Ce que les entreprises doivent savoir sur les attaques de ransomware modernes et comment y répondre


Voici un sujet qui interpelle sérieusement les conseils d’administration et la responsabilité fiduciaire des administrateurs, notamment avec l’accroissement des activités liées à la cybercriminalité.

L’article a été publié par Antonia M. Apps et Adam Fee , associés de Milbank et Matthew Laroche, conseiller juridique spécial chez Milbank sur le Forum du HLS on Corporate Governance.

Les auteurs examinent les principales caractéristiques des ransomwares modernes que les entreprises devraient prendre en compte, notamment la façon dont les acteurs des ransomwares ciblent désormais des entreprises spécifiques, menaçant de publier les données les plus sensibles de leurs victimes en ligne, et collaborer avec d’autres cybercriminels pour accroître la sophistication des attaques.

Après avoir exploré les ransomwares modernes, l’article met l’accent sur des directives aux entreprises qui réagissent immédiatement après une attaque afin que celles-ci soient mieux placées pour contenir l’incident, reprendre leurs activités commerciales normales et évaluer de manière appropriée les risques juridiques et réglementaires.

Je vous invite à lire la version française de la publication effectuée par Google, que j’ai corrigée. Ce travail de correction est certainement encore perfectible, mais le résultat est très satisfaisant.

Bonne lecture !

What Companies Need to Know About Modern Ransomware Attacks and How to Respond

Cybercriminalité : les coûts des dégâts sous-estimés

 

Les ransomwares sont une menace de cybersécurité croissante et évolutive à laquelle sont confrontées les organisations du monde entier. En 2020, les attaques de ransomwares ont été multipliées par sept à la fin de l’année, avec plus de 17 000 appareils détectant les ransomwares chaque jour. [1] En tant que défi supplémentaire, les ransomwares sont plus sophistiqués que jamais avec des variantes modernes conçues pour infliger d’immenses dégâts et les auteurs exigeant des paiements plus élevés. Au cours des derniers mois seulement, les ransomwares ont provoqué des perturbations catastrophiques dans les activités commerciales de, entre autres, Colonial Pipeline, le géant de la transformation alimentaire JBS USA Holdings Inc. et le système national de santé irlandais. [2]

Les attaques réussies coûtent des millions de dollars aux entreprises, y compris les perturbations de l’activité, le coût du personnel, le coût des appareils, le coût du réseau, les opportunités perdues, les atteintes à la réputation et le paiement potentiel d’une rançon. [3] Les cybercriminels sont exigeants et gagnent de plus en plus d’argent, le paiement moyen des ransomwares par événement passant d’environ 115 000 $ en 2018 à plus de 300 000 $ en 2020 ; et la rançon la plus élevée payée a plus que doublé, passant de 5 millions de dollars entre 2015 et 2019 à 11 millions de dollars en 2021. [4] Les gouvernements, les forces de l’ordre et les organismes de réglementation en ont pris note, les entreprises étant confrontées à des pressions pour se préparer et répondre efficacement aux attaques de ransomware. [5]

Compte tenu de l’environnement actuel des menaces, il est essentiel que les entreprises qui cherchent à gérer leurs risques de cybersécurité comprennent comment les ransomwares ont évolué pour devenir l’une des menaces de cybersécurité les plus dommageables aujourd’hui. Les entreprises sont confrontées à un examen juridique, réglementaire et politique accru à la suite de ces attaques, ce qui oblige les entreprises à mettre en place des structures de gestion et des contrôles appropriés, sous la surveillance du conseil d’administration, afin d’anticiper et de traiter les dommages importants qui peuvent être causés à la suite d’une attaque de ransomware.

Ci-dessous, nous examinons les principales caractéristiques des ransomwares modernes que les entreprises devraient prendre en compte, notamment la façon dont les acteurs des ransomwares ciblent désormais des entreprises spécifiques, menaçant de publier les données les plus sensibles de leurs victimes en ligne, et collaborer avec d’autres cybercriminels pour accroître la sophistication des attaques. Après avoir exploré les ransomwares modernes, nous recommandons ensuite des directives aux entreprises qui réagissent immédiatement après une attaque afin que les entreprises soient les mieux placées pour contenir l’incident, reprendre leurs activités commerciales normales et évaluer de manière appropriée les risques juridiques et réglementaires.

Principales caractéristiques des ransomwares modernes

Les attaques de ransomwares opéraient traditionnellement en accédant à un système, généralement via des e-mails de phishing, puis en verrouillant ou cryptant automatiquement les données en recherchant les fichiers avec certaines extensions. Dans le passé, la plupart des acteurs des ransomwares utilisaient une approche « spray and please » ou « shotgun » dans laquelle les ransomwares étaient distribués sans discernement à la recherche d’une organisation vulnérable. Bien que ces attaques opportunistes aient connu plusieurs succès notables, en 2018, les organisations s’étaient largement adaptées à la menace en mettant en œuvre des mesures de cybersécurité et des plans de reprise après sinistre et de continuité des activités en réponse aux attaques. En conséquence, les ransomwares traditionnels ont eu moins de succès et ont été, pendant un certain temps, largement éclipsés par d’autres cybermenaces. [6]

Au cours des 18 derniers mois, cependant, les ransomwares sont revenus au premier plan du paysage des cybermenaces. Les attaques de ransomware modernes sont plus sophistiquées et dommageables à plusieurs égards. Premièrement, les acteurs modernes des ransomwares utilisent fréquemment une approche ciblée, connue sous le nom de « chasse au gros gibier » ou « attaques opérées par l’homme », dans laquelle le ransomware est conçu pour des victimes spécifiques. Avant même qu’une attaque ne soit lancée, les acteurs des ransomwares procèdent à un profilage approfondi des victimes. [7] Les acteurs des ransomwares sont devenus plus compétents pour le faire pour plusieurs raisons, notamment la disponibilité de bases de données et d’autres outils qui aident à identifier les victimes en fonction de leur emplacement, de leur secteur d’activité, de leur taille et de leurs revenus ; et des plateformes de communication anonymes qui permettent des interactions sécurisées et une collaboration accrue des groupes de cybercriminels. Après avoir identifié une victime et obtenu l’accès à leur réseau, les acteurs du ransomware passent un temps considérable (généralement des semaines ou des mois) à prendre le contrôle de sections du réseau avant d’exécuter le ransomware. En passant plus de temps dans le système ciblé, les cybercriminels peuvent se déplacer latéralement pour accéder à davantage de parties du réseau, identifier les données les plus sensibles stockées par la victime et infiltrer les sauvegardes critiques, ce qui rend plus difficile la récupération des victimes après une attaque.[8]

Deuxièmement, en conjonction avec le large accès aux données sensibles fourni par les attaques ciblées, les acteurs des ransomwares utilisent désormais la « double extorsion » dans laquelle le ransomware non seulement crypte les données de la victime, mais les exfiltre également du réseau de la victime. Cela donne aux cybercriminels une autre possibilité d’extorsion : si une victime ne paie pas la rançon, l’attaquant peut publier ou menacer de publier les données de la victime en ligne, vendre les données sur le dark web ou utiliser les données volées pour exploiter les vulnérabilités des systèmes associés. Les victimes sont confrontées à une pression importante pour payer des rançons dans ces circonstances, ce qui a entraîné une augmentation substantielle du montant des demandes de rançon et des paiements. [9]

Troisièmement, les attaques de ransomwares modernes sont souvent menées par plusieurs groupes collaborant sur différents aspects de l’infiltration. Un exemple est le modèle d’abonnement dit de ransomware-as-a-service (« RaaS »), dans lequel les développeurs de ransomware recherchent des affiliés pour mener des attaques et en échange reçoivent une part du produit. [dix]Dans ces scénarios, un groupe possède le ransomware et un ou plusieurs autres groupes contrôlent l’infrastructure compromise, ce qui permet aux cybercriminels d’utiliser des experts à chaque étape de l’attaque. Avec un accès plus large à un réseau de victimes, les cybercriminels sont également devenus plus efficaces pour monétiser différentes parties des actifs compromis. Par exemple, les acteurs des ransomwares peuvent choisir de déployer des ransomwares sur une partie d’un réseau victime tout en vendant l’accès à une autre, créant ainsi plusieurs sources de revenus pour la même attaque. [11] Cette dynamique rend également plus difficile pour les organisations de victimes d’évaluer la durée et l’étendue de la violation et d’identifier tous les auteurs.

Enfin, les acteurs modernes des ransomwares utilisent désormais généralement la crypto-monnaie comme méthode préférée de paiement des rançons. Dans le passé, les cybercriminels étaient contraints d’utiliser d’autres instruments financiers pour recevoir des paiements, tels que des plateformes de paiement par téléphone mobile ou des portefeuilles électroniques, localisés dans une région géographique particulière et/ou réglementés par les gouvernements. La crypto-monnaie, en revanche, contourne les réglementations et est capable de transférer de l’argent dans le monde entier, permettant aux cybercriminels d’initier des transferts d’argent transfrontaliers à haut volume de manière anonyme avec peu de risques.

Les acteurs modernes des ransomwares ont déployé certaines ou toutes les méthodes ci-dessus, obtenant plusieurs succès récents de grande envergure. Les exemples notables incluent :

DarkSide : Darkside est l’une des variantes de ransomware modernes les plus notoires et elle a fait des ravages dans le monde entier, infiltrant des organisations de divers secteurs dans plus de 15 pays. Introduit à l’origine en 2020 par un groupe de cyberhackers connu sous le nom de Carbon Spider, Darkside fonctionne comme un RaaS et utilise diverses méthodes pour obtenir un accès initial à son système cible, notamment via le phishing, l’exploitation du protocole RDP (« RDP ») et d’autres exploits . [12] Une fois que Darkside a infecté le réseau victime, il se déplace vers le contrôleur de domaine (un serveur qui vérifie les informations d’identification de l’utilisateur sur un réseau informatique), où il vole les informations d’identification et se déplace latéralement pour identifier d’autres actifs précieux à voler. Avant de lancer la charge utile du ransomware, Darkside exfiltre les fichiers critiques, en utilisant des sites de fuite basés sur TOR pour héberger les données volées. [13]

Le déploiement de Darkside le plus notoire a été l’attaque de mai 2021 contre Colonial Pipeline, une entreprise responsable de près de la moitié de l’approvisionnement en carburant de la côte est des États-Unis. [14] Darkside a utilisé une double extorsion en verrouillant les systèmes informatiques de Colonial Pipeline et en volant plus de 100 gigaoctets de données d’entreprise. [15] Cette attaque a provoqué une perturbation importante de la distribution de carburant aux États-Unis, et Colonial Pipeline a payé une rançon de 4,4 millions de dollars en bitcoins pour retrouver l’accès à ses systèmes. Le Federal Bureau of Investigation a ensuite récupéré une partie de la rançon en surveillant un registre bitcoin visible au public alors que les pirates transféraient la rançon bitcoin vers d’autres registres numériques, qui s’apparentent à des portefeuilles numériques personnels. Lorsqu’une partie importante de la rançon, environ 64 bitcoins, a été transférée à une adresse numérique pour laquelle le FBI avait obtenu une « clé privée » ( c’est -à- dire le mot de passe pour accéder à l’adresse), le FBI a obtenu un mandat de perquisition et a saisi le bitcoin . [16] D’autres victimes récentes de Darkside couvrent plusieurs secteurs, notamment les services financiers, le droit, la fabrication, les services professionnels, la vente au détail et la technologie. [17]

Nefilim : Nefilim a été identifié pour la première fois en mars 2020 et a été l’une des variantes les plus réussies pour violer les réseaux de victimes. Nefilim obtient généralement un accès initial à un réseau victime en exploitant des informations d’identification faibles sur le RDP exposé ou d’autres services connexes. Une fois à l’intérieur d’un réseau cible, les acteurs Nefilim téléchargent des outils administratifs supplémentaires pour faciliter les déplacements latéraux dans le réseau. Nefilim exfiltre ensuite les données, les publie sur des sites Web protégés par TOR et lance la charge utile du ransomware pour crypter le réseau de la victime. Au cours de la dernière année, Nefilim a publié en ligne environ deux téraoctets de données volées. [18]

Nefilim s’est distingué des autres familles de ransomwares en ciblant des entreprises dont le chiffre d’affaires annuel se chiffre en milliards de dollars. L’attaque la plus médiatisée de Nefilim a été dirigée contre l’organisation maritime australienne, Toll Group, en mai 2020. Toll Group aurait refusé de payer les demandes de rançon de Nefilim et, en conséquence, Nefilim a divulgué des données sensibles de Toll Group et a annoncé comment Toll Group pourrait être infiltré dans le futur. [19] Nefilim a également été identifié comme l’auteur d’un certain nombre d’autres attaques, notamment contre des victimes aux États-Unis, en Amérique du Sud, en Europe et en Asie.

REvil : REvil (également connu sous le nom de Sodinokibi) est apparu en 2019 et a commencé à cibler diverses industries aux États-Unis, en Australie, au Canada, en Finlande et à Hong Kong. Les variantes récentes de REvil accèdent généralement aux réseaux des victimes via des e-mails de spam malveillants, des vulnérabilités RDP et des sites Web compromis. Comme Darkside et Nefilim, après avoir eu accès au réseau des victimes, REvil utilise la double extorsion, dispose d’un site de fuite dédié à la publication de données sensibles et aurait tenté de mettre aux enchères des données volées en ligne. [20]

REvil a été identifié comme l’auteur de plusieurs attaques de ransomware très médiatisées, notamment (i) l’attaque de juin 2021 contre Grupo Fluery, une société brésilienne de diagnostic médical qui effectue environ 75 millions d’examens cliniques chaque année ; (ii) l’attaque de juin 2021 contre l’entreprise de transformation alimentaire JBS, qui a fermé des usines qui traitent environ un cinquième de l’approvisionnement en viande des États-Unis ; et (iii) l’attaque de mai 2020 contre le cabinet d’avocats Grubman Shire Meiselas & Sacks, qui aurait entraîné le vol de près d’un téraoctet de données client sensibles. [21] JBS a finalement payé à REvil 11 millions de dollars en crypto-monnaie pour protéger JBS contre d’autres interruptions d’activité, ce qui est le plus grand paiement de ransomware signalé publiquement à ce jour. [22]

Répondre à une attaque de ransomware moderne

À la lumière du récent succès des attaques de ransomwares modernes, nous nous attendons à ce que les ransomwares continuent de tourmenter les industries du monde entier dans les années à venir. Lorsqu’une attaque se produit, l’organisation victime doit agir de manière décisive pour contenir l’incident, et les premières 48 heures suivant l’attaque sont les plus critiques. Pendant ce temps, les organisations doivent agir rapidement pour évaluer l’attaque, isoler les systèmes affectés, identifier si les données sont récupérables via des fichiers de sauvegarde ou d’autres méthodes, et évaluer les risques juridiques et réglementaires, qui sont nombreux. Une organisation qui traite efficacement chacun de ces problèmes sera dans la position la plus forte possible pour reprendre ses activités normales et déterminer si elle doit ou non payer la rançon. Compte tenu de la sophistication des attaques de ransomware modernes,

Mobiliser l’équipe d’intervention en cas de violation: Les organisations doivent former une équipe pour coordonner la réponse à la violation. Idéalement, cette équipe avait déjà été identifiée et préparée bien avant que la violation ne se produise, et comprend la haute direction, la criminalistique, la sécurité de l’information, la technologie de l’information et les composants juridiques. À la lumière de la complexité des attaques de ransomware modernes, les organisations devraient envisager de faire appel à des enquêteurs judiciaires indépendants possédant une expertise en ransomware. Les organisations devraient également envisager sérieusement de retenir les services d’un avocat externe pour les guider dans la réponse aux incidents en vertu du secret professionnel de l’avocat, y compris les questions juridiques et réglementaires discutées ci-dessous. De plus, si l’organisation décide de faire appel à des enquêteurs médico-légaux indépendants, ces personnes devraient être retenues par un avocat externe pour préserver le privilège juridique de leur travail,

Évaluer les dommages: Les organisations doivent agir le plus rapidement possible pour évaluer l’ampleur de l’attaque. Cela inclut l’identification du ou des systèmes informatiques concernés, l’origine de l’attaque, la variante du ransomware ou tout autre logiciel malveillant utilisé pour infiltrer le système et toute connexion externe actuelle au système. Cette étape est plus compliquée lors de la réponse à une attaque de ransomware moderne car, comme décrit ci-dessus, l’attaque peut impliquer plusieurs cybercriminels qui ont passé des semaines ou des mois à se déplacer sur le réseau de la victime. Les organisations de victimes ne doivent pas supposer que l’identification de logiciels malveillants sur une section de leur système constitue l’intégralité de la violation. L’équipe d’intervention doit plutôt déterminer si ce logiciel malveillant a été utilisé dans le cadre d’une attaque de ransomware ciblée plus large. Si c’était,

Conserver les fichiers journaux : les fichiers journaux sont essentiels pour évaluer l’attaque par ransomware, et les organisations doivent prendre des mesures immédiates pour les préserver. Cela inclut l’augmentation de la taille par défaut des fichiers journaux sur les serveurs et la désactivation des tâches de maintenance automatisées telles que la suppression des fichiers temporaires et la rotation des journaux pour empêcher l’écrasement des journaux. Si la journalisation n’est pas activée sur un système affecté, l’organisation doit activer la journalisation immédiatement, ce qui peut également fournir des informations utiles à la suite de la violation.

Isoler et imager les systèmes affectés : Une fois les systèmes affectés identifiés, ils doivent être isolés. Ce processus comprend non seulement la suppression de ces systèmes du réseau lui-même, mais également la sécurisation des zones physiques potentiellement liées à la violation. Une fois que ces systèmes sont isolés, ils doivent également faire l’objet d’une image médico-légale, ce qui aidera à enquêter sur les origines et les causes de la violation. De plus, si l’organisation paie l’acteur du ransomware pour une clé de déchiffrement, il est possible que la clé contienne des bogues qui peuvent endommager les données pendant le processus de déchiffrement. Si cela se produit, l’image médico-légale peut être utilisée pour tenter de répéter le décryptage sans endommager les données d’origine.

Fichiers de sauvegarde sécurisés : la sécurisation des fichiers de sauvegarde le plus rapidement possible joue un rôle crucial dans la reprise rapide des opérations commerciales. Idéalement, au moins certains fichiers de sauvegarde sont stockés sur un réseau à vide que l’attaque n’a pas atteint et n’a pas pu atteindre. Dans la mesure où les fichiers de sauvegarde sont connectés au réseau infecté, les entreprises doivent déconnecter le stockage de sauvegarde du réseau et/ou verrouiller l’accès aux systèmes de sauvegarde jusqu’à ce que l’infection soit résolue. Ici encore, les organisations doivent agir avec prudence, car les attaques de ransomwares modernes ciblent spécifiquement les fichiers de sauvegarde pour empêcher délibérément une récupération rapide. De plus, étant donné que les attaques de ransomware modernes ont des délais plus longs, les entreprises doivent être prêtes à identifier et à récupérer les fichiers de sauvegarde qui sont considérablement antérieurs à la découverte de l’intrusion.

Évaluer les problèmes juridiques et réglementaires: Les organisations sont confrontées à une variété de considérations juridiques et réglementaires aux niveaux étatique, fédéral et, potentiellement, international suite à une attaque de ransomware, et bon nombre de ces problèmes doivent être résolus immédiatement. Selon l’organisation et le type de données compromises, l’attaque de ransomware peut déclencher un patchwork complexe d’exigences de notification légale, dont certaines ont des délais de notification courts. Par exemple, les États ont promulgué une législation exigeant la notification des atteintes à la sécurité impliquant des informations personnelles, certaines dans les 24 heures suivant la découverte du vol. De plus, la SEC a publié des directives concernant les divulgations à la suite d’une violation de la cybersécurité. Et le Règlement général sur la protection des données du Royaume-Uni impose aux organisations de signaler certaines violations de données personnelles dans les 72 heures, dans la mesure du possible. [23]

Les organisations doivent également se préparer aux enquêtes gouvernementales et aux litiges. Les secteurs réglementés tels que les soins de santé, la finance et les infrastructures critiques font régulièrement l’objet d’un examen minutieux après des cyberattaques de la part des autorités de réglementation et des procureurs généraux des États. Lorsque des données de consommateurs sont impliquées, les droits d’action privés en vertu des lois de l’État sur la protection des consommateurs peuvent conduire à des recours collectifs. Au-delà de cela, les organisations doivent également déterminer si elles doivent ou non payer la rançon, ce qui soulève une foule d’autres problèmes pratiques et juridiques. Le FBI conseille généralement aux entreprises de ne pas payer de rançon. L’Office of Foreign Assets Control (« OFAC ») du département du Trésor a déclaré que certains paiements de ransomware peuvent également constituer des violations des lois sur les sanctions économiques. Au-delà de l’OFAC, le paiement de la rançon peut impliquer les lois anti-blanchiment et le Patriot Act. En outre,[24] à New York, les législateurs ont également proposé une législation qui interdirait les paiements de ransomware par toute entité exerçant des activités à New York ou dans un établissement de santé réglementé par le ministère de la Santé de New York. [25] Comme nous l’avons indiqué, la participation précoce d’un conseiller juridique est importante pour évaluer toutes ces questions tout en préservant le privilège.


Compte tenu de la prolifération d’acteurs de ransomware sophistiqués à la recherche de primes de plus en plus importantes pour les données sensibles de l’entreprise, les entreprises doivent à la fois anticiper et être prêtes à répondre à l’attaque inévitable. En prenant les mesures décrites ici, les entreprises se mettront dans la meilleure position pour contenir la violation une fois qu’elle se produira, empêcher la perte de données supplémentaires, lancer le processus de récupération, limiter l’exposition légale et réglementaire et déterminer si elles doivent payer la rançon.

Notes de fin

Voir Fortinet, Global Threat Landscape Report : A Semiannual Report by FortiGuard Labs (février 2021), disponible sur https://www.fortinet.com/content/dam/maindam/public/02_marketing/08_Report/Global-TLR-2021 -2H.pdf .(retourner)

2 Collin Eaton et Dustin Volz, PDG de Colonial Pipeline, expliquent pourquoi il a payé une rançon de 4,4 millions de dollars aux pirates , Wall St. J. (19 mai 2021) ; Catherine Stupp, Le système de santé irlandais lutte contre les perturbations technologiques après l’attaque par ransomware de mai , Wall St. J. (18 juin 2021).(retourner)

Voir Dep’t of Health & Human Serv., Ransomware Trends 2021 à 11 (3 juin 2021), disponible sur https://www.hhs.gov/sites/default/files/ransomware-trends-2021.pdf.(retourner)

4 Palo Alto Networks, rapport sur les menaces de ransomware à 4 (2021) ; voir aussi Jacob Bunge, JBS Paid $11 Million to Resolve Ransomware Attack , Wall St. J. (9 juin 2021).(retourner)

Voir, par exemple , Communiqué de presse, Sénateur américain Jackie Rosen, Rosen Leads Bipartisan Group of Senators to Reintroduce Bipartisan Electric Grid Security Legislation (24 juin 2021) ; Communiqué de presse, Féd. Bureau of Investigation, Déclaration du FBI sur les récentes attaques de ransomware (4 juin 2021) ; Communiqué de presse, Dep’t of Homeland Security, DHS annonce de nouvelles exigences en matière de cybersécurité pour les propriétaires et exploitants de pipelines critiques (27 mai 2021).(retourner)

6 Magno Logan, Erika Mendoza, et al., The State of Ransomware: 2020’s Catch-22 (3 février 2021), disponible sur https://www.trendmicro.com/vinfo/us/security/news/cybercrime- and-digital-menaces/the-state-of-ransomware-2020-s-catch-22 .(retourner)

7 Mayra Fuentes, Feike Hacquebord et al., Modern Ransomware’s Double Extorsion Tactics and How to Protect Enterprises Against Them at 9 (2021), disponible sur https://documents.trendmicro.com/assets/white_papers/wp-modern-ransomwares -double-extorsion-tactiques.pdf .(retourner)

Id. Certains acteurs de ransomware incluent une troisième couche d’extorsion en ajoutant des attaques par déni de service (« DDoS ») contre les sites Web des victimes, qui peuvent submerger un réseau de trafic, provoquant une interruption supplémentaire des opérations. D’autres ont même ajouté une quatrième couche d’extorsion en contactant directement les clients d’une victime dans le but d’augmenter la pression sur la victime pour qu’elle paie. Voir Janus Agcaoili, Miguel Ang et al., Ransomware Double Extortion and Beyond : REvil, Clop et Conti (15 juin 2021), disponible sur https://www.trendmicro.com/vinfo/dk/security/news/ cybercriminalité-et-menaces-numériques/ransomware-double-extorsion-and-beyond-revil-clop-and-conti .(retourner)

Voir le rapport Palo Alto, supra note 4, p. 4.(retourner)

10 Voir Fuentes et al., supra note 7, à 6.(retourner)

11 Bob McArdle, The Life Cycle of a Compromised (Cloud) Server, Trend Micro (1er septembre 2020), disponible sur https://blog.trendmicro.com/the-lifecycle-of-a-compromised-cloud-server .(retourner)

12 Voir, par exemple , Cybersecurity Infrastructure & Sec. Agency (« CISA »), Darkside Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks (30 mai 2021), disponible sur https://us-cert.cisa.gov/ncas/alerts/aa21-131a . TOR est un logiciel gratuit qui permet des communications anonymes sur Internet.(retourner)

13 Id.(retourner)

14 Id.(retourner)

15 Jordan Robertson & William Turton, Colonial Hackers Stole Data Thursday Ahead of Shutdown , Bloomberg (8 mai 2021), disponible sur https://www.bloomberg.com/news/articles/2021-05-09/colonial-hackers- volé-données-jeudi-avant-l’arrêt-du-pipeline .(retourner)

16 Communiqué de presse, US Dep’t of Justice, Department of Justice saisit 2,3 millions de dollars en crypto-monnaie payés aux ransomwares Extortionists Darkside (7 juin 2021).(retourner)

17 Shining a Light on Darkside Ransomware Operations, Fireeye (11 mai 2021), disponible sur https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware -opérations.html .(retourner)

18 Voir Fuentes et al., supra note 7.(retourner)

19 Ry Crozier, Toll Group peut avoir perdu plus de 200 Go de données lors d’une attaque de ransomware , IT News (20 mai 2020).(retourner)

20 Phil Muncaster, REvil Ransomware Group Auctions Stolen Data , Info Security Group (3 juin 2020), disponible sur https://www.infosecurity-magazine.com/news/revil-ransomware-group-auctions .(retourner)

21 Lawrence Abrams, Healthcare Giant Grupo Fleury Hit By REvil Ransomware Attack , BleepingComputer (23 juin 2021), disponible sur https://www.bleepingcomputer.com/news/security/healthcare-giant-grupo-fleury-hit-by- attaque-revil-ransomware/ ; Communiqué de presse, Féd. Bureau of Investigation, Déclaration du FBI sur la cyberattaque JBS (2 juin 2021).(retourner)

22 Voir Bunge, supra note 4.(retourner)

23 Voir S. 645, 117e Cong. (2021), disponible sur https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/warnerrubiodraftbill.pdf(retourner)

24 Voir, par exemple , Doug Olenick, Should Paying Ransoms to Attackers Be Banned, Data Breach (24 mai 2021) ; Cynthia Brumfield, Four States Propose Laws to Ban Ransomware Payments , CSO (28 juin 2021), disponible sur https://www.csoonline.com/article/3622888/four-states-propose-laws-to-ban-ransomware- paiements.html .(retourner)

25 N.YS 6806, 2021-2022 Sess. (18 mai 2021), disponible sur https://www.nysenate.gov/legislation/bills/2021/s6806 .(retourner)

Top 10 des billets publiés sur Harvard Law School Forum au 24 juin 2021


Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 24 juin 2021.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

Top ten Images, Royalty-free Stock Top ten Photos & Pictures | Depositphotos

  1. Do UK and EU Companies Lead US Companies in ESG Measurements in Incentive Compensation Plans?
  2. 2021 Say on Pay Failures Partly Due to Covid-19 Related Pay Actions
  3. Introducing the “Technergy” ESG Reporting Strategy
  4. General Solicitation and General Advertising
  5. Competition Laws, Governance, and Firm Value
  6. How to Accelerate Board Effectiveness Through Insight and Ongoing Education
  7. The Biden Administration’s Executive Order on Climate-Related Financial Risks
  8. Benchmarking of Pay Components in CEO Compensation Design
  9. Vanguard’s Insights on Shareholder Proposals Concerning Diversity, Equity, and Inclusion
  10. Speech by Commissioner Roisman on Whether the SEC Can Make Sustainable ESG Rules

Top 10 des billets publiés sur Harvard Law School Forum au 10 juin 2021


Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 10 juin 2021.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

LYRICshowcases: Our Top Ten Favourite Country Songs of 2019 | Lyric Magazine

  1. Institutional Investor Survey 2021
  2. Do Firms With Specialized M&A Staff Make Better Acquisitions?
  3. Proposed EU Directive on ESG Reporting Would Impact US Companies
  4. ESG Scrutiny From the SEC’s Division of Examinations
  5. Pandemic Risk and the Interpretation of Exceptions in MAE Clauses
  6. SEC Approves Nasdaq’s Direct Listing Rule
  7. How Informative Is the Text of Securities Complaints?
  8. Private Sector Implications of Biden’s Executive Order on Climate-Related Financial Risk
  9. Cash-for-Information Whistleblower Programs: Effects on Whistleblowing and Consequences for Whistleblowers
  10. Principles for Board Governance of Cyber Risk

Gouvernance et création de valeur


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publie quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du huitième article du CAS qui porte sur la gouvernance et la création de valeur.

La publication de Maurice Gosselin*, professeur titulaire de l’École de comptabilité de la faculté des sciences de l’administration de l’Université Laval, nous présente le concept de la création de valeur, et comment celle-ci contribue à la bonne gouvernance des organisations.

Il fait notamment la distinction entre la création de valeur sociale et la création de valeur économique, en expliquant par ailleurs le rôle du CA pour chacune de ces facettes, tant à l’interne qu’à l’externe.

L’auteur fait le lien entre les notions de valeur économique des organisations et les valeurs sociales.  Comment doivent se comporter les administrateurs de sociétés afin de s’acquitter de leurs obligations fiduciaires ?

Voici un extrait de l’article.

La création de valeur économique représente comment l’organisation réussit à assurer sa pérennité en se donnant des ressources financières suffisantes pour réaliser ses objectifs. La création de la valeur économique passe par la surveillance de la direction par le conseil d’administration et par la gestion effectuée par la direction générale. La performance financière constitue la pierre angulaire de la création de valeur économique.

Sur le plan économique, la création de valeur à l’interne passe par des décisions stratégiques relevant du conseil d’administration et de la direction telles que :

  • Le positionnement stratégique;
  • L’innovation;
  • Le regroupement d’entreprises d’un secteur et la restructuration des activités dans cette chaîne de valeur;
  • Le développement de nouvelles entreprises;
  • L’internationalisation des activités.

La création de valeur sociale à l’interne passe par le bien-être des employés et leur responsabilisation. Le développement d’une culture organisationnelle qui place les ressources humaines au cœur de l’organisation est essentiel au succès dans ce domaine. Et ce, encore plus, dans un contexte où les ressources humaines compétentes sont de plus en plus rares. De plus, les préoccupations en matière de création d’emplois, de santé et sécurité au travail et de formation sont au cœur de la création de valeur sociale à l’interne. Les administrateurs désirent être informés des objectifs et de la performance de l’organisation à ce chapitre.

Le conseil d’administration se préoccupera également de la gestion des talents et de la relève, car les ressources humaines doivent évoluer pour répondre aux besoins de l’organisation. Elles sont rares et mobiles, et essentielles pour assurer la pérennité de l’organisation.

Le développement durable, et plus spécifiquement l’empreinte environnementale de l’organisation est aussi une dimension importante de la création de valeur sociale. Les parties prenantes sont de plus en plus préoccupées par cet aspect de la gestion d’une organisation.

Le conseil d’administration va vouloir évaluer la création de valeur sociale. La direction va donc être appelée à produire périodiquement un tableau de bord ou un rapport qui regroupera les éléments de création de valeur sociale comme :

  • La performance sociale;
  • La performance environnementale;
  • La création d’emplois;
  • La satisfaction de la clientèle et des autres acteurs dans la chaîne de valeur;
  • La santé et la sécurité au travail des employés;
  • La période sans accident de travail majeur.

Bonne lecture !


*Maurice Gosselin, Ph.D., FCPA auditeur, CA, ASC, professeur titulaire, École de comptabilité, FSA ULaval

La gestion des risques et le rôle du CA au Canada


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publie quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du septième article qui porte sur la gestion des risques d’entreprises (GRE) et l’importance d’identifier les risques émergents en ces temps de pandémie COVID-19. « Dans ce contexte, le conseil d’administration assume une responsabilité de supervision (oversight) de la gestion des risques organisationnels, et non pas d’exécution ».

La publication de Gilles Bernier*, professeur titulaire retraité de la faculté des sciences de l’administration de l’Université Laval, nous invite à prendre connaissance d’une récente enquête réalisée en ligne en 2018 par le Conference Board du Canada (en partenariat avec CPA Canada et l’Institut mondial de gestion des risques du secteur financier), auprès de 160 professionnels qui dirigent la gestion des risques au sein de leur organisation respective

L’auteure aborde plusieurs questions cruciales pour les administrateurs : que peuvent-ils et que doivent-ils faire afin de s’acquitter de leurs obligations fiduciaires ?

Voici un extrait de l’article.

– La GRE a beaucoup progressé au cours de la dernière décennie au Canada, sauf dans les plus petites organisations.

– Au Canada, les conseils d’administration semblent prendre de plus en plus au sérieux la gouvernance des risques d’entreprise. Ainsi, le sondage montre « que 69 % des répondants confirment que leur conseil d’administration a supervisé les politiques de gestion des risques de l’organisation ». De plus, près de 60 % des répondants qualifient la GRE de leur organisation de « centralisée », c’est-à-dire relevant de la direction générale ou de la direction financière.

– Un autre aspect que le sondage indique est le manque de soutien des équipes de direction, ce qui va souvent se refléter par un niveau de ressources — humaines, financières et technologiques — insuffisantes pour permettre à la fonction GRE d’atteindre une plus grande maturité. Une idée qui pourrait possiblement faire en sorte que les dirigeants adhèrent encore plus à la GRE serait de resserrer le lien entre celle-ci et leur rémunération.

– Il s’avère que là où la GRE est vraiment intégrée (par exemple, dans le secteur financier), elle est plus souvent considérée comme un outil stratégique clé et comme un facteur de réussite en affaires. Dès lors, la gouvernance des risques stratégiques est certes un aspect auquel les conseils d’administration canadiens devraient porter une attention encore plus marquée. En effet, il faut se rappeler qu’un plan stratégique n’est qu’un scénario qui comporte bien des incertitudes.

– Un autre constat fort intéressant réside dans le fait que le potentiel de la GRE « pour ce qui est de tirer parti du bon côté du risque et de créer de la valeur reste sous-développé » dans un grand nombre d’organisations.

– Enfin, les répondants se montrent davantage préoccupés par les priorités relatives aux risques immédiats (financiers, opérationnels, de non-conformité et d’atteinte à la réputation) et moins par les risques émergents.

Bonne lecture !


*Gilles Bernier, Ph.D., ASC, C.Dir., A.C.C., professeur retraité, FSA ULaval, et administrateur de sociétés

Les attaques de cybersécurité sont-elles une fatalité ?


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publie quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du sixième article qui porte sur les risques associés aux attaques de plus en plus fréquentes de nature informatique. Quels sont les devoirs et les responsabilités des administrateurs de sociétés eu égard à la cybersécurité ?

La publication de Lyne Bouchard*, professeure agrégée de la faculté des sciences de l’administration de l’Université Laval, nous rappelle les moyens de défense accessibles afin d’éviter les ravages causés par les attaques informatiques.

L’article présente un aperçu de l’univers des menaces en cybersécurité et montre comment plusieurs sociétés ont été victimes des cybercriminels. 

L’auteure aborde une question fondamentale pour les administrateurs : que peuvent-ils et que doivent-ils faire afin de s’acquitter de leurs obligations fiduciaires ?

Voici un extrait de l’article.

On finalise la préparation du rapport annuel de votre organisation. On vous demande de certifier, avec votre signature, que les résultats présentés dans le rapport sont fidèles à la réalité et n’ont pas été modifiés à la suite d’un événement de cybersécurité. Vous signez ?

POURQUOI EST-CE SI FACILE DE MENER DES CYBERATTAQUES ?

Ce qui est le plus désolant c’est que ce sont souvent les organisations elles-mêmes ou les utilisateurs eux-mêmes qui ont rendu possible, littéralement, les attaques :– Les vols de données chez Desjardins, Revenu Québec ou au Ministère de l’Éducation ont été rendus possibles par des gestionnaires qui ont traité à la légère les demandes d’accès à des informations de la part de leurs employés, demandes qui n’étaient pas justifiées, mais qui ont rendu possible de vol de données ;

– Chez Équifax, Capital One, Uber, et LifeLabs, c’est l’absence de mise à jour des correctifs de sécurité publiés par les fournisseurs de logiciels et matériel informatique ou le laxisme en sécurité informatique de la part des spécialistes, qui a rendu possible les vols de données ;

– Yahoo, Target, TransUnion, la Banque de Montréal et la CIBC n’avaient pas implanté des identifiants forts pour permettre à des gens de l’externe de se connecter à leurs systèmes ou des procédures sécuritaires pour modifier les mots de passe ;

– De nombreux autres exemples, tels que l’hôpital Michel Garron de Toronto, le gouvernement du Nunavuk, les villes de Woodstock et de Saskatoon, ont péché par l’absence de formation adéquate de leur personnel qui a cliqué sur un fichier attaché dans un courriel, n’a pas utilisé de bons mots de passe, s’est fié aux personnes qui les ont contactés par courriel ou par téléphone.

Heureusement, de telles situations peuvent être évitées. Les technologies sont au cœur des menaces, mais la solution se situe au niveau des individus.

Bonne lecture !

_____________________________

*Lyne Bouchard, IAS.A., professeure agrégée, FSA ULaval | Vice-rectrice aux ressources humaines de l’Université Laval | Directrice de l’Observatoire de gouvernance des technologies de l’information

L’audit interne en période de pandémie


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publiera quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du quatrième article qui porte sur la place de l’audit interne dans le contexte de la pandémie, et son rôle dans la gouvernance des sociétés.

Dans son article, Mélanie Roussy* aborde trois paramètres-clés afin de cerner la marge de manœuvre d’un comité d’audit en période de grands bouleversements. L’auteure propose les activités suivantes : (1) envisager le ralentissement ou l’arrêt des activités et revoir la planification des travaux de l’audit interne (2) mettre les connaissances et les compétences de l’équipe d’audit interne au service des besoins essentiels, et (3) veiller au retour à la normale, après la période de mouvance.

« Un contexte turbulent comme celui de la pandémie offre au comité d’audit l’occasion de consolider la qualité des travaux futurs de l’audit interne et son utilité comme mécanisme de gouvernance. Pour ce faire, le comité doit s’assurer que les interventions de l’audit interne demeurent pertinentes en période de turbulence ».

Je vous invite à lire l’article de Mélanie.

Bonne lecture !

Audit interne et gouvernance

 

 

L’audit interne est considéré comme un mécanisme de gouvernance au service du comité d’audit et de la haute direction. Ses travaux apportent notamment du confort aux administrateurs quant à l’efficacité de la gestion des risques (financiers ou non) et du contrôle, contribuent à l’amélioration de la reddition de comptes, tout en stimulant l’apprentissage organisationnel. Toutefois, pour que l’audit interne génère les bénéfices escomptés, encore faut-il que ses interventions soient arrimées aux principales préoccupations du comité d’audit et de la haute direction. De plus, il est impératif que l’audit interne soit perçu comme un aidant au sein de l’organisation, sans quoi son efficacité se trouvera limitée.

La crise sanitaire de 2020 provoquée par la pandémie de la COVID-19 a fortement ébranlé la société canadienne, comme plusieurs autres à l’échelle mondiale. Cela a poussé les organisations, tous secteurs confondus, dans une période d’intenses turbulences. Or, en période de turbulences, les préoccupations des administrateurs et de la direction changent face à l’urgence de la situation. Ainsi, peu importe ce qui a causé lesdites turbulences, qu’elles n’affectent qu’une seule organisation, un secteur d’affaires en particulier ou l’économie en général, il est de la responsabilité du comité d’audit de s’assurer que les interventions de l’audit interne demeurent pertinentes dans ces circonstances exceptionnelles. Ces questions se posent alors : (1) que fait-on avec l’audit interne en période de turbulences ? Et (2) quelle est la marge de manœuvre dont dispose le comité d’audit pour ajuster les responsabilités de l’audit interne sans contrevenir au Cadre de référence internationale des pratiques professionnelles de l’audit interne (ci-après : Cadre de référence) de l’Institut des auditeurs internes (The IIA, IPPF 2017) ? La suite de ce texte aborde trois paramètres à considérer en réponse à ces deux questions.

ENVISAGER LE RALENTISSEMENT OU L’ARRÊT DES ACTIVITÉS ET REVOIR LA PLANIFICATION DES TRAVAUX DE L’AUDIT INTERNE

 

La réalisation des travaux de l’audit interne nécessite obligatoirement la collaboration des gestionnaires responsables du processus audité et de leurs équipes. En période de turbulences, ces derniers sont occupés à gérer les services essentiels et à pallier diverses urgences qui surviennent, souvent en cascade. Ainsi, à moins que le comité d’audit estime qu’un mandat en cours est absolument essentiel, et ce malgré la situation qui prévaut, les travaux en cours de l’audit interne devraient être considérablement ralentis ou carrément mis sur la glace le temps que la situation se résorbe et que le cours « normal » des activités de l’organisation ait repris. Cela évitera de surcharger encore davantage les gestionnaires et leurs équipes tout en limitant les irritants.

Une fois les turbulences passées, il serait d’ailleurs approprié de revoir l’ensemble de la planification des travaux de l’audit interne. En effet, il se peut que les priorités de l’organisation et les risques auxquels elle est exposée aient évolué ; rendant ainsi plus ou moins pertinente la planification datant d’avant les évènements.

METTRE LES CONNAISSANCES ET LES COMPÉTENCES DE L’ÉQUIPE D’AUDIT INTERNE AU SERVICE DES BESOINS ESSENTIELS

 

Durant le ralentissement ou l’arrêt des travaux initialement prévus, le comité d’audit peut autoriser le redéploiement des effectifs de l’audit interne à d’autres fins sans contrevenir au Cadre de référence (The IIA, IPPF 2017), et ce, même si cela peut sembler compromettre l’indépendance de la fonction d’audit interne et l’objectivité des auditeurs internes. En effet, le Cadre de référence (The IIA, IPPF 2017, par. 1112) permet au comité d’audit d’autoriser le responsable de l’audit interne, et donc les membres de son équipe, à assumer des responsabilités en dehors du spectre habituel de l’audit interne. Le comité est alors responsable d’autoriser ces interventions particulières et de superviser leur réalisation. Le comité devra également établir les mesures de sauvegarde de l’indépendance de la fonction et de l’objectivité des auditeurs internes. Il est donc possible de mettre l’audit interne au service des besoins essentiels en temps de crise et de redéployer les effectifs en conséquence, à la condition que le comité d’audit l’autorise et en balise les conditions. Par exemple, on peut notamment envisager de miser sur ces forces de l’équipe d’audit interne :

Connaissance fine de l’organisation

Au cours de la planification et de la réalisation des travaux (ex. audit de performance, audit de conformité, services-conseils en tout genre, participation à des comités de travail, etc.), les auditeurs internes développent une connaissance fine de l’organisation. Le président du comité d’audit ne devrait pas hésiter à se servir de ce vecteur de connaissances qu’est l’audit interne pour obtenir rapidement des réponses aux questions qui préoccupent le comité en période de turbulences. Cette connaissance fine peut être également mise à profit par l’équipe de direction en intégrant par exemple le responsable de l’audit interne à la cellule de crise de la haute direction. Cela permet de supporter l’équipe de direction tout en facilitant la circulation rapide de l’information jusqu’au comité d’audit.

Versatilité et agilité des auditeurs internes

De plus, les auditeurs internes sont habitués à passer d’un mandat à l’autre, d’une division à l’autre pour réaliser leurs travaux. Cela fait d’eux des professionnels versatiles et agiles qui peuvent être déployés rapidement comme personnes-ressources dans plusieurs secteurs névralgiques de l’organisation. Il ne s’agit pas de prétendre qu’ils peuvent tout faire, mais simplement de garder en tête qu’ils sont en mesure d’appuyer les gestionnaires là où les besoins se feront le plus sentir ; de prêter main-forte à leurs collègues.

Savoir-faire associé à la pratique de l’audit

Les auditeurs internes développent un savoir-faire particulier associé à la pratique de l’audit ; savoir-faire qui peut s’avérer utile en période de turbulences. Notamment, les auditeurs internes réalisent fréquemment des analyses comparatives sectorielles afin d’identifier les meilleures pratiques associées à la maîtrise d’un risque en particulier. Par exemple, dans le contexte des turbulences induites par la pandémie de la COVID-19, ce savoir-faire aurait pu contribuer à alimenter le comité de travail chargé de concevoir de nouveaux protocoles de santé et sécurité au travail plutôt que d’attendre après-coup pour envoyer les auditeurs internes auditer ce nouveau protocole.

VEILLER AU « RETOUR À LA NORMALE » APRÈS LA PÉRIODE DE TURBULENCES

 

En pleines turbulences, la pertinence des interventions et la solidarité avec l’ensemble de l’organisation prennent le pas sur l’application pure et dure des principes d’indépendance de la fonction d’audit interne et d’objectivité des auditeurs internes. Il est donc important, dans le respect du Cadre de référence (The IIA, 2017), que le comité d’audit prévoie des lignes directrices visant à circonscrire les conditions de retour la normale des travaux de l’audit interne. Ces lignes directrices devraient d’ailleurs être déterminées en collaboration avec la haute direction et le responsable de l’audit interne, afin de s’assurer que les principaux intéressés soient sur la même longueur d’onde.

En conclusion, l’audit interne devrait faire partie de la solution au côté de la direction et des gens de l’organisation lorsque survient une période de turbulences. Ainsi, même si nous souhaiterions l’éviter, un contexte turbulent peut représenter une opportunité de consolider la perception (voire de la transformer si nécessaire) de l’audit interne comme un joueur à part entière de l’équipe, solidaire dans l’adversité. Non seulement les activités de l’audit interne seront contributoires durant la période de turbulences, mais cela pourrait aussi faciliter ses interventions futures en le positionnant comme un aidant des gestionnaires, sans pour autant compromettre son indépendance et sa pertinence pour le comité d’audit. La qualité globale des travaux futurs de l’audit interne et, conséquemment, son utilité comme mécanisme de gouvernance s’en trouveront ainsi renforcées.

_________________________________________

*Mélanie Roussy, PhD, CPA, CA, ASC, professeure titulaire, École de comptabilité, FSA ULaval

 

Principes de gouvernance qui guident les investissements de BlackRock


BlackRock vient de publier sa position concernant les principes de gouvernance qui doivent guider ses investissements dans les sociétés de rang mondial.

BlackRock est une entreprise pionnière dans la divulgation des critères qu’elle prend en compte avant d’investir dans les organisations. C’est pour cette raison que toutes les personnes intéressées par les questions de gouvernance doivent être bien informées sur les grands principes qui soutiennent ses décisions.

Dans cet article publié par Sandra Boss, responsable mondiale de la gestion des investissements, Michelle Edkins, directrice générale du management des investissements et Shinbo Won, directeur du management des investissements chez BlackRock, inc., les auteurs présentent en détail les règles qui gouvernent les investissements de BlackRock.

Celles-ci sont considérées comme le « Gold standard » dans le monde de la gouvernance.

L’article ci-joint présente la philosophie de placement de l’organisation, ainsi que les principes qui recouvrent les sept thèmes suivants :

    • Conseils et administrateurs
    • Auditeurs et problèmes liés à l’audit
    • Structure du capital, fusions, ventes d’actifs et autres transactions spéciales
    • Rémunération et avantages
    • Problèmes environnementaux et sociaux
    • Questions générales de gouvernance d’entreprise et protection des actionnaires
    • Propositions d’actionnaires

Dans ce billet, je fais référence au premier thème, celui portant sur les principes devant guider la gouvernance des entreprises, notamment les questions relatives à la gouvernance et à la composition des conseils d’administration.

Pour en connaître davantage sur les autres principes, je vous invite à lire l’article au complet.

Bonne lecture !

BlackRock Investment Stewardship Global Principles

 

BlackRock assets reach $7.32T as crisis drives record investments | Fox Business

 

The purpose of this post is to provide an overarching explanation of BlackRock’s approach globally to our responsibilities as a shareholder on behalf of our clients, our expectations of companies, and our commitments to clients in terms of our own governance and transparency.

Introduction to BlackRock

BlackRock’s purpose is to help more and more people experience financial well-being. We manage assets on behalf of institutional and individual clients, across a full spectrum of investment strategies, asset classes, and regions. Our client base includes pension plans, endowments, foundations, charities, official institutions, insurers, and other financial institutions, as well as individuals around the world. As part of our fiduciary duty to our clients, we have determined that it is generally in the best long-term interest of our clients to promote sound corporate governance through voting as an informed, engaged shareholder. This is the responsibility of the Investment Stewardship Team.

Philosophy on investment stewardship

Companies are responsible for ensuring they have appropriate governance structures to serve the interests of shareholders and other key stakeholders. We believe that there are certain fundamental rights attached to shareholding. Companies and their boards should be accountable to shareholders and structured with appropriate checks and balances to ensure that they operate in shareholders’ best interests to create sustainable value. Shareholders should have the right to vote to elect, remove, and nominate directors, approve the appointment of the auditor, and amend the corporate charter or by-laws. Shareholders should be able to vote on matters that are material to the protection of their investment, including but not limited to, changes to the purpose of the business, dilution levels and pre-emptive rights, and the distribution of income and capital structure. In order to make informed decisions, we believe that shareholders have the right to sufficient and timely information. In addition, shareholder voting rights should be proportionate to their economic ownership—the principle of “one share, one vote” helps achieve this balance.

Consistent with these shareholder rights, we believe BlackRock has a responsibility to monitor and provide feedback to companies, in our role as stewards of our clients’ investments. BlackRock Investment Stewardship (“BIS”) does this through engagement with management teams and/or board members on material business issues including environmental, social, and governance (“ESG”) matters and, for those clients who have given us authority, through voting proxies in the best long-term economic interests of our clients. We also participate in the public debate to shape global norms and industry standards with the goal of a policy framework consistent with our clients’ interests as long-term shareholders.

BlackRock looks to companies to provide timely, accurate, and comprehensive reporting on all material governance and business matters, including ESG issues. This allows shareholders to appropriately understand and assess how relevant risks and opportunities are being effectively identified and managed. Where company reporting and disclosure is inadequate or the approach taken is inconsistent with our view of what supports sustainable long-term value creation, we will engage with a company and/or use our vote to encourage a change in practice.

BlackRock views engagement as an important activity; engagement provides us with the opportunity to improve our understanding of the business and ESG risks and opportunities that are material to the companies in which our clients invest. As long-term investors on behalf of clients, we seek to have regular and continuing dialogue with executives and board directors to advance sound governance and sustainable business practices, as well as to understand the effectiveness of the company’s management and oversight of material issues. Engagement is an important mechanism for providing feedback on company practices and disclosures, particularly where we believe they could be enhanced. We primarily engage through direct dialogue but may use other tools such as written correspondence to share our perspectives. Engagement also informs our voting decisions.

We vote in support of management and boards where and to the extent they demonstrate an approach consistent with creating sustainable long-term value. If we have concerns about a company’s approach, we may choose to engage to explain our expectations. Where we consider that a company has failed to address one or more material issues within an appropriate timeframe, we may hold directors accountable or take other voting actions to signal our concerns. We apply our voting guidelines to achieve the outcome we believe is most aligned with our clients’ long-term economic interests.

Key themes

We recognize that accepted standards and norms of corporate governance differ between markets; however, there are sufficient common threads globally to identify this overarching set of principles (the “Principles”) which are anchored in transparency and accountability. At a minimum, we expect companies to observe the accepted corporate governance standards in their domestic market or to explain why not doing so supports sustainable long-term value creation.

Our regional and market-specific voting guidelines explain how these Principles inform our voting decisions in relation to specific ballot items for shareholder meetings.

These Principles cover seven key themes:

  • Boards and directors
  • Auditors and audit-related issues
  • Capital structure, mergers, asset sales, and other special transactions
  • Compensation and benefits
  • Environmental and social issues
  • General corporate governance matters and shareholder protections
  • Shareholder proposals

Boards and directors

The performance of the board is critical to the economic success of the company and the protection of shareholders’ interests. As part of their responsibilities, board members owe fiduciary duties to shareholders in overseeing the strategic direction and operation of the company. For this reason, BlackRock focuses on directors in many of our engagements and sees the election of directors as one of our most important responsibilities in the proxy voting context.

We support boards whose approach is consistent with creating sustainable long-term value. This includes the effective management of strategic, operational, and material ESG factors and the consideration of key stakeholder interests. Our primary focus is on the performance of the board of directors. The board should establish and maintain a framework of robust and effective governance mechanisms to support its oversight of the company’s strategic aims. We look to the board to articulate the effectiveness of these mechanisms in overseeing the management of business risks and opportunities and the fulfillment of the company’s purpose. Disclosure of material issues that affect the company’s long-term strategy and value creation, including material ESG factors, is essential for shareholders to be able to appropriately understand and assess how the board is effectively identifying, managing, and mitigating risks.

Where a company has not adequately disclosed and demonstrated these responsibilities, we will consider withholding our support for the re-election of directors whom we hold accountable. We assess director performance on a case-by-case basis and in light of each company’s particular circumstances, taking into consideration our assessment of their governance, sustainable business practices, and performance. In serving the interests of shareholders, the responsibility of the board of directors includes, but is not limited to, the following:

– Establishing an appropriate corporate governance structure

– Supporting and overseeing management in setting long-term strategic goals, applicable measures of value-creation and milestones that will demonstrate progress, and steps taken if any obstacles are anticipated or incurred

– Providing oversight on the identification and management of material, business operational and sustainability-related risks

– Overseeing the financial resilience of the company, the integrity of financial statements, and the robustness of a company’s Enterprise Risk Management [1] frameworks

– Making decisions on matters that require independent evaluation which may include mergers, acquisitions and disposals, activist situations or other similar cases

– Establishing appropriate executive compensation structures

– Addressing business issues, including environmental and social issues, when they have the potential to materially impact the company’s long-term value

There should be clear definitions of the role of the board, the committees of the board and senior management. We set out below ways in which boards and directors can demonstrate a commitment to acting in the best interests of long-term shareholders. We will seek to engage with the appropriate directors where we have concerns about the performance of the company, board, or individual directors. As noted above, we believe that when a company is not effectively addressing a material issue, its directors should be held accountable.

Regular accountability

BlackRock believes that directors should stand for re-election on a regular basis, ideally annually. In our experience, annual re-elections allow shareholders to reaffirm their support for board members or hold them accountable for their decisions in a timely manner. When board members are not re-elected annually, we believe it is good practice for boards to have a rotation policy to ensure that, through a board cycle, all directors have had their appointment re-confirmed, with a proportion of directors being put forward for re-election at each annual general meeting.

Effective board composition

Regular director elections also give boards the opportunity to adjust their composition in an orderly way to reflect the evolution of the company’s strategy and the market environment. BlackRock believes it is beneficial for new directors to be brought onto the board periodically to refresh the group’s thinking and in a manner that supports both continuity and appropriate succession planning. We expect companies to keep under regular review the effectiveness of its board (including its size), and assess directors nominated for election or re-election in the context of the composition of the board as a whole. This assessment should consider a number of factors, including the potential need to address gaps in skills or experience, the diversity of the board, and the balance of independent and non-independent directors. We also consider the average tenure of the overall board, where we are seeking a balance between the knowledge and experience of longer-serving members and the fresh perspectives of newer members.

When nominating new directors to the board, there should be detailed information on the individual candidates in order for shareholders to assess the suitability of an individual nominee and the overall board composition. These disclosures should give a clear sense of how the collective experience and expertise of the board aligns with the company’s long-term strategy and business model. We also expect disclosures to demonstrate how diversity is accounted for within the proposed board composition, including demographic factors such as gender, ethnicity, and age; as well as professional characteristics, such as a director’s industry experience, specialist areas of expertise, and geographic location.

We expect there to be a sufficient number of independent directors, free from conflicts of interest or undue influence from connected parties, to ensure objectivity in the decision-making of the board and its ability to oversee management.

Common impediments to independence may include but are not limited to:

  • Current or recent employment at the company or a subsidiary
  • Being, or representing, a shareholder with a substantial shareholding in the company
  • Interlocking directorships
  • Having any other interest, business, or other relationship which could, or could reasonably be perceived to, materially interfere with a director’s ability to act in the best interests of the company

BlackRock believes that the board is able to fulfill its fiduciary duty when there is a clearly independent, senior non-executive director to chair it or, where the chairman is also the CEO (or is otherwise not independent), a lead independent l director. The role of this director is to enhance the effectiveness of the independent members of the board through shaping the agenda, ensuring adequate information is provided to the board and encouraging independent participation in board deliberations. The lead independent director or another appropriate director should be available to shareholders in those situations where an independent director is best placed to explain and justify a company’s approach.

There are matters for which the board has responsibility that may involve a conflict of interest for executives or for affiliated directors. BlackRock believes that objective oversight of such matters is best achieved when the board forms committees comprised entirely of independent directors. In many markets, these committees of the board specialize in audit, director nominations and compensation matters. An ad hoc committee might also be formed to decide on a special transaction, particularly one involving a related party, or to investigate a significant adverse event.

Sufficient capacity

As the role of a director is demanding, directors must be able to commit an appropriate amount of time to board and committee matters. It is important that every director has the capacity to meet all of his/her responsibilities—including when there are unforeseen events—and therefore, he/she should not take on an excessive number of roles that would impair his/her ability to fulfill his/her duties.

Comment gérer le départ d’un administrateur problématique ?


Voilà une question délicate qui exige une réponse mesurée !

Un article de Michael W. Peregrine, associé de la firme McDermott Will & Emery, publié sur le site du Harvard Law School, propose deux approches qui semblent prometteuses.

(1) Un outil de plus en plus populaire pour les conseils d’administration pour relever ce défi est une politique qui oblige un administrateur à divulguer volontairement à la direction du conseil la survenance d’une telle circonstance. Le conseil, par l’entremise d’un comité spécial, évaluerait la situation dans le contexte de son impact sur la société et de l’efficacité de sa gouvernance, puis rendrait une décision sur la question de savoir si l’administrateur devrait être obligé de démissionner du conseil.

(2) Un autre outil populaire est le « director offboarding », un processus ciblé du conseil pour parvenir à une séparation structurée de certains administrateurs sans susciter de controverse ou de mauvaise volonté. Il vise à permettre au conseil de réaliser le roulement nécessaire plus rapidement et plus largement que par le biais de limites de mandats ou d’âge obligatoire de la retraite, et plus doucement que par la révocation.

Je vous invite à lire la version française de la publication, en utilisant l’outil de traduction de Google, lequel est certainement perfectible.

Bonne lecture !

When That Problematic Board Member Just Won’t Leave

 

When That Problematic Board Member Just Won't Leave

 

Parfois, un dirigeant d’entreprise qui est la principale source des problèmes de réputation d’une entreprise est le dernier à le reconnaître.

C’est pourquoi, afin de protéger l’entreprise contre les controverses indésirables et les atteintes à la réputation, les conseils d’administration bénéficient d’outils discrets pour révoquer les dirigeants et administrateurs problématiques avant la fin de leur mandat, et sans passer par un processus formel de révocation. Ces outils auto-exécutables sont destinés à résoudre les problèmes sans aggraver une mauvaise situation pour l’entreprise, le conseil d’administration et l’administrateur impliqué.

Les problèmes d’image découlent de deux circonstances qui peuvent surgir pendant le mandat d’un réalisateur ; la première classe, les circonstances du fait propre du directeur ; et les circonstances de seconde classe sur lesquelles le directeur peut n’avoir eu aucune responsabilité directe. Une fois en discussion publique, les deux types risquent de nuire à la réputation de l’entreprise, d’interférer ou de perturber le travail du conseil d’administration et de douter (juste ou injuste) de l’aptitude de l’administrateur impliqué à siéger.

La première classe comprendrait les controverses impliquant une organisation perçue négativement où le directeur occupe une position de leadership et qui par association par l’intermédiaire du directeur, remet en question la manière dont cette organisation fonctionne. Les exemples incluent la faillite, les enquêtes gouvernementales, les violations flagrantes de l’éthique d’entreprise, les amendes judiciaires ou réglementaires importantes ou les positions organisationnelles publiques qui sont en contradiction avec les normes sociales ou qui invitent à la diffamation.

La deuxième catégorie comprendrait les controverses qui impliquent ou allèguent une faute personnelle du directeur ; par exemple, allégations ou détermination de violation de la loi ou de la réglementation civile ou pénale, conduite contraire à l’éthique ; l’imposition de sanctions ou de pénalités pour faute personnelle ; allégations ou détermination de manquement à une obligation fiduciaire ; faillite personnelle ; interdiction de service à bord dans un État ou un secteur industriel particulier, ou conséquences similaires des activités personnellement contrôlables d’un administrateur.

Le dénominateur commun entre les deux classes est qu’elles soulèvent toutes deux des questions sur la capacité ou les qualifications continues du directeur à servir l’entreprise et, ce faisant, créent des défis de réputation pour l’entreprise associée à ce service continu. Avec ou sans mérite, le service continu du directeur devient un nouveau problème. Pourquoi ce gars est-il toujours sur leur conseil ?

Dans ces situations, la question pour le conseil est souvent : « Que faire ? » Cela est particulièrement vrai lorsqu’il s’agit d’allégations ou de réclamations, par opposition à des conclusions de fait ou de droit. Il n’est pas inhabituel que les conseils d’administration (ou les cadres supérieurs) adoptent ce qu’ils croient être des positions de principe en faveur du maintien en poste des dirigeants ou administrateurs accusés de certaines conduites, en invoquant l’argument « innocent jusqu’à preuve du contraire ». C’est compréhensible lorsque l’individu en question a des antécédents de service efficace et est bien respecté au sein de l’organisation. Il existe également des circonstances moins compréhensibles. Même dans les cas où les accusations ne sont pas méritées, le préjudice causé à l’entreprise peut encore résulter de l’atmosphère de suspicion qui peut survenir lorsqu’une accusation non fondée est portée.

Le travail du conseil est d’agir dans ce qu’il croit raisonnablement être dans l’intérêt supérieur de l’organisation, de sa mission et de ses parties prenantes. S’agissant des questions d’aptitude personnelle à servir, l’obligation du conseil de protéger la réputation de l’organisation peut être une considération primordiale, indépendamment de l’équité des circonstances. La situation peut créer une publicité négative qui est préjudiciable à l’organisation, déclencher une enquête réglementaire, entraîner une réaction économique significative et perturber le conseil d’administration.

On espère que la plupart des administrateurs reconnaissent un tel problème et démissionnent volontairement du conseil. Mais un tel espoir n’est pas universel dans le monde de l’entreprise…

Un outil de plus en plus populaire pour les conseils d’administration pour relever ce défi est une politique qui oblige un administrateur à divulguer volontairement à la direction du conseil la survenance d’une telle circonstance. Le conseil, par l’entremise d’un comité spécial, évaluerait la situation dans le contexte de son impact sur la société et de l’efficacité de sa gouvernance, puis rendrait une décision sur la question de savoir si l’administrateur devrait être obligé de démissionner du conseil.

Le principal avantage de la politique est sa nature auto-exécutable. Le directeur a déjà accepté de se conformer au processus, le processus a progressé et le maintien du service du directeur au conseil dépend des résultats de l’examen du conseil. Oui, il y a certainement des subtilités situationnelles, des zones grises et des problèmes juridiques impliqués dans une telle approche, mais elle est supérieure à un débat contentieux du conseil d’administration, au refus du directeur de démissionner, à une confrontation avec un directeur qui refuse de démissionner ou à d’éventuelles fuites médiatiques.

Un autre outil populaire est le « director offboarding », un processus ciblé du conseil pour parvenir à une séparation structurée de certains administrateurs sans susciter de controverse ou de mauvaise volonté. Il vise à permettre au conseil de réaliser le roulement nécessaire plus rapidement et plus largement que par le biais de limites de mandats ou d’âge obligatoire de la retraite, et plus doucement que par la révocation.

L’Association nationale des administrateurs de sociétés (NACD) a été un fervent défenseur de l’offboarding, notant que le concept d’administrateur n’est pas de servir aussi longtemps que vous l’on veut, mais de servir aussi longtemps que nécessaire. Comme défini par le NACD et d’autres, les processus de « retrait » sont fondés sur une compréhension partagée par tous les administrateurs des raisons pour lesquelles une personne a été nommée et des attentes du conseil en matière de rendement. Dès le début de leur mandat au conseil, les administrateurs sont idéalement mis au courant de la possibilité qu’on leur demande de quitter le conseil avant la fin officielle de leur mandat. Les accords de démission sont mis en œuvre dans le cadre d’un processus respectueux qui honore le directeur pour son service.

Il y aura des moments où la présence continue d’un administrateur au conseil d’administration deviendra problématique, pour des raisons qui peuvent ou non être de sa propre faute. Dans ces situations, le temps est peut-être insuffisant pour résoudre complètement les équités de la situation. L’optique est tellement mauvaise que le réalisateur doit partir — mais il ne comprend pas l’allusion. Les conseils ont donc besoin d’un mécanisme, en dehors d’un processus de retrait contentieux, pour aider discrètement et respectueusement le directeur à reconnaître l’heure de départ et pour l’escorter jusqu’à la sortie.

C’est une chose pour un administrateur de pouvoir résoudre le problème ; c’est une autre chose si l’administrateur ne réalise pas que le problème c’est lui.

Top 10 des billets publiés sur Harvard Law School Forum au 26 novembre 2020


 

Voici le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 26 novembre 2020.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

 

Ericsson jolts the FCPA top ten list | The FCPA Blog

 

  1. Acquisition Experience and Director Remuneration
  2. Russell 3000 Database of Executive Compensation Changes in Response to COVID-19
  3. Risks of Back-Channel Communications with a Controller
  4. Cyber: New Challenges in a COVID-19–Disrupted World
  5. Varieties of Shareholderism: Three Views of the Corporate Purpose Cathedral
  6. ISS Releases New Benchmark Policies for 2021
  7. Why Have CEO Pay Levels Become Less Diverse?
  8. The Department of Labor’s ESG-less Final ESG Rule
  9. SEC Adopts Rules to Modernize and Streamline Exempt Offerings
  10. EQT: Private Equity with a Purpose

La rémunération incitative en contexte de pandémie 2021


Voici un texte intéressant publié par Hugue St-Jean | Conseiller, rémunération des dirigeants et gouvernance et Bridgit Courey | Associée et conseillère principale, tous deux de la firme Perrault Conseil.

Les auteurs abordent la rémunération incitative en contexte de pandémie et présentent différentes approches pour mieux appréhender cette situation exceptionnelle. Voici certaines mesures à envisager pour 2021.

    1. Insister davantage sur les programmes d’intéressement à long terme (RILT);
    2. Faire un octroi supplémentaire au RILT pour compenser les pertes subies
      pendant la pandémie;
    3. Modifier les indicateurs de rendement.

Je vous invite à lire le document suivant afin de prendre connaissance des scénarios proposés.

INCITATIFS EN CONTEXTE DE PANDÉMIE

 

PCI Perrault Conseil – Notre expertise est à votre disposition pour vous aider à mettre en place des solutions de rémunération sensées permettant de soutenir l'atteinte de vos objectifs organisationnels.

 

Les perturbations économiques causées par la pandémie ont exacerbé les risques liés à la rémunération variable et à la rémunération à base d’actions dans un contexte très volatil.

À l’approche de l’automne 2020, la plupart des entreprises dont l’exercice financier prend fin au quatrième trimestre se demandent comment évaluer le rendement pour 2020 et comment fixer les objectifs de 2021.

Certaines entreprises ont déjà envisagé différentes approches et nous les avons groupées par thèmes. Nous soulignons aussi les avantages et certains risques à considérer résultant des façons d’aborder la rémunération incitative dans un contexte très volatil.

Le défi consiste à équilibrer les attentes des employés et celles des investisseurs tout en garantissant la protection de la pérennité et des liquidités de l’entreprise, en plus de maintenir la motivation et la rétention des employés.

Selon de récents sondages, plus de la moitié des entreprises envisagent de rajuster d’une manière ou d’une autre leur régime d’incitatifs.

Défis et priorités du comité d’audit au cours des prochains trimestres


Voici un article qui devrait inciter les comités d’audit à poser les bonnes questions en situation de pandémie.

L’article a été publié sur le Forum de Harvard Law School par Krista Parsons, directrice générale du Center for Board Effectiveness et Eric Knachel, associé au département Audit & Assurance, chez Deloitte LLP.

Je vous soumets la version française de l’introduction de la publication, en utilisant l’outil de traduction de Google, lequel est certainement perfectible.

 

Auditors face expertise and risk management challenges.

 

Les comités d’audit ont un rôle essentiel à jouer pour aider les entreprises à évoluer et à prospérer dans cet environnement. Pour assurer une surveillance efficace et aider les dirigeants de l’entreprise à traverser ces temps difficiles, les comités d’audit doivent poser des questions directes et ciblées à la direction pour comprendre quelles alternatives ont été envisagées et choisies pour résoudre les problèmes clés. 

Les comités d’audit doivent être conscients des problèmes prioritaires, des tendances et des problèmes en cours, ainsi que des points de tension, des défis et des solutions alternatives associés à ces problèmes.

Bonne lecture !

Audit Committee Challenges and Priorities in the Upcoming Quarter and Beyond

 

 

Comment la COVID-19 affecte-t-elle la rémunération des PDG et des administrateurs ?


Voici un article très intéressant de Andrew Gordon (Equilar, inc.), David F. Larcker (Stanford University), et Courtney Yu (Equilar, inc.) qui analyse les effets de la pandémie sur les rémunérations globales de CEO et des membres des conseils d’administration.

Cet article a été publié sur le Forum en gouvernance de Harvard Law School.

Voici les conclusions et les questionnements des auteurs à la suite d’une étude très détaillée des grandes entreprises américaines. J’ai utilisé l’outil de traduction de google afin de vous présenter les résultats.

Indépendamment de la valeur des ajustements annuels de rémunération que les entreprises ont effectués, les PDG ont subi une perte de richesse considérable en raison de leur propriété directe dans les actions de l’entreprise.

Sharing the Pain: How Did Boards Adjust CEO Pay in Response to COVID-19

 

U.S. firms shield CEO pay as pandemic hits workers, investors | Reuters

 

Pourquoi est-ce important ?

À la suite du COVID-19, moins de 20 % des entreprises publiques ont choisi d’apporter des modifications à leurs programmes de rémunération des dirigeants et des administrateurs. Selon l’angle à travers lequel ces changements sont mesurés — changement de salaire, rémunération totale ou perte de richesse — cela peut être considéré comme un sacrifice relativement modeste ou une perte importante de valeur.

Quelle a été la souffrance économique du PDG type ? En général, cela indique-t-il le succès ou l’échec de la conception du programme de compensation ?

Les entreprises qui ont connu des difficultés économiques étaient beaucoup plus susceptibles de réduire la rémunération des PDG et des administrateurs que celles qui ne l’ont pas fait. Ces PDG ont-ils la responsabilité de placer leurs entreprises dans une position de risque plus élevé entraînant des pertes plus importantes, ou leurs difficultés économiques étaient-elles dues à des facteurs tels que l’exposition à l’industrie qui étaient hors du contrôle du PDG ?

Dans ce dernier cas, les PDG de ces entreprises devraient-ils recevoir à l’avenir des primes supplémentaires pour compenser leurs pertes ? Quelle est la bonne chose à faire d’un point de vue économique ? Une perspective sociétale ?

Les PDG bénéficient généralement d’environnements économiques positifs et de valorisations boursières globales en hausse.

Les PDG devraient-ils être à l’abri des inversions de ces mêmes facteurs ? Dans l’affirmative, quelles implications cette asymétrie a-t-elle sur les incitatifs des PDG ? Cela crée-t-il une condition dans laquelle le PDG bénéficie de tout événement exogène ?

Le concept d’ESG (environnemental, social et de gouvernance) se concentre sur le fait que les entreprises qui embrassent réellement leurs parties prenantes et investissent dans leurs besoins ont un risque plus faible et des performances plus élevées. On s’attend à ce que ces entreprises subissent moins de pertes économiques en cas de ralentissement et qu’elles « agissent correctement » par leurs employés. Cependant, nous n’avons trouvé aucune différence observable entre les scores ESG des entreprises qui ont volontairement réduit la rémunération des PDG/administrateurs et celles qui ne l’ont pas fait, malgré des différences de performance.

Nous n’avons pas non plus trouvé de différence dans les scores ESG selon qu’ils choisissent ou non de licencier des employés.

Qu’est-ce que cela dit sur notre capacité à mesurer avec précision l’ESG ? Les entreprises affichant des scores ESG plus favorables sont-elles réellement « meilleures » du point de vue des parties prenantes ?

L’article complet est disponible en téléchargement ici.

Bonne lecture !

Resserrement des politiques à l’égard du nombre maximum de CA sur lesquels les administrateurs devraient siéger


Quelles sont les lignes directrices énoncées par les firmes de conseil en vote américaines eu égard au nombre de conseils d’administration sur lesquels les administrateurs devraient siéger ?

L’article de Krystal Berrini * publié sur le site de Harvard Law School Forum on Corporate Governance, présente un très bon résumé des politiques mises de l’avant par les firmes de conseil en vote.

Voici une traduction Google révisée du court texte publié récemment.

Au cours des dernières années, de grands investisseurs institutionnels ont répondu à leurs préoccupations croissantes concernant les demandes de services au conseil en adoptant ou en renforçant des politiques concernant le nombre total d’engagements d’un administrateur.

Cette tendance a entraîné une baisse importante du soutien au vote pour certains administrateurs jugés « Overboard » selon ces lignes directrices nouvelles ou resserrées. Dans de nombreux cas, ces politiques sont plus strictes que celles des principaux conseillers en vote.

À l’approche de la saison des procurations 2020, trois investisseurs institutionnels, State Street Global Advisors (SSGA), T. Rowe Price et AllianceBernstein, ont resserré leurs politiques d’engagement des administrateurs.

Grâce à ces politiques d’investisseurs renforcées, les administrateurs non exécutifs qui siègent à plus de quatre conseils d’administration et les PDG qui siègent à plus d’un conseil d’administration externe peuvent s’attendre à voir une diminution du soutien des actionnaires par rapport aux années précédentes.

La pandémie de COVID-19 a concentré l’attention des investisseurs sur une gamme de sujets de gouvernance et de surveillance du conseil d’administration, y compris la gestion des risques, la continuité des activités et la gestion des ressources humaines. Au cours des dernières semaines, un certain nombre d’investisseurs, dont BlackRock et SSGA, ont réitéré leur engagement à tenir les entreprises responsables de leurs pratiques ESG à long terme pendant cette période difficile.

Il est peu probable que les investisseurs s’écartent des directives sur les pratiques existantes, y compris les engagements du conseil. La crise actuelle de COVID-19, qui impose des contraintes supplémentaires au temps consenti par les administrateurs, renforcera probablement encore davantage les points de vue des investisseurs sur l’importance d’avoir la capacité de s’engager pleinement dans tous leurs engagements au sein du conseil en temps de crise.

Vous trouverez ci-dessous un résumé des mises à jour récentes des politiques des investisseurs et des conseillers en matière de procuration sur la participation excessive des administrateurs.

Le tableau indique le nombre de conseils auxquels un administrateur recevra généralement une recommandation ou un vote négatifs. En règle générale, les investisseurs et les conseillers en vote ne s’opposent aux administrateurs exécutifs (PDG) qu’en ce qui concerne leurs engagements comme administrateurs externes.

_____________________________

*Krystal Berrini * associée, Allie Rutherford, directrice générale, et Eric Sumberg, directeur chez PJT Camberview.

Les informations concernant les politiques de conseil aux investisseurs et aux procurations sont obtenues à partir des politiques américaines publiées qui peuvent être consultées sur leurs sites Web respectifs.

 

Le rôle du conseil d’administration face à la COVID-19 : Comment les administrateurs de sociétés devraient-ils agir?


Voici un article d’actualité en cette période de COVID-19 publié par la firme Langlois.

J’ai reproduit l’introduction de l’article.

Bonne lecture !

Le rôle du conseil d’administration face à la COVID-19 : comment les administrateurs de sociétés devraient-ils agir?

 

The role of the board of directors in to the context of COVID-19: how should corporate directors act? - Langlois lawyers

 

Depuis le début de la crise de santé publique et économique causée par la COVID-191, la tentation peut être grande pour les administrateurs de s’immiscer dans la gestion quotidienne de la société ou se substituer à la direction, surtout s’ils portent également le chapeau d’actionnaire. Or, c’est le comité de gestion de crise, souvent composé de dirigeants exécutifs, qui a la responsabilité de gérer la crise au quotidien. Néanmoins, les administrateurs ont eux aussi un rôle à jouer : ils ont le devoir de s’assurer de la bonne gouvernance de la société à court, moyen et long terme2.

Cette responsabilité s’accroît face à la crise et commande une réflexion pour les administrateurs de sociétés qui devront, d’une part, examiner attentivement la manière de gérer les risques actuels au sein de l’organisation ainsi que les risques collatéraux qui pourraient en découler et, d’autre part, prendre note des éléments à améliorer pour le futur.

Dans le cadre de cet article sur la gouvernance de sociétés en période de crise, nous nous penchons plus spécifiquement sur les réflexes de gouvernance à adopter dans le contexte actuel, tout en ne perdant pas de vue l’après COVID-19.

Dix éléments majeurs à considérer par les administrateurs en temps de COVID-19


Voici dix éléments qui doivent être pris en considération au moment où toutes les entreprises sont préoccupées par la crise du COVID-19.

Cet article très poussé a été publié sur le forum du Harvard Law School of Corporate Governance hier.

Les juristes Holly J. Gregory et Claire Holland, de la firme Sidley Austin font un tour d’horizon exhaustif des principales considérations de gouvernance auxquelles les conseils d’administration risquent d’être confrontés durant cette période d’incertitude.

Je vous souhaite bonne lecture. Vos commentaires sont appréciés.

Ten Considerations for Boards of Directors

 

Boards and Crisis Infographic

 

The 2019 novel coronavirus (COVID-19) pandemic presents complex issues for corporations and their boards of directors to navigate. This briefing is intended to provide a high-level overview of the types of issues that boards of directors of both public and private companies may find relevant to focus on in the current environment.

Corporate management bears the day-to-day responsibility for managing the corporation’s response to the pandemic. The board’s role is one of oversight, which requires monitoring management activity, assessing whether management is taking appropriate action and providing additional guidance and direction to the extent that the board determines is prudent. Staying well-informed of developments within the corporation as well as the rapidly changing situation provides the foundation for board effectiveness.

We highlight below some key areas of focus for boards as this unprecedented public health crisis and its impact on the business and economic environment rapidly evolves.

 

1. Health and Safety

 

With management, set a tone at the top through communications and policies designed to protect employee wellbeing and act responsibly to slow the spread of COVID-19. Monitor management’s efforts to support containment of COVID-19 and thereby protect the personal health and safety of employees (and their families), customers, business partners and the public at large. Consider how to mitigate the economic impact of absences due to illness as well as closures of certain operations on employees.

 

2. Operational and Risk Oversight

 

Monitor management’s efforts to identify, prioritize and manage potentially significant risks to business operations, including through more regular updates from management between regularly scheduled board meetings. Depending on the nature of the risk impact, this may be a role for the audit or risk committee or may be more appropriately undertaken by the full board. Document the board’s consideration of, and decisions regarding, COVID-19-related matters in meeting minutes. Maintain a focus on oversight of compliance risks, especially at highly regulated companies. Watch for vulnerabilities caused by the outbreak that may increase the risk of a cybersecurity breach.

 

3. Business Continuity

 

Consider whether business continuity plans are in place appropriate to the potential risks of disruption identified, including through a discussion with management of relevant contingencies, and continually reassess the adequacy of the plans in light of developments. Key issues to consider include:

  • Employee/Talent Disruption. As more employees begin working remotely or are unable to work due to disruptions caused by COVID-19, continually assess what minimum staffing levels and remote work technology will be required to maintain operations. (Also, as noted above, consider how to mitigate the economic impact of absences due to illness as well as closures of certain operations on employees.)
  • Supply Chain and Production Disruption. Review with management the risks that a disruption in the supply chain will cause interruptions in operations and how to protect against such risks, including the availability of alternate sources of supply. Ask management to assess the risks that the company will have difficulty in fulfilling its contractual obligations and how management is preparing to address those risks, including through review of relevant provisions in customer contracts (e.g., force majeure, events of default and termination) to determine what recourse is available.
  • Financial Impact and Liquidity. Review with management the near-term and longer term financial impact (including the ability to meet obligations) of the COVID-19 pandemic and the related impact of the extreme volatility in the financial markets. Understand the assumptions underlying management’s assessment and discuss the likely outcome if those assumptions prove incorrect. Consider the need to seek additional financing or amend the terms of existing debt arrangements.
  • Internal Controls and Audit Function. Consider whether COVID-19 may have an impact on the functioning of internal controls and audit. For publicly-traded companies, remember that any material changes in internal control over financial reporting will require disclosure in the next periodic report.
  • Recent Securities Exchange Commission (SEC) guidance: In a March 4, 2020 press release, SEC Chair Jay Clayton urged companies to work with their audit committees and auditors to ensure that their financial reporting, auditing and review processes are sufficiently robust to enable them to meet their obligations under the federal securities laws in the current environment.
  • Key Person Risks and Emergency Succession Plans. Consider whether an up-to-date emergency succession plan is in place that identifies a person who can step in immediately as interim CEO in the event the CEO contracts COVID-19. Consider the need to implement similar plans for other key persons.
  • Incentives. Consider whether incentive plans need to be reworked in light of the circumstances, to ensure that appropriate behaviors are encouraged. Consider delaying setting incentive plan goals until the uncertainty has subsided or try to build in flexibility with respect to any goals set.
  • Board/Governance Continuity. Consider whether the board is appropriately positioned to provide guidance and oversight as the COVID-19 threat expands. Consider scheduling in advance special board meetings and/or information conference calls over the next three to four months, which can be cancelled if not needed. Decide whether to replace in-person meetings with conference calls to help limit the threat of contagion. Consider whether contingencies are in place if a board quorum is not available. Continue to meet regularly in executive session to discuss assessment of how management is managing the crisis.

 

4. Crisis Management

 

During this turbulent time, employees, shareholders and other stakeholders will look to boards to take swift and decisive action when necessary. Consider whether an up-to-date crisis management plan is in place and effective. A well-designed plan will assist the company to react appropriately, without either under- or over-reacting. Elements of an effective crisis management plan include:

  • Cross-Functional Team. Crisis response teams typically include key individuals from management, public relations, human resources, legal and finance. Identify these individuals now and begin meeting so that they are prepared to respond quickly as the crisis develops. The team should be in regular contact with the board (or a designated board member or committee) as the COVID-19 pandemic evolves.
  • Quick and Decisive Deployment. The plan should include crisis response procedures, communications templates, checklists and manuals that can be readily adapted to a variety of situations for effective, time-critical and agile deployment. The crisis response team should be familiar with the elements of the plan and ready to implement it at a moment’s notice.
  • Contingency Plans. A crisis is inherently unpredictable. However, the company should endeavor to anticipate all potential crises to which it is vulnerable and develop contingency plans to deal with those crises to minimize on-the-fly decision-making.
  • Examples of scenarios to prepare for: What will our response be if there is a confirmed case of COVID-19 within the company? How will we notify employees of a confirmed case and what privacy implications do we need to consider? What planning (e.g., IT training) is required if we need to mandate that our employees work remotely?
  • Thoughtful Communications. The board should oversee the company’s communication strategy. Clear communication and planning within the crisis response team will allow the company to communicate internally and externally in a calm and thoughtful manner, which will help build confidence during a volatile situation.

 

5. Oversight of Public Reporting and Disclosure for Publicly-Traded Companies

 

Companies must consider whether they are making sufficient public disclosures about the actual and expected impacts of COVID-19 on their business and financial condition. The level of disclosure required will depend on many factors, such as whether a company has significant operations in China or is in a highly affected industry (e.g., airlines and hospitality companies). In any event, boards should monitor to ensure that corporate disclosures are accurate and complete and reflect the changing circumstances.

Because the COVID-19 pandemic is unprecedented and changing by the day, the SEC acknowledges that it is challenging to provide accurate information about the impact it could have on future operations.

Recent SEC guidance: “We recognize that [the current and potential effects of COVID-19] may be difficult to assess or predict with meaningful precision both generally and as an industry- or issuer-specific basis.” Statement by SEC Chairman Jay Clayton on January 30, 2020.

  • Earnings Guidance. Consider whether previously issued earnings guidance should be downgraded to reflect the actual or likely impact of COVID-19 and, if so, how to describe the reason for the revision. Due to the current unpredictability of COVID-19’s impact, consider withdrawing previously-issued earnings guidance altogether or refraining from issuing guidance in the near term.
  • Risk Factor Disclosure. Consider how the COVID-19 pandemic may require additions or revisions to risk factor disclosures.
  • Recent SEC guidance: “We also remind all companies to provide investors with insight regarding their assessment of, and plans for addressing, material risks to their business and operations resulting from the coronavirus to the fullest extent practicable to keep investors and markets informed of material developments.” SEC March 4, 2020 press release.
  • Potential topics for risk factor disclosure include:
      • Disruptions to business operations whether from travel restrictions, mandated quarantines or voluntary “social distancing” that affects employees, customers and suppliers, production delays, closures of manufacturing facilities, warehouses and logistics supply and distribution chains and staffing shortages
      • Uncertainty regarding global macroeconomic conditions, particularly the uncertainty related to the duration and impact of the COVID-19 pandemic, and related decreases in customer demand and spending
      • Credit and liquidity risk, loan defaults and covenant breaches
      • Inventory writedowns and impairment losses
      • Ensure that risk factor disclosure is consistent with the board’s conversations with management about material risks.
  • Recent SEC guidance: “One analytical tool to evaluate disclosure in this context is to consider how management discusses … risks with its board of directors. Obviously not all discussions between management and the board are appropriate for disclosure in public filings, but there should not be material gaps between how the board is briefed and how shareholders are informed.” Statement by SEC Director, Division of Corporation Finance William Hinman on March 15, 2019.
  • As always, risk factor disclosure should be specific to a company’s individual circumstances and avoid generic language. Finally, be careful not to describe a risk related to COVID-19 as hypothetical if it has actually occurred.
  • Management’s Discussion and Analysis of Financial Condition and Results of Operations (MD&A). Consider whether the actual or likely impact of COVID-19 on a company’s business (including its supply chain), financial condition, liquidity, results of operations and/or prospects would be deemed material to an investment decision in the company’s securities and require disclosure. Consider whether the impact or potential impact of COVID-19 on the company is a “known trend or uncertainty” requiring disclosure in the MD&A of the next periodic report. Tailor any MD&A disclosures to the impact of COVID-19 on the company’s business in particular. Consider whether disclosures appropriately address the potential impact of the COVID-19 pandemic on future results of operations.
  • Subsequent Events. A joint statement by SEC and Public Company Accounting Oversight Board (PCAOB) leadership on February 19, 2020 specific to COVID-19 reporting considerations encouraged companies to consider the need to potentially disclose subsequent events in the notes to the financial statements in accordance with guidance included in Accounting Standards Codification 855, Subsequent Events.
  • Forward-Looking Statements. Consider whether the company’s forward-looking statement disclaimer language adequately protects the company for statements it makes regarding the expected impacts of COVID-19. It should be specific and consistent with updates made to the risk factors and other public disclosures.
  • Recent SEC guidance: “Companies providing forward-looking information in an effort to keep investors informed about material developments, including known trends or uncertainties regarding the coronavirus, can take steps to avail themselves of the safe harbor in Section 21E of the Exchange Act for this information.” SEC March 4, 2020 press release.
  • Updates. Consider whether prior disclosures should be revised to ensure they are accurate and complete. While there is no express duty to update a forward-looking statement, courts are divided as to whether a duty to update exists for a forward-looking statement that becomes inaccurate or misleading after the passage of time (from the perspective of claim under Exchange Act Section 10(b) and Rule 10b-5).
  • Recent SEC guidance: “Depending on a company’s particular circumstances, it should consider whether it may need to revisit, refresh, or update previous disclosure to the extent that the information becomes materially inaccurate.” SEC March 4, 2020 press release.
  • Proxy Statements. Given the SEC’s emphasis on discussion of how boards oversee the management of material risks, consider expanding the proxy statement disclosure of board oversight of COVID-19-related risks where material to the business. 5Recent SEC guidance: “To the extent a matter presents a material risk to a company’s business, the company’s disclosure should discuss the nature of the board’s role in overseeing the management of that risk. The Commission last noted this in the context of cybersecurity, when it stated that disclosure about a company’s risk management program and how the board engages with the company on cybersecurity risk management allows investors to better assess how the board is discharging its risk oversight function. Parallels may be drawn to other areas where companies face emerging or uncertain risks, so companies may find this guidance useful when preparing disclosures about the ways in which the board manages risks, such as those related to sustainability or other matters.” Statement by SEC Director, Division of Corporation Finance William Hinman on March 15, 2019.
  • Also, consider cautioning stockholders that the annual meeting date and logistics are subject to change.
  • Current Reports. Consider the need to file a Form 8-K for material developments such as if the CEO or another key person or a significant portion of the workforce contracts COVID-19.
  • Conditional Filing Relief. Companies that anticipate filing delays due to COVID-19 should consider taking advantage of the SEC’s March 4, 2020 order granting an additional 45 days to meet Exchange Act reporting obligations for reports due between March 1 and April 30, 2020. See the Sidley Update available here for more details.

 

6. Compliance with Insider Trading Restrictions and Regulation FD for Publicly-Traded Companies

 

  • Insider Trading. Closely monitor and consider further restricting trading in company securities by insiders who may have access to material nonpublic information related to COVID-19 impacts (e.g., by requiring additional training, imposing blackout periods or enhancing preclearance procedures).
  • Recent SEC guidance: If a company “become[s] aware of a risk related to the coronavirus that would be material to its investors, it should refrain from engaging in securities transactions with the public and … take steps to prevent directors and officers (and other corporate insiders who are aware of these matters) from initiating such transactions until investors have been appropriately informed about the risk.” SEC March 4, 2020 press release.
  • Carefully consider whether the company should potentially buy back stock to take advantage of significantly depressed stock prices.
  • Regulation FD. Be mindful of Regulation FD requirements, particularly if sharing information related to the impact of COVID-19 with customers and other stakeholders.
  • Recent SEC guidance: “When companies do disclose material information related to the impacts of the coronavirus, they are reminded to take the necessary steps to avoid selective disclosures and to disseminate such information broadly.” SEC March 4, 2020 press release.

 

7. Annual Shareholder Meeting

 

With the Center for Disease Control recommending that gatherings of 50 or more persons be avoided to assist in containment of the virus, consider with management whether to hold a virtual-only shareholders meeting or a hybrid meeting that permits both in-person and online attendance. Public companies that are considering changing the date, time and/or location of an annual meeting, including a switch from an in-person meeting to a virtual or hybrid meeting, will need to review applicable requirements under state law, stock exchange rules and the company’s charter and bylaws. Companies that change the date, time and/or location of an annual meeting should comply with the March 13, 2020 guidance issued by the Staff of the SEC’s Division of Corporation Finance and the Division of Investment Management. See the Sidley Update available here for more details.

 

8. Shareholder Relations

 

Activism and Hostile Situations. Continue to ensure communication with, and stay attuned to the concerns of, significant shareholders, while monitoring for changes in stock ownership. Capital redemptions at small- and mid-sized funds may lead to fewer shareholder activism campaigns and proxy contests in the next several months. However, expect well-capitalized activists to exploit the enhanced vulnerability of target companies. The same applies to unsolicited takeovers bids by well-capitalized strategic buyers. If they have not already done so, boards should update or activate defense preparation plans, including by identifying special proxy fight counsel, reviewing structural defenses, putting a poison pill “on the shelf” and developing a “break the glass” communications plan.

 

9. Strategic Opportunities

 

Consider with management whether and if so where opportunities are likely to emerge that are aligned with the corporation’s strategy, for example, opportunities to fulfill an unmet need occasioned by the pandemic or opportunities for growth through distressed M&A.

 

10. Aftermath

 

Consider with management whether the changes in behavior occasioned by the pandemic will have any potential lasting effects, for example on employee and consumer behavior and expectations. Also, be prepared when the crisis abates to assess the corporation’s handling of the situation and identify “lessons learned” and actionable ideas for improvement.

Guide des administrateurs 2020 | Deloitte


Le document suivant, publié par Deloitte, est une lecture fortement recommandée pour tous les administrateurs, plus particulièrement pour ceux et celles qui sont des responsabilités liées à l’évaluation de la  performance financière de l’entreprise.

Pour chacun des sujets abordés dans le document, les auteurs présentent un ensemble de questions que les administrateurs pourraient poser :

« Pour que les administrateurs puissent remplir leurs obligations en matière de présentation de l’information financière, ils doivent compter sur l’appui de la direction et poser les bonnes questions.

Dans cette publication, nous proposons des questions que les administrateurs pourraient poser à la direction concernant leurs documents financiers annuels, afin que ceux-ci fassent l’objet d’une remise en question appropriée ».

Je vous invite à prendre connaissance de cette publication en téléchargeant le guide ci-dessous.

Guide des administrateurs 2020

Résultat de recherche d'images pour "guide des administrateurs 2020 Deloitte"

 

Le dilemme d’un administrateur indépendant dans un cas de vol de données


Voici un cas publié sur le site de Julie McLelland qui aborde une situation où Trevor, un administrateur indépendant, croyait que le grand succès de l’entreprise était le reflet d’une solide gouvernance.

Trevor préside le comité d’audit et il se soucie de mettre en place de saines pratiques de gouvernance. Cependant, cette société cotée en bourse avait des failles en matière de gestion des risques numériques et de cybersécurité.

De plus, le seul administrateur indépendant n’a pas été informé qu’un vol de données très sensibles avait été fait et que des demandes de rançons avaient été effectuées.

L’organisation a d’abord nié que les informations subtilisées provenaient de leurs systèmes, avant d’admettre que les données avaient été fichées un an auparavant ! Les résultats furent dramatiques…

Trevor se demande comment il peut aider l’organisation à affronter la tempête !

Le cas a d’abord été traduit en français en utilisant Google Chrome, puis, je l’ai édité et adapté. On y présente la situation de manière sommaire puis trois experts se prononcent sur le cas.

Bonne lecture ! Vos commentaires sont toujours les bienvenus.

Le dilemme d’un administrateur indépendant dans un cas de vol de données

 

 

 

 

 

 

 

 

 

Trevor est administrateur d’une société cotée qui a été un «chouchou du marché». La société fournit des évaluations de crédit et une vérification des données. Les fondateurs ont tous deux une solide expérience dans le secteur et un solide réseau de contacts et à une liste de clients qui comprenait des gouvernements et des institutions financières.

Après l’entrée en bourse, il y a deux ans, la société a atteint ou dépassé les prévisions et Trevor est fier d’être le seul administrateur indépendant siégeant au conseil d’administration aux côtés des deux fondateurs et du PDG. Il préside le comité d’audit et, officieusement, il a été l’initiateur des processus de gouvernance et de sa documentation.

Les fondateurs sont restés très actifs dans l’entreprise et Trevor s’est parfois inquiété du fait que certaines décisions stratégiques n’avaient pas été portées à son attention avant la réunion du conseil d’administration. Comme l’expérience de Trevor est l’audit et l’assurance, il suppose qu’il n’aurait pas ajouté de valeur au-delà de la garantie d’un processus sain et de la tenue de registres.

Il y a trois semaines, tout a changé. Une grande partie des données de l’entreprise ont été subtilisées et transférées sur le « dark web ». Ce vol comprenait les données financières des personnes qui avaient été évaluées ainsi que des données d’identification tels que les numéros de dossier fiscal et les adresses résidentielles. Pire, la société a d’abord affirmé que les informations ne provenaient pas de leurs systèmes, puis a admis avoir reçu des demandes de rançon indiquant que les données avaient été fichées jusqu’à un an avant cette catastrophe.

Plusieurs clients ont fermé leur compte, les actionnaires sont consternés, le cours de l’action est en chute libre et la presse réclame plus d’informations.

Comment Trevor devrait-il aider l’entreprise à surmonter cette tempête ?

Pour prendre connaissance de ce cas, rendez-vous sur www.mclellan.com.au/newsletter.html et cliquez sur « lire le dernier numéro ».

Adam’s Answer

 

This is a critical time for Trevor legally and reputationally, it is also a time when being an independent director carries additional responsibility to the company, the shareholders, the staff and the customers.

All Directors and Executives can only have one response to a blackmail attempt.  That is to immediately report it to the police and not respond to the ransomware demands.  Secondly the company should have had a crisis management plan in place ready for such an eventuality.  In this day and age, no company should operate without a cybercrime contingency plan.

In this case it is unclear, but it appears that the authorities were not informed and that Trevor’s company was unprepared for a data breach or ransomware demands.

There are 2 scenarios open to Trevor:

1) If Trevor was not informed straight away of the ransom demands and the CEO and founding Executive Directors knew but did not brief him on the ransom issue and the company’s response, then his independent status has been compromised and he should resign.

2) If Trevor was informed and the whole Board was involved in the response, then Trevor must remain and help the company ride out the storm.   This will involve working with the police, the ASX and crisis management guidance from external suppliers – technical and PR. 

The rule to follow is full transparency and speedy action. 

Trevor should refer to the recent ransomware attack on Toll Logistics and their response which was exemplary.

Adam Salzer OAM is the Chair and Global Designer for Whitewater Transformations. His other board experience includes Australian Transformation and Turnaround Association (AusTTA), Asian Transformation and Turnaround Association (ATTA), Australian Deafness Council, Bell Shakespeare Company, and NSW Deaf Society. He is based in Sydney, Australia.

Julie’s Answer

 

This is a listed company; Trevor must ensure appropriate disclosure. A trading halt may give the company time to investigate, and respond to, the events and then give the market time to disseminate the information. His customer liaison at the stock exchange should assist with implementing a halt and issuing a brief statement saying what has happened and that the company will issue more information when it becomes available.

This will be a costly and distracting exercise that could derail the company from its current successful track.

Three of the four board members are executives. That doesn’t mean the fourth can rely on their efforts. Trevor must add value by asking intelligent questions that people involved in the operations will possibly not think to ask. This board must work as a team rather than a group of individuals who each contribute their own expertise and then come together to document decisions that were not made rigorously or jointly.

Trevor has now learnt that there is more to good governance than just having meetings and documenting processes. He needs to get involved and truly understand the business. If his fellow directors do not welcome this, he needs to consider whether they are taking him seriously or just using him as window-dressing. He should ensure that the whole board is never again left out of the information flow when something important happens (or even when it perhaps might happen).

He should also take the lead on procuring legal advice (they are going to need it), liaising with the regulators, and establishing crisis communications. Engaging a specialist communications firm may help.

Julie Garland McLellan is a non-executive director and board consultant based in Sydney, Australia.

Jinan’s Answer

 

I recommend three separate parallel streams of work for Trevor. 

1. Immediate public facing actions
Immediately apologize and state your commitment to your customers.  Hire a PR firm and have the most public facing person issue an apology. The person selected to issue the apology has to be selected carefully (cannot be the person responsible for leak, and has potential to become the new trusted CEO)

2. Tactical internal actions
Assess the damage and contain the incident.  Engage an incident response firm to assess how the breach happened, when it happened, what was stolen. Confirm that leak doors are closed. Select your IR firm carefully – the better reputed they are, the better you will look in litigation.
Conduct an immediate audit and investigation. You need to understand who knew, when and why this was buried for a year.
Take disciplinary action against anyone who was part of the breach. Post audit, either allow them to keep their equity or buy them out.

3. Strategic actions
Review and update your cybersecurity incident response process.  This includes your ransomware processes (e.g. will you pay, how you pay, etc.), and how you communicate incidents. 
Build cybersecurity awareness, behavior and culture up, down and across your company.  Ensure that everyone from the board down are educated, enabled and enthusiastic about their own and your company’s cyber-safety. This is a journey not a one-off miracle.
Extend cybersecurity engagement to your customers. Be proactive not only on the status of this incident, but also on how you are keeping their data safe.  Go a step further and offer them help in their own cyber-safety.
Create a forward thinking, business and risk-aligned cybersecurity strategy. Understand your current people, process and technology gaps which led to this decision and how you’ll fix them.
Elevate the role of cybersecurity leadership.  You will need a chief information security officer who is empowered to execute the strategy, and has a regular and independent seat at the board table. 

Jinan Budge is Principal Analyst Serving Security and Risk Professionals at Forrester and a former Director Cyber Security, Strategy and Governance at Transport for NSW. She is based in Sydney, New South Wales, Australia.

Huit constats qui reflètent la mouvance de la gouvernance des sociétés


Aujourd’hui, je vous présente un article de John C. Wilcox *, président de la firme Morrow Sodali, paru sur le site du Harvard Law School Forum on Corporate Governance, qui met en lumière les grandes tendances dans la gouvernance des sociétés.

L’article a d’abord été traduit en français en utilisant Google Chrome, puis, je l’ai édité et adapté.

À la fin de 2019, un certain nombre de déclarations extraordinaires ont signalé que la gouvernance d’entreprise avait atteint un point d’inflexion. Au Royaume-Uni, la British Academy a publié Principles for Purposeful Business. Aux États-Unis, la Business Roundtable a publié sa déclaration sur la raison d’être d’une société. Et en Suisse, le Forum économique mondial a publié le Manifeste de Davos 2020.

Ces déclarations sont la résultante des grandes tendances observées en gouvernance au cours des dix dernières années. Voici huit constats qui sont le reflet de cette mouvance.

    1. Reconnaissance que les politiques environnementales, sociales et de gouvernance d’entreprise (ESG) représentent des risques et des opportunités qui ont un impact majeur sur la performance financière ;
    2. Réévaluation de la doctrine de la primauté des actionnaires et de la vision étroite des sociétés comme des machines à profit ;
    3. Adoption de la « pérennité » comme objectif stratégique pour les entreprises, antidote au court terme et voie pour renforcer la confiance du public dans les entreprises et les marchés de capitaux ;
    4. Reconnaissance que les entreprises doivent servir les intérêts de leurs « parties prenantes » ainsi que de leurs actionnaires ;
    5. Réaffirmation du principe selon lequel les entreprises doivent être responsables des conséquences humaines, sociales et de politiques publiques de leurs activités, en mettant l’accent sur la priorité à accorder aux changements climatiques ;
    6. Assertion que la culture organisationnelle est le reflet de son intégrité, de son bien-être interne, de sa pérennité et de sa réputation.
    7. Acceptation de la responsabilité élargie du conseil d’administration pour les questions concernant l’ESG, la durabilité, la finalité et la culture, ainsi que la collaboration avec le PDG pour intégrer ces facteurs dans la stratégie commerciale ;
    8. Émergence du « reporting intégré » [www.integrated reporting.org] avec son programme de réflexion intégrée et de gestion intégrée comme base du « reporting » d’entreprise

J’ai reproduit ci-dessous les points saillants de l’article de Wilcox.

Bonne lecture !

Corporate Purpose and Culture

 

Résultat de recherche d'images pour "culture organisationnelle"

 

BlackRock’s Annual Letter

 

On January 14, 2020, right on cue, BlackRock Chairman and Chief Executive Larry Fink published his annual letter to corporate CEOs. This year’s letter, entitled “A Fundamental Reshaping of Finance,” is clearly intended as a wake-up call for both corporations and institutional investors. It explains what sustainability and corporate purpose mean to BlackRock and predicts that a tectonic governance shift will lead to “a fundamental reshaping of finance.” BlackRock does not mince words. The letter calls upon corporations to (1) provide “a clearer picture of how [they] are managing sustainability-related questions” and (2) explain how they serve their “full set of stakeholders.” To make sure these demands are taken seriously, the letter outlines the measures available to BlackRock if portfolio companies fall short of achieving sustainability goals: votes against management, accelerated public disclosure of voting decisions and greater involvement in collective engagement campaigns.

In setting forth its expectations for sustainability reporting by portfolio companies, BlackRock cuts through the tangle of competing standard-setters and recommends that companies utilize SASB materiality standards and TCFB climate metrics. In our view, individual companies should regard these recommendations as a starting point—not a blueprint—for their own sustainability reporting. No single analytical framework can work for the universe of companies of different sizes, in different industries, in different stages of development, in different markets. If a company determines that it needs to rely on different standards and metrics, the business and strategic reasons that justify its choices will be an effective basis for a customized sustainability report and statement of purpose.

As ESG casts such a wide net, not all variables can be studied at once to concretely conclude that all forms of ESG management demonstrably improve company performance. Ongoing research is still needed to identify the most relevant ESG factors that influence performance of individual companies in diverse industries. However, the economic relevance of ESG factors has been confirmed and is now building momentum among investors and companies alike.

Corporate Purpose

 

The immediate practical challenge facing companies and boards is how to assemble a statement of corporate purpose. What should it say? What form should it take?

In discussions with clients we are finding that a standardized approach is not the best way to answer these questions. Defining corporate purpose is not a compliance exercise. It does not lend itself to benchmarking. One size cannot fit all. No two companies have the same stakeholders, ESG policies, risk profile, value drivers, competitive position, culture, developmental history, strategic goals. These topics are endogenous and unique to individual companies. Collecting information and assembling all the elements that play a role in corporate purpose requires a deep dive into the inner workings of the company. It has to be a collaborative effort that reaches across different levels, departments and operations within the company. The goal of these efforts is to produce a customized, holistic business profile.

Other approaches that suggest a more standardized approach to corporate purpose and sustainability are also worth consideration:

  • Hermes EOS and Bob Eccles published a “Statement of Purpose Guidance Document” in August 2019. It envisions “a simple one-page declaration, issued by the company’s board of directors, that clearly articulates the company’s purpose and how to harmonize commercial success with social accountability and responsibility.”
  • CECP (Chief Executives for Corporate Purpose) has for 20 years been monitoring and scoring “best practices of companies leading in Corporate ” Many of CECP’s best practices take the form of short mission statements that do not necessarily include specific content relating to ESG issues or stakeholders. However, CECP is fully aware that times are changing. Its most recent publication, Investing in Society, acknowledges that the “stakeholder sea change in 2019 has redefined corporate purpose.”

A case can be made for combining the statement of purpose and sustainability report into a single document. Both are built on the same foundational information. Both are intended for a broad-based audience of stakeholders rather than just shareholders. Both seek to “tell the company’s story” in a holistic narrative that goes beyond traditional disclosure to reveal the business fundamentals, character and culture of the enterprise as well as its strategy and financial goals. Does it make sense in some cases for the statement of corporate purpose to be subsumed within a more comprehensive sustainability report?

Corporate Culture

 

Corporate culture, like corporate purpose, does not lend itself to a standard definition. Of the many intangible factors that are now recognized as relevant to a company’s risk profile and performance, culture is one of the most important and one of the most difficult to explain. There are, however, three proverbial certainties that have developed around corporate culture: (1) We know it when we see it -and worse, we know it most clearly when its failure leads to a crisis. (2) It is a responsibility of the board of directors, defined by their “tone at the top.” (3) It is the foundation for a company’s most precious asset, its reputation.

A recent posting on the International Corporate Governance Network web site provides a prototypical statement about corporate culture:

A healthy corporate culture attracts capital and is a key factor in investors’ decision making. The issue of corporate culture should be at the top of every board’s agenda and it is important that boards take a proactive rather than reactive approach to creating and sustaining a healthy corporate culture, necessary for long-term success.

The policies that shape corporate culture will vary for individual companies, but in every case the board of directors plays the defining role. The critical task for a “proactive” board is to establish through its policies a clear “tone at the top” and then to ensure that there is an effective program to implement, monitor and measure the impact of those policies at all levels within the company. In many cases, existing business metrics will be sufficient to monitor cultural health. Some obvious examples: employee satisfaction and retention, customer experience, safety statistics, whistle-blower complaints, legal problems, regulatory penalties, media commentary, etc. For purposes of assessing culture, these diagnostics need to be systematically reviewed and reported up to the board of directors with the same rigor as internal financial reporting.

In this emerging era of sustainability and purposeful governance, investors and other stakeholders will continue to increase their demand for greater transparency about what goes on in the boardroom and how directors fulfill their oversight responsibilities. A proactive board must also be a transparent board. The challenge for directors: How can they provide the expected level of transparency while still preserving confidentiality, collegiality, independence and a strategic working relationship with the CEO?

As boards ponder this question, they may want to consider whether the annual board evaluation can be made more useful and relevant. During its annual evaluation process, could the board not only review its governance structure and internal processes, but also examine how effectively it is fulfilling its duties with respect to sustainability, purpose, culture and stakeholder representation? Could the board establish its own KPIs on these topics and review progress annually? How much of an expanded evaluation process and its findings could the board disclose publicly?

Conclusion—A Sea Change?

 

In addition to the challenges discussed here, the evolving governance environment brings some good news for companies. First, the emphasis on ESG, sustainability, corporate purpose, culture and stakeholder interests should help to reduce reliance on external box-ticking and one-size-fits-all ESG evaluation standards. Second, the constraints on shareholder communication in a rules-based disclosure framework will be loosened as companies seek to tell their story holistically in sustainability reports and statements of purpose. Third, as the BlackRock letters make clear, institutional investors will be subject to the same pressures and scrutiny as companies with respect to their integration of ESG factors into investment decisions and accountability for supporting climate change and sustainability. Fourth, collaborative engagement, rather than confrontation and activism, will play an increasingly important role in resolving misunderstandings and disputes between companies and shareholders.

The 2020 annual meeting season will mark the beginning of a new era in governance and shareholder relations.


*John C. Wilcox is Chairman of Morrow Sodali. This post is based on a Morrow Sodali memorandum by Mr. Wilcox. Related research from the Program on Corporate Governance includes Toward Fair and Sustainable Capitalism by Leo E. Strine, Jr. (discussed on the Forum here).

La montée de l’activisme des stakeholders : Défis et opportunités pour les administrateurs de sociétés


Voici un excellent article de James E. Langston*, associé de la firme Cleary Gottlieb Steen & Hamilton, sur les nouvelles perspectives offertes par les activités activistes de tout ordre. Cet article a paru sur le site de Harvard Law School on Corporate Governance.

Les points saillants exposés par l’auteur dans cet article sont les suivants :

    • Les activités activistes sont moins orientées vers le profit à court terme ; les investisseurs sont toujours préoccupés par les résultats à court terme, mais ils adoptent également une vision de plus en plus à long terme ;
    • On observe la montée d’une nouvelle forme d’activisme : l’activisme des parties prenantes (stakeholders), ou activisme social, qui emprunte aux méthodes de l’activisme traditionnel pour avancer leurs causes. On parle ici des fonds de pension, des gestionnaires d’actifs et des organisations à but charitables ;
    • Également, on note l’accroissement des activités d’activisme uniquement à long terme. Ces parties prenantes exercent de plus en plus de pression activiste auprès des administrateurs des CA ;
    • Dans le cas des très grandes entreprises, les conseils d’administration et les directions générales sont plus ouverts à des arrangements de gré à gré pour effectuer les changements réclamés par les activistes. Cependant, cette pause dans les relations entre ces deux entités n’est pas une garantie qu’elle ne sera pas suivie de nouvelles demandes toujours plus contraignantes pour les sociétés ;
    • Enfin, le développement de l’activisme continue de prendre de l’ampleur dans les marchés internationaux, en adoptant le modèle et les manières de faire des activistes américains ;

Les auteurs incitent les conseils d’administration à être très vigilants dans l’évaluation des nouveaux risques de gouvernance ainsi que dans la prise en compte des nouvelles occasions qui se présentent.

En tant qu’administrateur, je vous invite à lire cet article pour vous sensibiliser à la nouvelle donne.

Bonne lecture !

Shareholder Activism in 2020: New Risks and Opportunities for Boards

 

Résultats de recherche d'images pour « stakeholders activistes »

 

The era of stakeholder governance and corporations with a purpose beyond profits is taking hold, with corporate directors expected to answer to more constituencies and shoulder a greater burden than ever before. At the same time, investors—both in the US and abroad—continue to expect corporations to deliver superior financial performance over both the short and long term.

This convergence of purpose and performance will not only shape discussions in the boardroom, but also the complexion of shareholder activism. As the nature of the activist threat has evolved it has created additional obstacles for directors to navigate. But at the same time, this environment has created additional opportunities for boards to level the activist playing field and lead investors and other stakeholders into this new era.

Environmental, Social and Corporate Activism

Today, shareholder activists and governance gadflies are not the only constituencies using the corporate machinery to advocate for change. Social activists and institutional investors are increasingly joining forces and borrowing tactics from the shareholder activist playbook, particularly as they push for ESG reforms. For example, in 2019, prominent pension funds, asset managers and other charitable organizations sent a joint letter to all Fortune 500 companies calling for greater disclosure of mid-level worker pay practices. In addition, the Interfaith Center for Corporate Responsibility—on behalf of over 100 investors—spearheaded the submission of more than 10 shareholder proposals focusing on environmental and labor issues for the annual meeting of a single corporation.

We expect this type of stakeholder activism—or the convergence of shareholder activism and social activism—to continue and eventually move beyond the ESG realm. Although this marks yet another trend that boards must be prepared to face, it also offers directors an opportunity to embrace stakeholder interests other than EPS accretion or margin expansion to support the company’s governance profile and long-term strategic plan. To be sure, financial performance of the corporation over the long term, which benefits all stakeholders, will remain paramount, but focusing on the merits of the strategic plan for all stakeholders should help the board ensure management has sufficient runway to implement that plan and garner the support of more, rather than fewer, corporate constituencies along the way.

Long-Only Activism

At the same time, activism by traditional long-only investors also has increased. For example, Neuberger Berman pushed for board refreshment at Ashland Global as part of a Cruiser Capital-led campaign and launched a short-slate proxy contest at Verint Systems that settled when the company agreed to refresh its board and enhance its investor disclosures. Wellington Management also joined the fray, publicly backing—and by some accounts initiating—Starboard’s efforts to scuttle the Bristol Myers/Celgene merger. And T. Rowe Price doubled down on its activism efforts by publicly backing the Rice Brothers’ successful campaign to take control of the EQT board.

The takeaway for directors from this sort of activism is clear – no longer will institutional investors be content to sit on the sidelines or express their views privately. Directors should expect that increased long-only activism will create a challenging environment for active managers (including continued pressure on management fees) and will likely lead more of them to embrace activism, and to do so more publicly, as a way to differentiate their investment strategy.

The question for boards in this new environment is not just whether institutional investors will be a source of ideas for an activist or side with the board or the activist in the event of a campaign, but also whether its institutional investors are likely to themselves “go activist.” Shareholder engagement efforts will continue to be crucial in building support for a strategic plan and counteracting activist tendencies among long-only investors. But in the course of such efforts, directors must be mindful of the fact that not all institutional investors will have the same objectives and be careful to structure their interactions with investors accordingly. Well-advised boards will look for ways to find common ground with long-only investors while articulating the company’s long-term strategy in a manner that emphasizes its corporate purpose and is more likely to resonate with all stakeholders.

Large-Cap Activism and Settlement Agreements

Another trend boards must be aware of in 2020 is the success of certain brand-name activists in “settling” large-cap campaigns without committing to a settlement agreement with a standstill undertaking. Typically, a standstill, preventing the activist from exerting pressure on the company for a certain period of time, is the price the activist pays for the company committing to take certain of the steps proposed by the activist. The standstill is intended to ensure that the company has the breathing room necessary to implement the agreed-upon changes and make its case to investors.

However, several recent large-cap activist situations followed a different script. The companies engaged with the activists and announced a series of changes designed to appease the activist, ranging from purported governance and operational enhancements to full-blown strategic reviews. The activist then issued a separate, choreographed press release, often taking much of the credit for the changes and promising to work with the company to bring about the proposed changes. But that was it—there was no settlement agreement or other commitment by the activist to cease its efforts to influence the board.

Not surprisingly, in at least one of these situations, the company “settled” with an activist without a standstill only to face additional demands from the same activist several months later (and which required additional concessions). As always, the terms of peace with an activist will be shaped by the situational dynamics, but as 2020 dawns, directors should continue to be mindful of the benefits of a standstill.

Activism Abroad

Shareholder activism also continues to expand globally. Boards in Europe and Asia are increasingly finding themselves under pressure from activists. In these situations, boards have faced not only home-grown activists, but also US activists looking to expand their influence and investor base abroad.

We expect this trend to accelerate in 2020 for several reasons:

    • The number of easy activist targets in the US has dwindled.
    • US-based index funds continue to consolidate their ownership of public companies across the globe.
    • Foreign investors are becoming more prone to expect US-style capital allocation policies and shareholder return metrics from non-US companies.

The message to non-US boards is clear: If you aren’t thinking about activism, you should be. This doesn’t mean foreign issuers should reflexively adopt US practices; they shouldn’t. But it does mean that non-US boards should ensure they are prepared to deal with an activist event and consider a strategy that not only takes into account local conditions but also is informed by the relevant lessons from the US experience with shareholder activism.


*James E. Langston is partner at Cleary Gottlieb Steen & Hamilton LLP. This post is based on his Cleary memorandum. Related research from the Program on Corporate Governance includes The Long-Term Effects of Hedge Fund Activism by Lucian Bebchuk, Alon Brav, and Wei Jiang (discussed on the Forum here); Who Bleeds When the Wolves Bite? A Flesh-and-Blood Perspective on Hedge Fund Activism and Our Strange Corporate Governance System by Leo E. Strine, Jr. (discussed on the Forum here); Dancing with Activists by Lucian Bebchuk, Alon Brav, Wei Jiang, and Thomas Keusch (discussed on the Forum here); and Social Responsibility Resolutions by Scott Hirst (discussed on the Forum here).