satisfaction des clients et la qualité des produits. Les grandes entreprises peuvent également rivaliser plus férocement pour attirer les meilleurs talents, ce qui les conduit à se concentrer sur des mesures plus liées aux talents.

Au fil du temps, nous prévoyons que les mesures ESG deviendront plus courantes dans toutes les sociétés ouvertes, quelle que soit leur taille, car les pratiques des plus grandes sociétés influencent souvent le reste du marché.

Conclusions

Lorsque l’on examine les mises à jour de la saison des procurations pour l’exercice 2020, il est clair que la forme d’ESG dans les plans de rémunération est fortement influencée par les grandes tendances externes. Certains des changements sont circonstanciels et reviendront probablement aux niveaux initiaux l’année prochaine, comme en témoigne l’intégration rapide de la sécurité des employés dans une gamme d’évaluations de performances individuelles. 

D’autres font partie de tendances à plus long terme qui sont là pour rester. Les mesures de D&I ont continué de croître et devraient s’accélérer dans leur adoption à mesure que les investisseurs et le grand public accroissent les pressions pour une plus grande transparence, une plus grande attention et des progrès sur les questions fondamentales. 

Les mesures de durabilité environnementale, tout en restant rares dans les plans d’incitation, ont également présenté un certain mouvement et nous nous attendons à ce que leur inclusion augmente au fil du temps à mesure que les investisseurs se concentrent davantage sur leurs demandes.

Études de cas

Diversité et inclusion

La diversité et l’inclusion sont devenues l’une des mesures les plus discutées en 2020, les troubles sociaux accélérant une tendance déjà bien enclenchée. De nombreuses entreprises notables ont ajouté ou amélioré le D&I en 2020 et continuent de le faire, avec des entreprises telles que McDonald’s, Chipotle et Starbucks, divulguant des mesures D&I futures pour 2021. Les exemples ci-dessous mettent en évidence les conceptions quantitatives et autonomes que nous prévoyons devenir plus communs et importants pour ces mesures à l’avenir.

Alliant Energy

30 % des incitations annuelles d’Alliant est lié à l’expérience client, aux objectifs environnementaux et D&I. Les pondérations, les objectifs et les réalisations spécifiques sont divulgués pour chacun.

Prudential Financial

Prudential inclut un modificateur D&I (±10 %) sur les actions de performance. Bien qu’initialement ciblé pour améliorer la représentation au sein de la haute direction, la mesure a été élargie en 2021 pour se concentrer sur tous les niveaux organisationnels. Les objectifs de représentation et d’engagement sont quantitatifs et « aucun changement » entraîne une note négative.

_________________________

*John Borneman  est directeur général,  Tatyana Day  est consultante principale et  Olivia Voorhis est consultante chez Semler Brossy Consulting Group LLC.

Top 10 des billets publiés sur Harvard Law School Forum au 24 juin 2021


Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 24 juin 2021.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

Top ten Images, Royalty-free Stock Top ten Photos & Pictures | Depositphotos

  1. Do UK and EU Companies Lead US Companies in ESG Measurements in Incentive Compensation Plans?
  2. 2021 Say on Pay Failures Partly Due to Covid-19 Related Pay Actions
  3. Introducing the “Technergy” ESG Reporting Strategy
  4. General Solicitation and General Advertising
  5. Competition Laws, Governance, and Firm Value
  6. How to Accelerate Board Effectiveness Through Insight and Ongoing Education
  7. The Biden Administration’s Executive Order on Climate-Related Financial Risks
  8. Benchmarking of Pay Components in CEO Compensation Design
  9. Vanguard’s Insights on Shareholder Proposals Concerning Diversity, Equity, and Inclusion
  10. Speech by Commissioner Roisman on Whether the SEC Can Make Sustainable ESG Rules

Surveillance de l’actif « confiance » par le conseil d’administration


Voici un article très intéressant paru sur le Forum de Harvard Law School on Corporate Governance aujourd’hui et publié par Don Fancher, directeur de Risk & Financial Advisory, Jennifer Lee, associée directrice canadienne et Debbie McCormack, directrice générale chez Deloitte.

Les auteurs mettent l’accent sur l’importance pour les administrateurs de considérer la confiance organisationnelle comme une variable déterminante dans la gouvernance. En effet, comme tenu de la valeur de cet actif, il importe que les CA accordent une attention renouvelée à la confiance (trust).

Les responsabilités des conseils d’administration continuent d’évoluer et d’augmenter, particulièrement compte tenu des événements de la dernière année. En plus des sujets pérennes tels que la stratégie, la succession, les rapports financiers, la conformité et la culture, les conseils d’administration sont confrontés à des exigences plus larges en matière de surveillance en raison des considérations croissantes des parties prenantes et des actionnaires ; les défis persistants de la pandémie mondiale en cours et de ses conséquences ; et aborder le rôle changeant de l’entreprise dans la société en général sur des questions telles que la justice raciale et le climat. La croissance du nombre et de la complexité des responsabilités du conseil d’administration s’effectue dans un environnement de scepticisme croissant envers nos diverses institutions.

Dans ce contexte, les entreprises et leurs conseils d’administration peuvent aider à relever ces multiples défis en considérant l’un des actifs les plus critiques qui ne figurent pas dans leur bilan : la confiance.

Je vous invite à lire un extrait de la version française de la publication effectuée par Google, que j’ai corrigée. Ce travail de correction est certainement encore perfectible, mais le résultat est très satisfaisant.

Trust: A Critical Asset

 

How advisers can fight the 'crisis of trust' in financial services - MarketWatch

Qu’est-ce que la confiance ?

La confiance a été définie comme « notre volonté d’être vulnérable aux actions des autres parce que nous pensons qu’ils ont de bonnes intentions et qu’ils se comporteront bien envers nous ».  Cependant, en particulier pour une entreprise commerciale, la confiance n’est pas une qualité ou une attitude éphémère. Il s’agit plutôt d’un actif critique, même s’il ne figure pas au bilan ou autrement dans les états financiers, car il n’a aucune valeur intrinsèque.

Cependant, la confiance est bien réelle et concrète. Lorsqu’elle est prise en compte par les dirigeants dans les relations avec les parties prenantes, elle donne lieu à des activités et des réponses qui peuvent aider à construire ou reconstruire une organisation et permettre à une organisation d’atteindre son objectif. La confiance peut également être créée entre divers groupes au sein de l’organisation : entre le conseil d’administration et la direction, entre l’employeur et l’employé, parmi la main-d’œuvre, l’organisation et les parties prenantes, les fournisseurs et les clients.

À l’inverse, un abus de confiance peut entraîner une perte de valeur importante pour une entreprise. Par exemple, une analyse de Deloitte Canada a révélé que trois grandes entreprises mondiales, chacune avec une capitalisation boursière de plus de 10 milliards de dollars, ont perdu de 20 à 56 % de leur valeur, soit un total de 70 milliards de dollars, lorsqu’elles ont abusé de la confiance de leurs parties prenantes.

En d’autres termes, bien que la confiance n’apparaisse pas au bilan, il s’agit d’un actif critique qui peut avoir un impact énorme, positif ou négatif, sur la valeur marchande d’une organisation.

Bonne lecture !

Top 10 des billets publiés sur Harvard Law School Forum au 10 juin 2021


Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 10 juin 2021.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

LYRICshowcases: Our Top Ten Favourite Country Songs of 2019 | Lyric Magazine

  1. Institutional Investor Survey 2021
  2. Do Firms With Specialized M&A Staff Make Better Acquisitions?
  3. Proposed EU Directive on ESG Reporting Would Impact US Companies
  4. ESG Scrutiny From the SEC’s Division of Examinations
  5. Pandemic Risk and the Interpretation of Exceptions in MAE Clauses
  6. SEC Approves Nasdaq’s Direct Listing Rule
  7. How Informative Is the Text of Securities Complaints?
  8. Private Sector Implications of Biden’s Executive Order on Climate-Related Financial Risk
  9. Cash-for-Information Whistleblower Programs: Effects on Whistleblowing and Consequences for Whistleblowers
  10. Principles for Board Governance of Cyber Risk

La gestion des risques et le rôle du CA au Canada


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publie quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du septième article qui porte sur la gestion des risques d’entreprises (GRE) et l’importance d’identifier les risques émergents en ces temps de pandémie COVID-19. « Dans ce contexte, le conseil d’administration assume une responsabilité de supervision (oversight) de la gestion des risques organisationnels, et non pas d’exécution ».

La publication de Gilles Bernier*, professeur titulaire retraité de la faculté des sciences de l’administration de l’Université Laval, nous invite à prendre connaissance d’une récente enquête réalisée en ligne en 2018 par le Conference Board du Canada (en partenariat avec CPA Canada et l’Institut mondial de gestion des risques du secteur financier), auprès de 160 professionnels qui dirigent la gestion des risques au sein de leur organisation respective

L’auteure aborde plusieurs questions cruciales pour les administrateurs : que peuvent-ils et que doivent-ils faire afin de s’acquitter de leurs obligations fiduciaires ?

Voici un extrait de l’article.

– La GRE a beaucoup progressé au cours de la dernière décennie au Canada, sauf dans les plus petites organisations.

– Au Canada, les conseils d’administration semblent prendre de plus en plus au sérieux la gouvernance des risques d’entreprise. Ainsi, le sondage montre « que 69 % des répondants confirment que leur conseil d’administration a supervisé les politiques de gestion des risques de l’organisation ». De plus, près de 60 % des répondants qualifient la GRE de leur organisation de « centralisée », c’est-à-dire relevant de la direction générale ou de la direction financière.

– Un autre aspect que le sondage indique est le manque de soutien des équipes de direction, ce qui va souvent se refléter par un niveau de ressources — humaines, financières et technologiques — insuffisantes pour permettre à la fonction GRE d’atteindre une plus grande maturité. Une idée qui pourrait possiblement faire en sorte que les dirigeants adhèrent encore plus à la GRE serait de resserrer le lien entre celle-ci et leur rémunération.

– Il s’avère que là où la GRE est vraiment intégrée (par exemple, dans le secteur financier), elle est plus souvent considérée comme un outil stratégique clé et comme un facteur de réussite en affaires. Dès lors, la gouvernance des risques stratégiques est certes un aspect auquel les conseils d’administration canadiens devraient porter une attention encore plus marquée. En effet, il faut se rappeler qu’un plan stratégique n’est qu’un scénario qui comporte bien des incertitudes.

– Un autre constat fort intéressant réside dans le fait que le potentiel de la GRE « pour ce qui est de tirer parti du bon côté du risque et de créer de la valeur reste sous-développé » dans un grand nombre d’organisations.

– Enfin, les répondants se montrent davantage préoccupés par les priorités relatives aux risques immédiats (financiers, opérationnels, de non-conformité et d’atteinte à la réputation) et moins par les risques émergents.

Bonne lecture !


*Gilles Bernier, Ph.D., ASC, C.Dir., A.C.C., professeur retraité, FSA ULaval, et administrateur de sociétés

Les attaques de cybersécurité sont-elles une fatalité ?


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publie quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du sixième article qui porte sur les risques associés aux attaques de plus en plus fréquentes de nature informatique. Quels sont les devoirs et les responsabilités des administrateurs de sociétés eu égard à la cybersécurité ?

La publication de Lyne Bouchard*, professeure agrégée de la faculté des sciences de l’administration de l’Université Laval, nous rappelle les moyens de défense accessibles afin d’éviter les ravages causés par les attaques informatiques.

L’article présente un aperçu de l’univers des menaces en cybersécurité et montre comment plusieurs sociétés ont été victimes des cybercriminels. 

L’auteure aborde une question fondamentale pour les administrateurs : que peuvent-ils et que doivent-ils faire afin de s’acquitter de leurs obligations fiduciaires ?

Voici un extrait de l’article.

On finalise la préparation du rapport annuel de votre organisation. On vous demande de certifier, avec votre signature, que les résultats présentés dans le rapport sont fidèles à la réalité et n’ont pas été modifiés à la suite d’un événement de cybersécurité. Vous signez ?

POURQUOI EST-CE SI FACILE DE MENER DES CYBERATTAQUES ?

Ce qui est le plus désolant c’est que ce sont souvent les organisations elles-mêmes ou les utilisateurs eux-mêmes qui ont rendu possible, littéralement, les attaques :– Les vols de données chez Desjardins, Revenu Québec ou au Ministère de l’Éducation ont été rendus possibles par des gestionnaires qui ont traité à la légère les demandes d’accès à des informations de la part de leurs employés, demandes qui n’étaient pas justifiées, mais qui ont rendu possible de vol de données ;

– Chez Équifax, Capital One, Uber, et LifeLabs, c’est l’absence de mise à jour des correctifs de sécurité publiés par les fournisseurs de logiciels et matériel informatique ou le laxisme en sécurité informatique de la part des spécialistes, qui a rendu possible les vols de données ;

– Yahoo, Target, TransUnion, la Banque de Montréal et la CIBC n’avaient pas implanté des identifiants forts pour permettre à des gens de l’externe de se connecter à leurs systèmes ou des procédures sécuritaires pour modifier les mots de passe ;

– De nombreux autres exemples, tels que l’hôpital Michel Garron de Toronto, le gouvernement du Nunavuk, les villes de Woodstock et de Saskatoon, ont péché par l’absence de formation adéquate de leur personnel qui a cliqué sur un fichier attaché dans un courriel, n’a pas utilisé de bons mots de passe, s’est fié aux personnes qui les ont contactés par courriel ou par téléphone.

Heureusement, de telles situations peuvent être évitées. Les technologies sont au cœur des menaces, mais la solution se situe au niveau des individus.

Bonne lecture !

_____________________________

*Lyne Bouchard, IAS.A., professeure agrégée, FSA ULaval | Vice-rectrice aux ressources humaines de l’Université Laval | Directrice de l’Observatoire de gouvernance des technologies de l’information

L’attention portée par les investisseurs à la gouvernance d’entreprise


Voici un article intéressant publié par Peter Iliev* (Pennsylvania State University), Jonathan Kalodimos (Oregon State University) et Michelle Lowry (Drexel University) sur le site de Harvard Law School on Corporate Governance.

On note depuis plusieurs années que la qualité de la gouvernance des grandes entreprises fait de plus en plus l’objet de l’attention des investisseurs institutionnels, plus particulièrement les fonds mutuels.

Les auteurs se posent un ensemble de questions qui mettent en évidence l’attention que les investisseurs accordent à l’examen de la gouvernance des entreprises de leurs portefeuilles.

L’article met l’accent sur trois questions spécifiques :

  1. Les investisseurs font-ils des recherches sur les structures de gouvernance des entreprises de leurs portefeuilles ?
  2. Comment la recherche des investisseurs affecte-t-elle leur comportement de surveillance, par exemple, via le vote des actionnaires ou les désinvestissements ? 
  3. L’attention que portent les investisseurs à la gouvernance des entreprises de leur portefeuille a-t-elle une influence significative sur la conduite des entreprises ?

Les auteurs concluent que les résultats de la recherche sur la gouvernance ont un effet causal à la fois sur le comportement de surveillance des investisseurs et sur les opérations des entreprises. 

Je vous invite à prendre connaissance de ce compte rendu de recherche. Vos commentaires sont les bienvenus.

Bonne lecture !

Investors will have strong incentives to pay attention to the corporate governance structures of their portfolio companies if this attention contributes to better portfolio performance. However, because monitoring firms’ governance is costly, it is possible that investors will find it optimal to limit or even fully delegate such oversight to others. Broadly, the objective of this paper is to examine the extent to which mutual fund investors pay attention to the governance structures of companies in their portfolios, and the ways in which this oversight (or lack thereof) affects the underlying companies.

Investors’ Attention to Corporate Governance, HBLS

Investors’ Attention to Corporate Governance

Corporate Governance Is Essential Before Going Public | Ethical Boardroom

___________________________________

*Peter Iliev est professeur agrégé de finance au Smeal College of Business de l’Université d’État de Pennsylvanie; Jonathan Kalodimos est professeur adjoint de finance à l’Oregon State University College of Business; et Michelle Lowry est professeure dotée de la Banque TD au Collège de commerce LeBow de l’Université Drexel. Cet article est basé sur leur article récent , à paraître dans la Review of Financial Studies . La recherche connexe du programme sur la gouvernance d’entreprise comprend What Matters in Corporate Governance? par Lucian Bebchuk, Alma Cohen et Allen Ferrell.

Les CA doivent s’engager à offrir un salaire décent


Voici un article publié par Michael W. Peregrine, associé chez McDermott Will & Emery LLP, qui met l’accent sur le devoir des conseils d’administration de se préoccuper du salaire « vital » des employés.

L’article montre que nous sommes à l’heure des grands débats entourant les responsabilités sociales et environnementales (ESG-RSE) et, dans cette perspective, les conseils d’administration doivent devenir plus perméables à l’approche du « vivre ensemble ».

Les auteurs expliquent les changements réglementaires concernant la RSE, susceptibles de se produire avec l’arrivée des nominations de Biden à la SEC.

Je vous invite à lire la version française de la publication effectuée par Google, que j’ai corrigée. Ce travail de correction est certainement encore perfectible, mais le résultat est très satisfaisant.

Bonne lecture !

A Living Wage: The Latest ESG Challenge For Corporate Governance

The global Living Wage - Unilever's masterclass for ESG professionals

Les propositions et les pressions associées au paiement d’un « salaire vital » aux employés peuvent être à l’ordre du jour du conseil beaucoup plus tôt que ne le prévoient les dirigeants d’entreprise.

Longtemps considérés comme controversés du point de vue économique et actionnarial, les concepts de salaire vital reçoivent plus d’attention dans le contexte de la politique économique, de la responsabilité sociale et de l’investissement ESG. Alors que les perspectives progressistes concernant l’égalité des revenus et la rémunération des dirigeants et des employés sont de plus en plus courantes, les dirigeants d’entreprise devraient se préparer à un plus grand engagement dans cette importante conversation.

Le concept d’un salaire décent n’est pas un concept nouveau ; ce n’est pas quelque chose qui vient de surgir du cycle électoral de 2020. Il existe depuis un certain temps, remontant à certains égards à la Grande Dépression et, à d’autres égards, aux problèmes sociaux et du travail nés de l’époque de la révolution industrielle.

Il n’y a pas de définition spécifique et « universelle » du salaire vital. Il se réfère le plus souvent au niveau de revenu suffisant pour qu’un travailleur puisse subvenir aux besoins essentiels de la vie, tels que la nourriture, le logement, l’habillement et le transport — avec une petite marge pour faire face aux événements imprévus. On s’attend à ce qu’un salaire décent soit une base de référence pour un niveau de revenu qui permet à un travailleur d’atteindre un niveau de vie acceptable grâce à l’emploi, sans dépendre des programmes d’aide gouvernementaux. La formule de détermination d’un salaire vital évolue constamment en fonction de multiples facteurs, notamment la taille de la famille, la résidence et l’âge.

Dans leurs discussions, il est important que les chefs d’entreprise distinguent « un salaire décent » de concepts similaires tels que « salaire de subsistance » (par exemple, ce qui est nécessaire pour maintenir les fonctions biologiques) ; « salaire minimum » (par exemple, un niveau de salaire fixé par mandat du gouvernement) ; et « salaire justifié » (par exemple, un niveau de revenu qui reflète la dynamique du marché comme l’expérience de travail, l’éducation, les compétences et l’état de l’économie). Le potentiel de confusion n’est pas insignifiant.

La pertinence actuelle d’un salaire décent peut être attribuée à l’importance croissante accordée aux concepts de responsabilité sociale et à l’investissement axé sur l’ESG. En particulier, tant la Business roundtable que les positions publiques d’éminents gestionnaires d’actifs tels que BlackRock favorisent l’exercice des objectifs de l’entreprise en faveur d’un plus large éventail de mandants, y compris la main-d’œuvre organisée. En effet, BlackRock a spécifiquement appelé les entreprises à assumer une plus grande responsabilité pour aider les travailleurs à gérer leur retraite, la qualifiant de « pacte social ». Des thèmes similaires de l’égalité des revenus des employés sont promus par le Conseil pour le capitalisme inclusif avec le Vatican.

La Securities and Exchange Commission (SEC) a reconnu l’importance des thèmes de responsabilité sociale (par exemple, le capital humain, les droits de l’homme, le changement climatique) comme fondamentaux pour les marchés américains, au cœur des intérêts des investisseurs et méritant une plus grande divulgation. À cette fin, la SEC développe un cadre de divulgation pour les questions de changement climatique et envisage également de rendre compte ESG normalisé plus large au-delà de ceux relatifs aux risques climatiques.

Peut-être plus immédiat est l’accent mis par l’administration Biden sur l’égalité des revenus et les efforts pour résoudre le problème dans le contexte de son prochain plan économique. À ce stade, l’édition du 20 mars de l’article DealBook du New York Times a été consacrée à une discussion approfondie du débat sur la politique du salaire vital. Il convient également de noter que de nombreuses entreprises américaines de premier plan ont pris la décision positive d’augmenter leur salaire minimum à 15 dollars ou plus, sans doute certaines en réaction à la proposition d’augmentation du salaire minimum fédéral de l’administration Biden.

Tout cela rappelle aux dirigeants d’entreprise la distinction qui diminue rapidement entre ce qui est « bon » et ce qui est « rentable » et la nécessité qui en résulte d’embrasser la responsabilité sociale comme valeur d’entreprise. En effet, de nombreuses entreprises appliquent déjà un large éventail de politiques socialement bénéfiques, telles que celles relatives au bien-être des employés ; formation numérique ; maintien de l’emploi après la mise en œuvre de l’IA ; augmentation de la diversité des effectifs et de la direction ; et l’amélioration de la sécurité de la main-d’œuvre. Les initiatives d’égalité des revenus — que ce soit par le biais d’un salaire décent ou d’une proposition connexe — seraient une approche tout à fait cohérente.

Ce changement d’orientation réglementaire et politique sur la responsabilité sociale pourrait se produire plus rapidement que certains conseils ne l’avaient prévu. Le lien souvent articulé entre le profit et le but reste difficile à accepter pour de nombreux administrateurs. Et le concept d’un salaire décent peut être incompatible avec les objectifs financiers des entreprises, en particulier du point de vue de certains investisseurs.

Mais, il incombe au conseil de faire face à cet environnement social en évolution et à son impact sur la main-d’œuvre de l’entreprise. Et, il existe plusieurs façons simples d’accomplir cela ; par exemple, suivre le débat politique ; suivre l’évolution des propositions législatives ; suivre les efforts d’autres entreprises pour aborder l’égalité des revenus et la planification de la retraite ; engager des conversations directes avec les dirigeants du capital humain de l’entreprise ; élaborer un menu d’options de revenus/avantages possibles pour la main-d’œuvre.

Les communistes ne prennent pas d’assaut le rempart. Ce sont plutôt des questions de politique et d’objectif légitimes qui méritent l’attention du conseil. Ce ne sont pas que des questions opérationnelles à déléguer à la direction.

Les CA doivent s’engager en faveur des principes qui guident la RES.

Le développement durable au CA


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publiera quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du cinquième article qui porte essentiellement sur le développement durable ; comment le conseil d’administration doit intégrer ces valeurs dans son fonctionnement.

La publication de Olivier Boiral, Ph.D., professeur titulaire du département de management de la FSA de l’Université Laval nous rappelle les raisons de se préoccuper du développement durable pour une gouvernance exemplaire des conseils d’administration.

Voici un extrait de l’article.

Les enjeux de DD et la façon d’y répondre peuvent être très différents selon les organisations en raison notamment de la spécificité de leurs activités. Cependant, les études empiriques sur le sujet et les recherches menées depuis une quinzaine d’années dans le cadre de la Chaire de recherche du Canada sur l’internalisation du développement durable et la responsabilisation des organisations[1] permettent d’énoncer une douzaine de facteurs clés de succès qui sont trop rarement pris en compte par les conseils d’administration (CA). Ces facteurs clés de succès gravitent autour des quatre principaux rôles du CA (créer de la valeur et réduire les risques; supporter la stratégie et les bonnes pratiques; adopter des mécanismes de gouvernance efficaces; surveiller les résultats et leur divulgation).

Je vous invite à lire cet article sur le site du CAS.

Bonne lecture !

Le développement durable au CA? Quelques clés pour administrateurs et administratrices avisé(e)s

Collège des administrateurs de sociétés

L’audit interne en période de pandémie


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publiera quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du quatrième article qui porte sur la place de l’audit interne dans le contexte de la pandémie, et son rôle dans la gouvernance des sociétés.

Dans son article, Mélanie Roussy* aborde trois paramètres-clés afin de cerner la marge de manœuvre d’un comité d’audit en période de grands bouleversements. L’auteure propose les activités suivantes : (1) envisager le ralentissement ou l’arrêt des activités et revoir la planification des travaux de l’audit interne (2) mettre les connaissances et les compétences de l’équipe d’audit interne au service des besoins essentiels, et (3) veiller au retour à la normale, après la période de mouvance.

« Un contexte turbulent comme celui de la pandémie offre au comité d’audit l’occasion de consolider la qualité des travaux futurs de l’audit interne et son utilité comme mécanisme de gouvernance. Pour ce faire, le comité doit s’assurer que les interventions de l’audit interne demeurent pertinentes en période de turbulence ».

Je vous invite à lire l’article de Mélanie.

Bonne lecture !

Audit interne et gouvernance

 

 

L’audit interne est considéré comme un mécanisme de gouvernance au service du comité d’audit et de la haute direction. Ses travaux apportent notamment du confort aux administrateurs quant à l’efficacité de la gestion des risques (financiers ou non) et du contrôle, contribuent à l’amélioration de la reddition de comptes, tout en stimulant l’apprentissage organisationnel. Toutefois, pour que l’audit interne génère les bénéfices escomptés, encore faut-il que ses interventions soient arrimées aux principales préoccupations du comité d’audit et de la haute direction. De plus, il est impératif que l’audit interne soit perçu comme un aidant au sein de l’organisation, sans quoi son efficacité se trouvera limitée.

La crise sanitaire de 2020 provoquée par la pandémie de la COVID-19 a fortement ébranlé la société canadienne, comme plusieurs autres à l’échelle mondiale. Cela a poussé les organisations, tous secteurs confondus, dans une période d’intenses turbulences. Or, en période de turbulences, les préoccupations des administrateurs et de la direction changent face à l’urgence de la situation. Ainsi, peu importe ce qui a causé lesdites turbulences, qu’elles n’affectent qu’une seule organisation, un secteur d’affaires en particulier ou l’économie en général, il est de la responsabilité du comité d’audit de s’assurer que les interventions de l’audit interne demeurent pertinentes dans ces circonstances exceptionnelles. Ces questions se posent alors : (1) que fait-on avec l’audit interne en période de turbulences ? Et (2) quelle est la marge de manœuvre dont dispose le comité d’audit pour ajuster les responsabilités de l’audit interne sans contrevenir au Cadre de référence internationale des pratiques professionnelles de l’audit interne (ci-après : Cadre de référence) de l’Institut des auditeurs internes (The IIA, IPPF 2017) ? La suite de ce texte aborde trois paramètres à considérer en réponse à ces deux questions.

ENVISAGER LE RALENTISSEMENT OU L’ARRÊT DES ACTIVITÉS ET REVOIR LA PLANIFICATION DES TRAVAUX DE L’AUDIT INTERNE

 

La réalisation des travaux de l’audit interne nécessite obligatoirement la collaboration des gestionnaires responsables du processus audité et de leurs équipes. En période de turbulences, ces derniers sont occupés à gérer les services essentiels et à pallier diverses urgences qui surviennent, souvent en cascade. Ainsi, à moins que le comité d’audit estime qu’un mandat en cours est absolument essentiel, et ce malgré la situation qui prévaut, les travaux en cours de l’audit interne devraient être considérablement ralentis ou carrément mis sur la glace le temps que la situation se résorbe et que le cours « normal » des activités de l’organisation ait repris. Cela évitera de surcharger encore davantage les gestionnaires et leurs équipes tout en limitant les irritants.

Une fois les turbulences passées, il serait d’ailleurs approprié de revoir l’ensemble de la planification des travaux de l’audit interne. En effet, il se peut que les priorités de l’organisation et les risques auxquels elle est exposée aient évolué ; rendant ainsi plus ou moins pertinente la planification datant d’avant les évènements.

METTRE LES CONNAISSANCES ET LES COMPÉTENCES DE L’ÉQUIPE D’AUDIT INTERNE AU SERVICE DES BESOINS ESSENTIELS

 

Durant le ralentissement ou l’arrêt des travaux initialement prévus, le comité d’audit peut autoriser le redéploiement des effectifs de l’audit interne à d’autres fins sans contrevenir au Cadre de référence (The IIA, IPPF 2017), et ce, même si cela peut sembler compromettre l’indépendance de la fonction d’audit interne et l’objectivité des auditeurs internes. En effet, le Cadre de référence (The IIA, IPPF 2017, par. 1112) permet au comité d’audit d’autoriser le responsable de l’audit interne, et donc les membres de son équipe, à assumer des responsabilités en dehors du spectre habituel de l’audit interne. Le comité est alors responsable d’autoriser ces interventions particulières et de superviser leur réalisation. Le comité devra également établir les mesures de sauvegarde de l’indépendance de la fonction et de l’objectivité des auditeurs internes. Il est donc possible de mettre l’audit interne au service des besoins essentiels en temps de crise et de redéployer les effectifs en conséquence, à la condition que le comité d’audit l’autorise et en balise les conditions. Par exemple, on peut notamment envisager de miser sur ces forces de l’équipe d’audit interne :

Connaissance fine de l’organisation

Au cours de la planification et de la réalisation des travaux (ex. audit de performance, audit de conformité, services-conseils en tout genre, participation à des comités de travail, etc.), les auditeurs internes développent une connaissance fine de l’organisation. Le président du comité d’audit ne devrait pas hésiter à se servir de ce vecteur de connaissances qu’est l’audit interne pour obtenir rapidement des réponses aux questions qui préoccupent le comité en période de turbulences. Cette connaissance fine peut être également mise à profit par l’équipe de direction en intégrant par exemple le responsable de l’audit interne à la cellule de crise de la haute direction. Cela permet de supporter l’équipe de direction tout en facilitant la circulation rapide de l’information jusqu’au comité d’audit.

Versatilité et agilité des auditeurs internes

De plus, les auditeurs internes sont habitués à passer d’un mandat à l’autre, d’une division à l’autre pour réaliser leurs travaux. Cela fait d’eux des professionnels versatiles et agiles qui peuvent être déployés rapidement comme personnes-ressources dans plusieurs secteurs névralgiques de l’organisation. Il ne s’agit pas de prétendre qu’ils peuvent tout faire, mais simplement de garder en tête qu’ils sont en mesure d’appuyer les gestionnaires là où les besoins se feront le plus sentir ; de prêter main-forte à leurs collègues.

Savoir-faire associé à la pratique de l’audit

Les auditeurs internes développent un savoir-faire particulier associé à la pratique de l’audit ; savoir-faire qui peut s’avérer utile en période de turbulences. Notamment, les auditeurs internes réalisent fréquemment des analyses comparatives sectorielles afin d’identifier les meilleures pratiques associées à la maîtrise d’un risque en particulier. Par exemple, dans le contexte des turbulences induites par la pandémie de la COVID-19, ce savoir-faire aurait pu contribuer à alimenter le comité de travail chargé de concevoir de nouveaux protocoles de santé et sécurité au travail plutôt que d’attendre après-coup pour envoyer les auditeurs internes auditer ce nouveau protocole.

VEILLER AU « RETOUR À LA NORMALE » APRÈS LA PÉRIODE DE TURBULENCES

 

En pleines turbulences, la pertinence des interventions et la solidarité avec l’ensemble de l’organisation prennent le pas sur l’application pure et dure des principes d’indépendance de la fonction d’audit interne et d’objectivité des auditeurs internes. Il est donc important, dans le respect du Cadre de référence (The IIA, 2017), que le comité d’audit prévoie des lignes directrices visant à circonscrire les conditions de retour la normale des travaux de l’audit interne. Ces lignes directrices devraient d’ailleurs être déterminées en collaboration avec la haute direction et le responsable de l’audit interne, afin de s’assurer que les principaux intéressés soient sur la même longueur d’onde.

En conclusion, l’audit interne devrait faire partie de la solution au côté de la direction et des gens de l’organisation lorsque survient une période de turbulences. Ainsi, même si nous souhaiterions l’éviter, un contexte turbulent peut représenter une opportunité de consolider la perception (voire de la transformer si nécessaire) de l’audit interne comme un joueur à part entière de l’équipe, solidaire dans l’adversité. Non seulement les activités de l’audit interne seront contributoires durant la période de turbulences, mais cela pourrait aussi faciliter ses interventions futures en le positionnant comme un aidant des gestionnaires, sans pour autant compromettre son indépendance et sa pertinence pour le comité d’audit. La qualité globale des travaux futurs de l’audit interne et, conséquemment, son utilité comme mécanisme de gouvernance s’en trouveront ainsi renforcées.

_________________________________________

*Mélanie Roussy, PhD, CPA, CA, ASC, professeure titulaire, École de comptabilité, FSA ULaval

 

Top 10 des billets publiés sur Harvard Law School Forum au 4 mars 2021


Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 4 mars 2021.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

 

Top 10 Global Consumer Trends 2020 | Research World

 

  1. The Capital Markets Tug-of-War Between US and China
  2. How Boards Can Prepare for Activism’s Next Wave
  3. An Introduction to Activist Stewardship
  4. Biden’s “Money Cop” to Shine a Light on ESG Disclosure
  5. Climate Risk and the Transition to a Low-Carbon Economy
  6. Gender Quotas and Support for Women in Board Elections
  7. 2021 Global and Regional Trends in Corporate Governance
  8. 2021 Compensation Committee
  9. Proxy Advisory Firms Release First Reports on Latest Best Practices
  10. Duty and Diversity

La gouvernance des entreprises progressistes


Aujourd’hui, je vous présente la gouvernance des entreprises vue sous l’angle de la prééminence de la raison d’être économique ET sociale.

André Coupet et Philippe Carpentier ont accepté d’agir à titre d’auteurs invités sur mon blogue en gouvernance, et je les remercie énormément.  La perspective exprimée dans leur modèle innovant est très inspirante pour les gestionnaires prêts à envisager une nouvelle façon de concevoir la gouvernance et le management des entreprises, en tenant compte des parties prenantes.

Leur article fait partie intégrante de l’ouvrage publié récemment par André Coupet « Vers Une Entreprise Progressiste, le modèle pour basculer dans un capitalisme humaniste au service des parties prenantes » (1).

Après avoir exercé le métier de conseil en stratégie à Montréal et à Paris, au sein du Groupe SECOR, André Coupet* se concentre sur le modèle de l’entreprise progressiste. Élaboré en collaboration avec le Groupement des chefs d’entreprise du Québec et des think tanks français, ce modèle s’inscrit dans la raison d’être de l’auteur : « Inciter les chefs d’entreprise à mettre leur organisation au service d’un monde meilleur ».

Philippe Carpentier** est associé et conseiller stratégique de la firme Brio Conseils pour laquelle il réalise, depuis plusieurs années, des transformations d’entreprises complexes, en collaboration étroite de hauts dirigeants. Ses interventions touchent notamment des restructurations, des expansions géographiques, des fusions et des acquisitions, de nouveaux positionnements, la création ou le repositionnement d’unités d’affaires, le changement de leadership, la nouvelle gouvernance, etc.

Bonne lecture. Vos commentaires sont les bienvenus !

GOUVERNANCE DE L’ENTREPRISE PROGRESSISTE

par
 André COUPET* et Philippe CARPENTIER**

 

Entreprise Progressiste | Un modèle capitaliste et humaniste

 

De plus en plus de dirigeants sont aujourd’hui convaincus que la maximisation de la valeur au seul bénéfice des actionnaires a créé d’immenses déséquilibres économiques et sociaux dans nos sociétés tout en ne garantissant pas l’utilisation optimale des ressources disponibles sur la planète.

Désormais, beaucoup d’entre eux s’intéressent à la RSE ou aux nouveaux modèles d’entreprise relevant de la « Purpose Economy » (2) aux États-Unis, ou du phénomène B-CORP présent non seulement aux États-Unis, mais aussi au Canada et en Europe, ou encore du récent mouvement des « Entreprises à Mission » en France.

Stimulants, ces modèles sont toutefois peu diserts sur le thème de la stratégie et surtout celui de la Gouvernance, sujet délicat puisqu’il s’agit de définir qui détient le pouvoir et comment celui-ci s’exercera. Nous proposons ci-après une nouvelle façon de concevoir la gouvernance, cette proposition ne pouvant se comprendre qu’en revisitant le modèle de l’Entreprise Progressiste, présenté initialement dans la Revue Gestion (3) à l’automne 2016. S’appuyant sur le vécu de femmes et d’hommes d’affaires sollicités par André COUPET au sein de divers think tanks, Terra Nova et Entreprise et Progrès en France, et le Groupement des Chefs d’Entreprise du Québec, ce modèle innovant est ancré dans une réalité vécue par des entreprises voulant faire autrement tout en étant parfaitement rentables (4).

L’entreprise progressiste : Cinq Composantes interreliées

 

L’entreprise progressiste allie l’économie et l’humanisme dans sa raison d’être, dans son éthique, dans sa stratégie et dans sa gouvernance. Bien commun, l’entreprise progressiste se veut profitable : le profit permet de créer de la valeur pour l’ensemble de ses parties prenantes ; il est un moyen au service d’une fin (« Purpose before profit »). Volontaire, l’entreprise progressiste se différencie de ses concurrentes par sa contribution à la Société, contribution positive apportant du sens aux clients de l’entreprise et à tous les acteurs et partenaires qui participent à la création de valeur.

Concrètement, le modèle de l’entreprise progressiste se structure autour de 5 composantes :

1— Une Raison d’être économique ET sociétale

 

La raison d’être d’une entreprise définit ce pourquoi celle-ci existe, ce qu’elle apporte de fondamentalement utile à ses clients Et à la société, et ce, si possible, de façon distinctive. Au-delà des offres, de la technologie et même du domaine d’intervention, la raison d’être cible une préoccupation reliée à la Société. Au domaine choisi s’ajoute une contribution à la construction d’un monde meilleur.

Danone résume ainsi sa raison d’être en une phrase : « apporter la santé par l’alimentation au plus grand nombre » ; la formule « Du bonheur à l’intérieur et à l’extérieur » que véhicule PRANA, un distributeur canadien d’aliments biologiques et certifiés sans OGM, illustre bien cette vision qui va bien au-delà du produit.

2— Des valeurs humanistes

 

L’éthique d’une entreprise au service du bien commun peut se définir autour des 4 valeurs clés de l’humanisme : le respect, l’équité, l’honnêteté et l’ouverture à l’autre (bienveillance, diversité, altruisme…). Inscrites dans le processus décisionnel, ces valeurs débouchent sur un management participatif, libéré, et sur des modes d’organisation plus horizontaux, plus propices à la mobilisation de tous les acteurs.

3— Une Stratégie intégrée

 

Il n’y a pas un Plan d’affaires d’un côté avec ses objectifs économiques (Chiffre d’affaires, marge, part de marché…) et une démarche environnementale et sociétale de type RSE de l’autre comme si celle-ci venait corriger, adoucir la stratégie. L’aspect sociétal de la raison d’être est intégré dans le modèle d’affaires en s’inspirant de concepts issus de l’économie circulaire, du commerce équitable ou plus efficacement encore de l’économie de la fonctionnalité qui est centrée sur l’utilité et l’usage du produit plutôt que sur la propriété et l’achat : le manufacturier de voitures se lancera dans la location de voitures ou même l’autopartage.

Une stratégie intégrée débouche naturellement sur une performance globale où le profit et les indicateurs économiques font cause commune avec les indicateurs « sociétaux », du niveau d’engagement des employés à la proportion d’énergie renouvelable utilisée tout au long de la chaîne de valeur en passant par le taux de satisfaction des fournisseurs ou la création d’emplois dans la communauté…

4— Une création de valeur partagée

 

Traditionnellement, les exercices de définition de la stratégie, qui visent à maximiser le retour aux actionnaires, passent par une « proposition de valeur » attractive, unique si possible, en faveur des clients : Amazon ou Ryan Air font cela très bien sans être des entreprises progressistes puisque les autres parties prenantes, employés, fournisseurs, territoire…, font plutôt l’objet d’une extraction de valeur sans contrepartie.

La stratégie de l’entreprise progressiste définit, non pas une, mais 5 propositions de valeur, une par grande partie prenante : outre les clients, il faut une proposition de valeur pour les employés : promettre — on fait ici référence à la marque employeur — et délivrer un développement des compétences, des évolutions de carrière, des parcours à l’international, des possibilités de prendre des congés sabbatiques ou autres, etc. Pour les fournisseurs, il s’agira de les impliquer dans les processus de définition de la stratégie, d’amélioration de la qualité, d’innovation, dans un partenariat à long terme. Pour le territoire, il s’agira de s’engager sur la création d’emplois, de collaborer avec les universités ou collèges pour ajuster les programmes de formation aux réalités nouvelles, etc. Autant de propositions de valeur attractives qui font que les clients, les étudiants ou les chercheurs d’emplois, les fournisseurs, les territoires… voudront travailler avec cette entreprise qui crée de « la valeur partagée ».

5— Une Gouvernance en cohérence avec l’approche par les parties prenantes

 

À partir du moment où l’on comprend que l’intérêt à long terme de l’entreprise est de travailler en intelligence et de créer de la valeur avec et pour l’ensemble des parties prenantes, et à partir du moment où l’on reconnaît que les résultats aujourd’hui sont désormais une fonction de 4 facteurs : le talent, le capital, le temps et l’alignement des intérêts de l’écosystème, il devient logique, impératif d’intégrer le talent et les principales parties prenantes dans les instances de gouvernance de l’entreprise. Le système anglo-saxon est peu ouvert à cette idée. En Europe, 13 pays ont déjà adopté des législations qui font entrer les salariés dans les conseils d’administration ; depuis près de 50 ans, l’Allemagne fonctionne plutôt bien, n’est-ce pas ? avec le principe de la codétermination ; les administrateurs salariés étant obligatoirement à égalité avec les administrateurs actionnaires dans les conseils des entreprises de plus de 2000 employés.

À la codétermination nous préférons la TRIDÉTERMINATION, une gouvernance et donc une organisation du CA fondées sur 3 piliers plutôt que deux. Nous préconisons une approche plus ouverte, qui ne se referme pas sur la dialectique capital-travail, plutôt passéiste, peu en phase avec la nécessaire prise en considération du principal facteur de succès qu’est le talent. Or celui-ci ne se loge pas que chez les employés, mais également chez les clients et chez les fournisseurs, lesquels font aujourd’hui de la co-construction de produits ou services avec l’entreprise. Cette opposition capital-travail serait d’ailleurs plus délicate autour de la table du conseil d’administration des entreprises ayant un historique chargé en matière de relations de travail.

Les administrateurs indépendants peuvent constituer la troisième force des conseils et éviter l’éventuelle confrontation évoquée précédemment. Toutefois, aujourd’hui, les administrateurs indépendants, qui sont choisis pour leur compétence, leur parcours, leur sagesse…, n’ont pas de mandat particulier autre que celui de veiller à la conformité des instances et à la pérennité des entreprises, ce qui convient évidemment bien aux actionnaires.

Tout en conservant ces deux responsabilités, on peut demander explicitement aux administrateurs indépendants d’être particulièrement vigilants quant aux intérêts à court et à long terme de toutes les parties prenantes ; ils veilleront notamment à ce que les réalités, les difficultés et les attentes des clients, des fournisseurs, de la Société civile ou du territoire… soient prises en compte. Les administrateurs indépendants existent déjà dans nombre d’entreprises ; hormis le choix des candidats qui sera un peu plus complexe, cette solution est plus simple et surtout dépourvue de tout conflit d’intérêts potentiel contrairement à la proposition parfois suggérée de nommer des administrateurs représentant les clients ou les fournisseurs. Il importe d’ailleurs ici de rappeler que les administrateurs sont tenus de défendre les intérêts de toute l’entreprise, de faire corps avec les décisions du Conseil d’administration, cette instance devant réfléchir et décider dans la sérénité, la discrétion et la solidarité.

Cette remarque s’impose pour éviter toute ambiguïté en ce qui a trait aux administrateurs salariés. Élus par l’ensemble des employés de l’entreprise, le rôle des administrateurs salariés ne doit pas être confondu avec celui d’autres acteurs, syndiqué ou non, membre des instances représentatives du personnel. Le thème des relations de travail, avec tous ses sujets extrêmement concrets concernant la vie de celles et de ceux qui travaillent dans l’entreprise, n’a pas à envahir l’ordre du jour du CA, instance fondamentale pour la pérennité de l’entreprise et centrée en conséquence sur la stratégie. Le dialogue social s’inscrit dans l’opérationnel ; il relève de la direction générale ou de la direction des ressources humaines.

Le CA, acteur clé de la réflexion stratégique

 

Trop souvent, le CA ne fait qu’approuver et contrôler. Dans l’entreprise progressiste, le CA se réapproprie le temps long et aligne l’entreprise sur sa raison d’être, il s’implique donc avant, pendant et après le choix de la stratégie. Le CA  est au cœur du processus de réflexion stratégique, dans sa formulation, dans les décisions auxquelles il aboutira, dans le contrôle de sa mise en œuvre et dans l’examen des résultats.

Dans l’entreprise progressiste, le CA et l’équipe de direction ne sont pas isolés l’un de l’autre, voire en opposition dans des calculs pour savoir qui a le plus d’ascendant sur l’autre… C’est pourquoi, par exemple, pour préparer la stratégie, les membres du CA et de l’équipe de direction se retrouvent conjointement lors de 1 ou 2 journées de réflexion et de partage où les statuts de mandants et de mandataires sont mis de côté pour faciliter les échanges.

En étant composé de représentants des parties prenantes et en se concentrant sur la stratégie, le CA trouve toute sa place : il est le décideur ultime, pleinement responsable. Et il devient inutile de mettre en place, à côté du CA, comme certains le proposent, un comité des parties prenantes, qui ne peut être qu’un assemblage hétéroclite, sans pouvoir, consultatif, permettant au CA traditionnel de se défausser, d’esquiver ses responsabilités à l’égard des parties prenantes autres que les actionnaires.

LA GOUVERNANCE, la clé du changement de paradigme

 

On reproche souvent aux entreprises de ne faire que du verdissement d’image quand celles-ci se contentent de capitaliser sur l’angoisse écologique des consommateurs en mettant en avant quelques belles initiatives en faveur de l’environnement.

La distinction entre ces entreprises opportunistes et celles qui souhaitent s’inscrire comme des organisations citoyennes, pleinement responsables et soucieuses de la prospérité de toutes les personnes qui, à des degrés divers, dépendent d’elles, se fera au regard de leur stratégie et, ultimement, de leur gouvernance : La Stratégie est-elle intégrée, au service d’une raison d’être porteuse de sens pour la Société, empreinte d’altruisme en lieu et place de la cupidité ? La gouvernance est-elle en phase avec cette ouverture vers tous les acteurs, en harmonie avec son environnement ?

La gouvernance, telle que définie ici, fait que le modèle de l’entreprise progressiste va bien au-delà de la RSE traditionnelle ; elle constitue la clé de voûte d’un capitalisme nouveau, le capitalisme des parties prenantes (5).


Notes et références

1 COUPET A. « Vers une entreprise progressiste, le modèle pour basculer dans un capitalisme humaniste au service des parties prenantes », Éditions Paris Québec Inc., décembre 2020 ; disponible sur http://www.entrepriseprogressiste.com.

2— HURST A. « The Purpose Economy », Elevate, 2014.

3— COUPET A. et DORMAGEN E. « Au-delà de la RSE — l’entreprise progressiste », Gestion, vol.41, n° 3, automne 2016, p.25-29.

4— COUPET A. et JEZEQUIEL M. « L’Éthique créatrice de valeur partagée », Gestion, vol.43, n° 4, hiver 2018, p.81-83.

5— COUPET A. et LEMARCHAND A. « Vers un capitalisme des parties prenantes », La Croix, 14 janvier 2019.


Les auteurs :

*  André Coupet est licencié en Sciences économiques de l’Université de Paris et diplômé MBA de l’Université de Sherbrooke, André Coupet a exercé pendant plus de 30 ans le métier de conseil en stratégie, notamment les stratégies « client », à Montréal et à Paris.  Il se concentre aujourd’hui sur l’émergence d’un nouveau modèle économique pour les entreprises. Il a ouvert et dirigé la filiale parisienne du Groupe canadien SECOR. Homme de conviction, il écrit régulièrement dans des journaux économiques ou des revues universitaires, notamment la Revue Gestion HEC Montréal, et s’implique dans des forums de réflexion progressiste conformément aux valeurs qu’il défend.

** Philippe Carpentier est associé et conseiller stratégique de la firme Brio Conseils pour laquelle il réalise, depuis plus de 20 ans, des transformations d’entreprises complexes, en collaboration étroite de hauts dirigeants. Ses interventions touchent notamment des restructurations, des expansions géographiques, des fusions et des acquisitions, de nouveaux positionnements, la création ou le repositionnement d’unités d’affaires, le changement de leadership, la nouvelle gouvernance, etc.

La diversité au sein des conseils d’administration


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publiera quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du troisième article qui porte essentiellement sur la diversité au sein des conseils d’administration

La publication de Hélène Lee-Gosselin, professeure associée de management de l’Université Laval, nous rappelle les raisons de se préoccuper de la diversité pour une gouvernance exemplaire des conseils d’administration.

« Depuis quelques décennies, le thème de la diversité gagne en popularité et les organisations qui ne s’en préoccupent pas encourent désormais des risques croissants d’image, de réputation et d’affaires. Un grand nombre d’agents et d’organisations en font la promotion au sein des conseils d’administration (CA), mais aussi à tous les niveaux et dans tous les secteurs de l’organisation ».

Voici un extrait de l’article.

Quelques constats et pistes de réflexion

Il est indéniable que la fixation d’une obligation, d’une cible et d’une échéance a pour effet d’accélérer le changement des pratiques de recrutement et de désignation des membres de CA pour que leur profil démographique reflète davantage celui de la population. Le Québec s’en est inspiré dans la formulation de la Loi sur la modernisation des sociétés d’État pour l’inclusion de femmes (2006, cible de 40 % en 2011), et plus récemment pour l’inclusion des jeunes (2016, cible d’une personne de moins de 35 ans en 2021).

Contrairement à ce que les détracteurs de ces lois craignaient, cette accélération de la représentation des femmes sur les CA des sociétés visées n’a pas engendré l’accès de femmes moins qualifiées ou compétentes que leurs collègues en Norvège ou en Italie. Au Québec, les témoignages recueillis par les formateurs et les formatrices du Collège des administrateurs de sociétés vont dans le même sens. Toutefois, ces lois ne semblent pas avoir donné accès à un bassin plus étendu de femmes compétentes. S’il est vrai que beaucoup de femmes ont accédé à des CA — plusieurs cumulent plusieurs CA. C’est donc un sous-groupe de femmes qui a profité de ces mesures (Storvik, A., Teigen, 2010, Bertrand et al 2019). Il importe de vérifier si les efforts investis par les CA dans le repérage et le recrutement de femmes sont adéquats ou s’ils correspondent à ce que Simon appelait « satisficing », c’est-à-dire que le temps et les efforts sont limités au minimum qui donne une solution suffisamment bonne pour le respect de la nouvelle norme. On est alors bien loin d’une logique d’équité.

On note aussi que les cibles de 30 % à 40 % selon les territoires, atteintes grâce aux lois, sont peu ou rarement dépassées. Pourtant, la logique d’équité aurait pu inciter les organisations visées à progresser vers la parité à un rythme qu’elles choisiraient, et ce souci aurait pu percoler à travers l’organisation. Or, l’impulsion donnée par la loi semble s’étioler au-delà de l’échéance imposée.

La terminologie a évolué : à l’origine de ces lois, la cible était 40 % de femmes, mais la communauté européenne et une majorité de pays ont opté pour 40 % de membres de chaque sexe. Cette reformulation n’est pas insignifiante ou banale : a) il peut s’agir d’une stratégie langagière pour être « plus inclusif » et rendre les hommes et les femmes éligibles pour le privilège conféré par la loi, contrant ainsi certaines oppositions ; b) elle peut aussi être interprétée comme un effort de symétrisation, une position de principe selon laquelle ce qui vaut pour les femmes vaut aussi pour les hommes, négligeant ainsi la réalité empirique de la très faible proportion de CA dominés par des femmes de même que la position de pouvoir social des CA dominés par les femmes ; c) un effort de neutralisation du sexisme hostile.

Finalement, l’effet d’entraînement des mesures coercitives dans le changement des mentalités et l’évolution des pratiques organisationnelles vers l’égalité ne s’est pas produit en Norvège, en France ou ailleurs en Europe au-delà des secteurs ciblés par ces lois. Une étude récente de Deloitte (2019) documente les efforts de près de 9000 entreprises dans 66 pays dans la promotion de la diversité ; les résultats, comparant les analyses semblables réalisées en 2016 et 2018, notent des progrès parfois notables, d’autres, lents, et même des régressions dans le nombre de femmes membres de CA et de ses comités ; le temps ne fait pas nécessairement son œuvre dans la direction souhaitée !

En conséquence, lorsqu’il est nécessaire de changer des pratiques, les lois contraignantes ne sont pas « magiques » ; elles signifient avec clarté le changement désiré, mais elles risquent d’atteindre essentiellement le résultat exigé, pas beaucoup plus. Changer des pratiques, c’est non seulement changer des habitudes, mais aussi des croyances, des schéma mentaux, des réflexes et même des définitions de « ce qui mérite d’être fait » et pourquoi. C’est donc un changement culturel profond qui est en cause.

Je vous invite à lire cet article sur le site du CAS.

Bonne lecture !

La diversité au sein des conseils d’administration

Collège des administrateurs de sociétés

Comment un conseil d’administration doit-il exercer ses responsabilités eu égard aux questions d’innovation ?


 

Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publiera quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du deuxième article qui porte essentiellement sur l’importance cruciale que le CA doit apporter à la culture de l’innovation.

La publication de Yan Cimon, professeur titulaire de management et Vice-recteur adjoint aux affaires externes, internationales et santé de l’Université Laval, nous sensibilise aux impératifs stratégiques de l’innovation et montre comment un conseil d’administration doit s’acquitter de ses devoirs fiduciaires à cet égard.

La gestion du processus d’innovation doit occuper une place privilégiée dans les préoccupations des CA, car c’est cette capacité de différenciation qui procure l’avantage compétitif ultime.

La presse d’affaires regorge d’articles portant sur des organisations – tous secteurs confondus – qui entreprennent, avec divers degrés de succès, des démarches orientées vers l’innovation.  Bien que les succès soient retentissants, célébrés et même étudiés dans les écoles de gestion, les échecs sont pour leur part souvent cuisants.

Devant une telle situation, quelle posture le conseil d’administration doit-il adopter face à l’innovation?  Cette question reste cruciale peu importe la nature des organisations et ce, tout simplement parce que l’innovation demeure l’une des clés de leur pérennité. Continuer la lecture de « Comment un conseil d’administration doit-il exercer ses responsabilités eu égard aux questions d’innovation ? »

Lettre aux PDG | Larry Fink


Larry Fink est fondateur, président et chef de la direction de BlackRock Inc.

Ce billet est basé sur la lettre annuelle de M. Fink aux chefs de la direction.

Cette lecture me semble « un must » pour les administrateurs. Dans sa lette l’auteur insiste sur la nécessité de s’adresser aux risques climatiques.

En janvier de l’année dernière, j’ai écrit que le risque climatique est un risque d’investissement. J’ai alors dit qu’au fur et à mesure que les marchés commenceraient à faire passer le risque climatique à la valeur des titres, cela déclencherait une réaffectation fondamentale du capital. Puis la pandémie s’est installe et, en mars, la sagesse conventionnelle était que la crise détournerait l’attention du climat. Mais, c’est exactement le contraire qui s’est produit, et la réaffectation du capital s’est accélérée encore plus rapidement que je ne l’avais prévu.

De janvier à novembre 2020, les investisseurs de fonds communs de placement et de FNB ont investi 288 milliards de dollars à l’échelle mondiale dans des actifs durables, soit une augmentation de 96 % par rapport à l’ensemble de 2019. Je crois que c’est le début d’une longue transition qui se déroulera à un rythme effarant et qui remodèlera les prix des actifs de tous types. Nous savons que le risque climatique est un risque d’investissement. Mais nous croyons aussi que la transition climatique représente une opportunité d’investissement historique.

 

Letter to CEOs (harvard.edu)

 

BlackRock CEO Larry Fink says climate change will soon reshape markets

La diversité raciale dans le domaine de l’investissement


Voici un article de Colin Melvin*, publié sur le site de Harvard Law School Forum on Corporate Governance, qui s’interroge sur ce que les investisseurs institutionnels peuvent faire pour remédier aux iniquités raciales de plus en plus évidentes et aux incohérences avec leurs engagements de responsabilité dans les affaires.

Je vous invite à lire la version française de la publication effectuée par Google, que j’ai corrigée. Ce travail de correction est certainement encore perfectible, mais le résultat est très satisfaisant.

Bonne lecture !

Racial Diversity and Investment

 

Soutenir la justice raciale par des investissements ESG | Finance et Investissement

Diversité raciale — iniquité et interdépendance

Alors que la diversité des sexes est une priorité croissante depuis plusieurs années, les investisseurs n’ont pas abordé la diversité raciale avec un enthousiasme et une urgence similaires. Au Royaume-Uni, la Parker Review et les recommandations de la baronne McGregor-Smith ont exhorté les décideurs publics et les organisations privées à se concentrer sur l’augmentation des représentations des minorités ethniques dans les conseils d’administration des entreprises FTSE 100 [1] et à publier les chiffres de l’écart salarial ethnique. [2] Cependant, peu de progrès ont été réalisés. Le sujet de la diversité raciale dans le secteur de l’investissement a été récemment soulevé dans une lettre ouverte au Royaume-Uni d’un groupe appelé Black Women in Asset Management, invitant l’industrie à aller au-delà des déclarations de solidarité et de lutte contre le racisme. [3] Les nombreuses manifestations de Black Lives Matter, catalysées par le meurtre de George Floyd, ont mis en évidence notre interdépendance au milieu d’une crise sanitaire mondiale et le besoin urgent d’agir. Il est temps de se demander ce que les investisseurs institutionnels peuvent faire pour remédier aux iniquités raciales de plus en plus évidentes et à leur incohérence avec les engagements de responsabilité dans les affaires et l’investissement.

Opportunités inégales

Les investisseurs institutionnels sont aux prises avec un défi culturel important pour s’attaquer aux problèmes de racisme, d’inégalité des chances et du manque associé de diversité raciale dans leur industrie. Il ne suffit plus qu’ils déclarent simplement ce qu’ils attendent des entreprises bénéficiaires en matière de diversité. Ils doivent agir en conséquence et adopter la diversité au sein de leurs propres institutions d’investissement ou entreprises de gestion d’actifs. Ils ont l’occasion d’établir des parallèles entre le pouvoir de diversification de leurs investissements et la diversification dans leur recrutement et la gestion des talents, comme une valeur ajoutée significative dans les deux contextes. Des équipes d’investissement avec des antécédents diversifiés contribuent avec une plus grande variété de perspectives, ce qui augmentera à terme la qualité de la prise de décision en matière d’investissement.

L’absence évidente de diversité raciale et le débat autour de l’égalité des chances ont conduit de nombreuses entreprises d’investissement à se défendre au motif qu’elles sont ouvertes à tous. Cependant, il n’y a pas d’égalité des chances pour le candidat qui se bat contre des décennies de discrimination et de choix limité, de l’accès à l’éducation aux préjugés inconscients. De nombreux gestionnaires d’actifs se concentrent sur les programmes d’études supérieures lorsqu’ils tentent d’attirer des talents nouveaux et diversifiés. Ces programmes peuvent apporter la diversité des sexes à l’industrie, mais ils ajoutent rarement la diversité raciale, car ils ont tendance à se concentrer sur des universités spécifiques à faible représentation minoritaire.

Il existe des préjugés cognitifs dans la façon dont nous prenons des décisions lors de l’embauche de personnes pour entreprendre des recherches d’investissement et dans nos décisions d’investissement elles-mêmes. Outre les programmes d’études supérieures, une grande partie des emplois sont sécurisés via des réseaux personnels. Nous avons tendance à réseauter dans des cercles qui se chevauchent, c’est-à-dire à être entourés de personnes avec lesquelles nous sommes liés, que nous connaissons, avec qui nous sommes allés à l’école ou avec qui nous avons fait affaire. Ce comportement crée un cycle d’autorenforcement de pratiques d’embauche biaisées, alimentées par la promotion des contacts personnels, ce qui rend difficile pour les talents en dehors du cercle d’avoir les mêmes opportunités que leurs pairs à l’intérieur. Nous pouvons donc bénéficier d’une recherche délibérée de talents au-delà de nos réseaux personnels. Cependant, une présentation courante de ce problème est qu’il concerne le « pipeline » de talents, qui échappe au contrôle du responsable du recrutement. Autrement dit, il n’y a tout simplement pas de candidats appartenant à une minorité ethnique intéressés et aptes aux offres d’emploi. Bien sûr, ce n’est pas vrai. En sortant de nos cercles qui se chevauchent, nous nous rendrons compte que le talent est très largement réparti entre les communautés, les universités et les régions géographiques. Il n’y a pas de limitation du talent. Mais, il existe une telle chose que la limitation des chances.

Le problème ne réside pas uniquement dans les postes d’entrée de gamme. Certains candidats appartenant à des minorités ethniques pourraient réussir à trouver un rôle dans le secteur de l’investissement, seulement pour lutter contre la discrimination et le favoritisme lorsqu’ils tentent de faire progresser leur carrière, se heurtant à des plafonds de verre aux niveaux intermédiaire et supérieur. Une étude de l’UE [4] montre que les minorités ethniques sont souvent sous-représentées dans les postes de direction et ont tendance à occuper des emplois de niveau inférieur. L’étude montre en outre qu’au Royaume-Uni, les employés noirs et issus de minorités ethniques sont moins susceptibles d’être évalués et reconnus pour leurs performances élevées. Il en résulte que davantage de minorités ethniques ont du mal à faire avancer leur carrière par rapport à leurs homologues blancs.

Un appel aux propriétaires d’actifs à agir

Le manque de diversité raciale dans le secteur de la gestion d’actifs affectera certainement négativement la qualité des processus de prise de décision en matière d’investissement. Les équipes d’investissement dépourvues d’une base de connaissances diversifiée peuvent être contraintes lors de la sélection et de l’interaction avec les entreprises dans lesquelles elles investissent. La capacité d’analyser les risques et les opportunités à travers les lentilles de différentes perspectives est importante pour une bonne gestion et une bonne prise de décision en matière d’investissement. Dans l’investissement mondialisé, comme dans les affaires, nous espérons et nous nous attendons à ce que les équipes d’investissement et les gestionnaires d’actifs comprennent et reflètent généralement la diversité du monde. Cependant, c’est loin d’être le cas.

Les propriétaires d’actifs sont en mesure d’influencer la manière dont les gérants d’actifs abordent la diversité, dans leur sélection, leur suivi et leur dialogue. L’ordre du jour d’une réunion typique entre les gestionnaires d’actifs et leurs clients a tendance à se concentrer sur la performance des investissements à court terme, les frais et les risques, avec une attention accrue récente aux risques environnementaux, sociaux et de gouvernance (ESG), et à la gérance des actifs dans lesquels ils investissent. Cependant, les propriétaires d’actifs pourraient utilement lancer chaque nouvelle discussion de mandat avec « Parlez-nous de votre entreprise ». Il faut s’attendre à ce que les gestionnaires d’actifs démontrent que la diversité est effectivement recherchée et mise en œuvre dans leurs propres entreprises. Cependant, en essayant de parvenir à une meilleure diversité raciale, les propriétaires d’actifs doivent être conscients de l’écart de perception entre ce que le gestionnaire d’actifs pense faire et ce qui se passe réellement. Autrement dit, il y a une tendance à examiner les chiffres à l’échelle de l’entreprise lors de l’examen de la diversité. Il est important de s’assurer que ceux-ci reflètent une véritable diversité dans leur répartition entre les fonctions et les niveaux organisationnels.

Diversité de pensée

Dans la poursuite d’une organisation diversifiée, il est important de comprendre comment la diversité contribue à la réalisation de notre objectif et de notre mission, plutôt que de simplement cocher les cases pour diverses caractéristiques physiques. Si les employés proviennent d’horizons, de cercles ou de réseaux similaires, nous ne réussirons probablement pas à réaliser la créativité qui résulte d’une diversité de pensées et de perspectives. Autrement dit, les gestionnaires d’actifs peuvent atteindre les objectifs internes de diversité raciale en embauchant des candidats de diversité raciale ayant des antécédents éducatifs, sociaux et culturels similaires, tout en continuant à commettre l’erreur classique d’embaucher la meilleure personne pour le poste, plutôt que la meilleure personne pour l’équipe ou organisation. Bien que les quotas, imposés en interne ou en externe, sont utiles pour commencer à changer les perspectives et les pratiques de recrutement,

La race se réfère uniquement à nos traits physiques, tels que la couleur de la peau ou des cheveux, tandis que l’appartenance ethnique classe les gens en fonction de leurs origines religieuses et culturelles en plus de leurs caractéristiques physiques. Les gestionnaires de placements doivent donc tenir compte de la diversité raciale et ethnique lors de leur recrutement. Pour parvenir à une diversité de pensée et de perspective, le secteur de l’investissement doit être ouvert à des points de vue différents. Il faut que les minorités soient écoutées. Cela nécessite un changement culturel.

Comment changerons-nous ?

Afin d’accroître la diversité raciale et l’inclusion au sein de l’industrie de l’investissement, en ce qui concerne ses pratiques commerciales, l’allocation du capital et la gérance, nous devons reconnaître le problème (et l’opportunité) comme à la fois systémique et culturel. Un article récent [5] souligne que les organisations ont tendance à être peu conscientes de leur racisme, tandis que certaines nient délibérément l’existence du problème. Les employés blancs ont tendance à résister à toute initiative antiraciste introduite et à ignorer la discrimination qui se produit au-delà des incidents évidents. Ils ne voient pas les préjugés cognitifs et les normes culturelles qui affectent négativement les évaluations du rendement, les promotions et les pratiques d’embauche. Afin de véritablement surmonter le problème de la discrimination et du racisme dans le secteur de l’investissement et de tirer parti des avantages de la diversité raciale, nous devons reconnaître l’existence et l’ampleur du problème et poursuivre activement le changement culturel requis. Les gestionnaires d’actifs devront rechercher des talents en dehors de leurs réseaux, ce qui peut nécessiter une discrimination positive et une action positive. Ils devront adopter de nouvelles pratiques d’embauche et de promotion afin de constituer une main-d’œuvre raciale diversifiée. Heureusement, cela est parfaitement cohérent avec une tendance mondiale et durable vers une plus grande durabilité des affaires et des investissements et c’est de plus en plus ce que leurs clients attendent d’eux.

Notes de fin

https://www.ey.com/en_uk/news/2020/02/new-parker-review-report-reveals-slow-progress-on-ethnic-diversity-of-ftse-boards (retourner)

https://www.ft.com/content/4e4a457d-6be9-454f-a55f-e9f75d8f8eeb (retourner)

https://bwam.network/bwam-open-letter-to-the-asset-management-community (retourner)

4 Racisme et discrimination dans l’emploi en Europe 2013-2017 ; Réseau européen contre le racisme (ENAR) ; 2017 (retourner)

https://hbr.org/2020/09/how-to-promote-racial-equity-in-the-workplace (retourner)

_________________________________________

*Colin Melvin est fondateur et directeur général d’Arkadiko Partners Ltd. et ancien responsable mondial de l’intendance chez Hermes Investment Management.

Comment concevoir la gouvernance dans le cas des PME ?


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) éditera quinze articles originaux sur des  thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc l’introduction à la publication du premier article.

Au fil des années, la gouvernance est venue se placer dans le parcours de Maripier Tremblay, professeure titulaire de management de l’Université Laval, et celle-ci a compris que la gouvernance pouvait être bénéfique pour ces entreprises et entrepreneurs qu’elle affectionne. Elle a vite saisi cependant qu’il fallait adapter la gouvernance à la réalité des PME.

Dans cet article, l’auteure nous explique notamment que pour atteindre une gouvernance optimale, la PME ne peut pas se contenter de faire « comme les grandes ». Ainsi, les PME peuvent tirer profit des retombées multiples de la gouvernance, tout en respectant leur nature et leur fonctionnement.

Cet apport de la gouvernance fait consensus mais dans la pratique, cela demeure parfois difficile à mettre en place. C’est particulièrement le cas dans les PME (qui constituent 98% des entreprises de notre économie), où le dirigeant est souvent aussi propriétaire de l’entreprise, et où les ressources (de temps et d’argent) sont limitées.

Je vous invite à lire cet article sur le site du CAS.

Bonne lecture !

La gouvernance, est-ce vraiment fait pour la PME ?

 

 

Top 10 des billets publiés sur Harvard Law School Forum au 14 janvier 2021


Voici le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 14 janvier2021.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

Top Dix Bouton D & # 39 ; Or Vecteur Clip Art Libres De Droits , Vecteurs Et Illustration. Image 84625131.

  1. The New Paradigm in the C-Suite and the Boardroom
  2. A Letter to the SEC Chairman
  3. Corporate Governance Survey — 2020 Proxy Season Results
  4. Congress Passes the “Holding Foreign Companies Accountable Act”
  5. Where Things Stand at the End of 2020
  6. Report on Practices for Virtual Shareholder Meetings
  7. COVID-19’s Impact on Buyer’s Obligation to Close
  8. BlackRock’s 2021 Proxy Voting Guidelines Prioritize ESG Actions
  9. Allegations of Human Rights Violations and Other Litigation Trends
  10. Compensation Season 2021

Les entreprises vont de l’avant avec l’adoption de l’IA malgré un manque d’expertise au sein des conseils d’administration


Voici un article de TREVOR PRYER  publié sur le site de Board Agenda qui présente les principales conclusions d’une enquête sur la mise en œuvre des technologies de l’intelligence artificielle (IA).

La recherche montre que plus des deux tiers des CA approuveront l’utilisation de l’IA sans avoir l’expertise requise minimale au sein des conseils d’administration.

Je vous invite à lire la version française de la publication effectuée par Google, que j’ai corrigée. Ce travail de correction est certainement encore perfectible, mais le résultat est très satisfaisant.

Bonne lecture !

Les entreprises vont de l’avant avec l’adoption de l’IA malgré un manque de compétences au sein des conseils d’administration

 

Cerveau montrant l'IA dans les processus

Image: vs148 / Shutterstock

Plus des deux tiers des conseils d’administration ont l’intention d’approuver la mise en œuvre de l’intelligence artificielle (IA) l’année prochaine, bien qu’il semble y avoir des obstacles importants à une intégration réussie.

Le rapport Leadership en AI 2021 réalisé par Board Agenda en association avec la société de services professionnels Mazars et l’école de commerce INSEAD, constate que les conseils d’administration s’intéressent considérablement à la capacité de l’IA à influencer des domaines clés tels que le service client, les opérations, les finances et la comptabilité, et le développement de la recherche.

Mais l’enquête a également révélé que de nombreuses organisations et conseils d’administration n’ont pas les connaissances et les compétences nécessaires pour assurer une intégration réussie. L’adoption de l’IA s’est également avérée minée par un manque de connaissances et de compréhension au niveau du conseil. Parmi les autres obstacles au progrès figurent les systèmes informatiques hérités, les données médiocres et les cultures d’entreprise résistantes.

Les connaissances et compétences insuffisantes des conseils d’administration sont une source de préoccupation et des liens vers des questions plus larges sur l’état de l’expertise technologique des conseils d’administration, un problème qui affecte de nombreuses organisations alors que la transformation numérique s’accélère dans l’industrie.

Implantation de l’IA

Près des trois quarts (73 %) des répondants déclarent avoir l’intention de mettre en œuvre l’IA au cours des 12 prochains mois, le sujet étant désormais un problème majeur au niveau du conseil d’administration. Un autre 72 % disent que le conseil autorise la mise en œuvre.

Selon l’étude, un peu moins de la moitié des répondants cible les services à la clientèle. Les autres domaines choisis pour la mise en œuvre de l’IA comprennent les opérations, la gestion des données, la logistique, la chaîne d’approvisionnement, les finances et la comptabilité. Cela coïncide avec les résultats d’autres rapports de l’industrie, tels que les recherches de McKinsey qui ont récemment révélé une augmentation de 25 % de l’utilisation de l’IA dans les processus commerciaux standard.

L’étude montre également qu’une grande majorité des répondants affirment que l’augmentation de l’efficacité est le principal avantage de l’IA, tandis que 55 % déclarent des économies de coûts et 53 % s’attendent à une augmentation des revenus.

Le retour sur investissement attendu de l’IA est évident. Les répondants rapportent avoir vu des signes positifs au sein de leur organisation suggérant déjà qu’ils pensent que des avantages peuvent être réalisés. Covid-19 a également accru l’intérêt pour l’IA. Plus de la moitié des répondants — 54 % — affirment que le virus a déjà accéléré l’adoption ou prévoit une adoption future de l’IA.

Manque d’expertise au CA

Cependant, l’étude a révélé des contraintes importantes à la mise en œuvre de l’IA au sommet des entreprises.

Bien qu’ils aient le pouvoir d’évaluer et d’approuver l’IA dans les organisations, une proportion importante des conseils d’administration interrogés n’ont pas réussi à tirer parti des opportunités potentielles en raison d’un manque de compréhension de l’IA et de son utilisation.

Plus de la moitié des répondants au sondage (53 %) affirment que leurs conseils d’administration ne sont pas suffisamment qualifiés ou ne connaissent pas suffisamment la technologie et l’IA et leurs implications pour les entreprises et l’industrie.

Les deux tiers (67 %) n’ont pas été en mesure de confirmer que le conseil d’administration ou la haute direction étaient au courant des services d’IA et de la législation pertinente. Lorsqu’on leur a demandé si le conseil d’administration et la haute direction avaient évalué les compétences et la formation nécessaires pour l’IA au sein de leur organisation, 44 % ont répondu que non. L’étude a également révélé que seulement 25 % des conseils d’administration des entreprises se sont penchés sur les compétences et la formation requises pour l’IA, et seulement 23 % ont évalué les implications potentielles pour la gouvernance et la conformité.

Écrivant pour Board Agenda, Asam Malik, responsable du conseil en technologie chez Mazars, et Anish Venugopal, responsable des données et de l’automatisation, déclarent : « La reconnaissance de la valeur de l’IA au niveau du conseil est significative, mais comme nous l’avons constaté dans notre rapport, la reconnaissance, la compréhension et un plan de mise en œuvre sont des défis très différents. »

Ils sont également préoccupés par les risques potentiels.

« C’est peut-être un symptôme de progrès technologique rapide que de nombreux conseils ont du mal à comprendre pleinement l’IA. Il semblerait qu’il y ait un manque de connaissances considérable au sommet des organisations sur sa capacité de transformation et son application.

“L’impact de l’IA sur les entreprises sera considérable, de sorte qu’un manque de compréhension des conseils d’administration entraînera non seulement des contraintes, mais également des risques importants pour les organisations.

Contraintes éthiques et culturelles

L’étude révèle également les contraintes à l’échelle de l’organisation à la mise en œuvre de l’IA que les conseils d’administration et la haute direction devront aborder. Les trois quarts des répondants (76 %) conviennent qu’il y a des changements éthiques ou culturels importants au sein des entreprises qui doivent être gérées, et 73 % estiment que le manque de compétences et de connaissances en IA au sein de l’organisation est une contrainte majeure à l’adoption.

Ceci est étroitement suivi d’autres préoccupations telles que les systèmes informatiques hérités, la valeur commerciale incertaine et la ‘résistance dans certaines parties de l’organisation’. Des questions culturelles et éthiques sont souvent soulevées autour du déploiement de l’IA et cela a été confirmé par nos recherches. Il s’agit manifestement d’un problème que les conseils d’administration et la haute direction devront régler.

Le professeur Theodoros Evgeniou de l’INSEAD voit les organisations aux prises avec une transformation rapide. ‘Alors que la vitesse de l’innovation en intelligence artificielle et de la transformation commerciale axée sur les données s’accélère, les conseils d’administration et les dirigeants ont du mal à comprendre l’impact de ces technologies sur leur entreprise. Si l’IA peut permettre de nouveaux modèles commerciaux, produits, flux de revenus et efficacité, elle est également une source de nouveaux risques.

Il considère l’investissement dans les connaissances et les compétences en IA comme un moteur clé du changement. ‘Si elles veulent contrôler leur destin axé sur la technologie, les organisations doivent développer de nouvelles capacités à tous les niveaux pour permettre la prise de décision basée sur les données, l’augmentation des emplois (plutôt que le remplacement) et l’innovation basées sur l’IA, ainsi que de nouvelles pratiques, processus et structures organisationnelles.’

Ce qui ressort clairement de cette étude, c’est que le rythme du changement dans l’IA s’accélère à mesure que les avantages deviennent de plus en plus évidents. Cependant, si les avantages doivent être pleinement appréhendés, le manque de connaissances et de compétences technologiques au niveau du conseil devra être comblé sans délai.

Les conclusions de l’enquête sur le leadership de l’IA ont suscité les commentaires des administrateurs et des principaux organismes du secteur :

 

L’IA est de plus en plus avancée et mature sur le plan technologique ; en tant que tel, il est essentiel que les conseils d’administration comprennent comment l’IA s’intègre dans leur stratégie de numérisation et il est très important d’assurer une surveillance éthique responsable de l’IA, y compris les implications pour toutes les parties prenantes, y compris les clients, les employés et les actionnaires. Les compétences en science des données sont primordiales, le développement des talents sera donc la clé du succès. Les entreprises qui n’ont pas cela à leur ordre du jour doivent le faire de toute urgence. Jacqui Ferguson, directrice générale des conseils d’administration de Tesco Bank, Croda PLC, Wood Plc et Sunday Times NED Award Winner 2019

C’est un rapport très opportun. L’impact de la pandémie et la demande d’une plus grande efficacité signifient que l’IA entre dans le courant dominant. La compréhension du conseil, sa surveillance et les mécanismes de gouvernance, de risque et de contrôle nécessaires sont essentiels pour garantir le succès de l’adoption et le rendement attendu. Une mise en œuvre réussie nécessite des considérations techniques, culturelles et éthiques. La responsabilité humaine ne disparaît pas. Les outils explicatifs offrent un mécanisme de soutien pour augmenter la capacité des conseils d’administration à assurer une surveillance et à garantir que l’entreprise agit de manière éthique. Maggie McGhee, directrice générale, gouvernance, ACCA

Gérer les conséquences de l’utilisation de plus en plus courante des technologies de l’IA est un défi pour de nombreux membres du conseil d’administration. Les résultats des recherches menées par Board Agenda sont extrêmement utiles ; elles soulignent l’urgence de s’attaquer efficacement à ce défi et encouragent les conseils à inscrire cette question à leur ordre du jour. Dr Ian Peters MBE, directeur, Institut d’éthique des affaires (BIE)

L’IA transforme le paysage commercial d’une manière qui n’était pas imaginée même une décennie plus bas. Les solutions d’IA sont à l’origine de nouvelles approches innovantes qui peuvent créer des avantages pour toute entreprise, ou offrir aux concurrents des opportunités de dépasser ou de perturber les non préparés. La croissance rapide des nouvelles entreprises affamées qui cherchent à changer le paysage commercial exige que les conseils d’administration s’assurent qu’ils ont accès à la bonne expertise et consacrent suffisamment de temps à l’examen des implications. Ce rapport devrait fournir une provocation opportune pour que toute entreprise examine sa stratégie d’IA. Dr Phil Clare, Institut des directeurs et directeurs adjoints, Services de recherche (échange et engagement des connaissances), Université d’Oxford

Il y a cinq ans, le défi consistait à amener les conseils d’administration à comprendre comment la technologie allait avoir un impact sur leur entreprise et nous savons ce qui est arrivé à ceux qui restent. Le défi d’aujourd’hui est tout aussi important : comment amener les conseils d’administration à vraiment comprendre l’IA et les données ? Ils ignorent cela à leurs risques et périls ! Simon Calver, président, UK Business Angels Association, directeur général de Moo.com, Musclefood, Firefly Learning

‘Cet excellent rapport souligne à quel point le numérique imprègne désormais la stratégie et les opérations de la plupart des entreprises et ne peut donc pas être un sujet spécialisé au niveau du conseil. L’ampleur et l’importance des décisions sur l’IA auxquelles sont confrontées la plupart des entreprises exigent de la compréhension, du jugement et des connaissances du conseil. Ce ne sont pas des investissements marginaux, mais essentiels pour l’avenir. De même, les implications éthiques et de réputation de l’IA sont radicales et les conseils d’administration qui ne parviennent pas à comprendre cela exposent leurs organisations à des risques extraordinaires. Gillian Karran-Cumberlege, responsable du président et du conseil d’administration Fidelio Partners

Téléchargez le rapport Leadership en AI 2021.