Un changement majeur est à nos portes


 

Voici un article publié par Michael Volkov, Principal chez The Volkov Law Group et par John Fons, ex-directeur des programmes mondiaux de conformité et d’éthique. Cette publication a été partagée par Louise Champoux-Paillé sur le groupe de discussion LinkedIn Conseils d’administration et gouvernance de sociétés.

Le texte a été traduit et ajusté pour une publication sur mon blogue.

Dans l’article ci-dessous, la professionnalisation de la gouvernance des sociétés se manifeste clairement. Le CA représente l’autorité suprême d’une organisation et les administrateurs sont de plus en plus redevables dans leurs rôles de fiduciaires. Le président du conseil d’administration a un rôle clé à jouer à cet égard.

Je vous invite à prendre connaissance des obligations, de plus en plus pressantes, des administrateurs de sociétés.

Bonne lecture !

Les conseils d’administration sont confrontés à des risques croissants et à des responsabilités croissantes. Le conseil d’administration n’est plus un «lieu de repos confortable» pour les anciens cadres contraints de se retirer d’une entreprise en raison de restrictions d’âge. Les membres du conseil d’administration sont soumis à un examen de plus en plus minutieux de la part des procureurs, des régulateurs, des actionnaires, des créanciers et d’autres parties prenantes.
Responsabilité des administrateurs des sociétés par actions pour salaires  impayés - YULEX
 

Les recours collectifs en titres d’actionnaires intentés contre les administrateurs du conseil d’administration augmentent d’année en année. L’année dernière, environ une société ouverte sur 12 a fait l’objet d’un recours collectif en valeurs mobilières. [1]

Les membres du conseil d’administration servent de fiduciaires et sont responsables de la surveillance des défis complexes, des acquisitions traditionnelles, des états financiers et des introductions en bourse au changement climatique, à la cybersécurité, à la sécurité et aux dommages environnementaux, à la lutte contre la corruption, à la fraude, au harcèlement sexuel et aux risques pour la vie privée. Une partie importante de cette responsabilité de surveillance est la culture d’entreprise de l’entreprise, telle que garantie par son programme d’éthique et de conformité. Une mauvaise surveillance de cet aspect important de la performance de l’entreprise peut avoir un impact désastreux sur plusieurs fonctions clés interdépendantes : la performance financière durable, les mesures réglementaires et d’application du gouvernement et la valeur actionnariale, ainsi que la prévention des litiges collatéraux.

Alors que l’éventail des problèmes sous l’égide de la surveillance s’élargit rapidement, trop souvent les conseils d’administration restent enracinés, résistants au changement et aux techniques nécessaires pour exercer un contrôle approprié de la gestion de l’entreprise et des activités générales de l’entreprise. Des changements sismiques sont nécessaires dans la surveillance du conseil d’administration et la responsabilité du programme d’une entreprise.

Il ne fait aucun doute que le système actuel est anachronique et contribue de manière significative aux malversations des entreprises. Le système actuel a évolué au fil des ans avec des lois et réglementations favorables aux sociétés conçues pour protéger les membres du conseil d’administration de toute responsabilité. Avec le soutien de doctrines juridiques qui isolent les membres du conseil de toute responsabilité personnelle, une approche défensive de la gouvernance et du rendement du conseil a évolué.

Si les conseils d’administration des entreprises continuent sur la voie actuelle, ils seront confrontés à un risque croissant de poursuites pénales individuelles, de poursuites civiles et, en fin de compte, de responsabilité individuelle dans les poursuites des actionnaires. Pendant des années, la loi sur la gouvernance d’entreprise a été fixée au profit des conseils d’administration. Mais l’époque où l’on s’appuyait sur des doctrines juridiques conçues pour protéger les conseils d’administration de toute responsabilité se détériore lentement en réponse aux demandes de responsabilité et aux défaillances indéfendables de la gouvernance d’entreprise.

Le jour de la responsabilisation des membres du conseil est proche. Les conseils d’administration proactifs qui instituent des réformes dans leurs efforts de surveillance et de contrôle survivront et leurs entreprises prospéreront dans le cadre de cette tendance croissante. Ceux qui respectent les programmes et les contrôles actuels seront submergés par la myriade de risques, les menaces pour l’entreprise et eux-mêmes et, en fin de compte, la responsabilité potentielle.

Au cours des deux dernières années, les conseils d’administration d’entreprises ont perdu des affaires importantes dans lesquelles la performance du conseil d’administration a été contestée en vertu de la doctrine Caremark [2] pour mauvaise surveillance et respect des normes de conformité régissant la sécurité et les contrôles des opérations financières. [3] Ce n’est que le début de la responsabilisation des conseils d’administration pour une mauvaise surveillance conduisant à des malversations désastreuses pour les entreprises.

Accroître les attentes du gouvernement américain

Le ministère de la Justice (DOJ) et d’autres agences fédérales, telles que l’Office of Foreign Asset Control (OFAC), ont été clairs dans leurs attentes que les conseils d’administration des entreprises exercent une plus grande surveillance du programme d’une entreprise et du respect des exigences légales et réglementaires applicables.

Au cours des deux dernières années, ces agences ont publié des directives détaillées sur ces programmes. [4] Parmi les nombreuses questions importantes discutées, les procureurs et les régulateurs ont défini un certain nombre d’exigences importantes pour les conseils d’administration. Ces directives ont évolué au fil des ans, en commençant par les United States Sentencing Guidelines et en se développant grâce aux activités d’application de la loi, au recours aux contrôles d’entreprise et à d’autres outils de conformité, et à la contribution des professionnels de la conformité.

L’évaluation des programmes de conformité d’entreprise (orientation) du DOJ stipule qu’une entreprise « crée et favorise une culture d’éthique et de conformité à la loi à tous les niveaux de l’entreprise ». L’élaboration d’un programme efficace nécessite un haut niveau d’engagement de la part du conseil d’administration et de la direction de l’entreprise. Voir USSG § 8B2.1 (b) (2) (A) — (C) (l’« autorité dirigeante de l’entreprise doit être informée du contenu et du fonctionnement du programme de conformité et d’éthique et doit exercer une surveillance raisonnable » de celui-ci ; « un dirigeant de haut niveau doit s’assurer que l’organisation dispose d’un programme efficace de conformité et d’éthique » (soulignement ajouté). « Les principaux dirigeants de l’entreprise — le conseil d’administration et les dirigeants — donnent le ton au reste de l’entreprise ».

Les procureurs du DOJ sont chargés d’examiner dans quelle mesure le conseil d’administration et la haute direction « ont clairement articulé les normes éthiques de l’entreprise, les ont transmises et diffusées en termes clairs et sans ambiguïté et ont démontré un respect rigoureux par l’exemple ». En ce qui concerne les conseils d’administration d’entreprise, les directives posent plusieurs questions clés sous la rubrique « surveillance » qui reflètent les attentes du gouvernement en matière de performance des conseils :

  • Quelle expertise en matière de conformité a été disponible au sein du conseil d’administration ?
  • Le conseil d’administration et/ou les auditeurs externes ont-ils tenu des réunions exécutives ou privées avec les fonctions de conformité et de contrôle ?
  • Quels types d’informations le conseil d’administration et la haute direction ont-ils examinés dans le cadre de leur exercice de surveillance dans le domaine où l’inconduite s’est produite ?

Les conseils antérieurs du secteur de la santé sur le rôle du conseil d’administration dans la surveillance de la conformité et de l’éthique indiquaient :

C’est le processus suivi par le conseil pour établir qu’il a eu accès à suffisamment de renseignements et qu’il a posé les questions appropriées qui est le plus essentiel pour s’acquitter de son devoir de diligence. [5]

En ce qui concerne les obligations individuelles des administrateurs, ces mêmes directives stipulaient :

Dans l’exercice de son devoir de vigilance, l’administrateur est tenu d’exercer une surveillance générale et un contrôle sur les mandataires sociaux. Cependant, une fois présentées (par le biais du programme de conformité ou autrement) des informations qui suscitent (ou devraient susciter) des inquiétudes, le directeur est alors obligé de faire une enquête plus approfondie jusqu’à ce que ses préoccupations soient traitées de manière satisfaisante et favorablement résolues. Ainsi, alors que l’on ne s’attend pas à ce que l’administrateur de la société remplisse les fonctions d’agent de conformité, il/elle est censé(e) superviser le fonctionnement du programme de conformité par la haute direction. [6]

« LE JOUR DE LA RESPONSABILISATION DES MEMBRES DU CONSEIL D’ADMINISTRATION EST PROCHE. LES CONSEILS D’ADMINISTRATION PROACTIFS QUI INSTITUENT DES RÉFORMES DANS LEURS EFFORTS DE SURVEILLANCE ET DE CONTRÔLE SURVIVRONT ET LEURS ENTREPRISES PROSPÉRERONT DANS LE CADRE DE CETTE TENDANCE CROISSANTE ».

Surveillance appropriée par le conseil d’administration du programme d’éthique et de conformité d’une entreprise

Comme point de départ, les conseils d’administration des entreprises doivent mettre en œuvre un ensemble modeste de mesures à partir desquelles construire des fonctions de surveillance et de contrôle efficaces. Lorsque nous notons « modeste », nous appliquons des attentes réalistes à ce qui aurait dû être mis en œuvre des années auparavant. Ces mesures nécessiteront des ajustements « modestes ».

Divulgation indiquant si le conseil d’administration compte ou non au moins un expert en éthique et en conformité : Cela fait 18 ans que la loi Sarbanes-Oxley (SOX) est entrée en vigueur. « L’un des aspects les plus importants de la législation était qu’elle ajoutait des exigences supplémentaires au comité d’audit — la clé de voûte de la surveillance financière du conseil — dans le but de le renforcer. SOX exigeait une divulgation annuelle indiquant si le conseil d’administration avait ou non au moins un expert financier du comité d’audit (ACFE) dans son comité d’audit… Une partie du raisonnement sous-jacent à cette nouvelle exigence de divulgation était que quelqu’un qui possédait les compétences et l’expérience pour être qualifié en tant qu’ACFE poserait des questions plus difficiles et, par conséquent, une surveillance financière plus efficace se produirait ». [7]

Ce raisonnement s’applique aussi bien à l’éthique qu’à la conformité. Il est plus que temps pour les conseils d’administration d’avoir quelqu’un qui possède les compétences et l’expérience nécessaires pour être qualifié en tant qu’expert en éthique et en conformité, quelqu’un qui peut poser des questions plus difficiles qui se traduiraient ensuite par une surveillance plus efficace de l’éthique et de la conformité.

En plus d’une surveillance plus efficace du programme, un tel membre du conseil d’administration, qui comprend la valeur de la conformité, et comment promouvoir la conformité et l’éthique, comprendra également à quel point ces programmes sont essentiels, une stratégie fondamentale pour la réalisation par l’entreprise d’objectifs de croissance et de performance durables. . Un expert en éthique et en conformité au sein du conseil d’administration est un premier pas important dans cette direction.

Création d’un comité d’éthique et de conformité distinct : Dans le sillage de SOX, nous avons vu la montée des auditeurs internes et l’importance de la surveillance du comité d’audit. Parce qu’un programme efficace comprend des contrôles internes, les conseils ont ajouté la surveillance de ces programmes aux chartes de leurs comités d’audit. Et parce que la plupart des conseils d’administration n’ont pas d’expert en éthique et en conformité et parce que l’éthique et la conformité sont plus que de simples contrôles internes — l’éthique et la conformité alimentent une croissance durable et protègent la culture de l’entreprise, la performance des employés et la réalisation des objectifs financiers à long terme. Demander au comité d’audit de superviser le programme fait que l’éthique et la conformité obtiennent peu de temps et d’attention de la part du comité. L’expertise financière est parfaitement adaptée aux auditeurs internes et à la préparation et au dépôt des rapports financiers.

Pour résoudre ce problème, les conseils d’administration doivent élargir la structure de leurs comités pour inclure un comité d’éthique et de conformité spécifique ou même un comité de gestion des risques plus large. L’une ou l’autre solution fonctionnerait et apporterait une expertise en matière de gestion des risques et de conformité au processus de surveillance du conseil. Un membre du conseil d’administration qui possède une expertise en matière de conformité devrait présider un comité d’éthique et de conformité. Un comité de trois membres constituerait un mécanisme de contrôle efficace et aiderait à promouvoir la mise en œuvre d’un programme efficace d’éthique et de conformité.

Alors que la génération Y augmente son rôle et son contrôle sur les cultures d’entreprise, la génération Y exige des approches nouvelles et innovantes en matière de gouvernance et d’objectifs d’entreprise. La culture d’entreprise est vitale pour cette vague de changement. Un comité du conseil d’administration distinct qui se consacre à l’éthique et à la conformité est une deuxième étape importante dans cette direction.

Directeur de la conformité : Un nouveau cadre pour le directeur de la conformité (CCO) est également nécessaire. Comme le soulignent les orientations, les CCO doivent avoir trois attributs : « (1) une ancienneté suffisante au sein de l’organisation ; (2) des ressources suffisantes, à savoir du personnel pour entreprendre efficacement l’audit, la documentation et l’analyse requis ; et (3) une autonomie suffisante vis-à-vis de la direction… ». [8]

Avec l’ajout d’un expert en éthique et conformité et la création d’un comité d’éthique et de conformité distinct, le CCO devrait avoir suffisamment d’ancienneté. Pour satisfaire les besoins en ressources, le comité de conformité doit établir le budget annuel de la fonction d’éthique et de conformité, y compris la rémunération du CCO.

Pour satisfaire à l’exigence d’autonomie, le CCO doit être embauché et licencié uniquement par le comité d’éthique et de conformité. De même, le comité d’éthique et de conformité doit également être l’endroit où la performance du CCO est examinée. Le comité d’éthique et de conformité est responsable du programme de l’entreprise et le CCO est son mandataire. Fournir ces trois attributs au CCO est une troisième étape essentielle dans cette direction.

Rapports et réunions régulières du directeur de la conformité : en supposant que les trois premières étapes ont été accomplies, le CCO connaîtra rapidement une augmentation de son attention et de ses responsabilités. L’accent mis par le conseil sur l’éthique et la conformité élèvera la stature, l’autorité et les responsabilités du chef de la conformité à celles de l’auditeur interne devant le comité d’audit du conseil.

Pour que le conseil respecte ses obligations de surveillance de la conformité, le CCO rendra compte chaque trimestre au comité d’éthique et de conformité et organisera une session annuelle avec l’ensemble du conseil. Chaque réunion doit inclure une session exécutive entre le CCO et le comité ou le conseil d’administration au complet. Entre les réunions trimestrielles et annuelles, le président du comité d’éthique et de conformité et le CCO doivent maintenir des communications régulières pour tenir le comité informé de manière informelle des questions relatives au programme d’éthique et de conformité. En déléguant cette importante responsabilité à un comité d’éthique et de conformité, l’ensemble du conseil d’administration remplira régulièrement ses obligations de surveillance.

Formation à la surveillance du conseil : bien que l’ajout d’un expert en éthique et en conformité au conseil soit d’une grande aide,

les conseils d’administration doivent améliorer leurs fonctions de contrôle et de contrôle, mais manquent généralement de compétences de base dans ce domaine. Le CCO doit former les conseils d’administration pour effectuer une surveillance et un suivi significatifs du programme (ainsi que des risques de conformité émergents). Au fur et à mesure que les responsabilités et l’information augmentent, les conseils doivent allouer du temps efficacement pour s’acquitter de toutes les responsabilités en suspens.

Dans ce nouvel environnement, la gestion des risques est devenue un défi plus complexe et difficile. Les membres du conseil d’administration doivent exiger des informations solides de la part de la direction en général, et du CCO en particulier, sur les risques, y compris les risques d’entreprise, les risques juridiques et de conformité et d’autres perturbations. Dans ce domaine, les conseils d’administration ne peuvent pas compter uniquement sur les PDG et les directeurs financiers pour identifier ces risques ; au lieu de cela, les conseils d’administration doivent entendre des voix indépendantes au sein de l’entreprise, telles que l’audit interne, l’éthique et la conformité.

Dans le domaine de l’éthique et de la conformité, trop d’administrateurs d’entreprise pensent avoir une culture « éthique » et une culture « de la parole », sans aucune information ou donnée pour confirmer ces conclusions. De plus, les membres du conseil continuent d’ignorer l’importance de la gestion des risques de tiers, principalement parce qu’ils ne comprennent pas le problème et l’importance du risque opérationnel de l’entreprise.

Grâce à ces modestes ajustements, les conseils d’administration pourront démontrer qu’ils ont rempli leur obligation de diligence, ont promu une culture de confiance élevée et positionné leurs entreprises pour réussir.

Notes de bas de page :

  1. From Nuisance to Menace: The Rising Tide of Securities Class Action Lawsuits (juin 2019) disponible sur https://news.chubb.com/sca-spotlight, 3 octobre 2020).

2.In re Caremark Int’l Inc. Derivative Litigation, 698 A.2d 959 (Del. Ch. 1996) ; et Stone ex rel. AmSouth Bancorporation c. Ritter, 911 A.2d 362, 372 (Del. 2006).

  1. Marchand c. Barnhill, Marchand c. Barnhill, 212 A.3d 805 (Del. 2019) ; In re Clovis Oncology, Inc. Derivative Litigation, CA n° 2017-0222 (1er octobre 2019) (Slights, VC) ; voir Hughes c. Hu, 2020 WL 1987029 (Del. Ch. 27, avril 2020).

4.Voir, par exemple, DOJ Evaluation of Corporate Compliance Programs (avril 2019 et révisée en juin 2020) ; (2) DOJ Evaluation of Corporate Compliance Programs in Criminal Antitrust Investigations (juillet 2019) ; et (3) Un cadre pour les engagements de conformité de l’OFAC (mai 2019). HHS OIG Compliance Program Guidance for Pharmaceutical Manufacturers, qui comprend des éléments pour un programme de conformité efficace, disponible sur https://oig.hhs.gov/compliance/compliance-guidance/index.asp ; voir également Measuring Compliance Program Effectiveness : A Resource Guide HCCA & HHS OIG, 27 mars 2017, disponible sur https://assets.hcca-info.org/Portals/0/PDFs/Resources/Conference_Handouts/Regional_Conference/2017/new- york/Taitsmanhandout.pdf.

  1. Conseils pratiques à l’intention des conseils d’administration des soins de santé sur la surveillance de la conformité (2015) par le bureau de l’inspecteur général du département américain de la santé et des services sociaux et l’association américaine des avocats de la santé, disponible sur https://oig.hhs.gov/compliance / guide-de-conformité/docs/Practical-Guidance-for-Health-Care-Boards-on-Compliance-Oversight.pdf

6.ibid

7.Exigence d’expert financier de SOX 15 ans plus tard, par Ann C. Mulé, Directorsandboards.com

8.Voir, par exemple, DOJ Evaluation of Corporate Compliance Programs (avril 2019, révisé en juin 2020).

___________________________

À propos des auteurs :

Michael Volkov est un expert reconnu en matière d’application et de défense anticorruption, d’enquêtes internes, d’éthique et de conformité, et de questions de défense des cols blancs. Michael est le président-directeur général de The Volkov Law Group LLC. Il a plus de 30 ans d’expérience dans la pratique du droit. M. Volkov a servi pendant 17 ans comme procureur adjoint des États-Unis dans le District de Columbia. Il a également siégé aux commissions judiciaires du Sénat et de la Chambre en tant que conseiller principal en matière de criminalité et de terrorisme du sénateur Orrin Hatch, alors président, et du président James F. Sensenbrenner, respectivement. En outre, M. Volkov a été sous-procureur général adjoint au Bureau des affaires législatives du ministère américain de la Justice et avocat général au sein de la division antitrust du DOJ. M. Volkov tient le célèbre blogue juridique : Corruption, Crime & Compliance. Il est un conférencier régulier lors de conférences anticorruption, d’enquêtes internes et d’autres conférences et événements dans le monde entier. Le 30 novembre 2010, M. Volkov a témoigné devant le Comité judiciaire du Sénat lors d’une audience sur « l’application du FCPA ».

Depuis plus de 30 ans, John J Fons est avocat d’entreprise, dont 15 ans en tant que General Counsel. Plus récemment, en tant que directeur des programmes mondiaux de conformité et d’éthique pour Modine Manufacturing Company, le principal fournisseur mondial d’équipements de gestion thermique. Auparavant, il était vice-président exécutif et avocat général de Joy Global inc., le premier fournisseur mondial d’équipements et de services miniers. Il a également été vice-président, secrétaire et avocat général pour les opérations nord-américaines de Metso Minerals Industries, inc., le principal fournisseur mondial d’équipements, de services et de solutions de processus pour les industries, notamment l’extraction et la production d’agrégats, l’exploitation minière et le traitement des minéraux, la construction, le génie civil et le recyclage et gestion des déchets. En plus de fournir des services juridiques aux entreprises, John est consultant auprès d’organisations qui cherchent à mettre en place des programmes efficaces d’éthique et de conformité d’entreprise. De 2007 à 2012, il a été membre auxiliaire du corps professoral du Collège d’administration des affaires de l’Université Marquette, où il a enseigné l’éthique des affaires, y compris les stratégies de citoyenneté d’entreprise.

Le rôle du comité d’audit dans la surveillance des risques en 2023


 

Aujourd’hui, je partage avec vous un excellent article qui porte sur la gestion des risques, et plus précisément, sur le rôle du comité d’audit dans la surveillance des risques de toute nature.

L’article est paru sur le Forum de Harvard Law School, et il a été rédigé par Krista Parsons, directrice générale et responsable des programmes du comité d’audit, Maureen Bujno, directrice générale, et Kimia Clemente, directrice principale du Center for Board Effectiveness de Deloitte & Touche.

Cet article fait le tour de la question eu égard aux différents risques que l’entreprise doit prendre en compte.

Également, le comité d’audit, et tout le conseil doivent être attentifs aux diverses règlementations qui concernent la gestion des risques, dont les obligations de divulgation aux parties prenantes.

J’ai utilisé l’outil de traduction Google pour franciser le texte, lequel a subi de multiples ajustements.

Bonne lecture ! Vos commentaires sont toujours les bienvenus.

 

Les règles relatives à la surveillance des auditeurs modifiées | Finance et Investissement

 

Le rôle du comité d’audit dans la surveillance des risques

Il est difficile de prédire l’avenir, surtout en période de changement et d’incertitude. Cependant, il semble prudent de prédire que les programmes de 2023 de nombreux comités d’audit seront centrés sur les risques.

Bien sûr, la surveillance des risques est l’une des plus importantes, sinon la plus importante, des responsabilités du comité d’audit. Bien que le comité d’audit ne soit pas responsable de la surveillance de tous les risques d’une entreprise, il est souvent responsable de la surveillance des politiques et des processus de surveillance des risques de l’entreprise, principalement du programme de risque d’entreprise. Ce programme, dirigé par la direction, consiste à identifier les principaux risques dans l’ensemble de l’organisation, des risques financiers aux risques liés à la main-d’œuvre et des risques dus aux pénuries de matières premières aux risques découlant de catastrophes naturelles et d’autres crises. En d’autres termes, sauf dans les cas où une entreprise dispose d’un comité des risques [1] le comité d’audit supervise le processus d’évaluation et de gestion des risques qui pourraient menacer la viabilité et le succès de l’entreprise. Selon le dernier rapport sur les pratiques du comité d’audit publié par Deloitte et le Center for Audit Quality, 43 % de l’ensemble des répondants interrogés ont déclaré que le comité d’audit était le principal responsable de la surveillance de la gestion des risques d’entreprise.

Cependant, la responsabilité du comité d’audit en matière de surveillance des risques va au-delà de la compréhension et des conseils concernant la création et la mise en œuvre d’un programme de gestion des risques d’entreprise solide. Le comité est chargé de comprendre et de conseiller sur la manière dont la direction identifie, surveille et évalue en permanence les risques et de s’assurer que les risques importants sont attribués à l’ensemble du conseil ou au comité approprié. Et le comité d’audit est lui-même responsable de la surveillance des principaux domaines de risque, tels que les risques qui ont une incidence sur l’information financière et la divulgation, y compris les contrôles internes et la fraude.

Domaines de surveillance des risques en 2023

Pour beaucoup, le nombre et la gravité des risques semblent augmenter chaque jour, ce qui suggère qu’en 2023, le comité d’audit devra de plus en plus se concentrer sur ses responsabilités de surveillance des risques. Une liste complète des risques à surveiller en 2023 pourrait être très longue, mais une enquête rapportée dans le rapport sur les pratiques du comité d’audit suggère que les domaines suivants sont les plus susceptibles de faire l’objet d’une surveillance des risques du comité d’audit en 2023 : la divulgation, y compris les rapports de contrôles internes et fraude ; la cybersécurité ; efficacité du programme de gestion des risques d’entreprise ; le suivi et la divulgation environnementale, sociale et de gouvernance (ESG) ; inflation ; et transformation numérique. [2]   Nous abordons certains de ces risques, ainsi que d’autres risques, ci-dessous.

Rapports financiers et divulgation

Comme indiqué ci-dessus, la divulgation est l’un des domaines de risque dont le comité d’audit est le principal responsable. Cette responsabilité découle d’un certain nombre d’exigences légales ; par exemple, les règles de la Securities and Exchange Commission (SEC) des États-Unis exigent que le comité d’audit recommande à l’ensemble du conseil d’administration d’inclure les états financiers d’une société dans son rapport annuel sur formulaire 10-K. Un autre exemple est la loi Sarbanes-Oxley et les règles connexes de la SEC, qui confèrent au comité d’audit l’entière responsabilité du recrutement, de la surveillance, de la rémunération et (le cas échéant) du licenciement des auditeurs indépendants. Le comité d’audit est également responsable de la surveillance de la fonction d’audit interne. Découlant de ces exigences et pratiques,

Ces domaines et d’autres liés à la divulgation seront probablement à l’honneur en 2023, en partie à cause des efforts continus d’application de la loi par la SEC et d’autres agences gouvernementales, de l’examen minutieux des investisseurs et des médias, et d’autres facteurs, y compris des preuves historiques que les économies en récession et la volatilité des marchés ont tendance à augmenter les niveaux de fraude. En fait, en novembre 2022, le chef comptable par intérim de la SEC a déclaré que « [l]’environnement économique actuel est soumis à d’importantes incertitudes et, historiquement, cela conduit souvent à un risque de fraude accru ». [3] Dans un discours antérieur, il a également déclaré que « les auditeurs… ont la responsabilité d’examiner la fraude et d’obtenir une assurance raisonnable quant à l’absence d’anomalies significatives dans les états financiers, que celles-ci soient causées par une fraude ou par une erreur ». 4 D’autres facteurs économiques qui pourraient entraîner un examen minutieux par la SEC comprennent l’inflation et les fluctuations des taux de change.

L’accent prévu sur la divulgation en 2023 est également susceptible d’être affecté par de nouvelles règles qui pourraient être adoptées par la SEC. Sous la direction du président Gensler, la SEC a proposé un certain nombre de règles qui, si elles sont adoptées, élargiront les divulgations dans des domaines tels que la cybersécurité et le changement climatique. Et on s’attend à ce que la SEC propose des règles appelant à une divulgation supplémentaire dans plusieurs domaines, notamment le capital humain, les technologies émergentes et les cryptomonnaies, entre autres.

En bref, la divulgation et l’information financière sont susceptibles d’être des points prioritaires à l’ordre du jour de 2023 de nombreux comités d’audit.

La gestion du risque d’entreprise

La surveillance de la gestion des risques d’entreprise (ERM) — les processus utilisés pour identifier, surveiller et évaluer les risques — est à l’ordre du jour du comité d’audit depuis de nombreuses années. Cependant, ce rôle de surveillance peut nécessiter une vigilance accrue en 2023, car le rythme des changements et les défis auxquels sont confrontées les entreprises semblent augmenter de jour en jour. Un élément clé de cette surveillance est la réception et l’examen par le comité d’un tableau de bord indiquant les risques importants et le degré de risque associé à chacun (par exemple, rouge, jaune et vert), ainsi que les risques qui évoluent à la hausse et à la baisse. De plus, le comité devrait tenir compte des risques nouveaux et émergents qui ont été ajoutés au tableau de bord ou qui pourraient être ajoutés à l’avenir.

Outre la surveillance générale, le comité d’audit doit évaluer si le processus de GRE évolue pour relever les défis du jour. Un programme de GRE qui a bien fonctionné pendant plusieurs années peut générer de la complaisance ou ne pas identifier de nouveaux risques ou détecter les risques émergents, tant internes qu’externes, ou leur impact potentiel sur l’entreprise. Par conséquent, le comité devra peut-être réévaluer l’efficacité du programme ou de certaines de ses composantes. Le comité peut également avoir besoin d’examiner si les départs d’employés ou d’autres développements ont nui aux ressources nécessaires pour exécuter correctement le programme de GRE.

Cybersécurité et autres questions technologiques

La cybersécurité figure en tête des listes de risques clés de nombreux comités d’audit depuis plusieurs années et ne montre aucun signe de disparition ou de perte d’importance. En fait, le rapport sur les pratiques du comité d’audit suggère que la cybersécurité sera un domaine d’intérêt de plus en plus important pour les comités d’audit à l’avenir. De plus, le rapport indique qu’une majorité des entreprises interrogées attribuent la responsabilité de la surveillance de la cybersécurité à leurs comités d’audit. Le risque de cybersécurité est également susceptible d’occuper une place importante en 2023 en raison de l’adoption prévue des règles finales de la SEC exigeant une divulgation détaillée sur le sujet, y compris si un membre du conseil d’administration possède une expertise en cybersécurité. Compte tenu du rôle de premier plan que de nombreux comités d’audit jouent dans la surveillance des risques de cybersécurité, l’adoption de cette dernière exigence pourrait avoir une incidence sur la planification de la relève des comités d’audit en 2023 et au-delà.

Les risques liés à la cybersécurité ne sont pas les seuls risques liés à la technologie qui pourraient nécessiter une plus grande surveillance du comité d’audit en 2023. À mesure que l’utilisation de l’intelligence artificielle se développe et, avec elle, les préoccupations concernant la confidentialité des données, les implications éthiques de l’intelligence artificielle et d’autres questions, l’audit on s’attendra à ce que les comités traitent des risques associés, y compris dans certains cas des domaines dont le comité d’audit peut avoir la responsabilité principale.

Les risques supplémentaires associés à la technologie comprennent la possibilité qu’un secteur d’activité — éventuellement le principal secteur d’activité dans lequel l’entreprise s’engage — soit soumis à une perturbation par une nouvelle technologie et les risques pouvant résulter de pratiques contraires à l’éthique dans l’utilisation de l’intelligence artificielle.

Changement environnemental et climatique

Bien que les comités d’audit n’aient peut-être pas la responsabilité principale de surveiller les risques associés au changement climatique et à d’autres questions environnementales (le rapport sur les pratiques des comités d’audit indique que seulement 34 % des entreprises interrogées attribuent cette responsabilité à leurs comités d’audit), ils ont une responsabilité importante dans l’évaluation des divulgations et contrôles relatifs aux enjeux ESG. La nature et l’étendue des informations à fournir sur l’environnement et le changement climatique peuvent dépendre des règles proposées sur le sujet en 2022. Cependant, les entreprises ont déjà commencé à fournir des informations détaillées sur leurs activités environnementales, les risques auxquels elles sont confrontées en raison du changement climatique et une foule de questions connexes, et il semble probable que même si les règles de la SEC ne sont pas adoptées comme proposés ou pas du tout, les entreprises fourniront des informations détaillées sur le sujet. En particulier, les nouvelles règles de l’Union européenne (UE) exigeront des rapports ESG sur un ensemble plus large de sujets ESG que ceux requis par les règles actuelles et proposées de la SEC et s’appliqueront à certaines entreprises qui n’étaient auparavant pas soumises aux exigences de déclaration non financière obligatoires, y compris les entreprises publiques et privées non européennes qui répondent à certaines exigences de l’UE — seuils de présence. Compte tenu du rôle clé du comité d’audit dans la surveillance de la divulgation, discuté ci-dessus, toute augmentation des divulgations sur l’environnement et le changement climatique (ou même des mesures ESG divulguées plus larges) ajoutera aux responsabilités du comité d’audit. Selon le rapport sur les pratiques du comité d’audit , seuls 6 % des répondants ont déclaré que les comités d’audit sont responsables de la surveillance de la stratégie ESG, y compris les engagements en matière de climat et de carbone. Cependant, que les comités d’audit assument ou non un rôle plus important dans ces domaines, ils seront chargés de déterminer si les contrôles internes et de communication de l’information de leur entreprise sont adéquats pour traiter les questions en question.

Même en l’absence d’exigences accrues, la SEC a commenté les divulgations de certaines entreprises sur les questions environnementales et de changement climatique. Par exemple, un certain nombre d’entreprises qui publient des rapports ESG ou de développements durables qui ne sont pas déposés auprès de la SEC ont reçu des commentaires demandant pourquoi les informations contenues dans ces rapports diffèrent de celles des documents déposés par les entreprises auprès de la SEC.

Un autre domaine d’implication du comité d’audit dans les questions d’environnement et de changement climatique concerne l’inclusion de mesures quantitatives de l’environnement ou du changement climatique dans les plans de rémunération des dirigeants des entreprises. Bien que ces plans relèvent largement de la compétence du comité de rémunération, le comité d’audit peut avoir un rôle à jouer pour déterminer les paramètres à utiliser, et comment la réalisation des paramètres et l’impact précis sur la rémunération peuvent être mesurés, et les informations à fournir sur ces zones. De plus, dans la mesure où les sociétés fournissent une assurance tierce quant au calcul des paramètres et à l’impact sur la rémunération, le comité d’audit est susceptible de jouer un rôle dans la détermination du type d’assurance qui peut être fournie.

Défis post-pandémiques : perturbation de la chaîne d’approvisionnement, pénurie de main-d’œuvre et pression inflationniste

Les effets des défis économiques et autres résultant de la pandémie continuent de secouer les entreprises et leurs opérations. Les perturbations des chaînes d’approvisionnement mondiales continuent d’affliger les industries, de la fabrication aux biens de consommation en passant par les soins de santé. Le comité d’audit devra exercer une surveillance sur la façon dont la direction traite les risques associés aux perturbations de la chaîne d’approvisionnement et sur la façon dont l’entreprise répond aux besoins d’une grande variété de parties prenantes malgré l’incapacité de fournir des produits ou des services en temps opportun.

Les entreprises d’un large éventail d’industries, quelles que soient leur taille ou d’autres caractéristiques, connaissent des pénuries de main-d’œuvre, que ce soit en raison de taux de chômage historiquement bas, de la soi-disant « grande démission » ou d’autres facteurs. Comme pour les défis de la chaîne d’approvisionnement, les comités d’audit devront rester au courant de la façon dont leurs entreprises gèrent ces pénuries, de la mesure dans laquelle les fonctions critiques peuvent ne pas être traitées de manière adéquate et/ou de la manière dont l’entreprise cherche à atténuer les pénuries de main-d’œuvre ou les problèmes qu’ils créent, d’autant plus que ces pénuries ont un impact sur les fonctions finances et audit.

Pour de nombreuses entreprises et leurs employés, le mot « inflation » n’avait aucun sens, car les pressions inflationnistes mondiales ne se sont pas fait sentir depuis de nombreuses années. Selon le secteur, l’emplacement géographique des opérations et d’autres facteurs, l’impact de l’inflation peut avoir des effets différents ; cependant, la plupart des entreprises, sinon toutes, doivent y faire face d’une manière ou d’une autre, et le comité d’audit sera particulièrement sensible à l’impact de l’inflation sur la performance financière et les informations connexes. Une préoccupation connexe, mentionnée ci-dessus, est que les incidents de fraude comptable ont tendance à augmenter en période de volatilité et d’incertitude économiques, et les comités d’audit doivent donc également être sensibles à ce risque.

En conclusion

Bien sûr, ce qui précède n’est qu’un résumé de quelques-uns des domaines de risque que les comités d’audit surveilleront probablement en 2023. Il existe de nombreux autres domaines de risque, notamment le capital humain, l’instabilité géopolitique et la volatilité des prix de l’énergie, pour n’en nommer que quelques-uns, exigeront presque certainement une surveillance du comité d’audit au cours de l’année à venir. Il est également probable sinon certain que de nouveaux risques émergeront au cours de l’année. Dans la mesure où les responsabilités du comité d’audit sont si vastes et que les conseils d’administration et la direction ont tendance à lui confier des domaines de risque nouveaux et émergents, il n’est pas surprenant que le comité ait parfois été qualifié de comité de « l’évier de la cuisine ». Cependant, compte tenu de l’importance de ses responsabilités en matière de surveillance des risques, parmi de nombreux autres domaines, ce surnom doit être considéré comme un insigne d’honneur. Dans tous les cas, les comités d’audit continueront d’avoir de vastes responsabilités en 2023 et au-delà.


Notes de fin

1 La loi Sarbanes-Oxley de 2002 a rendu obligatoire la formation de comités des risques dans certaines grandes institutions financières. Cependant, les comités des risques ne sont pas devenus courants dans d’autres entreprises. Selon l’indice américain Spencer Stuart Board Index 2022, seuls 12 % du S&P 500 disposaient de tels comités. (retourner)

2 L’enquête visait à obtenir des informations sur les risques autres que ceux associés à l’information financière et aux contrôles internes. (retourner)

3 Jean Eaglesham, « Le comptable de la SEC met en garde contre un risque de fraude accru au milieu des craintes de récession, de la vente sur le marché »,  Wall Street Journal , 3 novembre 2022. (retourner)

4 Paul Munter, « La responsabilité de l’auditeur en matière de détection de fraude », US Securities and Exchange Commission, 11 octobre 2022. (retourner)

Quels seront les sujets à l’ordre du jour des CA en 2023 ?


 

L’article paru aujourd’hui dans Harvard Law School Forum a été publié par Carey Oven, associée directrice nationale du Center for Board Effectiveness et Chief Talent Officer, Caroline Schoenecker,  directrice de l’expérience et Robert Lamm, conseiller principal indépendant.

Cette publication montre clairement ce qui fera l’objet des sujets à l’ordre du jour des conseils d’administration pour les années à venir. J’ai utilisé l’outil de traduction Google pour présenter le texte en français lequel a subi de multiples ajustements.

Les CA sont toujours intéressés par les nouvelles préoccupations en matière de gouvernance.

Bonne lecture !

The 2023 board agenda

 

8 Tipps für ein erfolgreiches Meeting | Nordantech

 

Introduction

Plus les choses changent…

L’ordre du jour du conseil d’administration s’est d’abord concentré sur les « sujets brûlants » de l’année à venir en janvier 2018. [1]   Regarder cette publication cinq ans plus tard est instructif ; il nous rappelle que même si de nombreux nouveaux sujets sont susceptibles d’être à l’ordre du jour du conseil en 2023, certains sujets continuent d’être au premier plan des considérations du conseil, même si les détails ont changé à certains égards.

Bien sûr, de nombreuses questions ont été ajoutées à l’ordre du jour du conseil depuis 2018 et resteront des priorités en 2023. Les nouvelles questions les plus importantes concernent peut-être le rôle de la société dans la société en général. Ce sujet a fait l’objet d’une attention particulière en 2019, lorsque la Business Roundtable a publié sa « Déclaration sur l’objet de la société » [2] menant à des discussions sur la question de savoir si les sociétés ont des obligations envers des groupes autres que les actionnaires, tels que les employés, les clients, les fournisseurs et les communautés dans lesquelles elles opèrent. Parmi les autres préoccupations sociétales qui ont eu un impact sur les salles de conseil, citons une myriade d’événements qui peuvent avoir contribué à l’orientation plus large de DE&I, ce qui a conduit les entreprises et leurs conseils d’administration à se demander s’ils offrent des environnements de travail équitables et inclusifs, et la pandémie de COVID-19, qui continue d’avoir un impact sur les entreprises en ce qui concerne des questions telles que la santé et le bien-être des employés et la nature fondamentale du travail et du lieu de travail.

Nous discutons ci-dessous de certains des sujets critiques qui sont restés relativement constants au cours des cinq dernières années, ainsi que des sujets nouveaux et émergents qui seront probablement à l’ordre du jour du conseil en 2023.

Composition et compétences du conseil

En 2023 comme en 2018, la composition du conseil est un domaine d’intérêt principal pour les conseils. De plus, certaines des questions que les conseils d’administration aborderont probablement en 2023 ont également des implications importantes pour la composition du conseil d’administration.

La cybersécurité est l’une de ces questions. Cela reste une préoccupation majeure pour les entreprises et leurs conseils d’administration, et de nombreux conseils d’administration ont envisagé l’opportunité d’ajouter des administrateurs possédant une gamme de compétences allant de l’expertise en cyberrisque à la maîtrise générale de la technologie. Ce sujet a été abordé en 2022 dans les propositions de la Securities and Exchange Commission (SEC) qui imposeraient de nouvelles exigences de divulgation concernant la cybersécurité, y compris « si un membre du… conseil d’administration possède une expertise en cybersécurité et, le cas échéant, la nature de cette expertise ». [3] Un certain nombre de commentaires soumis à la SEC sur cette proposition remettent en question la nécessité et l’opportunité de cette exigence, notant qu’il n’est pas possible d’ajouter un « expert » sur chaque sujet que les conseils doivent aborder et que d’autres administrateurs peuvent se fier indûment sur un « expert » sur un sujet donné.

Cependant, que cette exigence soit adoptée telle qu’elle a été proposée, retirée de la règle finale ou quelque chose entre les deux, les conseils d’administration resteront presque certainement concentrés sur la présence d’un ou plusieurs membres ayant un certain degré d’expérience ou de connaissances en technologie.

D’autres domaines d’intérêt du conseil en développement ont également des répercussions sur la composition du conseil. Les données suggèrent que les entreprises ne cherchent plus à limiter les recherches de nouveaux membres du conseil d’administration aux personnes qui occupent ou ont déjà occupé le poste de directeur général. [4]   De plus en plus, les conseils d’administration recherchent des administrateurs ayant de l’expérience dans les domaines où leurs entreprises ont les plus grands besoins ; les entreprises en contact direct avec les consommateurs peuvent chercher à ajouter des administrateurs ayant une expérience en marketing ; les entreprises ayant des opportunités de stratégie en matière de capital humain peuvent envisager d’ajouter des administrateurs qui ont servi comme CHRO ou dans des fonctions similaires ; et les entreprises ayant des activités internationales peuvent envisager d’ajouter des administrateurs ayant une formation en géopolitique.

Technologie et cyberrisque

Il y a cinq ans, la discussion sur les risques technologiques se concentrait presque entièrement sur les risques associés aux nouvelles technologies, tels que les risques perturbateurs et les problèmes éthiques associés à l’utilisation de l’intelligence artificielle (IA) ; Le « piratage » a été mentionné, mais il ne semble pas avoir été un sujet de préoccupation majeure.

Alors que les risques, les défis et les opportunités associés aux perturbations et à l’utilisation de l’IA restent à l’ordre du jour du conseil d’administration, la discussion s’est clairement déplacée vers la cybersécurité, reflétant peut-être l’augmentation du nombre et de la gravité des cyberattaques ainsi que le plus grand degré de confiance désormais placé sur les infrastructures numériques. Comme indiqué ci-dessus, la cybersécurité est devenue suffisamment importante pour générer des propositions de la SEC qui élargiraient considérablement les divulgations sur le sujet, y compris la mesure dans laquelle le conseil s’appuie sur des employés et/ou des conseillers externes pour l’aider à s’acquitter de ses fonctions de surveillance en matière de cybersécurité, comment souvent, le conseil discute de la cybersécurité et si le conseil comprend des personnes ayant une expertise en cybersécurité. Le conseil d’administration devra peut-être participer aux discussions sur l’infrastructure et l’architecture technologique plus large compte tenu des implications sur les risques, l’innovation, les implications éthiques potentielles et les contrôles. Même en l’absence d’exigences de la SEC, les investisseurs continueront probablement à s’attendre à ce que les conseils d’administration traitent les risques de cybersécurité et divulguent comment les conseils d’administration le font.

Stratégie et risque

Bien que certains sujets à l’ordre du jour des conseils d’administration de 2018 se soient estompés et que de nouveaux points soient apparus, la stratégie et le risque sont des éléments pérennes en tête de l’ordre du jour du conseil, au sens figuré sinon au sens littéral. En fait, l’expérience montre que les conseils d’administration se concentrent encore plus sur la supervision des stratégies de leurs entreprises. Il est révolu le temps où les conseils d’administration et les membres supérieurs de la direction organisaient une retraite stratégique annuelle, mais se concentraient rarement, voire jamais, sur la stratégie jusqu’à la prochaine retraite. Aujourd’hui, les conseils d’administration discutent régulièrement d’un aspect de la stratégie au plus, sinon à toutes les réunions, en posant des questions telles que celles-ci : « Quelles mesures avons-nous prises pour mettre en œuvre notre stratégie ? » « Où en sommes-nous dans le processus de mise en œuvre ? » « Notre stratégie s’avère-t-elle viable ? “A-t-elle besoin d’être peaufinée, de subir des ajustements importants, ou d’être abandonné ? « Avons-nous besoin de pivoter compte tenu des risques associés à certains objectifs stratégiques ? » Et ainsi de suite.

La surveillance des risques demeure également un point prioritaire à l’ordre du jour des conseils d’administration, d’autant plus que le nombre et la gravité des risques semblent augmenter de jour en jour. Par exemple, en 2018, peu d’entreprises, voire aucune, n’avaient prévu les risques d’une pandémie mondiale, les perturbations qu’elle entraînerait dans les chaînes d’approvisionnement mondiales, les défis économiques actuels et les domaines prioritaires du capital humain tels que la santé au travail, le bien-être et les risques culturels globaux.

En raison de la prolifération de nouveaux risques, les conseils d’administration — et les comités d’audit — peuvent vouloir réexaminer les programmes de risque d’entreprise de leurs entreprises pour déterminer si ces programmes traitent de nouveaux risques et ne deviennent pas un simple processus de « cocher la case ». Pour surveiller efficacement ces risques, les comités d’audit devraient recevoir un tableau de bord des risques les plus importants pour s’assurer que de nouveaux risques sont ajoutés et pour faciliter la compréhension de la façon dont les vulnérabilités aux risques spécifiques et les niveaux d’impact changent d’un trimestre à l’autre.

Questions relatives au lieu de travail et à la main-d’œuvre

Dès septembre 2020, il a été reconnu que les stratégies de main-d’œuvre devenaient aussi importantes que les stratégies commerciales pour les conseils d’administration :

‘Les événements liés à la pandémie… ont propulsé la gestion des effectifs au premier plan des programmes des conseils d’administration. Dans de nombreux cas, une réflexion tardive de la stratégie commerciale et technologique, la gestion de la main-d’œuvre est désormais une priorité majeure, sur un pied d’égalité avec d’autres domaines clés sur lesquels le conseil d’administration se concentre. [5]

Bien que la pandémie de COVID-19 ait pu précipiter l’attention du conseil sur les questions de main-d’œuvre, d’autres préoccupations ont renforcé la nécessité d’une plus grande attention du conseil sur le sujet :

‘… [Les commissions commencent à reconnaître que l’agence est passée des employeurs aux travailleurs ; la main-d’œuvre recherche un travail plus significatif, une plus grande concentration sur le bien-être avec des considérations telles qu’une plus grande flexibilité de temps et de lieu, et des modèles d’emploi et des parcours de carrière plus personnalisés et agiles. Selon le Bureau of Labor Statistics des États-Unis, 47,8 millions de personnes aux États-Unis ont quitté leur emploi en 2021, le plus grand nombre enregistré… depuis au moins 2001. Dans ce qui a été surnommé ‘la grande démission’, les démissions ont représenté 69,3 % du total des séparations en 2021. » [6]

Les exigences réglementaires ont également amené les conseils à se concentrer sur les questions liées au lieu de travail. Fin 2020, la SEC a adopté de nouvelles exigences de divulgation relatives aux ressources en capital humain. [7] Et la SEC a indiqué que davantage d’exigences de divulgation à ce sujet sont susceptibles d’être imposées à court terme.

Quelles qu’en soient les causes, les conseils d’administration se sont beaucoup plus concentrés sur les lieux de travail et les effectifs de leurs entreprises que par le passé, lorsque les questions relatives aux employés étaient autrefois considérées comme relevant principalement, sinon exclusivement, de la timonerie de la direction.

Changement climatique

Alors que les impacts du changement climatique sont devenus plus apparents ces dernières années, les investisseurs — principalement de nombreux grands investisseurs institutionnels — ont de plus en plus pressé les entreprises de prêter attention au changement climatique, souvent en cherchant à s’engager à réduire les émissions ou à prendre d’autres mesures concrètes. Associée à cette pression, on s’attend à ce que les conseils d’administration élargissent leur surveillance pour examiner le rôle de leurs entreprises dans le changement climatique, et voir comment ce rôle devrait changer. Dans certains cas, les investisseurs ont poussé à redoubler d’efforts pour atteindre la ‘durabilité’, c’est-à-dire s’assurer que les activités de l’entreprise peuvent rester viables et se développer ; dans d’autres, l’objectif est plus large : s’attaquer au changement climatique sur une base plus large.

Bien sûr, il existe de nombreuses réglementations entourant le changement climatique à tous les niveaux de gouvernement – local, étatique et fédéral. Cependant, jusqu’à relativement récemment, cela ne semblait pas être une priorité de l’ordre du jour de la SEC. Cela a commencé à changer à la fin de 2020, alors que des commissaires individuels ont prononcé des discours ou d’autres déclarations publiques sur l’importance de la divulgation du changement climatique, et le personnel de la SEC a intensifié son examen des divulgations, ou, dans certains cas, de l’absence de divulgation, concernant le changement climatique et son impact sur le présent et l’avenir de l’entreprise. Plus récemment, en 2022, la SEC a proposé des exigences de divulgation étendues dans ce domaine, y compris des divulgations concernant les émissions, la surveillance du conseil d’administration et d’autres questions. Les propositions ont reçu plus de 14 000 commentaires, ce qui pourrait être un record, et l’adoption de règles définitives sur le sujet peut entraîner des litiges contestant la règle. Dans l’intervalle, cependant, de nombreux conseils s’intéressent à la question et y prêteront certainement plus d’attention en 2023.

Le rôle de l’entreprise dans la société

Peut-être qu’aucun sujet commercial n’a suscité autant de controverse ces dernières années que le rôle de l’entreprise dans la société. La déclaration de la table ronde des entreprises de 2019 évoquée ci-dessus a peut-être suscité des conversations entre les parties prenantes, ce qui a accru les attentes des entreprises d’aujourd’hui. Par exemple, parmi les 10 principales conclusions du baromètre de la confiance Edelman 2022 figurait que ‘les entreprises doivent intensifier leurs efforts sur les questions de société’, ‘le leadership sociétal est désormais une fonction essentielle des entreprises’ et ‘les entreprises doivent montrer la voie pour briser le cycle de la méfiance. .’ [8]Certaines entreprises ont répondu à ces attentes en s’exprimant ouvertement sur les questions sociales, tandis que d’autres ont fait l’objet de critiques de la part des clients et des salariés. Il est important que les conseils d’administration travaillent avec la direction pour s’assurer qu’ils discutent et, dans certains cas, ont une politique sur la façon dont, le cas échéant, l’entreprise s’exprimera publiquement sur ces sujets sensibles, en d’autres termes, quelle que soit la position de l’entreprise sur la responsabilité sociale, son conseil d’administration doit être attentif au sujet et guider la direction en conséquence.

Il est également essentiel de noter que le rôle de la société dans la société est sans doute un défi unique pour les conseils, car, contrairement aux autres questions abordées ci-dessus, il n’a pas été considéré comme une partie essentielle du rôle du conseil jusqu’à très récemment. Les entreprises traitent depuis longtemps les problèmes des employés et de la main-d’œuvre, même si leurs conseils d’administration ont largement laissé ces problèmes à la direction. De même, les entreprises ont longuement réfléchi aux aspects de la durabilité ; par exemple, les entreprises de ressources naturelles ont dû tenir compte de l’épuisement des ressources, et les entreprises opérant dans des zones sujettes à des conditions météorologiques violentes ou sismiques ont pesé ces problèmes pendant de nombreuses années. En revanche, la responsabilité sociale, qui est étroitement liée à l’activisme social, est un phénomène relativement récent qui peut présenter des défis uniques pour les conseils d’administration.

Enfin, le conseil lui-même

Les sujets abordés ci-dessus ne représentent qu’un échantillon de ce qui apparaîtra probablement à l’ordre du jour des conseils d’administration en 2023. Il y a beaucoup, beaucoup plus de sujets qui pourraient être discutés, y compris de nombreux sujets pérennes ainsi que de nombreux nouveaux.

En d’autres termes, les conseils ont beaucoup à faire. Et bien que les statistiques indiquent que le temps que les administrateurs consacrent aux affaires du conseil augmente, il y a une limite au temps qu’ils peuvent y consacrer. En conséquence, il semble qu’un autre point à l’ordre du jour du conseil d’administration de 2023 sera l’efficacité du conseil lui-même. Les conseils d’administration cherchent à développer et à améliorer des moyens de faire les choses plus efficacement, allant d’une plus grande utilisation des soi-disant ‘programmes de consentement’ à l’optimisation des rôles des comités, ou éventuellement à la formation de comités supplémentaires, pour s’acquitter de la myriade de responsabilités du conseil.

Attentes pour l’avenir

Il semble certain que les responsabilités des conseils d’administration continueront d’augmenter, peut-être à un rythme rapide, et que peu de sujets auxquels les conseils d’administration seront confrontés disparaîtront ou deviendront plus faciles à gérer. Cependant, il y a lieu d’être optimiste. Au fil des décennies, et certainement au cours des cinq dernières années, les conseils d’administration ont démontré qu’ils sont remarquablement résilients et capables de relever des défis que personne n’avait anticipés. En fait, nous pouvons regarder en arrière dans cinq ans et nous demander pourquoi nous étions inquiets.


Notes de fin

1  Debbie McCormack et Bob Lamm, ‘The 2018 boardroom agenda—Dealing with challenges old and new’, Deloitte, janvier 2018. (retourner)

2 Business Roundtable, ‘Business Roundtable redéfinit l’objectif d’une société pour promouvoir ‘une économie qui sert tous les Américains’’, communiqué de presse, 19 août 2019. (retourner)

3 Securities and Exchange Commission (SEC), ‘Gestion des risques de cybersécurité, stratégie, gouvernance et divulgation des incidents’, 9 mars 2022. (retourner)

4 Spencer Stuart,  2022 US Spencer Stuart 2022 Board Index .(retourner)

5 Erica Volini, Steve Hatfield et Jeff Schwartz, ‘La main-d’œuvre occupe le devant de la scène : l’évolution du rôle du conseil’, Deloitte, septembre 2020. (retourner)

6 Michael Stephan et al., ‘Prioritizing human capital—modern challenges and the board’s role’, Deloitte, novembre 2022. (retourner)

7 SEC, ‘Modernisation de la réglementation SK Items 101, 103, and 105’, 26 août 2020. (retourner)

8  Edelman, ‘The Trust 10’ du  Baromètre Edelman Trust 2022(retourner)

Gestion des risques d’entreprise (GRE) et rôle de surveillance du conseil d’administration : Comment bien faire ?


 

Aujourd’hui, je vous propose la lecture d’un article publié par Maria Castañón Moats*, Paul DeNicola, Stephen G. Parker de la firme PricewaterhouseCoopers, et paru sur le Forum de la Harvard Law School on Corporate Governance.

Les administrateurs sont de plus en plus impliqués dans les activités de surveillance, d’évaluation et de gestion des risques d’entreprises (GRE).

Les auteurs présentent une approche empirique très utile pour aider les administrateurs à s’acquitter de leurs responsabilités eu égard aux risques.

L’article fait le tour des moyens utilisés par les conseils d’administration pour se prémunir des risques organisationnels. L’article est assez long, mais il est très complet.

Afin d’aider les lecteurs, j’en ai une adaptation en utilisant l’outil de traduction de Google, et en faisant une adaptation soignée.

Bonne lecture !

Risk oversight and the board: navigating the evolving terrain

 

Nous vivons à une époque d’événements imprévus qui engendrent des risques, notamment des conflits géographiques et des événements si imprévisibles qu’ils  ne sont sur le radar de personne – une pandémie mondiale aux conséquences économiques et sociales de grande envergure. Bien qu’une entreprise ne puisse pas toujours anticiper ce qui pourrait arriver, une surveillance rigoureuse des risques par le conseil d’administration peut aider l’entreprise à réagir avec plus de rigueur et d’agilité. Le nombre et les types de risques que le conseil surveille continuent d’augmenter, même si leur nature change. Certains deviennent plus probables à mesure que les entreprises sont plus interconnectées. Certains sont susceptibles d’avoir un impact sur un certain domaine de l’entreprise. D’autres pourraient avoir de graves répercussions sur l’ensemble des opérations.

Ces dernières années ont renforcé la nécessité de reconnaître l’occurrence d’événements qui semblaient autrefois être improbables. Comment les organisations et leurs conseils d’administration peuvent-ils utiliser cette leçon pour améliorer leurs processus de surveillance des risques ? Garder un esprit ouvert, mais sceptique, en constitue une grande partie. Compte tenu de l’expérience collective de la plupart des conseils d’administration, et du fait que les administrateurs siègent en dehors de la gestion quotidienne de l’entreprise, ils sont bien placés pour apporter cette ouverture d’esprit et cette volonté d’explorer divers scénarios. Adopter une vision à long terme des risques, alignée sur le plan stratégique au niveau du conseil d’administration, permet à la direction de l’entreprise de se concentrer sur la gestion quotidienne de ces risques.

L’évolution de la GRE

La gestion des risques d’entreprise (GRE) a toujours consisté à identifier et à gérer les principaux risques pour l’organisation. Cela n’a pas changé. Les intrants, la méthodologie, les résultats et le processus global l’ont été, parce qu’ils le devaient. Comme illustré ci-dessous, il existe plusieurs moteurs de l’évolution des processus de GRE et de surveillance des risques.

 

Le lien entre stratégie et risque

Les grands investisseurs institutionnels ont fait pression pour obtenir plus d’informations sur la façon dont la déclaration d’intention d’une entreprise est liée à sa stratégie et à son succès à long terme. Avec cette attention externe croissante sur la stratégie, les conseils d’administration doivent comprendre comment la mission de leur entreprise a un impact sur ses processus pour  identifier les risques et déterminer l’appétit pour le risque de l’entreprise. Les risques et l’appétit pour le risque de l’entreprise doivent être considérés non seulement du point de vue de l’entreprise, mais aussi du point de vue des actionnaires et des autres parties prenantes (par exemple, les employés, les clients, les fournisseurs, les communautés et les régulateurs).

Prenons les risques GRE pour illustrer cela. Pour de nombreuses entreprises, ces risques étaient déjà sur leur radar, quelque part. Mais l’attention récente des grands investisseurs institutionnels, combinée à une augmentation des propositions d’actionnaires demandant la divulgation, a mis ces risques au premier plan. Les grands investisseurs institutionnels suggèrent que les risques GRE pourraient avoir un impact sur la valeur durable à long terme de l’entreprise. Par exemple, l’entreprise dépend peut-être de l’eau comme ressource clé. En raison des changements climatiques, l’approvisionnement en eau pourrait devenir un enjeu, ce qui finira par affecter la valeur à long terme de l’entreprise. Les entreprises se concentrent désormais davantage sur l’identification des risques GRE matériels de ce type, sur le suivi et la surveillance de ces risques, et sur la communication de leurs efforts aux actionnaires et aux autres parties prenantes.

Le conseil doit se concentrer sur les principaux risques commerciaux qui font l’objet d’un suivi et d’une surveillance actifs à tous les niveaux, y compris au niveau du conseil. Ils peuvent ajouter une valeur réelle en prenant du recul et en se demandant quels risques ne seraient pas pleinement soupesés.

Marge d’amélioration dans les discussions GRE

Seuls 62 % des administrateurs déclarent que leur conseil d’administration discute de la GRE dans le cadre de la discussion sur la gestion des risques d’entreprise

Source : PwC, Sondage annuel 2021 auprès des administrateurs de sociétés, octobre 2021.

Pour en savoir plus sur la GRE, lisez Préserver la confiance : le rôle du conseil d’administration dans l’intégration de la GRE.

 

Tout d’abord : la composition du conseil d’administration

La surveillance des risques relève de l’entière responsabilité du conseil d’administration.

 

 

Il est essentiel de disposer de compétences et d’expériences diverses au sein du conseil d’administration pour comprendre le large éventail de risques auxquels une entreprise peut être confrontée. Il est important d’avoir des membres du conseil d’administration ayant une grande expertise dans l’industrie et qui peuvent aider à anticiper ce qui va arriver. D’un autre côté, il est également important d’avoir de nouvelles perspectives, qu’il s’agisse de nouveaux administrateurs, de personnes ayant de l’expérience dans différents secteurs ou de compétences différentes, pour voir le risque sous différents angles. Les administrateurs qui ont une expertise spécifique en gestion des risques peuvent également apporter une réelle valeur ajoutée.

Composition et diversité du conseil

Comment décririez-vous l’importance des aptitudes, compétences ou qualités suivantes au sein de votre conseil ?

La diversité du conseil peut également avoir une incidence sur la surveillance des risques. En fait, 76 % des répondants à notre sondage annuel 2021 sur les administrateurs de sociétés ont convenu que la diversité au sein du conseil améliore la stratégie/la surveillance des risques et peut réduire le risque de passer à côté de risques clés.

Une fois que les administrateurs ont évalué la composition du conseil, et constaté qu’ils disposent des compétences adéquates au sein du conseil pour superviser efficacement les risques, il s’agit ensuite de comprendre comment l’entreprise identifie et gère ces risques.

La diversité du conseil a une incidence sur la surveillance

76 % des administrateurs déclarent que la diversité au sein du conseil améliore la stratégie/la surveillance des risques

Source : PwC, Sondage annuel 2021 auprès des administrateurs de sociétés, octobre 2021.

Comprendre et maximiser la GRE

La gestion des risques d’entreprise (GRE) signifie différentes choses pour différentes personnes. Certaines entreprises utilisent simplement la GRE pour identifier, hiérarchiser et signaler les risques, protégeant ainsi la valeur. Les meilleures entreprises utilisent également la GRE pour prendre des décisions plus éclairées et améliorer leurs performances stratégiques, financières et opérationnelles, ce qui génère de la valeur. Mais, il faut du travail et de l’adhésion à tous les niveaux pour que cela se produise.

Qu’est-ce que la GRE ? (et ce qu’elle n’est pas)

La GRE est l’ensemble des capacités, de la culture, des processus et des pratiques qui aident les entreprises à prendre de meilleures décisions face à l’incertitude. Il donne aux employés un cadre et des politiques pour les aider à comprendre, identifier, évaluer, gérer et surveiller les risques afin que l’entreprise puisse atteindre ses objectifs. Elle est plus utile lorsqu’elle est intégrée à la planification stratégique et à la prise de décision.

Les meilleures entreprises utilisent également la GRE pour prendre des décisions plus éclairées et ainsi améliorer leurs performances stratégiques, financières et opérationnelles, ce qui génère de la valeur.

La simple évaluation des risques (identification et hiérarchisation des principaux risques) ne relève pas de la GRE. Si une entreprise s’arrête là, elle peut connaître le risque, mais ne pas le gérer activement. Cela ne veut pas dire que l’identification et l’évaluation des risques ne sont pas un élément clé de la maximisation de la valeur de la GRE pour l’entreprise. La recherche de risques nécessite non seulement de comprendre les inducteurs de valeur de l’organisation, mais également les risques (et les opportunités) qui peuvent survenir lorsque ces inducteurs de valeur changent. La GRE peut être un outil pour aider les organisations à considérer les avantages potentiels des décisions associées à chaque risque spécifique. Par exemple, de nombreuses organisations ont changé leurs modèles d’affaires à la suite de la pandémie de COVID-19, en adoptant une politique de main-d’œuvre à distance et en offrant aux clients d’autres manières d’interagir avec eux, ouvrant ainsi de nouveaux canaux de distribution.

Les conseils d’administration et les hauts dirigeants doivent regarder au-delà de ce trimestre ou de cette année pour élaborer la bonne stratégie et prendre les bons paris. Il est peu probable que la GRE et la haute direction prédisent le prochain événement « cygne noir ». Mais une GRE robuste peut mettre en lumière une technologie disruptive : nouveaux concurrents, problèmes environnementaux ou sociaux et changements dans les réglementations, l’économie ou le paysage politique. L’évaluation continue des risques de l’entreprise doit englober les risques émergents pour aider l’entreprise à se concentrer sur les risques futurs afin d’identifier tout impact stratégique.

Il est également important de garder à l’esprit que la surveillance des risques ne signifie pas d’éviter tous les risques. Pour avoir une stratégie réussie, les entreprises doivent prendre des risques. Correctement effectuée, la GRE identifie les principaux risques qui pourraient faire obstacle et s’assure qu’ils sont (a) communiqués aux parties prenantes qui ont besoin de savoir, et (b) gérés de manière appropriée. Mais, la GRE etant différente dans chaque entreprise, comment les administrateurs peuvent-ils savoir si cela fonctionne dans leur entreprise ?

Signes indiquant que la direction pourrait améliorer la GRE

Pour en savoir plus sur l’amélioration de la GRE, consultez l’ enquête mondiale sur les risques 2022.

Veiller à ce que la GRE survive aux changements de direction

Si la GRE ne fonctionne qu’au niveau de la direction, elle n’influencera pas le comportement dans toute l’organisation. En fait, certaines entreprises trouvent utile d’évaluer les risques ou de hiérarchiser les risques à différents niveaux. Si vous demandez à différents groupes de personnes de hiérarchiser une poignée de risques clés dans l’entreprise, vous pouvez obtenir des réponses différentes en fonction du domaine de compétence de chacun. Le conseil d’administration et l’équipe de direction peuvent être alignés sur la hiérarchisation des risques, mais les cadres intermédiaires peuvent avoir une hiérarchisation très différente. Il vaut la peine de demander à ceux qui ne font pas partie de la haute direction comment ils pourraient hiérarchiser les risques. Alors, soit que  les cadres intermédiaires obtiennent plus d’informations sur les risques de la part des clients, des fournisseurs et d’autres employés que le processus GRE ne capte pas, soit que l’équipe de direction ne sensibilise pas efficacement les cadres intermédiaires aux principaux risques et à la nécessité de se concentrer sur leur atténuation. Dans tous les cas, ces informations peuvent être très utiles pour comprendre comment l’entreprise s’aligne sur l’identification et la hiérarchisation des risques.

Autres acteurs concernés par la GRE

En plus de la haute direction et du conseil d’administration, de nombreuses entreprises trouvent utile d’inclure des personnes de différents niveaux de l’organisation dans leur processus de GRE. Cela peut être aussi simple que de demander à la direction d’ajouter certains cadres intermédiaires à toutes les entrevues pendant le processus d’évaluation des risques. Lors des mises à jour de la GRE, les administrateurs peuvent demander à la direction s’ils ont envisagé cette approche plus holistique pour identifier et évaluer les risques.

Appétit pour le risque

Nous avons tous lu sur des entreprises qui ont pris des décisions impliquant des niveaux de risque qu’elles ne comprenaient pas entièrement. Également, d’autres organisations craignent de prendre trop peu de risques et de rater des opportunités en termes de performance et de croissance. À la lumière de ce qu’ils voient se produire, il n’est pas rare que les administrateurs se demandent quel niveau de risque l’entreprise doit prendre pour réaliser le plan stratégique .

L’instinct pousse à prendre des risques dans de nombreuses entreprises. La plupart des gens savent comment ils doivent se comporter et quels risques sont acceptables. Mais comment la haute direction et le conseil d’administration peuvent-ils savoir que tout le monde est sur la même longueur d’onde lorsqu’il s’agit de prendre des risques ? Cela revient à tirer parti d’un appétit pour le risque. La direction peut informer les employés du niveau de risque acceptable pour atteindre ses objectifs en déclarant son d’appétit pour le risque. Certaines entreprises voient cela comme un exercice académique qui finit sur une tablette. Mais, lorsqu’il est bien fait, il peut fournir un véritable aperçu des types et de la quantité de risques qui conviennent à l’entreprise, tout en précisant la prise de décision en matière de risque dans l’organisation.

Les déclarations d’appétit pour le risque réussies correspondent à la stratégie et éclairent les décisions commerciales. La déclaration d’appétence au risque comprend des informations quantitatives et qualitatives. Le conseil d’administration revoit annuellement la déclaration d’appétit pour le risque dans le cadre de ses efforts de surveillance de la GRE. Et dans le cadre de rapports réguliers, les conseils d’administration obtiennent une vue consolidée des risques dans l’ensemble de l’organisation afin d’être en mesure d’évaluer l’agrégation des risques par rapport à l’appétit pour le risque.

Qu’est-ce qui fait une bonne déclaration d’appétit pour le risque ?

Une bonne déclaration d’appétit pour le risque peut promouvoir une culture saine et aider à la prise de décision. Cela devient un manuel de l’entreprise pour déterminer le degré d’incertitude acceptable. Il définit les limites du niveau de risque à prendre pour atteindre les objectifs stratégiques et opérationnels. (Ces limites seront différentes pour différents types de risques.) En réalité, plusieurs expressions peuvent être nécessaires pour exprimer le degré de risque adéquat (le plancher) et le degré acceptable (le plafond) pour atteindre les objectifs. En résumé, cela rend la prise de risque plus transparente.

Pour obtenir des exemples, consultez Appétit pour le risque du COSO – Essentiel au succès.

Quel rôle la culture joue-t-elle dans la discussion sur les risques ?

L’appétence au risque fait partie intégrante de la culture d’entreprise. Une culture d’entreprise qui reflète un ton clair, cohérent et éthique au sommet peut favoriser une prise de risque appropriée ainsi qu’une nécessaire transparence. D’un autre côté, si le ton du sommet est celui de la méfiance et de la microgestion, la prise de décision peut être paralysée et conduire à une culture de l’aversion au risque. Et une culture d’entreprise qui fournit des messages mitigés (les actions et les mots ne concordent pas) peut conduire à une prise de risque inappropriée. Des conseils avisés évaluent le leadership, les personnes, la communication, la stratégie, la responsabilité, le renforcement, la gestion des risques et l’infrastructure pour évaluer l’impact du risque sur la culture du risque de l’entreprise.

Voir Pourquoi les conseils d’administration doivent-ils connaître la culture de leur entreprise ? Indice : pour sassurer qu’il s’agit d’un atout, et non d’un handicap, pour plus d’informations sur le rôle du conseil d’administration dans la surveillance de la culture.

 

 

Rapports sur les risques

De nombreuses entreprises utilisent une approche en silo et manuelle pour gérer et signaler les risques. Cela signifie que différentes parties de l’entreprise peuvent signaler les risques au conseil à différentes fréquences, sous différents formats et avec différents domaines d’intérêt. Pour aggraver l’inefficacité de cette approche fragmentée, chaque partie de l’entreprise peut utiliser des systèmes différents, rapportant ainsi différents types de données.

Certaines entreprises préparent des rapports de risques complets en distillant les informations fournies par divers groupes de gestion des risques. Mais une telle approche soulève d’autres défis et le processus lui-même peut être inefficace. De plus en plus d’entreprises utilisent une plate-forme technologique GRC (gouvernance, risques et conformité) pour consolider et rationaliser le processus de reporting des risques.

Le conseil devrait déterminer le type, le niveau et la fréquence des rapports qui lui permettraient de s’acquitter efficacement de ses responsabilités en matière de surveillance des risques. Les principales organisations font rapport trimestriellement au conseil d’administration sur la GRE. Dans le cadre d’une analyse approfondie annuelle du processus global de GRE, la direction peut présenter son processus d’identification et d’évaluation des principaux risques pour l’organisation. Ces principaux risques (généralement entre 10 et 15 risques, pouvant varier en fonction de l’entreprise) et toute modification de ceux-ci feraient partie d’un rapport de prélecture trimestriel cohérent pour le conseil.

Votre entreprise obtient-elle les données dont elle a besoin pour gérer les risques ?

Parmi les participants à l’étude sur les risques mondiaux 2022 de PwC :

38 % ont déclaré que la fonction de risque de leur entreprise ne recherchait pas activement des informations externes pour évaluer et surveiller les risques

Source : PwC, 2022 Global Risk Survey, mai 2022.

Pour chaque risque clé, un cadre supérieur doit être désigné et un plan d’atténuation détaillé. Ce suivi devrait préciser les indicateurs de risque clés (KRI) pour chaque risque surveillé au niveau du conseil. Les KRI peuvent servir de signes avant-coureurs et peuvent être particulièrement utiles pour les administrateurs. Ces mesures peuvent donner aux conseils d’administration une idée de la façon dont la direction analyse l’horizon du risque à la recherche de signaux d’alarme. Les KRI ne prédisent pas l’avenir, mais ils permettent à la direction de surveiller les changements possibles dans l’impact ou la probabilité des risques clés pour aider à minimiser les surprises. Par exemple, une baisse du produit intérieur brut ou une augmentation du chômage peuvent signaler à un détaillant que les ventes de vacances ne seront pas aussi robustes que prévu et qu’il peut être temps d’alléger les stocks ou de réduire les effectifs.

En plus des prélectures trimestrielles récurrentes pour le conseil d’administration, les responsables de la GRE de l’organisation et quelques-uns des responsables des risques peuvent fournir des commentaires lors d’une réunion sur les changements et sur ce qui pourrait émerger. Les questions que le conseil pourrait envisager de poser incluent : (1) y a-t-il des risques qui ne figurent pas sur la liste des principaux risques et qui pourraient apparaître subséquemment? (2) Que se passe-t-il si deux risques ou plus interagissent ? Il peut être plus utile de considérer ceux pour lesquels la probabilité semble faible, mais dont l’impact serait critique.

Il est essentiel de comprendre que des discussions régulières avec la direction sur les risques sont impératives. Les rapports de la direction et/ou les discussions avec le conseil d’administration doivent, au minimum, identifier les risques les plus critiques pour l’entreprise, l’impact possible et la probabilité de ces risques, l’identification des responsables des risques et la situation eu égard aux activités d’atténuation.

Structure du conseil et pratiques de surveillance

Tout le conseil ou responsabilité d’un comité?

L’ensemble du conseil d’administration est responsable de la surveillance des risques et doit comprendre le programme de GRE d’une entreprise. Toutefois, le conseil peut souhaiter déléguer les détails de la surveillance de risques spécifiques à des comités. Par exemple, le comité de rémunération peut se concentrer sur les risques posés par les plans de rémunération remaniés tandis que le comité de la technologie se concentre sur ceux inhérents à une nouvelle intégration des systèmes informatiques.

Avec l’augmentation du nombre et du type de risques que les conseils d’administration surveillent, de nombreux conseils d’administration réexaminent la manière dont ils répartissent la surveillance des risques entre l’ensemble du conseil et les comités. Les principaux conseils d’administration réexaminent la répartition des risques au moins une fois par an pour s’assurer que rien ne passe entre les mailles du filet et que tous les risques clés sont à l’ordre du jour au conseil d’administration plénier ou à un comité.

Les comités des risques suscitent beaucoup d’intérêt, mais les comités des risques sont encore relativement rares. En effet, seulement 12 % des entreprises du S&P 500 ont des comités des risques. Cela inclut les entreprises du secteur des services financiers et d’autres secteurs hautement réglementés, où elles peuvent être obligatoires.

Bien que l’ensemble du conseil d’administration soit responsable de la surveillance des risques, beaucoup de CA confient l’entièreté de la surveillance quotidienne au comité d’audit, qui a déjà beaucoup de pain sur la planche. Les risques distincts sont ensuite répartis dans l’ensemble de la structure du comité, le comité d’audit en assumant également certains. En plus des contraintes de temps et du large champ d’application, le comité d’audit peut ne pas être le bon endroit pour surveiller certains risques qui peuvent nécessiter une expérience plus spécifique à un sujet.

Quelle que soit la structure d’attribution de la surveillance que le conseil adopte, les administrateurs doivent s’assurer qu’ils sont en mesure de faire les liens appropriés. Une focalisation cloisonnée sur les risques individuels pourrait empêcher le conseil d’identifier comment les risques se recoupent. Une lecture rigoureuse des rapports des comités aide à garantir que les idées et les conclusions importantes sont communiquées à l’ensemble du conseil. Pour une surveillance efficace, il est essentiel de s’assurer que les aspects distincts de la gestion des risques se rejoignent au niveau de l’entreprise pour un examen de la façon dont ces risques distincts interagissent, s’ils peuvent devenir covariants et quelles circonstances externes pouvaient conduire à des risques apparemment indépendants, en alignement ou en cascade.

Utilisation d’une matrice de répartition des risques

Certaines sociétés bénéficient de l’utilisation d’une matrice de répartition des risques, qui peut faire partie du résumé des risques clés fourni au conseil d’administration. Une matrice de répartition des risques, qui fonctionne mieux lorsqu’elle fait partie du cadre de gouvernance de la GRE, aide les membres du conseil à comprendre quel comité, ou éventuellement l’ensemble du conseil, détient la responsabilité de la surveillance de chaque risque. Cela devrait également faire partie du cadre de gouvernance de la GRE, un élément clé qui définit clairement qui gère et qui supervise chaque risque.

Selon un sondage de la NACD , seuls 53 % des administrateurs ont indiqué que leur conseil d’administration avait attribué des rôles de surveillance des risques clairement définis à chacun de leurs comités.

Exemple de matrice de répartition des risques

 

Tirer le meilleur parti du temps consacré aux réunions

Qu’il s’agisse de l’ensemble du conseil d’administration ou d’un comité chargé de superviser les risques, des analyses approfondies périodiques peuvent aider les administrateurs à mieux comprendre les principaux risques. Les responsables du risque (unité commerciale ou cadres fonctionnels) peuvent expliquer la nature du risque, son impact potentiel sur les objectifs stratégiques, la manière dont il est géré, y compris les limites acceptables, et le type de contrôles en place. C’est aussi le moment idéal pour découvrir comment ils intègrent les pratiques de gestion des risques dans leurs activités. Et c’est l’occasion de comprendre s’ils gèrent les risques et les performances ensemble, car les risques individuels peuvent avoir un impact sur plusieurs objectifs. La mise en évidence de 1 à 2 domaines de risque clés chaque trimestre est une bonne cadence. Envisagez d’intégrer ces séances dans le calendrier de planification de l’agenda annuel.

Les administrateurs peuvent ensuite passer du temps à discuter du risque et de la façon dont l’évaluation de la direction peut changer, par exemple, si l’impact potentiel est plus grave ou change plus rapidement que prévu.

Enfin, les administrateurs doivent solliciter d’autres avis sur la manière dont la direction gère un risque spécifique en demandant leur avis au personnel de la GRE, de la conformité et de l’audit interne.

Transparence du conseil

Comment un conseil d’administration peut-il rassurer les investisseurs et les autres parties prenantes sur le fait qu’il surveille efficacement les risques ?

Depuis 2010, les sociétés ouvertes sont tenues d’inclure des informations sur le rôle du conseil d’administration dans la surveillance des risques dans leurs circulaires de sollicitation de procurations. La divulgation anticipée des procurations comprenait peu de détails. Ils ont souvent simplement déclaré que le conseil a la responsabilité globale de la surveillance des risques, le comité d’audit surveille les risques liés aux finances, le comité de gouvernance surveille les risques liés à la gouvernance et le comité de rémunération surveille les risques liés à la rémunération. De telles divulgations de base ne donnent pas aux actionnaires une grande confiance dans le fait que le conseil surveille activement les risques qui comptent.

Récemment, les actionnaires ont exigé que les entreprises fournissent des informations plus significatives et transparentes sur les activités et les performances de surveillance des risques du conseil d’administration. En particulier, les grands investisseurs veulent comprendre comment les entreprises se concentrent sur les risques de développement durable qui pourraient avoir un impact sur la capacité d’une entreprise à générer de la valeur à long terme. Pour inciter à l’action, certains investisseurs ont même annoncé des changements dans leurs politiques de vote des administrateurs. Dans certains cas, l’incapacité d’une entreprise à se concentrer de manière appropriée sur ces risques et à divulguer des mesures pertinentes pourrait désormais déclencher des votes contre certains administrateurs.

En réponse à la demande des investisseurs, les régulateurs ont également commencé à faire pression pour une plus grande divulgation de la surveillance des risques. En 2022, la SEC a proposé des règles relatives à la fois au changement climatique et aux divulgations en matière de cybersécurité. Les règles proposées traitent de la divulgation de plus d’informations sur la gestion des risques de l’entreprise dans ces domaines et sur la surveillance du conseil d’administration dans chacun d’eux. Compte tenu de cette attention accrue portée à la surveillance des risques par les investisseurs et les régulateurs, de nombreuses entreprises élargissent désormais leurs informations sur les risques. Les administrateurs doivent lire leurs déclarations de procuration actuelles avec un œil critique et s’assurer de faire connaître le travail qu’ils accomplissent.

Les administrateurs peuvent demander à la direction de comparer les informations fournies par la société sur la surveillance des risques par le conseil. L’examen des meilleures divulgations peut inciter le conseil à être plus transparent. Cet exercice peut également souligner la nécessité de consacrer plus de temps au conseil à la gestion des risques ou d’identifier d’autres lacunes dans le processus de surveillance du conseil qui doivent être corrigées.

Quelle est la solidité de vos informations sur la surveillance des risques ?

Les déclarations de procuration ont évolué pour inclure des informations supplémentaires liées à la surveillance des risques, telles que :

  • Si l’ensemble du CA est engagé;
  • Une description de la façon dont le conseil examine la fonction de gestion des risques de l’entreprise (GRE);
  • L’approche du conseil d’administration pour répartir la surveillance des risques par comité, y compris une liste détaillée des principaux domaines de risque sur lesquels chaque comité se concentre;
  • La nature et la fréquence des rapports au conseil ou au comité;
  • Le rôle de la haute direction relativement à la surveillance des risques, y compris une description du comité de gestion des risques, de ses membres et de ses responsabilités;
  • Les détails concernant la surveillance de la cybersécurité, y compris le nombre de fois où la cybersécurité était à l’ordre du jour du conseil, qui (par exemple, CIO, CISO, CRO) présente des mises à jour au conseil, s’ils entendent également des experts externes et s’ils tiennent des séances privées avec le CIO ou RSSI;
  • Spécificités concernant la surveillance des risques GRE, y compris les objectifs et les cibles;
  • Comment le conseil se familiarise-t-il avec ses propres connaissances techniques dans ces domaines, que ce soit par le biais d’une expertise spécifique, de l’utilisation de conseillers tiers, d’une formation continue ou d’un perfectionnement des compétences ?

En conclusion…

Dans un environnement de risque commercial qui devient de plus en plus complexe et interconnecté, les conseils d’administration jouent un rôle crucial dans la surveillance des risques et de l’information aux actionnaires.

  • Pour commencer, les conseils peuvent regarder autour de la table. Y a-t-il une diversité d’expérience, de pensée, de genre et de race pour apporter des perspectives différentes sur le risque ?
  • Les conseils d’administration voudront également comprendre le programme de GRE de l’entreprise, et comment ils contribuent à ce programme.
  • Le conseil voudra également consacrer du temps à sa propre structure de surveillance.
  • Enfin, les conseils d’administration doivent considérer les diverses parties prenantes de l’entreprise : quelles informations leur sont fournies sur les programmes et les activités de gestion des risques de l’entreprise ?

En examinant et en affinant son approche de la surveillance des risques, un conseil peut offrir une valeur accrue à l’entreprise et à ses actionnaires.


*Maria Castañón Moats  est leader,  Paul DeNicola est directeur et Stephen Parker est associé au Governance Insights Center de PricewaterhouseCoopers LLP.

Mise à jour des informations sur les facteurs de risque dans le rapport annuel


Je reproduis ici la version française de l’article publié par Maia Gez, Era Anagnosti, Melinda Anderson de la firme White & Case, paru dans HLS Forum  on Corporate Governance.

Nous entrons dans une nouvelle ère eu égard aux risques envisagés par les entreprises. Il est donc très important de revoir systématiquement les énoncés de risque dans le rapport annuel.

Voici dix développements clés à prendre en compte lors de la mise à jour des informations sur les facteurs de risque dans le rapport annuel.

Bonne lecture !

Updating Annual Report Risk Factors

 

Updating Annual Report Risk Factors: Key Developments and Drafting Considerations for Public Companies | White & Case LLP

 

La saison des rapports annuels approchera bientôt, et il est important d’évaluer dès le départ les facteurs de risque d’une entreprise et de déterminer si les développements récents, y compris ceux liés aux conditions macroéconomiques, géopolitiques et de santé publique, ont eu (ou devraient avoir) une incidence importante sur les activités, la situation financière et les résultats d’exploitation d’une entreprise. [1] Bien que chaque société devra évaluer ses propres risques importants et adapter sa divulgation des facteurs de risque à sa situation particulière, cette alerte fournit une liste de 10 développements clés dans  la partie I  et quatre considérations rédactionnelles importantes dans  la partie II  que toutes les sociétés ouvertes devraient considérer lorsqu’ils mettent à jour leurs facteurs de risque.

I. Dix développements clés à prendre en compte lors de la mise à jour des informations sur les facteurs de risque dans le rapport annuel

  1. Conditions du marché : Les changements dans les conditions économiques mondiales, y compris la volatilité des marchés des capitaux propres, peuvent avoir une incidence négative sur les activités, les revenus et les bénéfices d’une entreprise. De telles conditions pourraient avoir une incidence sur les plans de croissance d’une entreprise et sur sa capacité à accéder aux marchés des capitaux pour lever des fonds à des fins générales ou en contrepartie de fusions et d’acquisitions. Une entreprise doit évaluer tous les risques importants liés à ces développements et s’ils doivent être divulgués dans ses facteurs de risque.
  2. Inflation et taux d’intérêt : Les entreprises doivent envisager de divulguer ou de mettre à jour tout risque lié à l’inflation et à la hausse des taux d’intérêt, y compris leur impact sur les revenus ou les bénéfices. Ces risques pourraient inclure des augmentations actuelles et futures des coûts d’exploitation, tels que le carburant et l’énergie, le transport et l’expédition, les matériaux, les salaires et les coûts de main-d’œuvre, ainsi qu’un impact négatif sur les revenus en raison de la baisse de confiance des consommateurs et des dépenses discrétionnaires. De plus, la hausse des taux d’intérêt pourrait avoir un impact sur une entreprise en raison des changements dans la disponibilité du financement, du coût de la dette et des fluctuations des taux de change. [2]
  3. Impact de la COVID-19: Alors que nous entrons dans la troisième année de la pandémie, il est peut-être encore trop tôt pour éliminer complètement les facteurs de risque spécifiques au COVID-19, mais les entreprises pourraient être en mesure de rationaliser considérablement leurs divulgations. Les entreprises devraient revoir leur divulgation actuelle des facteurs de risque COVID-19 et la mettre à jour pour tenir compte des risques actuels auxquels elles sont confrontées, notamment en éliminant ou en minimisant les risques qui ne devraient plus être importants. Par exemple, toutes les entreprises sont confrontées au risque d’émergence de nouvelles souches virales, à la disponibilité de traitements efficaces et aux effets réglementaires et macroéconomiques potentiels découlant de tels impacts. Cependant, en dehors de la Chine, les confinements, les restrictions d’abris sur place et les mandats de vaccination, qui prévalaient aux premiers stades de la pandémie, ont été levés pour la plupart des entreprises.
  4. Questions environnementales, ESG et de durabilité : Des questions telles que le changement climatique continuent de recevoir une attention particulière de la part de la SEC et des investisseurs. Le 22 septembre 2021, la SEC a publié un modèle de lettre de commentaires aux entreprises, [3]   près de six mois (jour pour jour) avant de publier ses propositions de règles de divulgation sur le changement climatique qui obligeraient les entreprises publiques à divulguer des informations détaillées sur le climat dans leurs Dépôts auprès de la SEC. [4] Le modèle de lettre de commentaires de la SEC sur le changement climatique contenait des exemples de commentaires concernant la divulgation des entreprises sur le climat ou l’absence d’une telle divulgation, y compris des commentaires demandant des informations sur les effets importants des risques de transition liés au changement climatique. [5]  Suite à cet exemple de lettre de commentaires, notre examen des récentes lettres de commentaires de la SEC entre mars 2021 et août 2022 a révélé que la SEC avait émis 334 commentaires liés au changement climatique à plus de 100 entreprises au cours de cette période, avec plus de 50 de ces commentaires (15 %) liés à divulgation des facteurs de risque. [6]   Ces commentaires de la SEC comprenaient des demandes de description des effets importants des risques de transition, [7]   des risques de litige importants liés au changement climatique, [8]   et une description de la considération accordée à l’inclusion des informations et des risques divulgués dans les rapports de développement durable. [9]  De plus, notre enquête sur les formulaires 10-K 2022 de 50 entreprises du Fortune 100 a révélé que 30 % (ou 15 entreprises) ont ajouté des facteurs de risque entièrement nouveaux consacrés aux impacts liés au climat, et 28 % supplémentaires (ou 14 entreprises) ont augmenté références aux impacts liés au climat dans leurs facteurs de risque existants. [dix]La divulgation des facteurs de risque liés aux questions environnementales doit être adaptée aux circonstances particulières de l’entreprise et tenir compte des risques importants propres à l’entreprise. Les sujets peuvent inclure les risques liés à l’impact du changement climatique sur les activités d’une entreprise, tels que les risques d’augmentation des coûts ou de réduction de la demande de produits ; les risques physiques liés aux phénomènes météorologiques violents, à l’élévation du niveau de la mer et à d’autres conditions naturelles ; les risques de transition liés au changement climatique attribuables aux changements réglementaires, technologiques, de marché ou de tarification ; le risque de responsabilité légale et les frais de défense ; les risques de réputation, y compris ceux liés à l’examen minutieux des parties prenantes sur les questions ESG ou le risque de ne pas atteindre les objectifs et cibles annoncés ; et/ou des contrôles internes inadéquats liés à la divulgation des données ESG.
  5. Conflit en Ukraine : Alors que le conflit entre l’Ukraine et la Russie se poursuit, les entreprises doivent tenir compte de leurs éventuelles obligations de divulgation supplémentaires liées aux impacts directs ou indirects que les actions en cours de la Russie en Ukraine et la réponse internationale ont ou peuvent avoir sur leurs activités et comment elles ont changé depuis le le conflit a commencé. Notamment, la SEC peut exiger des divulgations même par des entreprises qui n’ont pas d’activités en Russie, en Ukraine ou en Biélorussie. Le 10 mai 2022, la SEC a publié un modèle de lettre aux entreprises soulignant les obligations de divulgation potentielles des entreprises liées aux impacts directs ou indirects que les actions de la Russie en Ukraine et la réponse internationale ont ou pourraient avoir sur leurs activités. [11]  La SEC a spécifiquement noté que, dans la mesure du possible, les entreprises devraient fournir des informations détaillées sur les risques liés aux perturbations réelles ou potentielles des chaînes d’approvisionnement et sur les risques nouveaux ou accrus de cyberattaques potentielles par des acteurs étatiques ou autres. Notre examen des lettres de commentaires a révélé que la SEC avait émis 117 commentaires liés à l’Ukraine à plus de 60 entreprises entre mars et septembre 2022. Ces commentaires comprenaient des demandes d’ajout de divulgation des facteurs de risque concernant les opérations en Ukraine et les impacts matériels liés au conflit, [12]   demandes de divulguent spécifiquement tout risque accru de cyberattaques, [13]   les risques liés aux perturbations potentielles de la chaîne d’approvisionnement [14]  et les demandes de divulgation des risques de réputation potentiels liés aux opérations de l’entreprise en Russie. [15]   Les divulgations supplémentaires que les entreprises devraient envisager incluent les sanctions russes ; hausses des prix des produits de base; impacts sur la disponibilité et le coût de l’énergie; impacts sur les vendeurs et les fournisseurs ; impacts sur la réputation ; et les impacts continus sur la situation économique mondiale.
  6. Cybersécurité : Alors que les incidents de cybersécurité, l’utilisation abusive des données et les attaques de rançongiciels continuent de proliférer et de devenir plus sophistiqués, le personnel de la SEC s’est concentré sur les divulgations de cybersécurité et de confidentialité et a fourni des commentaires à ce sujet. La SEC a publié des directives en 2018 qui comprenaient des considérations pour évaluer la divulgation des facteurs de risque de cybersécurité, [16]   et en mars 2022, la SEC a proposé des règles de divulgation obligatoires en matière de cybersécurité liées aux incidents matériels, à la gouvernance et à la stratégie de risque. [17]  La SEC a également publié des directives en décembre 2019 appelant spécifiquement les entreprises à évaluer les risques liés au vol ou à la compromission potentiels de leur technologie, de leurs données ou de leur propriété intellectuelle (« PI ») dans le cadre de leurs opérations internationales et à les divulguer le cas échéant. [18]   La SEC devrait continuer à être agressive dans l’examen de la divulgation par les entreprises publiques des incidents de cybersécurité, et en mai 2022, la SEC a presque doublé la taille de l’unité chargée de surveiller les divulgations des entreprises. [19]   En outre, la SEC a intenté des actions coercitives contre des entreprises publiques concernant le moment et le contenu des divulgations d’incidents de cybersécurité. [20]  Celles-ci font suite à d’autres mesures d’application très médiatisées pour des divulgations présumées inadéquates ou trompeuses, [21]   qui témoignent toutes de l’attention continue de la SEC sur la manière dont les entreprises publiques réagissent et divulguent les incidents et les risques importants en matière de cybersécurité. De plus, en 2021, le neuvième circuit a constaté que la divulgation d’une grande entreprise technologique selon laquelle des risques de cybersécurité « peuvent » ou « pourraient » se produire était trompeuse alors que l’entreprise était prétendument déjà au courant d’une violation de la cybersécurité. [22]  La plupart des entreprises incluent déjà la divulgation des facteurs de risque de cybersécurité, mais les entreprises devraient envisager de mettre à jour ces divulgations, y compris s’il existe une augmentation des risques liés à la cybersécurité en raison des technologies liées à la pandémie qu’elles peuvent avoir adoptées pour permettre le travail à distance ou en relation avec le conflit en cours. en Ukraine (voir ci-dessus). [23]
  7. Perturbations de la chaîne d’approvisionnement : les pénuries d’approvisionnement ou les retards d’expédition peuvent devoir être divulgués comme un risque, d’autant plus qu’ils continuent d’être courants en raison de l’impact persistant du COVID-19 ou du conflit en Ukraine, ainsi que d’un ralentissement économique mondial. Les entreprises doivent évaluer si elles ont subi ou pourraient subir à l’avenir des perturbations de la chaîne d’approvisionnement qui devraient être divulguées comme un risque important. Cela inclut tous les risques liés à la pénurie mondiale actuelle de puces à semi-conducteurs, qui pourrait avoir un impact sur le développement, la production et la fabrication de logiciels, entre autres, selon le secteur d’activité de l’entreprise.
  8. Capital humain et questions de main-d’œuvre: Les risques importants auxquels les entreprises peuvent être confrontées en matière de capital humain comprennent les risques liés à la capacité d’attirer et de retenir des employés qualifiés, les problèmes de santé et de sécurité des employés, les augmentations des coûts de main-d’œuvre et l’augmentation du roulement du personnel. Bien que le marché du travail ait ralenti et que plusieurs entreprises du Fortune 100 aient commencé à annoncer des licenciements, les pénuries de main-d’œuvre qualifiée peuvent devoir être divulguées comme un risque important pour certaines entreprises, car ces problèmes continuent d’être courants en raison des impacts liés au COVID-19. ainsi que les retombées de « la grande démission ». De plus, la volatilité du cours des actions d’une entreprise pourrait avoir une incidence négative sur la valeur des attributions d’actions aux employés et sur la capacité d’une entreprise à conserver ses employés et dirigeants clés. Les entreprises devraient évaluer si elles ont, ou pourraient avoir à l’avenir, des problèmes liés aux pénuries de main-d’œuvre,
  9. Réglementation : Les changements et les changements potentiels dans la loi, la réglementation, la politique et/ou le leadership politique, y compris le programme réglementaire de l’administration Biden, peuvent nécessiter des modifications de la divulgation des facteurs de risque pour certaines entreprises. L’un de ces changements réglementaires que les entreprises devraient envisager est la loi sur la réduction de l’inflation (l' »IRA »), qui comprend plusieurs dispositions potentiellement impactantes, telles que : (i) une taxe d’accise de 1 % sur les rachats d’actions des entreprises, qui peut affecter les décisions des entreprises en ce qui concerne aux marchés des capitaux et aux opérations de fusions et acquisitions, entre autres, [24] (ii) un impôt minimum de remplacement sur les sociétés (applicable aux entreprises dont le revenu moyen des états financiers ajustés est supérieur à 1 milliard de dollars au cours des trois dernières années) égal à l’excédent de 15 % du revenu des états financiers ajustés d’une société, et (iii) une taxe sur l’énergie crédits, qui créent des incitations fiscales pour l’énergie verte. Les entreprises doivent se demander si l’IRA crée des risques qui justifient la divulgation. D’autres exemples incluent les changements actuels et potentiels des politiques d’immigration, du salaire minimum, des tarifs, des taxes, des politiques environnementales, des soins de santé et d’autres développements politiques.
  10. Risques liés à la conduite d’affaires avec des entreprises dans des régions soumises à des sanctions commerciales : les entreprises doivent divulguer tout risque important lié à des relations commerciales avec des entreprises dans des régions soumises à des sanctions ou à des interdictions commerciales. Par exemple, toute entreprise recevant des marchandises produites dans la région autonome ouïghoure du Xinjiang en Chine, ou par certaines entités identifiées, doit divulguer les risques liés au fait que, aux fins de la loi sur la prévention du travail forcé ouïghour, qui renforce les mesures disponibles pour faire respecter une loi existante mesure préventive de l’article 307 du Tariff Act de 1930, ces marchandises sont présumées avoir été fabriquées avec du travail forcé et sont donc soumises à une interdiction d’importation aux États-Unis. [25]Le service des douanes et de la protection des frontières des États-Unis peut donc détenir, exclure ou saisir des marchandises et imposer des sanctions pécuniaires, à moins que des « preuves claires et convaincantes » ne montrent qu’aucun travail forcé, situé n’importe où dans la chaîne d’approvisionnement, n’a produit une partie des marchandises (et que les importateurs se conforment aux autres exigences spécifiées dans les directives publiées de l’agence). Il est important de noter que la loi ne contient aucune exception de minimis et rien ne garantit qu’une entreprise sera en mesure de prouver l’absence de travail forcé tout au long de la chaîne d’approvisionnement. Toute chaîne d’approvisionnement potentielle ou d’autres impacts de ces développements qui sont importants pour une entreprise doivent être divulgués.

II. Quatre considérations rédactionnelles importantes lors de la mise à jour des informations annuelles sur les facteurs de risque

  1. Une note sur les hypothétiques . Il est essentiel que les entreprises examinent les déclarations hypothétiques dans leurs informations existantes sur les facteurs de risque (par exemple, les déclarations selon lesquelles un événement « pourrait » ou « pourrait » se produire plutôt que « s’est » ou « s’est » produit dans le passé). La SEC a intenté des actions en justice et les actionnaires ont déposé des réclamations en vertu de l’article 10 (b) de la Securities Exchange Act de 1934, telle que modifiée, alléguant que les déclarations dans les facteurs de risque d’une entreprise étaient matériellement trompeuses parce qu’une entreprise a déclaré qu’un événement seulement « peut » ou « pourrait » se produire, lorsque l’événement n’était plus hypothétique au moment de la divulgation. Par conséquent, une entreprise doit examiner attentivement le libellé de ses facteurs de risque hypothétiques et clarifier si un risque potentiel divulgué s’est effectivement produit dans une certaine mesure. [26]
  2. Remarque sur les déclarations prospectives. En plus d’être légalement requis, des facteurs de risque bien rédigés peuvent protéger une entreprise de toute responsabilité pour ses déclarations prospectives et servir de forme d’assurance responsabilité gratuite pour protéger une entreprise lorsqu’elle divulgue à la fois des projections en ce qui concerne les informations financières et les informations non financières. , y compris les objectifs et cibles liés à l’ESG. En particulier, les entreprises doivent tenir compte des modèles financiers qui étayent leurs projections et confirmer que les risques importants liés à ces projections, y compris les modèles financiers, les bases et les hypothèses qui les étayent, sont suffisamment divulgués. De plus, dans le cas d’objectifs ESG net zéro et d’autres objectifs et plans de transition liés à l’ESG, les entreprises doivent déterminer si leur divulgation des facteurs de risque doit inclure une divulgation relative aux défis potentiels pour atteindre ces objectifs et plans,
  3. Note sur la présentation des risques . Bien que l’article 105 du règlement SK n’exige pas que les facteurs de risque soient classés en fonction de celui qui est le plus important ou qui a le plus grand impact potentiel, il est considéré comme une bonne pratique de le faire. [27]  L’article 105 stipule que les risques doivent être « organisés logiquement », de sorte que les entreprises doivent considérer l’ordre qui a le plus de sens pour les investisseurs. En outre, les entreprises sont tenues d’organiser les facteurs de risque en groupes de facteurs de risque connexes sous des «rubriques pertinentes» et de fournir des sous-titres pour chaque facteur de risque. En outre, pour tous les facteurs de risque qui s’appliquent de manière générique à toute personne inscrite ou à toute offre, la société doit soit (i) adapter ces facteurs de risque pour souligner la relation spécifique du risque avec la société, soit (ii) divulguer les facteurs de risque génériques à la fin de la section des facteurs de risque sous la rubrique « Facteurs de risque généraux ». Ces exigences sont en vigueur depuis 2020 et les entreprises doivent revoir chaque année leurs regroupements et leurs rubriques pour confirmer toute mise à jour ou modification de l’organisation de leur section des facteurs de risque.[28]
  4. Remarque sur les résumés des facteurs de risque . Si la section sur les facteurs de risque d’une entreprise dépasse 15 pages, elle doit inclure une série d’énoncés concis, à puces ou numérotés ne dépassant pas deux pages résumant les principaux facteurs de risque et placer ce résumé au « avant » ou au début de la Formulaire 10-K ou Formulaire 20-F. Un certain nombre d’entreprises ont choisi de combiner cette divulgation avec leurs légendes de déclarations prospectives afin d’éviter les répétitions, et les entreprises peuvent envisager cette approche tant que la légende est intitulée pour refléter son double objectif (c. Déclarations prospectives et résumé des facteurs de risque »).

III. Conclusion

Compte tenu du nombre de vents contraires auxquels les entreprises peuvent être confrontées dans cet environnement économique et géopolitique difficile, ainsi que des exigences réglementaires, de la surveillance et de l’application nouvelles et en évolution, les entreprises gagneraient à prendre dès maintenant une longueur d’avance sur la mise à jour des facteurs de risque de leur rapport annuel. Il est essentiel que les entreprises divulguent comment elles sont spécifiquement affectées par les tendances macroéconomiques, plutôt que de se fier à une divulgation générique. En outre, les entreprises ne doivent pas perdre de vue la mise à jour de leurs facteurs de risque pour tenir compte des risques uniques auxquels elles sont confrontées au-delà de ces tendances macroéconomiques qui pourraient avoir un impact négatif sur leurs activités, leur situation financière et leurs résultats d’exploitation.

Notes de fin

1 Voir l’article 105 du règlement SK, disponible  ici .(retourner)

2 Pour plus d’informations, consultez notre alerte précédente, « L’inflation et la hausse des taux d’intérêt remodèlent les marchés financiers à effet de levier aux États-Unis ».(retourner)

3  Pour plus d’informations, consultez notre alerte précédente,  » La SEC publie un exemple de lettre de commentaires alors qu’elle intensifie l’examen des divulgations climatiques « .(retourner)

4  Pour plus d’informations, consultez notre alerte précédente, « La SEC propose des règles de divulgation sur le changement climatique attendues depuis longtemps ». Le 7 octobre 2022, la SEC a rouvert la période de commentaires pour 11 propositions de réglementation, y compris les règles de divulgation proposées sur le changement climatique, avec des commentaires attendus d’ici le 1er novembre 2022.(retourner)

5 Les risques de transition liés au changement climatique sont liés à des développements tels que des changements politiques et réglementaires qui pourraient imposer des charges opérationnelles et de conformité et des tendances du marché ou des prix susceptibles de modifier les opportunités commerciales, les risques de crédit et les changements technologiques.(retourner)

6 Par exemple, « [i]l semble que vous ayez identifié votre « stratégie d’électrification » comme un risque de transition lié au changement climatique. Dites-nous comment vous avez envisagé de fournir des informations plus détaillées sur les facteurs susceptibles d’affecter votre intention d’apporter une électrification supplémentaire à votre … portefeuille (par exemple, la disponibilité des matériaux nécessaires, le rythme des changements technologiques, etc.) et l’effet potentiel sur votre entreprise, la situation financière et les résultats d’exploitation. De plus, décrivez les autres risques de transition liés au changement climatique que vous avez pris en compte, tels que ceux liés à vos politiques environnementales, et comment vous avez envisagé de les aborder dans votre formulaire 10-K.(retourner)

7 Par exemple, « Divulguer les effets significatifs des risques de transition liés au changement climatique qui peuvent affecter votre entreprise, votre situation financière et vos résultats d’exploitation, tels que les changements de politique et de réglementation qui pourraient imposer des charges opérationnelles et de conformité, les tendances du marché qui peuvent modifier des opportunités, des risques de crédit ou des changements technologiques.(retourner)

8 Par exemple, « Divulguer tout risque important de litige lié au changement climatique et expliquer l’impact potentiel sur l’entreprise ».(retourner)

9 Par exemple, « Nous notons que vous avez fourni des informations plus détaillées dans votre rapport sur la RSE que dans vos documents déposés auprès de la SEC. Veuillez nous indiquer dans quelle mesure vous avez envisagé de fournir le même type de divulgation liée au climat dans vos documents auprès de la SEC que celui que vous avez fourni dans votre rapport RSE. »(retourner)

10 Pour plus d’informations, consultez notre alerte précédente, « ESG Disclosure Trends in SEC Filings – Annual Survey 2022 ».(retourner)

11 Pour plus d’informations, consultez notre alerte précédente, « La SEC publie un exemple de lettre de commentaires sur les obligations de divulgation liées aux actions de la Russie en Ukraine ».(retourner)

12 Par exemple, « Dans la mesure où elles sont importantes, veuillez divulguer toute tendance ou incertitude connue qui a eu ou est raisonnablement susceptible d’avoir une incidence importante sur votre liquidité, votre situation financière ou vos résultats d’exploitation découlant du conflit entre la Russie et l’Ukraine.(retourner)

13 Par exemple, « [d]ans la mesure du possible, divulguer tout risque nouveau ou accru de cyberattaques potentielles par des acteurs étatiques ou autres depuis l’invasion de l’Ukraine par la Russie ».(retourner)

14 Par exemple, « [v]euillez indiquer si et comment vos secteurs d’activité, produits, gammes de services, projets ou opérations sont matériellement affectés par les perturbations de la chaîne d’approvisionnement, en particulier à la lumière de l’invasion de l’Ukraine par la Russie. Par exemple, discutez si vous avez ou prévoyez d’être… exposé au risque de la chaîne d’approvisionnement à la lumière de l’invasion de l’Ukraine par la Russie et/ou des tensions géopolitiques connexes.(retourner)

15 Par exemple, « [d]ans les prochains dépôts, veuillez réviser les éléments suivants en ce qui concerne vos activités en Russie et en Ukraine : divulguez tout risque important pour la réputation qui pourrait avoir un impact négatif sur votre entreprise associé à votre réponse à l’invasion russe de l’Ukraine , par exemple en relation avec une action ou une inaction résultant du conflit ou en rapport avec celui-ci ».(retourner)

16 Pour plus d’informations, consultez notre alerte précédente, « SEC Issues Interpretive Guidance on Public Company Cybersecurity Disclosures: Greater Engagement Required of Officers and Directors ».(retourner)

17 Pour plus d’informations, consultez notre alerte précédente, « SEC Proposes Mandatory Cybersecurity Disclosure Rules ».(retourner)

18 Les  directives de la SECencourage les entreprises à examiner une série de questions lors de l’évaluation de ces risques, y compris si elles opèrent dans des juridictions étrangères où la capacité de faire respecter les droits sur la propriété intellectuelle est limitée en tant que question légale ou pratique, et si elles ont mis en place des contrôles et des procédures pour protéger de manière adéquate technologie et propriété intellectuelle. Le personnel a également souligné que la divulgation des risques importants doit être spécifiquement adaptée et que lorsque la technologie, les données ou la propriété intellectuelle d’une entreprise sont (ou ont été) matériellement compromises, la divulgation hypothétique des risques potentiels n’est pas suffisante pour satisfaire aux obligations de déclaration de l’entreprise. Par conséquent, les entreprises doivent continuer à tenir compte de ce domaine de risque en évolution et mettre à jour régulièrement les informations fournies pour refléter les circonstances actuelles dans la mesure où elles sont importantes.(retourner)

19 Voir le communiqué de presse de la SEC, « SEC Nearly Doubles Size of Enforcement’s Crypto Assets and Cyber ​​Unit ».(retourner)

21En août 2021, la SEC a conclu un accord avec une société d’édition et de services éducatifs pour son incapacité à divulguer de manière adéquate une violation importante de la cybersécurité et pour avoir fait des déclarations trompeuses dans ses documents déposés auprès de la SEC. Plus précisément, la SEC a constaté que : (i) plusieurs mois après la violation, la société a émis un formulaire 6-K qui faisait référence à un risque général de violation de données/incident de cybersécurité, mais ne faisait pas spécifiquement référence à la violation qui s’était produite ; et (ii) le communiqué de presse de la société ne faisait référence qu’à « l’accès non autorisé » et à « l’exposition de données » qui « peuvent [avoir] inclus » des dates de naissance et des e-mails, même si la société savait que des données personnelles importantes avaient été téléchargés, et n’ont fait aucune mention du volume de données piratées ni des autres vulnérabilités critiques du système. En juin 2021, la SEC a réglé avec une société de services de règlement immobilier pour son prétendu manquement à divulguer de manière adéquate une vulnérabilité de sécurité qui pourrait être utilisée pour compromettre les systèmes informatiques de la société. En mai 2019, la société a été informée d’une vulnérabilité logicielle qui exposait des données personnelles et financières, après quoi elle a publié une déclaration et fourni un formulaire 8-K, indiquant qu’elle avait pris des « mesures immédiates » pour mettre fin à l’accès externe aux données. Cependant, les dirigeants responsables de la déclaration et du formulaire 8-K n’ont pas été informés que le personnel de sécurité de l’information de l’entreprise était au courant de la vulnérabilité depuis janvier 2019 ou que l’entreprise n’avait pas remédié à cette vulnérabilité en temps opportun conformément à ses politiques. Selon la SEC, les conclusions de janvier 2019 « auraient été pertinentes pour l’évaluation par la direction de la réponse de la société en matière de divulgation… et de l’ampleur du risque qui en résulte » et la société n’a pas maintenu les contrôles et procédures de divulgation pour s’assurer que la direction disposait de toutes les informations pertinentes avant de faire ses divulgations . En ce qui concerne la cybersécurité, la SEC a constaté que les divulgations des facteurs de risque de Yahoo dans ses rapports annuels et trimestriels étaient substantiellement trompeuses en ce sens qu’elles affirmaient que l’entreprise n’était confrontée qu’au « risque de futures violations de données potentielles » qui pourraient exposer l’entreprise à des pertes et à une responsabilité « sans révélant qu’une violation massive de données s’était en fait déjà produite. L’action de la SEC est disponible la SEC a constaté que les divulgations des facteurs de risque de Yahoo dans ses rapports annuels et trimestriels étaient substantiellement trompeuses en ce sens qu’elles affirmaient que l’entreprise n’était confrontée qu’au « risque de futures violations de données potentielles » qui pourraient exposer l’entreprise à des pertes et à une responsabilité « sans divulguer qu’un volume massif de données violation avait en fait déjà eu lieu. L’action de la SEC est disponible la SEC a constaté que les divulgations des facteurs de risque de Yahoo dans ses rapports annuels et trimestriels étaient substantiellement trompeuses en ce sens qu’elles affirmaient que l’entreprise n’était confrontée qu’au « risque de futures violations de données potentielles » qui pourraient exposer l’entreprise à des pertes et à une responsabilité « sans divulguer qu’un volume massif de données violation avait en fait déjà eu lieu. L’action de la SEC est disponible ici . Pour plus d’informations, consultez notre alerte précédente,  » La SEC inflige une amende de 35 millions de dollars à Yahoo pour défaut de divulgation en temps opportun d’une cyber-violation « .(retourner)

22 Pour plus d’informations, consultez notre alerte « Il est temps de revoir les facteurs de risque dans les rapports périodiques ».(retourner)

23 Une enquête de White & Case LLP sur les divulgations faites par les entreprises du Fortune 50 a révélé que chaque entreprise incluait au moins un facteur de risque lié à la cybersécurité dans son formulaire 10-K 2022, et 42 des 50 entreprises incluaient des facteurs de risque détaillés discutant de l’impact que qu’un incident de cybersécurité ou une violation de données pourrait avoir sur les résultats d’exploitation ou la situation financière de l’entreprise.(retourner)

24For more information, see our prior alert, “New 1% Excise Tax on Stock Buybacks May Have Far-Reaching Consequences for Capital Markets, SPAC and M&A Transactions.”(go back)

25For more information, see our prior alert, “Uyghur Forced Labor Prevention Act: Commercial Implications, Compliance Challenges and Responses.”(go back)

26 Disclosure may be required whether or not the degree of occurrence is material on its own. For more information, see our prior alerts, “Time to Revisit Risk Factors in Periodic Reports” and “Key Considerations for the 2022 Annual Reporting and Proxy Season Part I: Form 10-K Considerations.”(go back)

27The Form 20-F also states that “companies are encouraged, but not required, to list the risk factors in the order of their priority to the company.” See Part I, Item 3.D of Form 20-F. In addition, Item 105 applies to foreign private issuers to the extent their Form 20-F is incorporated by reference into a registration statement, such as a Form F-1, F-3, or F-4.(go back)

28For more information, see our prior alert “SEC Adopts Amendments to Modernize Disclosures and Adds Human Capital Resources as a Disclosure Topic: Key Action Items and Considerations for U.S. Public Companies.”(go back)

Pour une gouvernance efficace de la cybersécurité


 

Voici un article majeur publié par Orla Cox et Hetal Kanji*, de FTI Consulting, paru sur le site du Forum de la Harvard Law School on Corporate Governance.

Compte tenu de l’importace croissante de la cybersécurité et des responsabilités accrues des administrateurs dans ce domaine, j’ai opté pour un billet qui présente l’ensemble de la publication. Cependant, la premièere partie constitue un résumé de la problématique soulevée.

Cet article présente, en détail, toutes les mesures que les conseils d’administration doivent connaître et mettre en oeuvre pour pallier les cyber-risques de plus en plus prévalents. Les auteurs présentent un état des lieux eu égard à la cybersécurité.

J’ai corrigé la version traduite par Google, et le résultat final me semble très acceptable.

Bonne lecture !

 

Cybersécurité Entreprise : Audit Sécurité Informatique & Sécurité Réseau

Résumé

La numérisation a changé la façon dont les entreprises fonctionnent et a donné lieu à un ensemble de risques en évolution rapide auxquels les entreprises sont confrontées et auxquelles elles doivent se préparer — les risques de cybersécurité. La prévalence croissante des cyberattaques, notamment les rançongiciels, associée à la diminution de la disponibilité de la cyberassurance, expose de plus en plus les entreprises aux impacts souvent importants d’un incident de cybersécurité. Il y a naturellement un coût financier à court terme — les recherches d’IBM [1] révèlent que le coût total moyen d’une violation de ransomware en 2022 est de 4,54 millions de dollars — mais, sur le plan de la réputation, l’impact d’un incident peut être plus durable.

Conscients de la façon dont les entreprises sont de plus en plus exposées à la cybersécurité, les gouvernements, les régulateurs et les investisseurs augmentent la pression sur les organisations pour qu’elles améliorent leurs mesures de cybersécurité, augmentent la transparence autour des divulgations et mettent en place des structures de gouvernance et de gestion qui démontrent que la cybersécurité est une priorité aux plus hauts niveaux du monde.

Veiller à ce que des structures de surveillance soient en place au niveau du conseil d’administration est un élément clé de la cybergouvernance. En tant que risque important affectant les entreprises, les conseils d’administration sont de plus en plus tenus responsables de s’assurer que l’équipe de direction prend les mesures appropriées pour atténuer le risque d’attaque de cybersécurité, et également de s’assurer que l’organisation réagit de manière appropriée en cas d’incident. Souvent, les conseils d’administration ont peu ou pas d’expérience dans ce domaine, et bien que la nature dynamique du cyberrisque signifie que les membres du conseil d’administration ne sont pas censés être des cyberexperts — bien qu’il y ait un mérite à avoir une expertise au sein du conseil d’administration — ils sont censés être capables de interpeller la direction sur ce sujet et informer les actionnaires sur les mesures mises en place pour atténuer l’impact des incidents de cybersécurité.

Pour de nombreuses entreprises, le Chief Information Security Officer (CISO) est l’exécutif responsable du cyberrisque. Les investisseurs et les régulateurs faisant pression pour une plus grande surveillance au niveau du conseil d’administration, le RSSI devra communiquer les cyberrisques et les mesures en des termes qui résonnent avec le conseil d’administration, et les structures de gouvernance devront donner la priorité à l’engagement avec le RSSI sur les cyberrisques.

La cybersécurité fait également de plus en plus partie de l’examen minutieux des entreprises par les investisseurs et les conseillers en vote. Nos recherches indiquent que les investisseurs considèrent désormais la cybersécurité comme une priorité essentielle, les cyberattaques étant systématiquement citées comme la préoccupation ou le domaine de risque le plus important pour les investisseurs. Parallèlement à cela, les principaux gestionnaires d’actifs mondiaux fournissent plus de détails sur ce qu’ils attendent en termes de divulgation — y compris un désir de détails sur les structures en place pour gérer le cyberrisque, mais aussi le nombre et l’ampleur des cyber-incidents affectant une entreprise.

La manière dont les entreprises communiquent leur gouvernance du risque cyber aux investisseurs est donc de plus en plus importante. Lors de l’annonce des règles proposées par la SEC sur la divulgation de la cybersécurité, le président de la SEC, Gary Gensler, a déclaré : « Je pense que les entreprises et les investisseurs gagneraient à ce que ces informations soient requises de manière cohérente, comparable et utile à la prise de décision. » Cela met en évidence un manque de transparence autour des cyberrisques et de la divulgation des incidents ; et un indicateur clair que la réglementation ne va que dans un sens.

Dans l’évaluation de l’environnement réglementaire ; l’examen de l’attention accrue de la communauté des investisseurs ; et compte tenu des avantages d’une plus grande transparence, nous estimons qu’il peut être avantageux pour les entreprises d’aborder la cybersécurité d’une manière similaire à la façon dont le groupe de travail sur les informations financières liées au climat (TCFD) aborde le risque climatique. Celui-ci est construit autour de quatre piliers et permettra aux conseils d’administration et aux investisseurs des entreprises de reconnaître les risques posés par la cybersécurité d’une manière plus holistique couvrant i) la gouvernance ; ii) Stratégie ; iii) gestion des risques ; iv) Paramètres et cibles.

En fin de compte, une combinaison de réglementation et d’exigence d’une plus grande transparence signifiera un changement radical dans la divulgation pour les entreprises. Cependant, il est probable qu’il y ait un avantage clair — financier et de réputation — pour les entreprises qui sont les premières à adopter une approche plus proactive de la gouvernance et de la surveillance du cyberrisque et de la divulgation.

Introduction

Le Forum économique mondial a classé la cybersécurité parmi les cinq principaux risques mondiaux [2] et a appelé les entreprises à intégrer les considérations de cybersécurité dans leur gestion des risques ESG. Avec la croissance des menaces de cybersécurité et l’augmentation significative du nombre d’attaques de ransomwares et de logiciels malveillants, la cybersécurité reste en tête du registre des risques pour de nombreuses entreprises. Malgré une prise de conscience accrue, un incident de cybersécurité continue d’être une affaire coûteuse, les recherches d’IBM estimant que le coût total moyen d’une violation de ransomware en 2022 était de 4,54 millions de dollars . [3]

Avec la numérisation croissante des entreprises, le travail à distance et l’évolution du paysage géopolitique, ainsi que l’augmentation du volume et de la gravité des cyberattaques, les pratiques de gestion des risques des entreprises et la surveillance efficace du cyber et de la technologie font l’objet d’un examen accru de la part des investisseurs, tandis que les régulateurs continuent d’accélérer la mise en œuvre des cadres de surveillance nécessaires. Les entreprises qui ne parviennent pas à mettre en œuvre une bonne gouvernance en matière de cybersécurité ou à utiliser des outils et des mesures appropriés seront considérées comme « moins résilientes et moins durables » , a déclaré le WEF.

État des lieux de la cybersécurité

Un paysage de menaces en constante expansion

L’année 2021 a été sans précédent tant par l’ampleur que par l’impact des cyberattaques. Une grande attention a été accordée, à juste titre, aux rançongiciels et a été motivée par des attaques de grande envergure menées par des groupes professionnels de la cybercriminalité dotés des compétences et des ressources nécessaires pour infiltrer les grandes organisations et les infrastructures étatiques. La prévalence des ransomwares continue d’augmenter d’année en année, mais a fait un bond significatif en 2021 lorsqu’elle a augmenté de 13 %  [4] — une augmentation équivalente aux cinq années précédentes combinées.

La prolifération des ransomwares a été facilitée par le modèle commercial « Ransomware en tant que service » dans lequel les développeurs vendent leur souche de ransomwares à des affiliés, en échange d’une réduction des bénéfices. L’utilisation de la double extorsion (menacer de divulguer des données) et de la triple extorsion (menacer d’autres parties prenantes telles que les employés et les clients) a également augmenté les enjeux pour les organisations qui réagissent à un incident.

Le paysage géopolitique changeant de 2022 a également signifié que les entreprises se sont retrouvées dans la ligne de mire non seulement des cybercriminels, mais aussi des acteurs des États-nations [5]  menant des cyberattaques parallèlement aux activités militaires traditionnelles. Les hacktivistes [6]  ont également ciblé des organisations pour des raisons idéologiques, par exemple celles qui continuent à faire des affaires en Russie. Alors que nous entrons dans une période de « cyberguerre froide », les inquiétudes concernant les attaques potentielles contre les secteurs dits critiques — tels que les industries, les services financiers et les services publics — se sont considérablement accrues, car les impacts plus larges et systémiques de ces attaques prennent une nouvelle dimension.

Parallèlement à cette activité de menace accrue, les organisations voient également leur surface d’attaque s’élargir en raison de la numérisation accélérée, de l’augmentation de l’activité en ligne et des chaînes d’approvisionnement numériques complexes. Cela signifie que les risques auxquels sont confrontées les organisations augmentent et changent constamment, tandis que la sophistication avec laquelle les acteurs externes peuvent mener des attaques augmente.

Les régulateurs et les investisseurs sont de plus en plus conscients de ce risque croissant de cybersécurité et du coût élevé d’un incident d’un point de vue commercial, financier et de réputation, et mettent en place des mesures qui obligeront les entreprises à mettre en œuvre une surveillance appropriée de la cybersécurité et, par conséquent, à tenir leurs conseils d’administration et leurs cadres supérieurs responsables.

Disponibilité et abordabilité de la cyberassurance

Ces dernières années, les entreprises avaient recours à la cyberassurance pour gérer les retombées d’un incident de cybersécurité. Cependant, l’incidence accrue des cyberattaques, en particulier les rançongiciels, combinée à l’augmentation des demandes de rançon, a entraîné un plus grand volume de réclamations d’assurance.

Les assureurs ont augmenté les prix [7]  en réponse à l’augmentation des sinistres, la compagnie d’assurance Marsh rapportant [8]  que le prix de la couverture au quatrième trimestre 2021 a augmenté de 130 % aux États-Unis et de 92 % au Royaume-Uni, et a augmenté de 110 % supplémentaires aux États-Unis et de 102 % au Royaume-Uni au premier trimestre 2022. L’augmentation des sinistres a été si importante que de nombreuses compagnies d’assurance limitent leur couverture ou ne proposent tout simplement plus de cyber-assurance. En août 2022, Lloyds of London a publié un bulletin  [9] à ses membres déclarant qu’à partir du 31 mars 2023, en raison du risque systémique pour les marchés de l’assurance posé par les cyber-polices, toutes les cyber-polices autonomes nouvellement rédigées doivent exclure la responsabilité pour les pertes résultant de toute cyber-attaque soutenue par l’État.

Environnement réglementaire plus strict

C’est dans le contexte d’une prévalence et d’une gravité accrues des attaques que les gouvernements et les régulateurs continuent d’augmenter la pression sur les organisations pour qu’elles améliorent leur position en matière de cybersécurité tout en augmentant la transparence grâce à une plus grande divulgation de la cybersécurité. Le non-respect de la réglementation peut être coûteux pour les entreprises ; le coût d’une violation de données en particulier est supérieur de plus de 50 % [10]  pour les organisations présentant un niveau élevé d’échecs de conformité. Ces augmentations de coûts sont principalement le résultat d’amendes, de pénalités et de poursuites.

L’Europe

La réglementation de la cybersécurité en Europe se concentre principalement sur la protection des données personnelles et le maintien de l’intégrité des infrastructures, systèmes et services critiques. Le RGPD, qui couvre le traitement des données personnelles et la notification des violations de données dans l’UE, est bien établi et, pour l’essentiel, bien compris. Sa mise en œuvre a permis de mettre en évidence les responsabilités des entreprises en tant que dépositaires des données personnelles. La directive sur la sécurité des réseaux et de l’information (NIS) a également fourni des exigences en matière de cybersécurité et de notification pour les fournisseurs de services numériques et les opérateurs de services essentiels tels que la santé, les transports et les services financiers depuis 2018. Avec la nature en constante évolution des cyberrisques et leur fréquence accrue et de sophistication, le Parlement européen a approuvé le NIS2 en décembre 2021, » qui sont critiques pour l’économie et la société » . La politique est conçue dans le but de renforcer les mesures existantes et de rationaliser le reporting des entreprises. Le Royaume-Uni élargit également le champ d’application de sa directive NIS pour inclure un ensemble plus large d’industries.

En outre, la loi imminente sur la résilience des opérations numériques (DORA) augmentera les exigences de divulgation et de déclaration pour le secteur des services financiers et leurs fournisseurs tiers dans l’UE.

États-Unis

Les régulateurs américains se sont concentrés sur la matérialité des incidents, la SEC indiquant depuis 2018 que les cyberattaques représentent des risques commerciaux existentiels et peuvent avoir un impact matériel, justifiant la divulgation. En mars 2022, la SEC a développé ce point et proposé de nouvelles règles  [11]  qui rendraient la divulgation des incidents obligatoire pour les entreprises publiques. Selon les nouvelles règles, les entreprises devraient signaler les incidents matériels de cybersécurité dans les quatre jours suivant leur découverte.

En plus de la divulgation des incidents, les propositions traitent également de la surveillance de la cybersécurité en indiquant que la réglementation obligerait les entreprises « à fournir une divulgation plus cohérente et informative concernant leur gestion et leur stratégie des risques de cybersécurité » . Les propositions consacrent une section entière à la gouvernance de la cybersécurité décrivant les exigences de divulgation liées à la surveillance et à l’expertise du conseil d’administration en matière de cybersécurité, le rôle et l’expertise de la direction dans la gestion des risques de cybersécurité et la manière dont le risque de cybersécurité est pris en compte par rapport à la stratégie commerciale, à la gestion des risques et à la surveillance financière. Les détails partagés par la SEC à la suite de récents règlements ont également révélé le niveau de contrôle actuellement exercé sur les incidents de cybersécurité. Les manquements décrits dans les règlements comprennent :

  • Retards dans les notifications aux investisseurs
  • Absence de processus et de contrôles de divulgation internes entraînant des déclarations inexactes de la part des cadres supérieurs
  • Politiques de sécurité écrites qui n’ont pas été mises en œuvre dans la pratique
  • Langage trompeur, inexactitudes et omissions dans les notifications

Bien que ces propositions soient encore en phase de consultation, il est tout à fait clair que la SEC considère la cybersécurité comme un risque important pour les entreprises. Les entreprises seront non seulement évaluées sur les structures en place pour gérer et superviser le cyberrisque, mais également sur la manière dont elles réagissent immédiatement après un incident.

Gouvernance d’entreprise et cybersécurité

La croissance du cyberrisque a entraîné une prise de conscience accrue et des attentes plus élevées concernant les problèmes de cybersécurité, les entreprises étant évaluées sur leur état de préparation, leur résilience et leur réaction à la suite d’un incident. Alors que les entreprises doivent bien comprendre les bases et avoir une compréhension claire de leurs obligations de divulgation au niveau du marché et du secteur industriel, les régulateurs et les investisseurs attendent également des conseils d’administration qu’ils mettent en place une structure de gouvernance qui donne la priorité à la cybersécurité. Une gouvernance appropriée est considérée comme essentielle à la fois pour atténuer les risques, répondre aux incidents de cybersécurité et démontrer la préparation.

Les nouvelles orientations proposées par la SEC sur la gestion des risques de cybersécurité, la stratégie, la gouvernance et les règles de divulgation des incidents augmenteront la responsabilité des conseils d’administration en matière de cyberrisque. Étant donné que les propositions exigeront que les incidents matériels soient signalés dans les quatre jours, les entreprises devront évaluer rapidement l’impact total d’un incident. Afin de répondre à ces exigences strictes et d’éviter les sanctions, les conseils d’administration devront avoir une compréhension complète de leur cyberrisque et de l’impact financier potentiel d’un incident, avant qu’il ne se produise. De nombreuses entreprises comptaient sur la cyberassurance pour gérer certains éléments de leur exposition aux risques, mais les fournisseurs limitant de plus en plus leur couverture, les entreprises sont effectivement auto-assurées pour la majorité des coûts associés à un cyberincident.

Ce nouvel environnement de risque, combiné à une réglementation exigeant transparence et responsabilité, accompagné d’une pression croissante des actionnaires pour mieux comprendre comment le risque cyber est atténué, signifie que l’accent est désormais mis sur le rôle des administrateurs dans la surveillance du risque cyber. .

Élargir le rôle et l’importance du RSSI

Avoir un Chief Information Security Officer (CISO) dédié, qui est séparé et distinct du rôle de Chief Information Officer (CIO), est devenu de plus en plus important avec la transformation numérique accélérée et les risques de sécurité associés que la pandémie et les problèmes géopolitiques ont apportés. Un RSSI habilité et digne de confiance est également essentiel lors d’une véritable crise informatique, lorsque des décisions doivent être prises et communiquées rapidement, non seulement pour protéger les opérations et la réputation, mais aussi pour éviter de futures sanctions réglementaires.

Les lignes directrices en matière de gouvernance dans les directives de la SEC exigent une discussion sur les points suivants :

  • Si l’ensemble du conseil d’administration, des membres spécifiques du conseil d’administration ou un comité du conseil d’administration sont responsables de la surveillance des risques de cybersécurité ;
  • Les processus par lesquels le conseil est informé des risques de cybersécurité et la fréquence de ses discussions sur ce sujet ; et
  • si et comment le conseil ou le comité du conseil considère les risques de cybersécurité dans le cadre de sa stratégie commerciale, de sa gestion des risques et de sa surveillance financière.

Le bureau du RSSI a peut-être été traditionnellement considéré comme une fonction informatique, mais les implications profondes d’un incident de cybersécurité signifient que la cybersécurité doit être considérée comme un risque commercial. Garner [12] prévoit qu’au moins 50 % des cadres de niveau C auront des exigences de performance liées au cyberrisque d’ici 2026, ce qui renforce la façon dont la responsabilité du cyberrisque est passée d’une simple responsabilité informatique à une responsabilité des chefs d’entreprise dans tous les segments d’une entreprise. Historiquement, ces dirigeants n’ont peut-être pas pris en compte le cyberrisque dans leur prise de décision et leurs priorités, et le RSSI devra donc s’assurer que ces dirigeants d’entreprise disposent des connaissances et de la capacité de prendre des décisions appropriées en matière de risque, dans le cadre de la gestion plus large des risques de l’entreprise.

Ce changement, combiné à un paysage réglementaire qui pousse la responsabilité de la surveillance au niveau du conseil d’administration, signifie que le RSSI moderne doit être capable de communiquer les cyberrisques dynamiques et en évolution rapide en termes qui résonnent à la fois avec l’entreprise et le conseil d’administration. Les mesures doivent être définies en termes d’impact commercial et financier pour redéfinir la cybersécurité comme un investissement obligatoire et non comme un coût opérationnel. Cependant, une nouvelle enquête de FTI Consulting auprès de 165 RSSI aux États-Unis a révélé que 58 % ont du mal à communiquer avec la haute direction. [13]

Surveillance du conseil

Alors que le CISO joue un rôle important dans la préparation de la stratégie globale de cybersécurité d’une entreprise, s’assurer que les mesures de cybersécurité d’une entreprise sont adéquates devrait également faire partie des responsabilités de surveillance du conseil d’administration. La cybersécurité doit faire partie de l’ordre du jour récurrent des réunions du conseil d’administration.

Il est de pratique courante que la fonction de surveillance des cyberrisques fasse partie des attributions du comité d’audit du conseil d’administration. Cette décision concernant la structure de surveillance la plus efficace doit être basée sur la structure de chaque entreprise. En outre, à mesure que les investisseurs institutionnels et les conseillers en vote se concentrent davantage sur la surveillance de la cybersécurité, les conseils d’administration — et pas seulement la direction — doivent être préparés à un dialogue régulier avec les actionnaires sur ces questions.

Il est essentiel que le CISO alimente régulièrement les discussions du conseil d’administration afin de communiquer les risques de cybersécurité auxquels une entreprise est confrontée et les investissements nécessaires pour atténuer ces risques, et que le conseil d’administration soit prêt à poser des questions pertinentes sur la stratégie de cybersécurité.

L’enquête RSS de FTI Consulting a révélé que 53 % des RSSI estiment que les priorités en matière de cybersécurité ne sont pas complètement alignées sur celles de la haute direction. Un CISO sera souvent confronté à des intérêts concurrents de l’entreprise et, par conséquent, il est important que le conseil d’administration contribue à favoriser une culture où la cybersécurité est prioritaire et ne perd pas face à des intérêts concurrents (par exemple, en la reconnaissant comme un investissement et non comme un coût). Bien que le RSSI soit responsable de la conception et de la mise en œuvre du programme de cybersécurité de l’entreprise, il appartient au conseil d’administration de s’assurer que la stratégie appropriée a été élaborée et mise en œuvre par l’équipe de direction.

Compétences du conseil

Bien que des rapports solides au conseil d’administration de la part d’un RSSI ou d’un autre cadre améliorent la surveillance des risques de cybersécurité, tout comme le fait d’avoir un sens aigu des finances au sein du conseil d’administration, il est tout aussi important que le conseil lui-même ait l’expertise et les compétences appropriées pour comprendre les rapports et les risques en matière de cybersécurité. Les conseils d’administration doivent faire appel à l’industrie externe et à d’autres conseils ainsi qu’à l’expertise en cybersécurité de leurs collègues administrateurs, de tiers et de ressources internes pour superviser efficacement la cybersécurité de l’organisation au sein d’une structure appropriée axée sur la surveillance. Dans un paysage en évolution rapide, les réalisateurs gagneraient à chercher continuellement à élargir leurs propres connaissances sur ce sujet.

En outre, établir des relations en interne avec des parties prenantes capables de fournir une expertise pour guider les décisions stratégiques en matière de cybersécurité ; rechercher des conseillers tiers externes qui font régulièrement rapport au conseil ; et la mise en œuvre d’audits périodiques et/ou d’analyses comparatives par des tiers jouent un rôle important dans le renforcement des compétences du conseil dans ce domaine. À mesure que la compréhension du cyberrisque se développe, de nombreuses entreprises ont séparé les équipes informatiques et de sécurité de l’information dans le cadre de leur stratégie de gouvernance. Compte tenu de la fréquence et du risque accru de faire face à une cyberattaque ou à une défaillance de la cybersécurité, il est devenu de plus en plus important de disposer d’une expertise en cybersécurité à la disposition du conseil d’administration. Nos recherches précédentes, basées sur les données de 2020 [14], ont indiqué qu’un manque d’expertise technologique au sein d’un conseil crée une lacune réelle et significative dans l’ensemble des compétences du conseil. Sur la base de ces données, seuls 8,5 % des administrateurs des indices FTSE 350 et ISEQ20 ont été jugés avoir une expertise technologique. En ce qui concerne les données de 2022, ce nombre est tombé à 7,2 %, avec la diminution du nombre d’administrateurs ayant une expertise technologique dans l’ensemble du FTSE350 et une augmentation de 1 % dans l’ISEQ20, comme détaillé dans le tableau.

Dans la lignée du ralentissement macroéconomique qui a caractérisé les deux dernières années, la légère diminution du nombre d’administrateurs ayant une expertise technologique au sein des conseils d’administration des entreprises britanniques et irlandaises entre 2020 et 2022 ne doit pas être considérée comme une diminution de l’importance accordée aux sujets de la cybersécurité par les investisseurs.

Intérêt des investisseurs

Alors que les régulateurs tentent de mettre en place des cadres qui serviront à protéger les investisseurs, certains de ces mêmes investisseurs prennent également les choses en main.

Selon le rapport sur les Principes d’investissement responsable des Nations Unies, le sujet de la cybersécurité fait de plus en plus partie du programme d’engagement des investisseurs, compte tenu de l’impact négatif potentiel sur les valorisations des portefeuilles et les bénéfices du risque juridique et réglementaire associé aux cyberincidents. L’impact potentiel sur le cours de l’action d’une entreprise, en particulier lorsque ces incidents deviennent de plus en plus probables, fait partie de l’analyse d’une entreprise par les investisseurs, avec des recherches récentes de HSBC [15] soulignant le fait que 73 % des organisations ont sous-performé le marché après une attaque de ransomware. Recherche menée par FTI Consulting qui a sondé c. 204 investisseurs institutionnels en 2021 ont constaté que les cyberattaques sont parmi les plus grandes préoccupations des entreprises dans lesquelles ils sont investis. Alors que les récents bouleversements sociétaux et géopolitiques ont mis en évidence des préoccupations supplémentaires, les cyberattaques sont toujours restées une préoccupation majeure au cours des deux dernières années.

Attentes des investisseurs

Reflétant les préoccupations croissantes et l’examen minutieux des pratiques de cybersécurité des entreprises par les investisseurs, les conseillers en vote ont intégré, dans leurs rapports de recherche, des informations et des points de données supplémentaires sur ce sujet.

En outre, ces informations ont également été intégrées dans l’analyse d’autres tiers et fournisseurs de notation, Refinitiv ayant récemment annoncé l’incorporation de données de cybersécurité de tiers dans ses rapports de diligence raisonnable axés sur les risques. De même, fournisseur d’outils de gouvernance d’entreprise, de rémunération, de durabilité et de cybersécurité, ISS Corporate Solutions s’est associé à une autre plateforme technologique de premier plan qui opérationnalise les risques, la confidentialité et la sécurité des tiers. Grâce à ce partenariat, les entreprises auront accès à une gamme d’informations détaillées et d’évaluations exclusives sur la stratégie/les pratiques de cybersécurité de leurs fournisseurs et de tiers, afin de s’assurer qu’elles contribuent positivement à la réputation et aux opérations commerciales de l’organisation.

En 2021, le conseiller en proxy Glass Lewis a annoncé un partenariat avec une société de notation de sécurité pour fournir des données et des informations sur la cybersécurité dans leurs rapports de recherche. La notation fournie est basée sur une évaluation des données externes disponibles telles que les systèmes compromis, les niveaux de correctifs et les incidents divulgués publiquement. Les entreprises sont ensuite comparées à leur secteur d’activité.

 

La note « ISS ESG QualityScore » comprend désormais également plusieurs questions liées à la gouvernance de la cybersécurité, y compris l’expertise du conseil d’administration en matière de cybersécurité, les politiques et la surveillance publiées en matière de cybersécurité et des détails sur toute violation de la cybersécurité qui fournissent un cadre utile pour mieux comprendre le niveau de pratique actuel d’une entreprise.

Intendance et cybersécurité

À la lumière des complexités et du paysage en constante évolution de la cybersécurité, avec des cadres réglementaires toujours en phase de rattrapage, l’évaluation de la cyberpréparation d’une entreprise est devenue une considération clé pour de nombreux investisseurs institutionnels. Un rapport sur les principes d’investissement responsable (PRI) [16] a  révélé que si les entreprises reconnaissent de plus en plus le cyberrisque, la divulgation ne se développe pas au même rythme. L’étude a révélé que « bien que les entreprises reconnaissent de plus en plus les cyberrisques et leurs impacts, les informations d’entreprise dans le domaine public ne garantissent pas aux investisseurs que les entreprises disposent de structures et de mesures de gouvernance adéquates pour faire face aux défis de la cybersécurité ».. L’information étant au centre de marchés fonctionnant efficacement, le cyberespace peut être une sorte d’angle mort.

ISS inclut une série de questions liées à la cybersécurité lors de la détermination de la note ISS ESG QualityScore :

  • L’entreprise divulgue-t-elle une approche d’identification et d’atténuation des risques de sécurité de l’information ?
  • Quel pourcentage du comité responsable de la sécurité de l’information est indépendant ?
  • À quelle fréquence la haute direction informe-t-elle le conseil d’administration sur les questions de sécurité de l’information ?
  • Combien d’administrateurs ayant une expérience en sécurité de l’information sont membres du conseil d’administration ?
  • L’entreprise a-t-elle connu une violation de la sécurité des informations au cours des trois dernières années ?
  • L’entreprise a-t-elle souscrit une police d’assurance contre les risques liés à la sécurité de l’information ?
  • L’entreprise est-elle auditée en externe ou certifiée selon les normes de sécurité de l’information les plus élevées ?
  • L’entreprise a-t-elle un programme de formation en sécurité de l’information ?
  • Depuis combien de temps la violation de la sécurité des informations la plus récente s’est-elle produite (en mois) ?

Perspectives et mises à jour des investisseurs institutionnels

BlackRock, le plus grand gestionnaire d’actifs au monde, a identifié dans son rapport annuel de gérance 2021  [17]  que la cybersécurité est un risque systémique, étant donné les risques de confidentialité et de sécurité des données qui peuvent affecter les informations personnelles, en tant qu’employés ou clients, ainsi que l’effet d’entraînement qu’elle pourrait par l’intermédiaire du système financier au sens large. Dans son rapport sur les votes de 2022[18] BlackRock a continué d’identifier la confidentialité et la sécurité des données comme un sujet prioritaire pour les entreprises et les investisseurs, à la lumière du rôle croissant de la technologie dans les modèles commerciaux des entreprises et les interactions avec les employés, les clients et les autres parties prenantes. BlackRock considère cette question dans le contexte de l’industrie et du marché des entreprises qu’elle engage  [19] avec et cherche à mieux comprendre comment chaque entreprise est préparée à naviguer au mieux dans ce paysage en évolution.

« Du point de vue d’un investisseur à long terme, cherchant à assurer des rendements durables pour nos clients, l’accès accru aux données personnelles par les entreprises s’accompagne de risques commerciaux importants qui peuvent avoir un impact sur la réputation d’une entreprise et sa capacité à fonctionner. Alors que le coût direct et indirect moyen mondial d’une seule violation de données est estimé à plus de 4 millions de dollars en 2021, le risque financier extrême associé à une violation de données très importante peut atteindre des centaines de millions de dollars. Bien que les méga-brèches ne soient pas l’expérience normale pour la plupart des entreprises, ils peuvent avoir un impact démesuré sur les consommateurs et les industries […] Cependant, les investisseurs peuvent être confrontés à d’importants manques de transparence lorsqu’ils évaluent la gestion de ces risques par les entreprises et leur préparation à un événement de crise. Plus récemment, nous avons constaté des efforts pour combler cette lacune, en mettant davantage l’accent sur les rapports réguliers et la transparence sur les politiques et la surveillance du conseil d’administration, ce que nous saluons compte tenu de la sensibilité associée au sujet ainsi que de la nature relativement nouvelle de ces risques et de la réglementation. »

Source : approche de BlackRock en matière de confidentialité et de sécurité des données

Dans son rapport semestriel sur la gestion des investissements  [20] en 2020, Vanguard a également souligné l’importance de structures de gouvernance d’entreprise solides pour prévenir ou réduire l’impact des risques matériels tels que la cybersécurité sur la valeur à long terme, comme indiqué :

« En fin de compte, les conseils d’administration devraient s’efforcer d’empêcher que les risques ne se transforment en échecs de gouvernance. Nous avons vu de plus en plus de preuves que des risques non traditionnels, mais matériels liés à des sujets environnementaux et sociaux (tels que le changement climatique, la cybersécurité et la gestion du capital humain) peuvent nuire à la valeur à long terme d’une entreprise. Si les pratiques, la culture organisationnelle ou les produits d’une entreprise mettent en danger la santé, la sécurité ou la dignité des personnes, ils peuvent également présenter un risque financier pour les investisseurs. De solides pratiques de surveillance permettent à un conseil d’administration de diriger une entreprise à travers des crises imprévisibles.

Source : Rapport semestriel sur la gestion des investissements de Vanguard 2020

Schröders

Bien qu’il n’y ait pas de méthode définie pour s’engager sur la cybersécurité, Schroders a noté les questions ci-dessous qui guident ses engagements sur la cybersécurité :

  1. Existe-t-il une responsabilité en matière de cybersécurité et de confidentialité des données au niveau du conseil d’administration et de la direction ?
  2. Comment s’organise l’expertise technique de l’entreprise ?
  3. Quels sont les formations et le suivi des employés et des fournisseurs mis en place ?

Engagement actionnarial

Outre l’examen des divulgations et des notations de tiers, les investisseurs ont utilisé l’engagement comme moyen d’acquérir une meilleure compréhension des approches des entreprises face à ce risque important, d’autant plus que les exigences de divulgation sont encore en développement. Les entreprises ont montré une certaine réticence à divulguer des détails importants sur leurs stratégies et cadres de cybersécurité, mais ont, à leur tour, montré leur disponibilité à dialoguer directement avec leurs actionnaires sur leurs pratiques. Le rapport PRI précité, notait également que les entreprises contactées dans le cadre de cet engagement collectif » étaient ouverts au dialogue privé et ont volontairement mis leurs experts — généralement des responsables de la sécurité de l’information ou des directeurs numériques (ainsi que le personnel de leurs équipes de développement durable et de relations avec les investisseurs) — à disposition pour aider les investisseurs à développer une vision plus complète de la manière dont ils gèrent les risques de cybersécurité ».

Cette profondeur d’information, y compris la combinaison d’antécédents et d’idées, n’aurait pas été capturée dans le seul examen des documents publics, et souligne en outre le mérite important de l’engagement des actionnaires pour obtenir une vision plus holistique de l’approche d’une entreprise, et met également en évidence le niveau d’interaction entre le conseil d’administration et l’équipe de direction. À mesure que l’engagement et la gestion de la cybersécurité augmentent, les membres du conseil d’administration devront être préparés à ces conversations. Un engagement régulier avec les RSSI et les équipes de sécurité permettra une meilleure compréhension de l’état de la cybersécurité de l’entreprise. BlackRock a développé son approche pour s’engager avec les entreprises, en particulier celles qui présentent le plus grand risque, sur la confidentialité et la sécurité des données et les objectifs de leur engagement sont détaillés ci-dessous :

BlackRock

L’approche de BlackRock en matière d’engagement en matière de confidentialité et de sécurité des données :

Évaluation de la matérialité

  • Quelle est l’exposition de l’entreprise aux risques liés à la confidentialité et à la sécurité des données en fonction de son modèle commercial, par exemple
  • la quantité, le type et la sensibilité des données qu’il recueille (c.-à-d. utilisateurs vs clients ; particuliers vs entreprises ; privés vs publics, sensibles vs non sensibles) ?
  • Quelles sont les implications financières concrètes pour l’entreprise en matière de confidentialité, de données et de cybersécurité ?
  • Des mesures réglementaires connexes ont-elles été prises ou sont-elles prévues ? Pour une entreprise opérant/cotée dans plusieurs juridictions, comment parvient-elle à se conformer aux multiples réglementations en matière de sécurité/confidentialité des données ?

Surveillance et ressources du conseil

  • Dans quelle mesure le conseil d’administration maintient-il une surveillance et une compréhension complètes des risques importants en matière de confidentialité et de sécurité des données ?
  • Comment ces questions sont-elles prises en compte dans le plan de continuité des activités de l’entreprise ?
  • Quelles sont les ressources dédiées à la gestion des risques cyber et pourquoi sont-elles considérées comme adéquates pour l’entreprise ? Les paramètres liés à la formation des employés sont-ils largement partagés avec les parties prenantes en interne et en externe ?
  • L’entreprise utilise-t-elle un cadre de sécurité de l’industrie et comment se mesure-t-elle par rapport à ce cadre ?
  • Comment l’entreprise identifie-t-elle et traite-t-elle les problèmes de sécurité techniques et organisationnels pour se protéger contre les atteintes à la sécurité des données ?

Surveillance et ressources du conseil

  • Comment l’entreprise détermine-t-elle quelles données sont appropriées pour collecter et équilibrer l’utilisation des informations personnelles des clients pour les opportunités de revenus avec les risques juridiques, réglementaires et de réputation tout en maintenant la confiance des clients ?
  • À mesure que les clients prennent conscience de l’importance et des risques associés à leurs données, comment l’entreprise prend-elle en compte les changements potentiels dans la volonté des clients de partager leurs données à long terme ?
  • Comment l’entreprise s’assure-t-elle que les données collectées sont utilisées aux fins déclarées et qu’il n’y a pas d’écart ?
  • Si l’entreprise applique des algorithmes aux informations personnelles des utilisateurs à des fins de ciblage, quelle est la politique d’examen de ces algorithmes (au niveau de la direction et du conseil d’administration) pour s’assurer qu’il n’y a pas de discrimination perçue fondée sur l’origine ethnique, le pouvoir d’achat ou d’autres catégories démographiques qui pourraient être perçus comme sensibles ?

Gestion des tiers

  • En cas de transfert de données à des tiers, comment l’entreprise s’assure-t-elle que le traitement des données est effectué de manière responsable lors du transfert et conforme aux politiques de protection de l’entreprise ?

Stratégies d’engagement collectif

Une autre approche pour mieux comprendre la gouvernance de la cybersécurité dans différentes entreprises a consisté à utiliser des stratégies d’engagement collectif, qui offrent aux investisseurs un meilleur accès et une meilleure compréhension, mais offrent également une échelle supplémentaire pour influencer les pratiques de l’entreprise. À partir de 2019, le Border to Coast Pensions Partnerships, un fonds de pension du gouvernement local, et Royal London Asset Management, ont mené une initiative collaborative sur la cybersécurité, ce qui leur a permis de faire évoluer leur compréhension des risques et de l’approche de la cybersécurité, notant la valeur significative de ces interactions : « un dialogue approfondi plutôt que des divulgations générales croissantes peut être dans le meilleur intérêt des investisseurs ». À travers les différentes étapes de l’engagement, l’initiative a maintenant détaillé les attentes des investisseurs  [21] sur ce sujet, qui guidera son engagement individuel et ses décisions de vote.

Entre 2017 et 2019, les PRI ont coordonné un programme d’engagement mondial sur la gouvernance de la cybersécurité, avec la participation de 55 investisseurs institutionnels, représentant plus de 12 milliards de dollars d’actifs sous gestion, couvrant 53 entreprises, en mettant l’accent sur les secteurs de la finance, de la santé, des télécommunications, de l’informatique et de la consommation discrétionnaire. Les principaux objectifs de la mission, en particulier compte tenu des niveaux limités de divulgation, étaient les suivants :

  1. Renforcer les connaissances des investisseurs sur la manière dont les sociétés de leur portefeuille sont positionnées pour gérer le cyberrisque (en mettant l’accent sur les politiques et les structures de gouvernance des sociétés) ;
  2. Améliorer la quantité et la qualité de la divulgation sur le cyberrisque et la gouvernance ;
  3. Établir les attentes des investisseurs sur ce que les entreprises peuvent et doivent divulguer concernant la gouvernance des cyberrisques.

Alors que les divulgations publiques des entreprises ont une distance importante à parcourir, le rapport note que les entreprises ont mis leurs experts à la disposition des investisseurs, pour fournir une vue complète de leur approche de la cybersécurité, et à leur tour, ces conversations ont aidé les investisseurs à examiner les pratiques de gouvernance et à discuter des attentes sur ce sujet. En outre, ces dialogues et cette collaboration ont permis d’élaborer des conseils aux investisseurs sur la manière de s’engager dans la cybersécurité.

Approche de gestion d’actifs de la frontière à l’autre et de Royal London

ATTENTES MINIMALES :

  • Identification et surveillance des risques au niveau du conseil
  • Un responsable de la sécurité de l’information (CISO) nommé avec des ressources de soutien.
  • Inclusion de cyber-engagements dans les contrats des fournisseurs et diligence raisonnable efficace.
  • Inclusion de considérations cyber dans les stratégies de croissance inorganique, y compris dans les phases de diligence raisonnable et d’intégration.
  • Divulgation en temps opportun des failles de cybersécurité.
  • Divulgations sur une culture cyber-résiliente, pour inclure une formation sur mesure pour l’ensemble de la main-d’œuvre.

PRATIQUES AVANCÉES :

  • Inclusion de la sécurité de l’information et de la cyber-résilience dans les KPI de la rémunération des dirigeants.
  • Utilisation du NIST Cybersecurity Framework comme référence pour la gestion des risques de cybersécurité.
  • ISO 27000 pour toutes les opérations.

Celles-ci sont mises en évidence dans le rapport PRI [22] qui présente diverses questions d’engagement que les actionnaires peuvent utiliser pour mieux comprendre :

  1. la surveillance du conseil d’administration et la structure de gouvernance soutenant les efforts de cybersécurité ;
  2. Veiller à ce que la cyber-résilience soit intégrée dans la stratégie globale, et quelles sont les principales priorités à cet égard ;
  3. Trouver un langage commun sur la cybersécurité et la manière dont les informations sont transmises au conseil d’administration et dans l’ensemble de l’entreprise ;
  4. Au-delà des contrôles techniques, les entreprises mettent continuellement à jour leur approche autour du cyber, et enfin
  5. définir les attentes en matière de divulgation qui mettent en évidence certains domaines clés où la divulgation a été couramment et de plus en plus mise en œuvre.

Cadre proposé par FTI pour les rapports sur la cybersécurité

Afin de satisfaire les demandes croissantes des investisseurs et des régulateurs en matière de gouvernance et de surveillance renforcées de la cybersécurité, les entreprises, en particulier leurs dirigeants, devront être en mesure de communiquer de manière claire et concise les structures et les contrôles de cybersécurité qu’elles ont mis en place à leurs principales parties prenantes. En fait, lors de l’annonce des règles récemment proposées sur la cybersécurité aux États-Unis, le président de la SEC, Gary Gensler, a déclaré : « Je pense que les entreprises et les investisseurs bénéficieraient si ces informations étaient requises de manière cohérente, comparable et utile à la prise de décision ». Cependant, il y a actuellement un manque d’orientations et de meilleures pratiques établies sur la manière dont ces informations doivent être partagées.

L’état actuel de la cybersécurité fait écho à certaines des conversations qui ont eu lieu ces dernières années concernant le climat et la biodiversité, ainsi que la durabilité plus généralement ; et comment les stratégies et l’impact des entreprises peuvent être communiqués de manière significative aux investisseurs ? La Task Force on Climate-related Financial Disclosures (TCFD) et la Task Force on Nature-related Financial Disclosures (TNFD) ont été créées par le Financial Stability Board (FSB) pour remédier aux incohérences dans les informations sur le climat et la biodiversité tandis que, plus généralement, la Sustainable Accounting Le Conseil des normes (SASB) a publié des normes conçues pour « permettre aux entreprises du monde entier d’identifier, de gérer et de communiquer à leurs investisseurs des informations financières importantes sur la durabilité. “Il est possible de réfléchir aux enseignements tirés de ces cadres de divulgation et de les appliquer à la cybersécurité, étant donné qu’ils mettent l’accent sur des structures de gouvernance robustes et une approche basée sur les risques. En effet, il existe des éléments d’orientation déjà définis dans les cadres existants — le SASB et la Global Reporting Initiative (« GRI »), par exemple — qui peuvent fournir des éléments de base vers un cadre plus spécifique pour le reporting et l’évaluation de la stratégie. Les mesures de cybersécurité décrites dans le cadre SASB fournissent un ensemble clair de mesures comptables qui peuvent fournir une référence d’information significative aux investisseurs sur la façon dont une entreprise aborde son risque de cybersécurité. Comme point de départ, il examine des indicateurs tels que le nombre de violations de données, le pourcentage impliquant des informations personnellement identifiables ou le nombre d’utilisateurs concernés. Pour les entreprises plus lourdes en technologie, qui, avec la prévalence croissante de la numérisation, sont devenues de plus en plus uniformes, les entreprises doivent également décrire leur approche pour identifier et traiter les risques de sécurité des données, et l’utilisation de normes de cybersécurité tierces est également incluse. Cette « double approche » fournit aux entreprises une structure pour divulguer leur approche de la cybersécurité de manière plus significative, quantifiable et harmonisée.

Nous proposons ci-dessous un cadre d’orientation qui tente d’expliquer comment les entreprises, et le conseil d’administration en particulier, peuvent démontrer la surveillance de la cybersécurité, tout en maintenant les niveaux de confidentialité nécessaires. Le cadre est basé sur la structure de rapport recommandée proposée par TCFD et TNFD, mais adaptée pour refléter le paysage réglementaire actuel de la cybersécurité, l’orientation des investisseurs et les pressions générales sur les entreprises. L’intention est que ce cadre fournisse une méthode cohérente et normalisée, ainsi qu’un langage commun, permettant au conseil d’administration et aux responsables de la sécurité de communiquer leur approche de la cybersécurité aux investisseurs et aux autres parties prenantes clés. De nombreuses entreprises craignent de divulguer les détails de leur stratégie de cybersécurité, car elles pensent que cela pourrait les exposer à une attaque potentielle. Nous pensons que ce cadre pourrait permettre aux entreprises de reconnaître les risques posés par la cybersécurité de manière plus globale sans partager de détails qui pourraient être utilisés à mauvais escient par un acteur de cybermenace ou fournir publiquement des informations commercialement sensibles. Cette communication avec les principales parties prenantes relève du conseil d’administration d’une entreprise. Cette approche pourrait également être utilisée comme outil de diagnostic et amorce de conversation entre le conseil d’administration et les équipes de cybersécurité, aidant une entreprise à identifier et à atténuer les risques futurs posés par les menaces de cybersécurité en constante évolution. Cela garantira également un engagement régulier et structuré entre le conseil d’administration et les responsables de la sécurité, ce qui est d’une importance cruciale compte tenu de la nature dynamique de la cybersécurité et du paysage des menaces.

Approche de FTI en matière de risques et d’opportunités en matière de cybersécurité et de divulgation

Gouvernance Stratégie
  • Le conseil est-il directement responsable de la surveillance de la cybersécurité ?
  • Le conseil d’administration comprend-il l’impact de la cybersécurité sur ses responsabilités collectives ?
  • Y a-t-il une expertise appropriée en cybersécurité à bord ?
  • À quelle fréquence la haute direction informe-t-elle le conseil d’administration sur la cybersécurité ?
  • Quel pourcentage du comité responsable de la sécurité de l’information est indépendant ?
  • Quelle couverture de cyber-assurance est en place ?
  • La stratégie décrit-elle clairement les priorités, les risques et les opportunités liés à la cybersécurité ?
  • La stratégie est-elle alignée sur les objectifs de gestion des risques ?
  • La stratégie articule-t-elle l’impact matériel des risques et des opportunités sur la stratégie commerciale et la planification financière de l’organisation, et la diligence raisonnable des fusions et acquisitions ?
  • La stratégie décrit-elle la résilience de l’organisation face à un incident de cybersécurité et la gestion post-infraction ?
Gestion des risques Métriques et cibles
  • Les processus d’identification, d’évaluation et de gestion des risques liés à la cybersécurité sont-ils clairement définis et compris ?
  • Les processus d’identification, d’évaluation et de gestion des risques liés à la cybersécurité sont-ils intégrés dans la gestion globale des risques de l’organisation ?
  • Les procédures de gestion des risques prennent-elles en compte les risques internes et externes, notamment les risques liés à la chaîne d’approvisionnement ?
  • Les menaces de cybersécurité pour l’entreprise sont-elles analysées et comprises pour s’assurer que les efforts défensifs sont pertinents et appropriés ?
  • Des métriques sont-elles définies et utilisées pour évaluer le risque de cybersécurité ?
  • Combien d’incidents se sont produits au cours des 12 derniers mois ?
  • Des contrôles définis sont-ils en place et correspondent-ils aux menaces auxquelles l’organisation est confrontée ?
  • Les investissements dans la cybersécurité peuvent-ils être directement liés à la réduction des risques, à la résilience et à la fiabilité fournies par ces investissements ?
  • Comment les employés, les partenaires, les fournisseurs et les principales parties prenantes sont-ils formés et comment la sensibilisation est-elle maintenue ?
  • La culture de sécurité est-elle mesurée ?

Conclusion

L’augmentation de l’activité des menaces et l’évolution rapide du paysage de l’assurance, combinées à une surveillance accrue des parties prenantes et à un environnement réglementaire plus strict, augmentent la pression sur les entreprises pour qu’elles investissent dans la cybersécurité et mettent en place simultanément des structures de gouvernance et de gestion qui traitent directement de la cybersécurité. Les régulateurs et les investisseurs veulent non seulement voir une meilleure divulgation des incidents, mais veulent également que les entreprises démontrent clairement qu’elles traitent de manière proactive les cyberrisques. Avec une plus grande responsabilisation des conseils d’administration et de la direction pour bien comprendre le cyberrisque et les contrôles en place, il n’y a plus de place pour l’inaction.

Il n’existe pas d’approche unique pour s’assurer que les conseils d’administration sont en mesure de surveiller le cyberrisque et, même s’il n’est pas prévu que les conseils d’administration deviennent des experts en cybersécurité, s’assurer que — en tant que collectif — le conseil d’administration est en mesure de s’engager efficacement et, en fin de compte, de remettre en question le RSSI et la stratégie de cybersécurité de l’entreprise est un impératif. S’il est de la responsabilité des équipes exécutives et opérationnelles d’élaborer et de préparer le plan de préparation à la cybersécurité, le conseil joue un rôle crucial en posant les bonnes questions pour challenger et tester ce processus, et aussi en gérant les tensions entre risque, utilisabilité, sécurité et Coût. Les conseils d’administration doivent être pleinement conscients des infrastructures, des processus et des personnes qui supervisent les risques de cybersécurité, et avoir une solide compréhension des parties de leur organisation qui sont considérées comme présentant un risque plus élevé, quelles sont les vulnérabilités de son cadre de contrôle — en particulier du point de vue de l’erreur humaine — ou si le risque de tiers a été pris en compte dans l’analyse. En outre, afin de gérer l’écart de « connaissances » entre le conseil d’administration et les spécialistes de la cybersécurité, des canaux de communication clairs et cohérents et un engagement avec les équipes exécutives et opérationnelles sur la cybersécurité sont essentiels, ainsi qu’un engagement clair à continuer à développer la compréhension de l’évolution de la cybersécurité., les menaces et les risques liés à l’activité.

Si la cybersécurité est aujourd’hui principalement abordée sous le pilier de la gouvernance, elle peut toucher d’autres aspects de l’ESG, notamment le pilier social. Les incidents de cybersécurité peuvent avoir un impact sociétal de grande envergure lorsqu’ils perturbent les infrastructures critiques et les services essentiels, tandis que les violations de données peuvent causer une détresse importante aux personnes concernées, les employés étant souvent directement touchés. Alors qu’une gouvernance appropriée de la cybersécurité devrait être une priorité, ces structures de gouvernance ne font que jeter les bases de ce qui sera probablement un examen plus approfondi à l’avenir.


*Orla Cox et Hetal Kanji sont directeurs des communications stratégiques, et Simon Onyons est directeur général chez FTI Consulting.

Références

https://www.ibm.com/reports/data-breach (retourner)

https://www.weforum.org/reports/global-risks-report-2022/digest (retourner)

https://www.ibm.com/reports/data-breach (retourner)

https://www.verizon.com/business/resources/reports/2022/dbir/2022-data-breach-investigations-report-dbir.pdf (retourner)

https://blogs.microsoft.com/on-the-issues/2022/04/27/hybrid-war-ukraine-russia-cyberattacks/ (retourner)

https://www.wsj.com/articles/nestles-data-leak-shows-war-related-hacktivism-risks-11649151002 (retourner)

https://www.ft.com/content/60ddc050-a846-461a-aa10-5aaabf6b35a5 (retourner)

https://www.marsh.com/uk/services/international-placement-services/insights/global_insurance_market_index.html?utm_source=publicrelations&utm_medium=referral-link&utm_campaign=global-insurance-market-index-q4-2021(retourner)

https://assets.lloyds.com/media/35926dc8-c885-497b-aed8-6d2f87c1415d/Y5381 Market Bulletin – Cyber-attack exclusions.pdf(retourner)

10 https://www.ibm.com/reports/data-breach(retourner)

11 https://www.sec.gov/rules/proposed/2022/33-11038.pdf(retourner)

12 https://www.gartner.com/en/newsroom/press-releases/2022-02-24-gartner-says-the-cybersecurity-leader-s-role-needs-to (retourner)

13 données non encore publiées. Méthodologie de recherche : FTI Consulting a mené une enquête en ligne auprès de n=165 RSSI et responsables de la sécurité de l’information pour de grandes organisations à travers les États-Unis entre les dates du 27 juin et du 5 juillet 2022. Pour les questions liées à la recherche, veuillez contacter cyberbrand@ fticonsulting.com (retourner)

14 https://fticommunications.com/boards-technology-a-gap-in-expertise/ (retourner)

15 https://www.research.hsbc.com/R/36/PX7wVpdT9rsU?sbtv=036b0bcf-0103-11ed-adc0-005056b635ff (retourner)

16 https://www.unpri.org/cyber-security/engaging-on-cyber-security-results-of-the-pri-collaborative-engagement-2017-2019/5680.article (retourner)

17 https://www.blackrock.com/corporate/literature/publication/annual-stewardship-report-2021.pdf (retourner)

18 https://www.blackrock.com/corporate/literature/publication/2022-investment-stewardship-voting-spotlight.pdf (retourner)

19 https://www.blackrock.com/corporate/literature/publication/blk-commentary-our-approach-to-data-privacy-and-security.pdf (retourner)

20 https://corporate.vanguard.com/content/dam/corp/advocate/investment-stewardship/pdf/policies-and-reports/2020_investment_stewardship_semiannual_report.pdf (retourner)

21 https://www.bordertocoast.org.uk/wp-content/uploads/2022/03/CYBERSECURITY-ENGAGEMENT-FOCUS.pdf (retourner)

22 https://www.unpri.org/download?ac=10398 (retourner)

 

Diversité, expérience et efficacité dans la composition du conseil


Voici un excellent rapport publié par Merel Spierings, chercheuse au Conference Board ESG Center. Cette publication est basée sur sa récente publication, qui a été publiée par le Conference Board et la société d’analyse ESG ESGAUGE, en collaboration avec Debevoise & Plimpton, le KPMG Board Leadership CenterRussell Reynolds Associates et le John L. Weinberg Center for Corporate Governance de l’Université du Delaware.

Je vous invite à lire l’introduction à la version française de l’article, effectuée par Google, que j’ai corrigée. Ce travail de correction est certainement encore perfectible, mais le résultat est très satisfaisant.

L’attention des investisseurs et des régulateurs à la composition et aux pratiques du conseil d’administration a considérablement évolué au cours des 20 dernières années.

À la suite des effondrements d’Enron et de WorldCom, ces parties prenantes se sont d’abord concentrées sur le renforcement de l’indépendance et de la surveillance du conseil d’administration. [1] Après la crise financière de 2008, cela a fait place à une plus grande concentration sur la question de savoir si les conseils d’administration disposent de la bonne combinaison de compétences et d’expérience pour guider la stratégie commerciale, ainsi que sur les mécanismes permettant aux actionnaires de tenir les conseils d’administration responsables des performances de l’entreprise. [2]

Plus récemment, l’attention portée à la diversité des conseils d’administration s’est non seulement accélérée, mais s’est également étendue à la question plus large de la manière dont les conseils d’administration supervisent les questions environnementales, sociales et de gouvernance (ESG). Par exemple, au début de 2022, les investisseurs ont relevé la barre de la diversité au sein du conseil d’administration [3] et la Securities and Exchange Commission (SEC) des États-Unis a proposé des règles visant à une plus grande divulgation du rôle du conseil d’administration dans le changement climatique et la cybersécurité, avec des règles sur la gestion du capital humain à venir.

Ces tendances ont des répercussions importantes sur la composition, la taille et la formation des conseils. Les entreprises ont besoin de conseils d’administration composés d’administrateurs issus de divers horizons, ainsi que des compétences et de l’expérience nécessaires pour superviser la liste croissante des priorités. Ils ont également besoin de conseils d’administration de taille suffisante pour accueillir ces personnes, ainsi que pour alimenter les (nouveaux) comités du conseil d’administration qui traitent des sujets ESG. Et ils doivent avoir des programmes d’intégration plus solides pour ces nouveaux administrateurs, ainsi que des programmes de formation continue du conseil pour s’assurer que l’ensemble du conseil ne s’appuie pas sur l’expertise de quelques administrateurs, mais maîtrise la liste croissante des problèmes que les conseils sont censés résoudre.

Cet article fournit des informations sur la composition du conseil d’administration (y compris la diversité des sexes, des races et des orientations sexuelles, les qualifications et les compétences des administrateurs), la taille et la formation dans les sociétés S&P 500 et Russell 3000. Les conclusions sont basées sur des données dérivées du tableau de bord en ligne interactif en direct alimenté par ESGAUGE, [5] ainsi que sur une discussion sur la règle de Chatham House avec des professionnels de la gouvernance de premier plan tenue en avril 2022.

Board Composition: Diversity, Experience, and Effectiveness

Insights for What’s Ahead

  • Although boards may want to add functional experience in ESG areas, such as technology, cybersecurity, human capital, and climate, directors can bring meaningful value only if they can make the connection between these functional areas and business strategy. The recent decline in the reported percentage of board members with business strategy experience is worrisome, as board members without broad strategic experience can hinder effective board discussions and will likely be less useful partners for management. Boards should not sacrifice business strategy experience to achieve functional expertise.
  • While boards are becoming more gender diverse, many companies will need to further increase their efforts to meet investors’ future demands, which include having a board that is at least 30 percent gender diverse instead of merely having one or two female directors. This means, for example, that a board with nine directors will need at least three women.
  • Companies should also anticipate a greater push on racial (ethnic) diversity, which will increasingly spill over into director elections, as investors and proxy advisors alike have started setting targets for the racial composition of boards and will (advise to) vote against directors if those targets are not being met.
  • Disclosure on other personal and less visible traits, such as sexual orientation, needs to be carried out with sensitivity to the directors’ individual and collective views. Before adding new questions about personal traits, it’s important to have a conversation with board members about what additional topics should be covered and why. It’s also helpful to discuss whether the company should disclose these characteristics on an individual or aggregate basis.
  • While companies have traditionally focused on recruiting directors with “hard skills,” boards need to keep an eye on “soft skills” when vetting new directors. Recent events have made it clear that even though traditional skills and expertise are pivotal, other competencies should be taken into account as well when recruiting new directors, including crisis management, the ability to listen, eagerness to learn, and openness to change.
  • Expect boards to increase modestly in size as companies seek to add diversity, new skills and expertise, and board committees providing ESG oversight. This increase is likely to be permanent as a result of the pressure to recruit directors with additional expertise relating to cybersecurity and climate change (proposed SEC rules will require more disclosure on the role of the board and its expertise in these two areas), as well as the need to keep the workload for directors manageable.
  • Given the need to ensure directors are able to effectively oversee a growing number of ESG areas, companies will want to adopt a hybrid approach of using internal and external resources for director education. It’s vital for outside providers to offer trusted and objective information, benchmarking, and advice. And as management may also benefit from additional education, companies should consider outside firms that are adept at educating both the C-suite and boards—although the breadth and depth of education for management may be greater.

Board Composition

Independent Director Qualifications and Skills

  • Even though business strategy continues to be the most commonly cited experience for directors, the reported percentage of board members with such experience has been declining. In the S&P 500, the share of directors with such experience—as reported in the proxy statement or other disclosure documents—declined from 69.7 percent in 2018 to 67.5 percent in 2021. The Russell 3000 saw a larger decrease, from 67.7 percent in 2018 to 62.9 percent in 2021. This suggests that boards may be attracting directors with knowledge in specific areas (e.g., cybersecurity) who do not have broad business strategy experience.
  • The decline in strategic experience has been accompanied by a decline in international experience on boards as well—even as the world has become more interconnected. In the S&P 500, it went from 19.6 percent in 2018 down to 14.4 percent in 2021, and in the Russell 3000, it declined from 10 to 8.1 percent.
  • By contrast, experience in business operations, finance, and technology in the S&P increased in recent years. Experience in business operations grew from 5.7 percent in 2018 to 11.9 percent in 2021 and in finance from 19.7 percent in 2018 to 22.2 percent in 2021. The percentage of directors with technology experience is also increasing: from 22.1 percent in 2020, to 22.6 percent in 2021, and to 23.9 percent in 2022 (following a decline from 2018 to 2020).

Director Qualifications and Skills (S&P 500)

Source: The Conference Board/ESGAUGE, 2022

  • Directors with strategic experience are more sought after in larger companies than in smaller companies; the opposite is true for directors with a background in investment management. In 2021, 74 percent of directors at the largest companies, with an annual revenue of $50 billion and over, had business strategy experience, but the percentage dropped to 63.7 percent for the smallest companies, with an annual revenue under $100 million. Conversely, investment management experience was the most prevalent at the smallest companies (12.1 percent versus 3.2 percent at the largest companies). This may reflect the view at large companies that they can obtain such experience by hiring outside advisors, while smaller companies have fewer resources to do so.
  • Technology experience seems to be desired at all but the smallest companies. Whereas the average percentage of directors with a technology background ranged between 19 percent (for companies with an annual revenue of $100-999 million) and 25.8 percent (for the largest companies), only 6.7 percent of directors in companies with an annual revenue of under $100 million reported having such experience.
  • In 2021, information technology companies had by far the highest percentage of board members who report a technology background in their professional profile (40.6 percent of all Russell 3000 directors at entities in the sector), followed by communication services (21.7 percent), and utilities (19.6 percent) companies. Firms in the materials, consumer staples, and industrials sectors had the highest percentages of directors with experience at the international level (15.7, 15.1, and 11.1 percent, respectively); conversely, only 4.7 percent of independent directors in the financial sector reported an international background. The highest shares of directors with legal experience were found on boards of financial institutions (12.7 percent), real estate companies (11.9 percent), and utilities (11.8 percent). The financial sector also leads with the highest representation of directors with accounting or auditing experience (11.4 percent, compared to only 4.2 percent of directors at health care companies).

Director Gender

  • The share of female directors on US boards continues to grow—a trend spurred in part by investors’ growing demands and the SEC’s approval of Nasdaq’s Board Diversity Listing Standards. [5] In the S&P 500, the share of female directors grew from 22.8 percent in 2018 to 28.9 percent in 2021. And preliminary data from 2022 indicate this trend will continue: as of April, 30 percent of directors were women. [6] The share of female directors in the Russell 3000 continues to be lower than in the S&P 500, at 24.1 percent in 2021, but it is up from 16.6 percent in 2018.

Director Gender, by Index

Source: The Conference Board/ESGAUGE, 2022

  • Similarly, the number of companies with an all-male board in the S&P 500 was near zero in 2021 (averaging 0.2 percent), compared to 1.4 percent in 2018. In the Russell 3000, 5.1 percent of companies reported having no female representation in 2021, but representation was dramatically lower in 2018, when 20.5 percent disclosed having all-male boards.
  • There is a direct correlation between company size and gender diversity in the boardroom, with the highest percentage of female directors concentrated among boards of larger companies: in 2021, 30.8 percent of directors at companies with annual revenue of $50 billion or higher were women, compared to 19.5 percent of those in companies with annual revenue of $100 million or lower.
  • Companies in the utilities (29.6 percent), consumer staples (28.7 percent), and consumer discretionary (27.7 percent) sectors have the highest percentage of female directors in the Russell 3000. Boards of nonutility energy firms are the most male dominated, with only 19.8 percent being women, and almost half (48.3 percent) of such companies have no or only one female director on the board.

Director Race/Ethnicity

  • Disclosure of director race/ethnicity surged in 2021—and an early analysis indicates that even more companies are planning to disclose this type of information in 2022. In the S&P 500, a majority of companies now disclose race/ethnicity: 58.8 percent in 2021, up from 11.4 percent in 2018. As of April 2022, this percentage has gone up even further, to 73.3 percent. The Russell 3000 has also seen increased disclosure, from 3.8 percent in 2018 to 27.7 percent in 2021 to 45.1 percent currently in 2022.

Director Race/Ethnicity – Disclosure Rate, by Index

Source: The Conference Board/ESGAUGE, 2022

  • There are vast disparities between large and small companies in disclosing racial/ethnic diversity: in 2021, 70.9 percent of companies with an annual revenue of $50 billion and over disclosed director race/ethnicity, compared to only 8 percent of companies with an annual revenue under $100 million.
  • Across business sectors in the Russell 3000, disclosure of director race/ ethnicity was most common at companies in the utilities sector (52.9 percent), followed by those in materials (42.1 percent), and consumer staples (38.2 percent). Health care companies were least likely to disclose this information (17.5 percent).
  • The number of non-White directors is steadily increasing—at least at larger companies. In 2021, 76.7 percent of directors in the S&P 500 were White, which is roughly on par with the percentage of the US population between 50 and 70 years old and down from 80.1 percent of directors in 2018; 12.6 percent were African American (up from 11.3 percent in 2018); and 5.1 percent were Asian, Native Hawaiian, or Pacific Islander (up from 1.8 percent in 2018). Conversely, the percentage of Latino or Hispanic directors went down, from 6.6 percent in 2018 to 5.1 percent in 2021. [7]
  • Interestingly, the share of White directors in the Russell 3000 ticked up from 78.1 percent in 2018 to 79 percent in 2021—and even further up to 80 percent as of April. Moreover, the percentage of African American and Latino or Hispanic directors went down in 2021 compared to 2018, but the share of Asian, Native Hawaiian, or Pacific Islander directors went up.

 Race/Ethnicity (S&P 500)

Source: The Conference Board/ESGAUGE, 2022

  • Larger companies’ boards continue to be more racially/ethnically diverse than those of their smaller counterparts. In 2021, 25.7 percent of directors at companies with annual revenue of $50 billion or higher were non-White, compared to 20.6 percent of directors at companies with annual revenue under $100 million.
  • In the Russell 3000 in 2021, companies in the IT sector (26.2 percent) had the most racially/ethnically diverse boards, followed by those in the utilities sector (24.6 percent). Boards of nonutility energy companies (14.3 percent) were the least diverse.

Director Sexual Orientation

  • Disclosure of directors’ sexual orientation remained low in 2021 but seems to be increasing in 2022. In 2021, 6.6 percent of S&P 500 companies disclosed their directors’ sexual orientation, compared to 3.5 percent in the Russell 3000. However, as of April 2022, this percentage has gone up dramatically in both indexes, to 22.7 percent in the S&P 500 and 25.4 percent in the Russell 3000. [8]

Direct Sexual Orientation – Disclosure Rate, by Index

Source: The Conference Board/ESGAUGE, 2022

  • Not all boards that are now disclosing director sexual orientation actually have directors who are—or are willing to identify for purposes of corporate public disclosure document as—LGBTQ+. As disclosure of directors’ sexual orientation increases even for those who are not LGBTQ+, the percentage of corporate directors who are LGBTQ+ decreases, from 6.7 percent in 2021 to 3.9 percent thus far in 2022 in the S&P 500, and from 7.1 percent in 2021 to 2.2 percent in 2022 in the Russell 3000.
  • Unlike gender and race, there is no apparent correlation between disclosure rates of sexual orientation and company size. In 2021, directors’ sexual orientation was disclosed by 0.9 percent of companies with revenue under $100 million and 9.6 percent in the $25-49.9 billion group, but by none of the companies with revenues of $50 billion or higher.
  • There is also no clear correlation between director self-identification of sexual orientation and company size. However, in 2021, the highest percentage of directors who self-identify as LGBTQ+ was seen among the smallest companies: 20 percent of directors at companies with an annual revenue under $100 million self-identified as LGBTQ+ versus no directors at companies with an annual revenue of $50 billion or higher. This may reflect the fact that directors at smaller companies believe that they can have a bigger impact on the firm and its culture by such disclosure. [9]

Insights for What’s Ahead in Board Composition

  • The decline in directors with business strategy experience should raise a yellow, if not red, flag for boards, management, and investors: boards should not sacrifice business strategy experience to achieve functional expertise. While boards understandably want to add functional experience in technology, cybersecurity, human capital, climate, and other areas, directors will bring meaningful value only if they can make the connection between these functional areas and business strategy. Indeed, that is equally true of C-suite executives, which is why directors without broad strategic experience can actually be a drag on board deliberations and be ineffective partners for management. This is especially true as ESG topics are no longer siloed but are being integrated into board strategy.
  • Although boards are becoming more gender diverse, many companies will need to further ramp up their efforts to meet investors’ future demands. Some major institutional investors and proxy advisors (e.g., State Street Global Advisors and Glass Lewis) are moving away from static gender diversity targets (i.e., a minimum of one or two female directors) and have pledged to vote against the nominating committee chairs of boards that are not at least 30 percent gender diverse, starting in 2023. To illustrate the challenge this presents: in the Russell 3000, the average board size was 9.2 in 2021, and almost 60 percent of companies had nine or more directors on board. Yet only 37.1 percent of companies had three or more female directors and would meet the 30 percent threshold.
  • Companies should also anticipate a greater push on racial/ethnic diversity, which will increasingly spill over into director elections. Disclosure of director race/ethnicity surged in 2021, but disclosure alone won’t be enough: investors and proxy advisors alike have begun setting targets for the racial makeup of boards and will (advise to) vote against directors, particularly of the nominating and governance committee, if those targets are not met. Companies, especially the smaller ones and those in the nonutility energy sector, will want to augment the racial/ethnic diversity of their board by executing a succession plan where the focus on strategic skills and expertise is accompanied by the pursuit of racially diverse board members.
  • Disclosure on sexual orientation, and other personal and less visible traits, needs to be undertaken with sensitivity to the directors’ individual and collective views. Companies typically collect information about board characteristics through an annual Directors & Officers (D&O) questionnaire. Before adding new questions about board diversity, it’s important to have a conversation with the nominating committee (and through the committee, with the board), about what additional topics you might cover and why. At some companies, for example, directors may want the company to make a statement about LGBTQ+ inclusion at the board level; at other companies, directors may be hesitant to do so or may personally want to opt out of answering the question. It’s also helpful to discuss how the company could disclose these traits, including on an individual or aggregate basis.
  • Even though companies have traditionally focused on recruiting directors with “hard skills,” boards need to keep an eye on “soft skills” in recruiting new directors. From the COVID-19 pandemic to social and economic disruptions to supply chain disturbances, staggering inflation, labor shortages, and now the war in Ukraine—corporate America has been faced with crisis after crisis. Even though traditional skills and expertise (e.g., in business strategy, finance, technology, operations) are still important, boards need to give full attention to other competencies as well when vetting new directors, including crisis management, the ability to listen, eagerness to learn, and openness to change. [10]

Board Size

  • The average board size of S&P 500 companies has been relatively steady in recent years. Yet preliminary data from 2022 indicate that it is increasing, from an average of 10.8 directors in the past four years to an average of 11.2 directors as of April. Additionally, in 2022, the number of companies with more than 10 directors increased compared to previous years, from 73.9 percent in 2018 to 82.4 percent in 2022.
    • The increase in board size holds true for smaller companies as well: in the Russell 3000, the average board size increased from nine directors in 2018 to 9.8 directors in 2022 (as of April). Similarly, the number of companies with more than 10 directors increased from 37.8 percent in 2018 to 51.4 percent in 2022.
  • Larger companies tend to have larger boards. In 2021, manufacturing and nonfinancial services companies with an annual revenue of $50 billion or over had an average board size of 11 directors, with 81.8 percent having 10 or more directors, and 18.2 percent with 13 or more directors. By comparison, companies with an annual revenue under $100 million had an average board size of 7.5, with just 8.9 percent reporting 10 or more directors, and none reporting more than 12. Likewise, the smallest boards, with fewer than six directors, are seen almost exclusively among small companies. Indeed, at companies with a revenue under $100 million, 12.8 percent have fewer than six directors. By comparison, no boards with fewer than six directors are found at companies with an annual revenue of $50 billion or higher.

Board Size, by Index

Source: The Conference Board/ESGAUGE, 2022

  • Across business sectors in the Russell 3000, financial services companies had the largest boards in 2021, with an average of 10.7 directors, followed by those in utilities (average of 10.5 directors). These sectors also reported the biggest shares of boards with 10 or more directors (70.6 percent for utilities and 63.4 percent for financial services). The smallest boards were found in the health care sector, where the average board size was 8.3 directors and only 23.8 percent of companies reported having a board of 10 directors or more. One driver of board size may be the way these industries are regulated. For example, the Dodd-Frank Act requires a separate risk committee composed of independent directors for publicly traded nonbank financial companies supervised by the Federal Reserve as well as publicly traded bank holding companies with $10 billion or more in assets. Similarly, those in the utilities sector are far more likely than other companies to have a finance committee (41 percent versus 10 percent).

Insights for What’s Ahead in Board Size

  • Expect boards to continue to increase in size as companies seek to increase diversity, add new skills and expertise, and populate new board committees providing ESG oversight. As companies are seeking to increase diversity on their boards, they cannot wait until a retirement creates an opening to add a new director because the attractive candidates may have other offers before then. Instead, they need to strike while the iron is hot, which means at least temporarily increasing the size of the board to allow for some overlap. That temporary increase, however, is likely to become permanent due to two factors: (1) the pressure to add directors with additional expertise will continue, particularly with the proposed SEC rules requiring additional disclosure on the role of the board and its expertise relating to cybersecurity and climate change; and (2) workload: while some boards are adding ESG and other responsibilities to existing committees, other boards are establishing new committees. In either case, boards need to be careful not to stretch their existing directors too thin by having them serve on too many committees. [11]

Director Education

  • Companies are increasingly using both in-house and outside resources to educate their directors. Relying exclusively on in-house resources remains the predominant practice. In 2021, 67.5 percent of companies in the S&P 500 relied solely on in-house education programs and 64.8 percent in the Russell 3000 did so. Yet the practice of using a combination of in-house and outside resources to develop and deliver educational programs has been increasing in both indexes in recent years. In the S&P 500, the percentage of companies taking this approach grew from 25.3 percent in 2018 to 29.1 percent in 2021. In the Russell 3000, the share grew from 11.8 percent in 2018 to 16.4 percent in 2021. The use of combined in-house and outside resources is especially common at the largest firms: 40 percent of companies with a revenue of $50 billion and over reported taking this approach, versus only 6.1 percent of companies with revenues under $100 million. Across the Russell 3000, companies in the real estate sector are most likely to organize programs entirely in-house (76.5 percent), those in the energy sector are most likely to use just outside providers (2.6 percent), and companies in the utilities sector are most likely to use a combination (30.9 percent).

Director Education (S&P 500)

Source: The Conference Board/ESGAUGE, 2022

  • Most of the firms not disclosing policies on continuing education are smaller companies with revenues under $100 million: 44.3 percent of them did not disclose information on their professional development programs for directors in 2021, while only 1.8 percent of companies with revenues of $50 billion and over, and none of the firms with revenues in the $25 billion-$49.9 billion category, lack a disclosed policy.
  • In the Russell 3000, companies in the health care and financial services sectors report the highest percentages of firms without a disclosed policy on director continuing education (31.4 percent and 24.2 percent, respectively). The lowest are materials (4 percent) and real estate (6 percent).

Insights for What’s Ahead in Director Education

  • Given the need to ensure directors are able to effectively oversee a growing number of ESG subject areas, and senior management itself may also need to be brought up to speed, more companies will likely adopt a hybrid approach of using internal and external resources for director education. While it can be useful for directors to meet with advocacy organizations in other contexts, for board education programs it’s critical for outside providers to provide trusted and objective information, benchmarking, and advice. Especially as management may also benefit from additional education, companies should consider firms that are adept at educating both the C-suite and boards.

Références

_________________________________

1 See H.R.3763 – Sarbanes-Oxley Act of 2002 (July 2002) and SEC’s adoption of NASD and NYSE’s Rulemaking Relating to Corporate Governance (November 2003).(go back)

2 See H.R.4173 – Dodd-Frank Wall Street Reform and Consumer Protection Act (July 2010) and the SEC’s Final Rule on Facilitating Shareholder Director Nominations (“Proxy Access Rule”) (August 2010).(go back)

3 Merel Spierings and Paul Washington, 2022 Proxy Season Preview and Shareholder Voting Trends,Brief 2: Human Capital Management Proposals, The Conference Board, February 2022.(go back)

4 The Conference Board, in collaboration with ESG data analytics firm ESGAUGE, is keeping track of disclosures made by US public companies with respect to their board composition, director demographics, and governance practices. Our live, interactive online dashboard allows you to access and visualize practices and trends from 2016 to date by market index, business sector, and company size. The dashboard is organized in six parts: (1) Board Organization, (2) Board Leadership, (3) Board Composition, (4) New Directors, (5) Director Election & Removal, and (6) Other Board Policies.(go back)

5 On August 6, 2021, the SEC approved Nasdaq’s Board Diversity Rule, which requires board diversity disclosures for Nasdaq-listed companies. Additionally, investors continue to make their proxy voting guidelines relating to board diversity more stringent. The pressures for increased diversity are continuing, even though California’s board gender diversity quota law has been initially ruled unconstitutional.(go back)

6 Throughout this post, the data for 2022 is as of April 19, 2022.(go back)

7 To put these numbers in perspective, according to the US Census Bureau, 76.3 percent of the US population is White (population estimates from July 2021). The older the population, the higher this percentage: 69 percent of 40-year-olds, 74 percent of 50-year-olds, 78 percent of 60-year-olds, and 83 percent of 70- and 80-year-olds were White in 2017, according to data derived from the American Community Survey (source: Overflow Solutions). By comparison, in 2021, the average director age was 63 years in the S&P 500 and 62 years in the Russell 3000.(go back)

8 This increase may be due to Nasdaq’s Board Diversity Rule, which requires companies to explain why they do not have at least one director who identifies as female and one who identifies as LGBTQ+ or another underrepresented group. Similarly, BlackRock now encourages companies to have at least one director who identifies as a member of an underrepresented group, which includes individuals who identify as LGBTQ+.(go back)

9 Nasdaq’s Board Diversity Rule may have had an impact here as well, as Nasdaq tends to have companies with smaller average market capitalization than the NYSE. Having said that, Nasdaq permits the smallest companies some flexibility in satisfying the threshold with two female directors(go back)

10 Lindsay Beltzer and Paul Washington, Crisis Management in the Era of “No Normal,”The Conference Board, September 2021.(go back)

11 If a board has four committees with five members each, it will have 20 slots to fill. That requires at least 10 independent directors if each serves on two committees. Given that committee chairs often serve on only one committee, that suggests a board with 12 independent directors.(go back)

Tendances mondiales et régionales 2022 en matière de gouvernance d’entreprise


Tendances mondiales prévues pour 2022

1. Des investisseurs affirmés prêts à voter pour le changement
2. Des normes plus élevées en matière de divulgation et d’action en matière de climat
3. L’amélioration de l’efficacité du conseil devient la norme
4. Un accent accru sur l’équité, la diversité et les initiatives de culture inclusive au niveau du conseil d’administration et de l’entreprise

Au cours des dernières années, certains observateurs de la gouvernance et membres du conseil d’administration ont prédit (ou espéré) que l’attention des actionnaires et des autres parties prenantes sur ces sujets diminuerait. Mais les experts que nous avons interrogés n’auraient pas pu être plus clairs : ces sujets sont plus importants que jamais, et les investisseurs et autres s’apprêtent à être plus exigeants qu’ils ne l’ont été ces dernières années.

Des investisseurs plus affirmés et exigeants qui se sentent habilités à exiger des actions et des informations sur un nombre croissant de sujets et, faute de répondre à ces exigences, plus susceptibles que jamais de voter contre les sociétés et les administrateurs individuels lors des assemblées annuelles des actionnaires.

Des normes plus élevées pour l’attention des entreprises au climat , car la matérialité du changement climatique pour les entreprises individuelles et la société dans son ensemble est incontestable. Comme Larry Fink l’a écrit dans la lettre de 2022 de Blackrock aux PDG, « la plupart des parties prenantes… s’attendent désormais à ce que les entreprises jouent un rôle dans la décarbonation de l’économie mondiale ». 1

Les pratiques améliorées d’efficacité du conseil deviennent la norme à mesure que les investisseurs et les autres parties prenantes réalisent que de bonnes pratiques de composition, de renouvellement et d’évaluation entraînent une amélioration des performances de l’entreprise et une diminution de l’exposition aux risques.

Urgence concernant les initiatives d’équité et de diversité à la fois dans l’entreprise et dans la salle de réunion, alors que les preuves s’accumulent que les organisations diversifiées surpassent les autres et que les parties prenantes exigent des progrès sans délai.

Nous pensons que « plus » prendra deux formes en 2022 : non seulement il y aura plus d’activité dans chacun de ces domaines (les conseils d’administration agissent, de nouvelles réglementations entrent en jeu, etc.), mais il y aura également plus d’attention portée à tous de ces domaines par les actionnaires et les parties prenantes. Le niveau de contrôle et de surveillance publique du conseil d’administration et des administrateurs à partir de 2022 augmentera au-delà de tout ce que les administrateurs ont connu auparavant.

Dans cet esprit, nous allons maintenant partager certaines des tendances les plus urgentes dans chaque région et comment nous en sommes arrivés là où nous en sommes aujourd’hui.

États-Unis et Canada États-Unis et Canada

Les attentes concernant la surveillance environnementale, les rapports et la performance continueront d’augmenter.

Au cours des dernières années, les investisseurs se sont de plus en plus concentrés sur la surveillance, les rapports et les performances environnementales des sociétés en portefeuille. Les directives de vote par procuration pour ces investisseurs, dont plusieurs des plus grands gestionnaires d’actifs au monde, deviennent beaucoup plus strictes. Par exemple, les directives de vote par procuration 2022 récemment publiées par Vanguard indiquent qu’il envisagera de voter contre les administrateurs pour les «défaillances importantes de la surveillance des risques», y compris la surveillance des risques climatiques. 2La lettre annuelle du PDG de State Street Global Advisors, publiée le 12 janvier 2022, déclare que les entreprises des principaux indices aux États-Unis et sur plusieurs autres marchés devraient aligner leurs divulgations liées au climat sur le TCFD, et que SSGA prendra des mesures de vote contre administrateurs s’ils ne répondent pas aux attentes en matière de divulgation ; les « émetteurs les plus importants » de son portefeuille recevront un engagement et des demandes encore plus ciblés. 3 Les attentes des investisseurs continuent d’augmenter et les entreprises qui n’augmentent pas leurs propres efforts en matière de développement durable seront examinées plus rigoureusement.

Divers conseils des normes de durabilité ont fusionné pour créer l’International Sustainability Standards Board (ISSB), régi par les IFRS. Cette évolution vers un ensemble cohérent de normes fondées sur le marché s’accompagnera probablement de divulgations légalement requises. La réglementation proposée par la Securities and Exchange Commission des États-Unis est également attendue prochainement, bien qu’il faudra des mois (voire des années) pour que les règles soient finalisées et appliquées. Le 16 décembre, le premier ministre canadien Justin Trudeau a envoyé des lettres de mandat à ses ministres, suggérant une « approche pangouvernementale du changement climatique », selon un représentant du Réseau action climat Canada. 4La lettre de mandat au ministre de l’Environnement et du Changement climatique et au ministre des Finances exigeait des divulgations financières obligatoires liées au climat, 5 mais il y avait de nombreuses autres demandes spécifiques au climat adressées à d’autres ministères, notamment les Ressources naturelles, le Développement international et la Sécurité publique.

Alors que la divulgation obligatoire établira des normes sur ce que les entreprises doivent divulguer concernant les efforts de développement durable, les organisations doivent s’attendre à ce qu’en 2022, de nombreuses parties prenantes importantes, y compris les grands actionnaires, demandent des éclaircissements supplémentaires au-delà de ce que la loi exige. En plus d’améliorer les informations sur les priorités, les promesses et les performances environnementales, les entreprises peuvent mieux répondre à ces attentes en constante évolution en attribuant judicieusement des responsabilités de surveillance au conseil d’administration et en augmentant la communication et l’engagement des actionnaires sur les sujets de développement durable.

Les actionnaires seront plus affirmés et les entreprises avisées amélioreront leurs programmes d’engagement actionnarial.

Chaque saison de proxy présente des investisseurs qui poussent une entreprise à changer de cap. Et 2021 n’a pas fait exception; La course aux procurations réussie du moteur n ° 1 chez ExxonMobil a probablement été l’histoire de gouvernance d’entreprise la plus discutée de l’année. Comme nous l’avons déjà écrit, cette course aux procurations était à la fois une histoire sur la composition, la gouvernance et la durabilité du conseil d’administration, ainsi qu’une leçon sur la valeur des pratiques efficaces d’engagement des actionnaires. La perception par les plus grands investisseurs d’Exxon du fait que les dirigeants de l’entreprise ne les écoutent pas au sujet de la composition du conseil d’administration et d’une stratégie pour un avenir sans carbone était essentielle à la capacité du moteur n ° 1 à éliminer Goliath et à placer trois administrateurs au conseil d’administration de l’entreprise.

Ne vous y trompez pas : l’assertivité actionnariale ne se limitera pas au « E » de l’ESG. En 2021, il y a eu plus de votes pour les propositions d’actionnaires et contre les administrateurs que jamais auparavant. Nos entretiens révèlent que cette tendance devrait se poursuivre en 2022, avec davantage de propositions d’actionnaires recevant un soutien important (30 % ou plus) ou un soutien majoritaire. Alors que les propositions environnementales continueront d’attirer l’attention et le soutien des actionnaires, les propositions sur d’autres sujets importants, notamment la diversité, l’équité et l’inclusion, l’engagement politique des entreprises et les droits des actionnaires, bénéficieront également d’un soutien important.

Les projecteurs sont braqués sur DE&I, la culture et la gestion du capital humain.

La demande de conseils d’administration, de suites C et de main-d’œuvre diversifiés n’a jamais été aussi forte. Il est largement admis que la diversité au sein de ces groupes reflète mieux – et sert mieux – une société mondiale diversifiée et améliore en conséquence le leadership, la gouvernance et, en fin de compte, les performances financières et la solidité de la réputation.

La demande de diversité des conseils d’administration se reflète de plus en plus dans les mandats, tels que les exigences de la Californie en matière de diversité de genre et de race / ethnique dans les conseils d’administration, et le changement de règle du Nasdaq exigeant la divulgation de la diversité des conseils d’administration et les mandats de conformité ou d’explication pour des statistiques minimales sur la diversité des conseils d’administration. En plus d’autres États et organismes de réglementation ajoutant leurs propres exigences en matière de fonds propres, les investisseurs deviennent également plus exigeants. Par exemple, les politiques de vote par procuration de BlackRock aux États-Unis et au Canada pour 2022 notent toutes deux : « nous pensons que les conseils d’administration devraient aspirer à une diversité de 30 % des membres et encourager les entreprises à avoir au moins deux administrateurs dans leur conseil d’administration qui s’identifient comme des femmes et au moins un qui s’identifie comme un membre d’un groupe sous-représenté. 6

La pandémie en cours a également mis en lumière les relations des entreprises avec leurs employés. Dans sa lettre annuelle aux PDG, Larry Fink de BlackRock note à quel point ces relations ont changé au cours de la dernière année, les travailleurs étant plus exigeants que jamais. Il écrit : « Les travailleurs qui exigent plus de leurs employeurs sont une caractéristique essentielle d’un capitalisme efficace. Cela stimule la prospérité et crée un paysage plus compétitif pour les talents, poussant les entreprises à créer de meilleurs environnements plus innovants pour leurs employés, des actions qui les aideront à réaliser de plus grands profits pour leurs actionnaires. 7 Nos entretiens suggèrent que l’intérêt pour un large éventail de sujets concernant les employés, notamment la culture d’entreprise, le retour au travail, la santé mentale, la garde d’enfants et l’inégalité des revenus, gagnera en importance en 2022 et au-delà.

L’accent sera davantage mis sur l’efficacité du conseil, y compris la composition, l’évaluation et les rafraîchissements.

Les parties prenantes continueront d’attendre la bonne composition du conseil d’administration pour le présent et l’avenir de l’entreprise ; cela comprend un conseil collectivement diversifié et efficace. Les conseils seront sous pression en 2022 pour démontrer des engagements continus envers l’auto-évaluation et la planification ciblée des rafraîchissements. ISS déclare que le rafraîchissement du conseil est mieux réalisé par un programme continu d’évaluations individuelles des administrateurs. Certains des plus grands investisseurs et conseillers en vote réclament directement de solides programmes d’évaluation des conseils d’administration. Par exemple, les directives de vote d’ISS pour les États-Unis en 2022 notent : « Le rafraîchissement du conseil est mieux mis en œuvre par le biais d’un programme continu d’évaluations individuelles des administrateurs, menées chaque année, pour s’assurer que les besoins changeants du conseil sont satisfaits et pour apporter de nouvelles perspectives, compétences et diversité au fur et à mesure. nécessaire.


Auteurs

Rich Fields dirige la pratique de l’efficacité du conseil d’administration de Russell Reynolds Associates. Il est basé à Boston.
Rusty O’Kelley III codirige le conseil d’administration de Russell Reynolds Associates et CEO Advisory Partners dans les Amériques. Il est basé à Stamford.
Laura Sanderson co-dirige le conseil d’administration de Russell Reynolds Associates et CEO Advisory Partners en Europe. Elle est basée à Londres.
Helen Metcalfe est membre du conseil d’administration de Russell Reynolds Associates et CEO Advisory Partners. Elle est basée à Londres.
Jacques Sarfatti est membre du conseil d’administration de Russell Reynolds Associates et CEO Advisory Partners. Il est basé à São Paulo.
Alvin Chiang est membre du conseil d’administration de Russell Reynolds Associates et CEO Advisory Partners. Il est basé à Singapour.
Jordan Frantz est membre du conseil d’administration de Russell Reynolds Associates et CEO Advisory Partners. Il est basé à Boston.
Melissa Martin est membre du conseil d’administration de Russell Reynolds Associates et CEO Advisory Partners. Elle est basée à Washington, DC.
Jennifer Thevervelil est membre du conseil d’administration de Russell Reynolds Associates et CEO Advisory Partners. Elle est basée à New York.
Susanne Suhonen est membre du conseil d’administration de Russell Reynolds Associates et CEO Advisory Partners. Elle est basée à Londres.

Les références

1. https://www.blackrock.com/corporate/investorrelations/larry-fink-ceo-letter
2. https://about.vanguard.com/investment-stewardship/portfolio-company-resources/US_Proxy_Voting.pdf
3. https://www.ssga.com/us/en/institutional/ic/insights/ceo-letter-2022-proxy-voting-agenda
4. https://www.thestar.com/news/canada/2021/12 /22/full-court-press-onclimate-in-mandate-letters-but-environmentalists-will-wait-and-see.html
5. Lettre de mandat du ministre de l’Environnement et du Changement climatique, 16 décembre 2021
6. https:// www.blackrock.com/corporate/literature/factsheet/blk-responsible-investment-guidelines-us.pdf ,https://www.blackrock.com/corporate/literature/fact-sheet/blk-responsible-investment-guidelines-canada.pdf
7. https://www.blackrock.com/corporate/investorrelations/larry-fink-ceo -lettre

Top 10 des billets publiés sur Harvard Law School Forum au 29 juillet 2021


Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 29 juillet 2021.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

Harvard Law -Tesla's Governance Record & ESG | Blog | Truvalue Labs

  1. EESG Activism After ExxonMobil
  2. Corporate Governance in the Face of an Activist Investor
  3. Commenters Weigh in on SEC Climate Disclosures Request for Public Input
  4. SEC Increasingly Turns Focus Toward Strength of Cyber Risk Disclosures
  5. Connecting the Dots: Breaking the ESG Code
  6. Buybacks: Look Before You Leap
  7. Stewardship Excellence: ESG Engagement In 2021
  8. Voluntary Environmental and Social Disclosures
  9. Spotlight on Boards and Board Oversight of Business Strategy and Risk Management in a Post-Pandemic World
  10. Does Socially Responsible Investing Change Firm Behavior?

Ce que les entreprises doivent savoir sur les attaques de ransomware modernes et comment y répondre


Voici un sujet qui interpelle sérieusement les conseils d’administration et la responsabilité fiduciaire des administrateurs, notamment avec l’accroissement des activités liées à la cybercriminalité.

L’article a été publié par Antonia M. Apps et Adam Fee , associés de Milbank et Matthew Laroche, conseiller juridique spécial chez Milbank sur le Forum du HLS on Corporate Governance.

Les auteurs examinent les principales caractéristiques des ransomwares modernes que les entreprises devraient prendre en compte, notamment la façon dont les acteurs des ransomwares ciblent désormais des entreprises spécifiques, menaçant de publier les données les plus sensibles de leurs victimes en ligne, et collaborer avec d’autres cybercriminels pour accroître la sophistication des attaques.

Après avoir exploré les ransomwares modernes, l’article met l’accent sur des directives aux entreprises qui réagissent immédiatement après une attaque afin que celles-ci soient mieux placées pour contenir l’incident, reprendre leurs activités commerciales normales et évaluer de manière appropriée les risques juridiques et réglementaires.

Je vous invite à lire la version française de la publication effectuée par Google, que j’ai corrigée. Ce travail de correction est certainement encore perfectible, mais le résultat est très satisfaisant.

Bonne lecture !

What Companies Need to Know About Modern Ransomware Attacks and How to Respond

Cybercriminalité : les coûts des dégâts sous-estimés

 

Les ransomwares sont une menace de cybersécurité croissante et évolutive à laquelle sont confrontées les organisations du monde entier. En 2020, les attaques de ransomwares ont été multipliées par sept à la fin de l’année, avec plus de 17 000 appareils détectant les ransomwares chaque jour. [1] En tant que défi supplémentaire, les ransomwares sont plus sophistiqués que jamais avec des variantes modernes conçues pour infliger d’immenses dégâts et les auteurs exigeant des paiements plus élevés. Au cours des derniers mois seulement, les ransomwares ont provoqué des perturbations catastrophiques dans les activités commerciales de, entre autres, Colonial Pipeline, le géant de la transformation alimentaire JBS USA Holdings Inc. et le système national de santé irlandais. [2]

Les attaques réussies coûtent des millions de dollars aux entreprises, y compris les perturbations de l’activité, le coût du personnel, le coût des appareils, le coût du réseau, les opportunités perdues, les atteintes à la réputation et le paiement potentiel d’une rançon. [3] Les cybercriminels sont exigeants et gagnent de plus en plus d’argent, le paiement moyen des ransomwares par événement passant d’environ 115 000 $ en 2018 à plus de 300 000 $ en 2020 ; et la rançon la plus élevée payée a plus que doublé, passant de 5 millions de dollars entre 2015 et 2019 à 11 millions de dollars en 2021. [4] Les gouvernements, les forces de l’ordre et les organismes de réglementation en ont pris note, les entreprises étant confrontées à des pressions pour se préparer et répondre efficacement aux attaques de ransomware. [5]

Compte tenu de l’environnement actuel des menaces, il est essentiel que les entreprises qui cherchent à gérer leurs risques de cybersécurité comprennent comment les ransomwares ont évolué pour devenir l’une des menaces de cybersécurité les plus dommageables aujourd’hui. Les entreprises sont confrontées à un examen juridique, réglementaire et politique accru à la suite de ces attaques, ce qui oblige les entreprises à mettre en place des structures de gestion et des contrôles appropriés, sous la surveillance du conseil d’administration, afin d’anticiper et de traiter les dommages importants qui peuvent être causés à la suite d’une attaque de ransomware.

Ci-dessous, nous examinons les principales caractéristiques des ransomwares modernes que les entreprises devraient prendre en compte, notamment la façon dont les acteurs des ransomwares ciblent désormais des entreprises spécifiques, menaçant de publier les données les plus sensibles de leurs victimes en ligne, et collaborer avec d’autres cybercriminels pour accroître la sophistication des attaques. Après avoir exploré les ransomwares modernes, nous recommandons ensuite des directives aux entreprises qui réagissent immédiatement après une attaque afin que les entreprises soient les mieux placées pour contenir l’incident, reprendre leurs activités commerciales normales et évaluer de manière appropriée les risques juridiques et réglementaires.

Principales caractéristiques des ransomwares modernes

Les attaques de ransomwares opéraient traditionnellement en accédant à un système, généralement via des e-mails de phishing, puis en verrouillant ou cryptant automatiquement les données en recherchant les fichiers avec certaines extensions. Dans le passé, la plupart des acteurs des ransomwares utilisaient une approche « spray and please » ou « shotgun » dans laquelle les ransomwares étaient distribués sans discernement à la recherche d’une organisation vulnérable. Bien que ces attaques opportunistes aient connu plusieurs succès notables, en 2018, les organisations s’étaient largement adaptées à la menace en mettant en œuvre des mesures de cybersécurité et des plans de reprise après sinistre et de continuité des activités en réponse aux attaques. En conséquence, les ransomwares traditionnels ont eu moins de succès et ont été, pendant un certain temps, largement éclipsés par d’autres cybermenaces. [6]

Au cours des 18 derniers mois, cependant, les ransomwares sont revenus au premier plan du paysage des cybermenaces. Les attaques de ransomware modernes sont plus sophistiquées et dommageables à plusieurs égards. Premièrement, les acteurs modernes des ransomwares utilisent fréquemment une approche ciblée, connue sous le nom de « chasse au gros gibier » ou « attaques opérées par l’homme », dans laquelle le ransomware est conçu pour des victimes spécifiques. Avant même qu’une attaque ne soit lancée, les acteurs des ransomwares procèdent à un profilage approfondi des victimes. [7] Les acteurs des ransomwares sont devenus plus compétents pour le faire pour plusieurs raisons, notamment la disponibilité de bases de données et d’autres outils qui aident à identifier les victimes en fonction de leur emplacement, de leur secteur d’activité, de leur taille et de leurs revenus ; et des plateformes de communication anonymes qui permettent des interactions sécurisées et une collaboration accrue des groupes de cybercriminels. Après avoir identifié une victime et obtenu l’accès à leur réseau, les acteurs du ransomware passent un temps considérable (généralement des semaines ou des mois) à prendre le contrôle de sections du réseau avant d’exécuter le ransomware. En passant plus de temps dans le système ciblé, les cybercriminels peuvent se déplacer latéralement pour accéder à davantage de parties du réseau, identifier les données les plus sensibles stockées par la victime et infiltrer les sauvegardes critiques, ce qui rend plus difficile la récupération des victimes après une attaque.[8]

Deuxièmement, en conjonction avec le large accès aux données sensibles fourni par les attaques ciblées, les acteurs des ransomwares utilisent désormais la « double extorsion » dans laquelle le ransomware non seulement crypte les données de la victime, mais les exfiltre également du réseau de la victime. Cela donne aux cybercriminels une autre possibilité d’extorsion : si une victime ne paie pas la rançon, l’attaquant peut publier ou menacer de publier les données de la victime en ligne, vendre les données sur le dark web ou utiliser les données volées pour exploiter les vulnérabilités des systèmes associés. Les victimes sont confrontées à une pression importante pour payer des rançons dans ces circonstances, ce qui a entraîné une augmentation substantielle du montant des demandes de rançon et des paiements. [9]

Troisièmement, les attaques de ransomwares modernes sont souvent menées par plusieurs groupes collaborant sur différents aspects de l’infiltration. Un exemple est le modèle d’abonnement dit de ransomware-as-a-service (« RaaS »), dans lequel les développeurs de ransomware recherchent des affiliés pour mener des attaques et en échange reçoivent une part du produit. [dix]Dans ces scénarios, un groupe possède le ransomware et un ou plusieurs autres groupes contrôlent l’infrastructure compromise, ce qui permet aux cybercriminels d’utiliser des experts à chaque étape de l’attaque. Avec un accès plus large à un réseau de victimes, les cybercriminels sont également devenus plus efficaces pour monétiser différentes parties des actifs compromis. Par exemple, les acteurs des ransomwares peuvent choisir de déployer des ransomwares sur une partie d’un réseau victime tout en vendant l’accès à une autre, créant ainsi plusieurs sources de revenus pour la même attaque. [11] Cette dynamique rend également plus difficile pour les organisations de victimes d’évaluer la durée et l’étendue de la violation et d’identifier tous les auteurs.

Enfin, les acteurs modernes des ransomwares utilisent désormais généralement la crypto-monnaie comme méthode préférée de paiement des rançons. Dans le passé, les cybercriminels étaient contraints d’utiliser d’autres instruments financiers pour recevoir des paiements, tels que des plateformes de paiement par téléphone mobile ou des portefeuilles électroniques, localisés dans une région géographique particulière et/ou réglementés par les gouvernements. La crypto-monnaie, en revanche, contourne les réglementations et est capable de transférer de l’argent dans le monde entier, permettant aux cybercriminels d’initier des transferts d’argent transfrontaliers à haut volume de manière anonyme avec peu de risques.

Les acteurs modernes des ransomwares ont déployé certaines ou toutes les méthodes ci-dessus, obtenant plusieurs succès récents de grande envergure. Les exemples notables incluent :

DarkSide : Darkside est l’une des variantes de ransomware modernes les plus notoires et elle a fait des ravages dans le monde entier, infiltrant des organisations de divers secteurs dans plus de 15 pays. Introduit à l’origine en 2020 par un groupe de cyberhackers connu sous le nom de Carbon Spider, Darkside fonctionne comme un RaaS et utilise diverses méthodes pour obtenir un accès initial à son système cible, notamment via le phishing, l’exploitation du protocole RDP (« RDP ») et d’autres exploits . [12] Une fois que Darkside a infecté le réseau victime, il se déplace vers le contrôleur de domaine (un serveur qui vérifie les informations d’identification de l’utilisateur sur un réseau informatique), où il vole les informations d’identification et se déplace latéralement pour identifier d’autres actifs précieux à voler. Avant de lancer la charge utile du ransomware, Darkside exfiltre les fichiers critiques, en utilisant des sites de fuite basés sur TOR pour héberger les données volées. [13]

Le déploiement de Darkside le plus notoire a été l’attaque de mai 2021 contre Colonial Pipeline, une entreprise responsable de près de la moitié de l’approvisionnement en carburant de la côte est des États-Unis. [14] Darkside a utilisé une double extorsion en verrouillant les systèmes informatiques de Colonial Pipeline et en volant plus de 100 gigaoctets de données d’entreprise. [15] Cette attaque a provoqué une perturbation importante de la distribution de carburant aux États-Unis, et Colonial Pipeline a payé une rançon de 4,4 millions de dollars en bitcoins pour retrouver l’accès à ses systèmes. Le Federal Bureau of Investigation a ensuite récupéré une partie de la rançon en surveillant un registre bitcoin visible au public alors que les pirates transféraient la rançon bitcoin vers d’autres registres numériques, qui s’apparentent à des portefeuilles numériques personnels. Lorsqu’une partie importante de la rançon, environ 64 bitcoins, a été transférée à une adresse numérique pour laquelle le FBI avait obtenu une « clé privée » ( c’est -à- dire le mot de passe pour accéder à l’adresse), le FBI a obtenu un mandat de perquisition et a saisi le bitcoin . [16] D’autres victimes récentes de Darkside couvrent plusieurs secteurs, notamment les services financiers, le droit, la fabrication, les services professionnels, la vente au détail et la technologie. [17]

Nefilim : Nefilim a été identifié pour la première fois en mars 2020 et a été l’une des variantes les plus réussies pour violer les réseaux de victimes. Nefilim obtient généralement un accès initial à un réseau victime en exploitant des informations d’identification faibles sur le RDP exposé ou d’autres services connexes. Une fois à l’intérieur d’un réseau cible, les acteurs Nefilim téléchargent des outils administratifs supplémentaires pour faciliter les déplacements latéraux dans le réseau. Nefilim exfiltre ensuite les données, les publie sur des sites Web protégés par TOR et lance la charge utile du ransomware pour crypter le réseau de la victime. Au cours de la dernière année, Nefilim a publié en ligne environ deux téraoctets de données volées. [18]

Nefilim s’est distingué des autres familles de ransomwares en ciblant des entreprises dont le chiffre d’affaires annuel se chiffre en milliards de dollars. L’attaque la plus médiatisée de Nefilim a été dirigée contre l’organisation maritime australienne, Toll Group, en mai 2020. Toll Group aurait refusé de payer les demandes de rançon de Nefilim et, en conséquence, Nefilim a divulgué des données sensibles de Toll Group et a annoncé comment Toll Group pourrait être infiltré dans le futur. [19] Nefilim a également été identifié comme l’auteur d’un certain nombre d’autres attaques, notamment contre des victimes aux États-Unis, en Amérique du Sud, en Europe et en Asie.

REvil : REvil (également connu sous le nom de Sodinokibi) est apparu en 2019 et a commencé à cibler diverses industries aux États-Unis, en Australie, au Canada, en Finlande et à Hong Kong. Les variantes récentes de REvil accèdent généralement aux réseaux des victimes via des e-mails de spam malveillants, des vulnérabilités RDP et des sites Web compromis. Comme Darkside et Nefilim, après avoir eu accès au réseau des victimes, REvil utilise la double extorsion, dispose d’un site de fuite dédié à la publication de données sensibles et aurait tenté de mettre aux enchères des données volées en ligne. [20]

REvil a été identifié comme l’auteur de plusieurs attaques de ransomware très médiatisées, notamment (i) l’attaque de juin 2021 contre Grupo Fluery, une société brésilienne de diagnostic médical qui effectue environ 75 millions d’examens cliniques chaque année ; (ii) l’attaque de juin 2021 contre l’entreprise de transformation alimentaire JBS, qui a fermé des usines qui traitent environ un cinquième de l’approvisionnement en viande des États-Unis ; et (iii) l’attaque de mai 2020 contre le cabinet d’avocats Grubman Shire Meiselas & Sacks, qui aurait entraîné le vol de près d’un téraoctet de données client sensibles. [21] JBS a finalement payé à REvil 11 millions de dollars en crypto-monnaie pour protéger JBS contre d’autres interruptions d’activité, ce qui est le plus grand paiement de ransomware signalé publiquement à ce jour. [22]

Répondre à une attaque de ransomware moderne

À la lumière du récent succès des attaques de ransomwares modernes, nous nous attendons à ce que les ransomwares continuent de tourmenter les industries du monde entier dans les années à venir. Lorsqu’une attaque se produit, l’organisation victime doit agir de manière décisive pour contenir l’incident, et les premières 48 heures suivant l’attaque sont les plus critiques. Pendant ce temps, les organisations doivent agir rapidement pour évaluer l’attaque, isoler les systèmes affectés, identifier si les données sont récupérables via des fichiers de sauvegarde ou d’autres méthodes, et évaluer les risques juridiques et réglementaires, qui sont nombreux. Une organisation qui traite efficacement chacun de ces problèmes sera dans la position la plus forte possible pour reprendre ses activités normales et déterminer si elle doit ou non payer la rançon. Compte tenu de la sophistication des attaques de ransomware modernes,

Mobiliser l’équipe d’intervention en cas de violation: Les organisations doivent former une équipe pour coordonner la réponse à la violation. Idéalement, cette équipe avait déjà été identifiée et préparée bien avant que la violation ne se produise, et comprend la haute direction, la criminalistique, la sécurité de l’information, la technologie de l’information et les composants juridiques. À la lumière de la complexité des attaques de ransomware modernes, les organisations devraient envisager de faire appel à des enquêteurs judiciaires indépendants possédant une expertise en ransomware. Les organisations devraient également envisager sérieusement de retenir les services d’un avocat externe pour les guider dans la réponse aux incidents en vertu du secret professionnel de l’avocat, y compris les questions juridiques et réglementaires discutées ci-dessous. De plus, si l’organisation décide de faire appel à des enquêteurs médico-légaux indépendants, ces personnes devraient être retenues par un avocat externe pour préserver le privilège juridique de leur travail,

Évaluer les dommages: Les organisations doivent agir le plus rapidement possible pour évaluer l’ampleur de l’attaque. Cela inclut l’identification du ou des systèmes informatiques concernés, l’origine de l’attaque, la variante du ransomware ou tout autre logiciel malveillant utilisé pour infiltrer le système et toute connexion externe actuelle au système. Cette étape est plus compliquée lors de la réponse à une attaque de ransomware moderne car, comme décrit ci-dessus, l’attaque peut impliquer plusieurs cybercriminels qui ont passé des semaines ou des mois à se déplacer sur le réseau de la victime. Les organisations de victimes ne doivent pas supposer que l’identification de logiciels malveillants sur une section de leur système constitue l’intégralité de la violation. L’équipe d’intervention doit plutôt déterminer si ce logiciel malveillant a été utilisé dans le cadre d’une attaque de ransomware ciblée plus large. Si c’était,

Conserver les fichiers journaux : les fichiers journaux sont essentiels pour évaluer l’attaque par ransomware, et les organisations doivent prendre des mesures immédiates pour les préserver. Cela inclut l’augmentation de la taille par défaut des fichiers journaux sur les serveurs et la désactivation des tâches de maintenance automatisées telles que la suppression des fichiers temporaires et la rotation des journaux pour empêcher l’écrasement des journaux. Si la journalisation n’est pas activée sur un système affecté, l’organisation doit activer la journalisation immédiatement, ce qui peut également fournir des informations utiles à la suite de la violation.

Isoler et imager les systèmes affectés : Une fois les systèmes affectés identifiés, ils doivent être isolés. Ce processus comprend non seulement la suppression de ces systèmes du réseau lui-même, mais également la sécurisation des zones physiques potentiellement liées à la violation. Une fois que ces systèmes sont isolés, ils doivent également faire l’objet d’une image médico-légale, ce qui aidera à enquêter sur les origines et les causes de la violation. De plus, si l’organisation paie l’acteur du ransomware pour une clé de déchiffrement, il est possible que la clé contienne des bogues qui peuvent endommager les données pendant le processus de déchiffrement. Si cela se produit, l’image médico-légale peut être utilisée pour tenter de répéter le décryptage sans endommager les données d’origine.

Fichiers de sauvegarde sécurisés : la sécurisation des fichiers de sauvegarde le plus rapidement possible joue un rôle crucial dans la reprise rapide des opérations commerciales. Idéalement, au moins certains fichiers de sauvegarde sont stockés sur un réseau à vide que l’attaque n’a pas atteint et n’a pas pu atteindre. Dans la mesure où les fichiers de sauvegarde sont connectés au réseau infecté, les entreprises doivent déconnecter le stockage de sauvegarde du réseau et/ou verrouiller l’accès aux systèmes de sauvegarde jusqu’à ce que l’infection soit résolue. Ici encore, les organisations doivent agir avec prudence, car les attaques de ransomwares modernes ciblent spécifiquement les fichiers de sauvegarde pour empêcher délibérément une récupération rapide. De plus, étant donné que les attaques de ransomware modernes ont des délais plus longs, les entreprises doivent être prêtes à identifier et à récupérer les fichiers de sauvegarde qui sont considérablement antérieurs à la découverte de l’intrusion.

Évaluer les problèmes juridiques et réglementaires: Les organisations sont confrontées à une variété de considérations juridiques et réglementaires aux niveaux étatique, fédéral et, potentiellement, international suite à une attaque de ransomware, et bon nombre de ces problèmes doivent être résolus immédiatement. Selon l’organisation et le type de données compromises, l’attaque de ransomware peut déclencher un patchwork complexe d’exigences de notification légale, dont certaines ont des délais de notification courts. Par exemple, les États ont promulgué une législation exigeant la notification des atteintes à la sécurité impliquant des informations personnelles, certaines dans les 24 heures suivant la découverte du vol. De plus, la SEC a publié des directives concernant les divulgations à la suite d’une violation de la cybersécurité. Et le Règlement général sur la protection des données du Royaume-Uni impose aux organisations de signaler certaines violations de données personnelles dans les 72 heures, dans la mesure du possible. [23]

Les organisations doivent également se préparer aux enquêtes gouvernementales et aux litiges. Les secteurs réglementés tels que les soins de santé, la finance et les infrastructures critiques font régulièrement l’objet d’un examen minutieux après des cyberattaques de la part des autorités de réglementation et des procureurs généraux des États. Lorsque des données de consommateurs sont impliquées, les droits d’action privés en vertu des lois de l’État sur la protection des consommateurs peuvent conduire à des recours collectifs. Au-delà de cela, les organisations doivent également déterminer si elles doivent ou non payer la rançon, ce qui soulève une foule d’autres problèmes pratiques et juridiques. Le FBI conseille généralement aux entreprises de ne pas payer de rançon. L’Office of Foreign Assets Control (« OFAC ») du département du Trésor a déclaré que certains paiements de ransomware peuvent également constituer des violations des lois sur les sanctions économiques. Au-delà de l’OFAC, le paiement de la rançon peut impliquer les lois anti-blanchiment et le Patriot Act. En outre,[24] à New York, les législateurs ont également proposé une législation qui interdirait les paiements de ransomware par toute entité exerçant des activités à New York ou dans un établissement de santé réglementé par le ministère de la Santé de New York. [25] Comme nous l’avons indiqué, la participation précoce d’un conseiller juridique est importante pour évaluer toutes ces questions tout en préservant le privilège.


Compte tenu de la prolifération d’acteurs de ransomware sophistiqués à la recherche de primes de plus en plus importantes pour les données sensibles de l’entreprise, les entreprises doivent à la fois anticiper et être prêtes à répondre à l’attaque inévitable. En prenant les mesures décrites ici, les entreprises se mettront dans la meilleure position pour contenir la violation une fois qu’elle se produira, empêcher la perte de données supplémentaires, lancer le processus de récupération, limiter l’exposition légale et réglementaire et déterminer si elles doivent payer la rançon.

Notes de fin

Voir Fortinet, Global Threat Landscape Report : A Semiannual Report by FortiGuard Labs (février 2021), disponible sur https://www.fortinet.com/content/dam/maindam/public/02_marketing/08_Report/Global-TLR-2021 -2H.pdf .(retourner)

2 Collin Eaton et Dustin Volz, PDG de Colonial Pipeline, expliquent pourquoi il a payé une rançon de 4,4 millions de dollars aux pirates , Wall St. J. (19 mai 2021) ; Catherine Stupp, Le système de santé irlandais lutte contre les perturbations technologiques après l’attaque par ransomware de mai , Wall St. J. (18 juin 2021).(retourner)

Voir Dep’t of Health & Human Serv., Ransomware Trends 2021 à 11 (3 juin 2021), disponible sur https://www.hhs.gov/sites/default/files/ransomware-trends-2021.pdf.(retourner)

4 Palo Alto Networks, rapport sur les menaces de ransomware à 4 (2021) ; voir aussi Jacob Bunge, JBS Paid $11 Million to Resolve Ransomware Attack , Wall St. J. (9 juin 2021).(retourner)

Voir, par exemple , Communiqué de presse, Sénateur américain Jackie Rosen, Rosen Leads Bipartisan Group of Senators to Reintroduce Bipartisan Electric Grid Security Legislation (24 juin 2021) ; Communiqué de presse, Féd. Bureau of Investigation, Déclaration du FBI sur les récentes attaques de ransomware (4 juin 2021) ; Communiqué de presse, Dep’t of Homeland Security, DHS annonce de nouvelles exigences en matière de cybersécurité pour les propriétaires et exploitants de pipelines critiques (27 mai 2021).(retourner)

6 Magno Logan, Erika Mendoza, et al., The State of Ransomware: 2020’s Catch-22 (3 février 2021), disponible sur https://www.trendmicro.com/vinfo/us/security/news/cybercrime- and-digital-menaces/the-state-of-ransomware-2020-s-catch-22 .(retourner)

7 Mayra Fuentes, Feike Hacquebord et al., Modern Ransomware’s Double Extorsion Tactics and How to Protect Enterprises Against Them at 9 (2021), disponible sur https://documents.trendmicro.com/assets/white_papers/wp-modern-ransomwares -double-extorsion-tactiques.pdf .(retourner)

Id. Certains acteurs de ransomware incluent une troisième couche d’extorsion en ajoutant des attaques par déni de service (« DDoS ») contre les sites Web des victimes, qui peuvent submerger un réseau de trafic, provoquant une interruption supplémentaire des opérations. D’autres ont même ajouté une quatrième couche d’extorsion en contactant directement les clients d’une victime dans le but d’augmenter la pression sur la victime pour qu’elle paie. Voir Janus Agcaoili, Miguel Ang et al., Ransomware Double Extortion and Beyond : REvil, Clop et Conti (15 juin 2021), disponible sur https://www.trendmicro.com/vinfo/dk/security/news/ cybercriminalité-et-menaces-numériques/ransomware-double-extorsion-and-beyond-revil-clop-and-conti .(retourner)

Voir le rapport Palo Alto, supra note 4, p. 4.(retourner)

10 Voir Fuentes et al., supra note 7, à 6.(retourner)

11 Bob McArdle, The Life Cycle of a Compromised (Cloud) Server, Trend Micro (1er septembre 2020), disponible sur https://blog.trendmicro.com/the-lifecycle-of-a-compromised-cloud-server .(retourner)

12 Voir, par exemple , Cybersecurity Infrastructure & Sec. Agency (« CISA »), Darkside Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks (30 mai 2021), disponible sur https://us-cert.cisa.gov/ncas/alerts/aa21-131a . TOR est un logiciel gratuit qui permet des communications anonymes sur Internet.(retourner)

13 Id.(retourner)

14 Id.(retourner)

15 Jordan Robertson & William Turton, Colonial Hackers Stole Data Thursday Ahead of Shutdown , Bloomberg (8 mai 2021), disponible sur https://www.bloomberg.com/news/articles/2021-05-09/colonial-hackers- volé-données-jeudi-avant-l’arrêt-du-pipeline .(retourner)

16 Communiqué de presse, US Dep’t of Justice, Department of Justice saisit 2,3 millions de dollars en crypto-monnaie payés aux ransomwares Extortionists Darkside (7 juin 2021).(retourner)

17 Shining a Light on Darkside Ransomware Operations, Fireeye (11 mai 2021), disponible sur https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware -opérations.html .(retourner)

18 Voir Fuentes et al., supra note 7.(retourner)

19 Ry Crozier, Toll Group peut avoir perdu plus de 200 Go de données lors d’une attaque de ransomware , IT News (20 mai 2020).(retourner)

20 Phil Muncaster, REvil Ransomware Group Auctions Stolen Data , Info Security Group (3 juin 2020), disponible sur https://www.infosecurity-magazine.com/news/revil-ransomware-group-auctions .(retourner)

21 Lawrence Abrams, Healthcare Giant Grupo Fleury Hit By REvil Ransomware Attack , BleepingComputer (23 juin 2021), disponible sur https://www.bleepingcomputer.com/news/security/healthcare-giant-grupo-fleury-hit-by- attaque-revil-ransomware/ ; Communiqué de presse, Féd. Bureau of Investigation, Déclaration du FBI sur la cyberattaque JBS (2 juin 2021).(retourner)

22 Voir Bunge, supra note 4.(retourner)

23 Voir S. 645, 117e Cong. (2021), disponible sur https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/warnerrubiodraftbill.pdf(retourner)

24 Voir, par exemple , Doug Olenick, Should Paying Ransoms to Attackers Be Banned, Data Breach (24 mai 2021) ; Cynthia Brumfield, Four States Propose Laws to Ban Ransomware Payments , CSO (28 juin 2021), disponible sur https://www.csoonline.com/article/3622888/four-states-propose-laws-to-ban-ransomware- paiements.html .(retourner)

25 N.YS 6806, 2021-2022 Sess. (18 mai 2021), disponible sur https://www.nysenate.gov/legislation/bills/2021/s6806 .(retourner)

Top 10 des billets publiés sur Harvard Law School Forum au 24 juin 2021


Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 24 juin 2021.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

Top ten Images, Royalty-free Stock Top ten Photos & Pictures | Depositphotos

  1. Do UK and EU Companies Lead US Companies in ESG Measurements in Incentive Compensation Plans?
  2. 2021 Say on Pay Failures Partly Due to Covid-19 Related Pay Actions
  3. Introducing the “Technergy” ESG Reporting Strategy
  4. General Solicitation and General Advertising
  5. Competition Laws, Governance, and Firm Value
  6. How to Accelerate Board Effectiveness Through Insight and Ongoing Education
  7. The Biden Administration’s Executive Order on Climate-Related Financial Risks
  8. Benchmarking of Pay Components in CEO Compensation Design
  9. Vanguard’s Insights on Shareholder Proposals Concerning Diversity, Equity, and Inclusion
  10. Speech by Commissioner Roisman on Whether the SEC Can Make Sustainable ESG Rules

Top 10 des billets publiés sur Harvard Law School Forum au 10 juin 2021


Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 10 juin 2021.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

LYRICshowcases: Our Top Ten Favourite Country Songs of 2019 | Lyric Magazine

  1. Institutional Investor Survey 2021
  2. Do Firms With Specialized M&A Staff Make Better Acquisitions?
  3. Proposed EU Directive on ESG Reporting Would Impact US Companies
  4. ESG Scrutiny From the SEC’s Division of Examinations
  5. Pandemic Risk and the Interpretation of Exceptions in MAE Clauses
  6. SEC Approves Nasdaq’s Direct Listing Rule
  7. How Informative Is the Text of Securities Complaints?
  8. Private Sector Implications of Biden’s Executive Order on Climate-Related Financial Risk
  9. Cash-for-Information Whistleblower Programs: Effects on Whistleblowing and Consequences for Whistleblowers
  10. Principles for Board Governance of Cyber Risk

Gouvernance et création de valeur


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publie quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du huitième article du CAS qui porte sur la gouvernance et la création de valeur.

La publication de Maurice Gosselin*, professeur titulaire de l’École de comptabilité de la faculté des sciences de l’administration de l’Université Laval, nous présente le concept de la création de valeur, et comment celle-ci contribue à la bonne gouvernance des organisations.

Il fait notamment la distinction entre la création de valeur sociale et la création de valeur économique, en expliquant par ailleurs le rôle du CA pour chacune de ces facettes, tant à l’interne qu’à l’externe.

L’auteur fait le lien entre les notions de valeur économique des organisations et les valeurs sociales.  Comment doivent se comporter les administrateurs de sociétés afin de s’acquitter de leurs obligations fiduciaires ?

Voici un extrait de l’article.

La création de valeur économique représente comment l’organisation réussit à assurer sa pérennité en se donnant des ressources financières suffisantes pour réaliser ses objectifs. La création de la valeur économique passe par la surveillance de la direction par le conseil d’administration et par la gestion effectuée par la direction générale. La performance financière constitue la pierre angulaire de la création de valeur économique.

Sur le plan économique, la création de valeur à l’interne passe par des décisions stratégiques relevant du conseil d’administration et de la direction telles que :

  • Le positionnement stratégique;
  • L’innovation;
  • Le regroupement d’entreprises d’un secteur et la restructuration des activités dans cette chaîne de valeur;
  • Le développement de nouvelles entreprises;
  • L’internationalisation des activités.

La création de valeur sociale à l’interne passe par le bien-être des employés et leur responsabilisation. Le développement d’une culture organisationnelle qui place les ressources humaines au cœur de l’organisation est essentiel au succès dans ce domaine. Et ce, encore plus, dans un contexte où les ressources humaines compétentes sont de plus en plus rares. De plus, les préoccupations en matière de création d’emplois, de santé et sécurité au travail et de formation sont au cœur de la création de valeur sociale à l’interne. Les administrateurs désirent être informés des objectifs et de la performance de l’organisation à ce chapitre.

Le conseil d’administration se préoccupera également de la gestion des talents et de la relève, car les ressources humaines doivent évoluer pour répondre aux besoins de l’organisation. Elles sont rares et mobiles, et essentielles pour assurer la pérennité de l’organisation.

Le développement durable, et plus spécifiquement l’empreinte environnementale de l’organisation est aussi une dimension importante de la création de valeur sociale. Les parties prenantes sont de plus en plus préoccupées par cet aspect de la gestion d’une organisation.

Le conseil d’administration va vouloir évaluer la création de valeur sociale. La direction va donc être appelée à produire périodiquement un tableau de bord ou un rapport qui regroupera les éléments de création de valeur sociale comme :

  • La performance sociale;
  • La performance environnementale;
  • La création d’emplois;
  • La satisfaction de la clientèle et des autres acteurs dans la chaîne de valeur;
  • La santé et la sécurité au travail des employés;
  • La période sans accident de travail majeur.

Bonne lecture !


*Maurice Gosselin, Ph.D., FCPA auditeur, CA, ASC, professeur titulaire, École de comptabilité, FSA ULaval

La gestion des risques et le rôle du CA au Canada


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publie quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du septième article qui porte sur la gestion des risques d’entreprises (GRE) et l’importance d’identifier les risques émergents en ces temps de pandémie COVID-19. « Dans ce contexte, le conseil d’administration assume une responsabilité de supervision (oversight) de la gestion des risques organisationnels, et non pas d’exécution ».

La publication de Gilles Bernier*, professeur titulaire retraité de la faculté des sciences de l’administration de l’Université Laval, nous invite à prendre connaissance d’une récente enquête réalisée en ligne en 2018 par le Conference Board du Canada (en partenariat avec CPA Canada et l’Institut mondial de gestion des risques du secteur financier), auprès de 160 professionnels qui dirigent la gestion des risques au sein de leur organisation respective

L’auteure aborde plusieurs questions cruciales pour les administrateurs : que peuvent-ils et que doivent-ils faire afin de s’acquitter de leurs obligations fiduciaires ?

Voici un extrait de l’article.

– La GRE a beaucoup progressé au cours de la dernière décennie au Canada, sauf dans les plus petites organisations.

– Au Canada, les conseils d’administration semblent prendre de plus en plus au sérieux la gouvernance des risques d’entreprise. Ainsi, le sondage montre « que 69 % des répondants confirment que leur conseil d’administration a supervisé les politiques de gestion des risques de l’organisation ». De plus, près de 60 % des répondants qualifient la GRE de leur organisation de « centralisée », c’est-à-dire relevant de la direction générale ou de la direction financière.

– Un autre aspect que le sondage indique est le manque de soutien des équipes de direction, ce qui va souvent se refléter par un niveau de ressources — humaines, financières et technologiques — insuffisantes pour permettre à la fonction GRE d’atteindre une plus grande maturité. Une idée qui pourrait possiblement faire en sorte que les dirigeants adhèrent encore plus à la GRE serait de resserrer le lien entre celle-ci et leur rémunération.

– Il s’avère que là où la GRE est vraiment intégrée (par exemple, dans le secteur financier), elle est plus souvent considérée comme un outil stratégique clé et comme un facteur de réussite en affaires. Dès lors, la gouvernance des risques stratégiques est certes un aspect auquel les conseils d’administration canadiens devraient porter une attention encore plus marquée. En effet, il faut se rappeler qu’un plan stratégique n’est qu’un scénario qui comporte bien des incertitudes.

– Un autre constat fort intéressant réside dans le fait que le potentiel de la GRE « pour ce qui est de tirer parti du bon côté du risque et de créer de la valeur reste sous-développé » dans un grand nombre d’organisations.

– Enfin, les répondants se montrent davantage préoccupés par les priorités relatives aux risques immédiats (financiers, opérationnels, de non-conformité et d’atteinte à la réputation) et moins par les risques émergents.

Bonne lecture !


*Gilles Bernier, Ph.D., ASC, C.Dir., A.C.C., professeur retraité, FSA ULaval, et administrateur de sociétés

Les attaques de cybersécurité sont-elles une fatalité ?


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publie quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du sixième article qui porte sur les risques associés aux attaques de plus en plus fréquentes de nature informatique. Quels sont les devoirs et les responsabilités des administrateurs de sociétés eu égard à la cybersécurité ?

La publication de Lyne Bouchard*, professeure agrégée de la faculté des sciences de l’administration de l’Université Laval, nous rappelle les moyens de défense accessibles afin d’éviter les ravages causés par les attaques informatiques.

L’article présente un aperçu de l’univers des menaces en cybersécurité et montre comment plusieurs sociétés ont été victimes des cybercriminels. 

L’auteure aborde une question fondamentale pour les administrateurs : que peuvent-ils et que doivent-ils faire afin de s’acquitter de leurs obligations fiduciaires ?

Voici un extrait de l’article.

On finalise la préparation du rapport annuel de votre organisation. On vous demande de certifier, avec votre signature, que les résultats présentés dans le rapport sont fidèles à la réalité et n’ont pas été modifiés à la suite d’un événement de cybersécurité. Vous signez ?

POURQUOI EST-CE SI FACILE DE MENER DES CYBERATTAQUES ?

Ce qui est le plus désolant c’est que ce sont souvent les organisations elles-mêmes ou les utilisateurs eux-mêmes qui ont rendu possible, littéralement, les attaques :– Les vols de données chez Desjardins, Revenu Québec ou au Ministère de l’Éducation ont été rendus possibles par des gestionnaires qui ont traité à la légère les demandes d’accès à des informations de la part de leurs employés, demandes qui n’étaient pas justifiées, mais qui ont rendu possible de vol de données ;

– Chez Équifax, Capital One, Uber, et LifeLabs, c’est l’absence de mise à jour des correctifs de sécurité publiés par les fournisseurs de logiciels et matériel informatique ou le laxisme en sécurité informatique de la part des spécialistes, qui a rendu possible les vols de données ;

– Yahoo, Target, TransUnion, la Banque de Montréal et la CIBC n’avaient pas implanté des identifiants forts pour permettre à des gens de l’externe de se connecter à leurs systèmes ou des procédures sécuritaires pour modifier les mots de passe ;

– De nombreux autres exemples, tels que l’hôpital Michel Garron de Toronto, le gouvernement du Nunavuk, les villes de Woodstock et de Saskatoon, ont péché par l’absence de formation adéquate de leur personnel qui a cliqué sur un fichier attaché dans un courriel, n’a pas utilisé de bons mots de passe, s’est fié aux personnes qui les ont contactés par courriel ou par téléphone.

Heureusement, de telles situations peuvent être évitées. Les technologies sont au cœur des menaces, mais la solution se situe au niveau des individus.

Bonne lecture !

_____________________________

*Lyne Bouchard, IAS.A., professeure agrégée, FSA ULaval | Vice-rectrice aux ressources humaines de l’Université Laval | Directrice de l’Observatoire de gouvernance des technologies de l’information

Le développement durable au CA


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publiera quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du cinquième article qui porte essentiellement sur le développement durable ; comment le conseil d’administration doit intégrer ces valeurs dans son fonctionnement.

La publication de Olivier Boiral, Ph.D., professeur titulaire du département de management de la FSA de l’Université Laval nous rappelle les raisons de se préoccuper du développement durable pour une gouvernance exemplaire des conseils d’administration.

Voici un extrait de l’article.

Les enjeux de DD et la façon d’y répondre peuvent être très différents selon les organisations en raison notamment de la spécificité de leurs activités. Cependant, les études empiriques sur le sujet et les recherches menées depuis une quinzaine d’années dans le cadre de la Chaire de recherche du Canada sur l’internalisation du développement durable et la responsabilisation des organisations[1] permettent d’énoncer une douzaine de facteurs clés de succès qui sont trop rarement pris en compte par les conseils d’administration (CA). Ces facteurs clés de succès gravitent autour des quatre principaux rôles du CA (créer de la valeur et réduire les risques; supporter la stratégie et les bonnes pratiques; adopter des mécanismes de gouvernance efficaces; surveiller les résultats et leur divulgation).

Je vous invite à lire cet article sur le site du CAS.

Bonne lecture !

Le développement durable au CA? Quelques clés pour administrateurs et administratrices avisé(e)s

Collège des administrateurs de sociétés

Top 10 des billets publiés sur Harvard Law School Forum au 4 mars 2021


Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 4 mars 2021.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

 

Top 10 Global Consumer Trends 2020 | Research World

 

  1. The Capital Markets Tug-of-War Between US and China
  2. How Boards Can Prepare for Activism’s Next Wave
  3. An Introduction to Activist Stewardship
  4. Biden’s “Money Cop” to Shine a Light on ESG Disclosure
  5. Climate Risk and the Transition to a Low-Carbon Economy
  6. Gender Quotas and Support for Women in Board Elections
  7. 2021 Global and Regional Trends in Corporate Governance
  8. 2021 Compensation Committee
  9. Proxy Advisory Firms Release First Reports on Latest Best Practices
  10. Duty and Diversity

La diversité au sein des conseils d’administration


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publiera quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du troisième article qui porte essentiellement sur la diversité au sein des conseils d’administration

La publication de Hélène Lee-Gosselin, professeure associée de management de l’Université Laval, nous rappelle les raisons de se préoccuper de la diversité pour une gouvernance exemplaire des conseils d’administration.

« Depuis quelques décennies, le thème de la diversité gagne en popularité et les organisations qui ne s’en préoccupent pas encourent désormais des risques croissants d’image, de réputation et d’affaires. Un grand nombre d’agents et d’organisations en font la promotion au sein des conseils d’administration (CA), mais aussi à tous les niveaux et dans tous les secteurs de l’organisation ».

Voici un extrait de l’article.

Quelques constats et pistes de réflexion

Il est indéniable que la fixation d’une obligation, d’une cible et d’une échéance a pour effet d’accélérer le changement des pratiques de recrutement et de désignation des membres de CA pour que leur profil démographique reflète davantage celui de la population. Le Québec s’en est inspiré dans la formulation de la Loi sur la modernisation des sociétés d’État pour l’inclusion de femmes (2006, cible de 40 % en 2011), et plus récemment pour l’inclusion des jeunes (2016, cible d’une personne de moins de 35 ans en 2021).

Contrairement à ce que les détracteurs de ces lois craignaient, cette accélération de la représentation des femmes sur les CA des sociétés visées n’a pas engendré l’accès de femmes moins qualifiées ou compétentes que leurs collègues en Norvège ou en Italie. Au Québec, les témoignages recueillis par les formateurs et les formatrices du Collège des administrateurs de sociétés vont dans le même sens. Toutefois, ces lois ne semblent pas avoir donné accès à un bassin plus étendu de femmes compétentes. S’il est vrai que beaucoup de femmes ont accédé à des CA — plusieurs cumulent plusieurs CA. C’est donc un sous-groupe de femmes qui a profité de ces mesures (Storvik, A., Teigen, 2010, Bertrand et al 2019). Il importe de vérifier si les efforts investis par les CA dans le repérage et le recrutement de femmes sont adéquats ou s’ils correspondent à ce que Simon appelait « satisficing », c’est-à-dire que le temps et les efforts sont limités au minimum qui donne une solution suffisamment bonne pour le respect de la nouvelle norme. On est alors bien loin d’une logique d’équité.

On note aussi que les cibles de 30 % à 40 % selon les territoires, atteintes grâce aux lois, sont peu ou rarement dépassées. Pourtant, la logique d’équité aurait pu inciter les organisations visées à progresser vers la parité à un rythme qu’elles choisiraient, et ce souci aurait pu percoler à travers l’organisation. Or, l’impulsion donnée par la loi semble s’étioler au-delà de l’échéance imposée.

La terminologie a évolué : à l’origine de ces lois, la cible était 40 % de femmes, mais la communauté européenne et une majorité de pays ont opté pour 40 % de membres de chaque sexe. Cette reformulation n’est pas insignifiante ou banale : a) il peut s’agir d’une stratégie langagière pour être « plus inclusif » et rendre les hommes et les femmes éligibles pour le privilège conféré par la loi, contrant ainsi certaines oppositions ; b) elle peut aussi être interprétée comme un effort de symétrisation, une position de principe selon laquelle ce qui vaut pour les femmes vaut aussi pour les hommes, négligeant ainsi la réalité empirique de la très faible proportion de CA dominés par des femmes de même que la position de pouvoir social des CA dominés par les femmes ; c) un effort de neutralisation du sexisme hostile.

Finalement, l’effet d’entraînement des mesures coercitives dans le changement des mentalités et l’évolution des pratiques organisationnelles vers l’égalité ne s’est pas produit en Norvège, en France ou ailleurs en Europe au-delà des secteurs ciblés par ces lois. Une étude récente de Deloitte (2019) documente les efforts de près de 9000 entreprises dans 66 pays dans la promotion de la diversité ; les résultats, comparant les analyses semblables réalisées en 2016 et 2018, notent des progrès parfois notables, d’autres, lents, et même des régressions dans le nombre de femmes membres de CA et de ses comités ; le temps ne fait pas nécessairement son œuvre dans la direction souhaitée !

En conséquence, lorsqu’il est nécessaire de changer des pratiques, les lois contraignantes ne sont pas « magiques » ; elles signifient avec clarté le changement désiré, mais elles risquent d’atteindre essentiellement le résultat exigé, pas beaucoup plus. Changer des pratiques, c’est non seulement changer des habitudes, mais aussi des croyances, des schéma mentaux, des réflexes et même des définitions de « ce qui mérite d’être fait » et pourquoi. C’est donc un changement culturel profond qui est en cause.

Je vous invite à lire cet article sur le site du CAS.

Bonne lecture !

La diversité au sein des conseils d’administration

Collège des administrateurs de sociétés

Comment un conseil d’administration doit-il exercer ses responsabilités eu égard aux questions d’innovation ?


 

Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publiera quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du deuxième article qui porte essentiellement sur l’importance cruciale que le CA doit apporter à la culture de l’innovation.

La publication de Yan Cimon, professeur titulaire de management et Vice-recteur adjoint aux affaires externes, internationales et santé de l’Université Laval, nous sensibilise aux impératifs stratégiques de l’innovation et montre comment un conseil d’administration doit s’acquitter de ses devoirs fiduciaires à cet égard.

La gestion du processus d’innovation doit occuper une place privilégiée dans les préoccupations des CA, car c’est cette capacité de différenciation qui procure l’avantage compétitif ultime.

La presse d’affaires regorge d’articles portant sur des organisations – tous secteurs confondus – qui entreprennent, avec divers degrés de succès, des démarches orientées vers l’innovation.  Bien que les succès soient retentissants, célébrés et même étudiés dans les écoles de gestion, les échecs sont pour leur part souvent cuisants.

Devant une telle situation, quelle posture le conseil d’administration doit-il adopter face à l’innovation?  Cette question reste cruciale peu importe la nature des organisations et ce, tout simplement parce que l’innovation demeure l’une des clés de leur pérennité. Continuer la lecture de « Comment un conseil d’administration doit-il exercer ses responsabilités eu égard aux questions d’innovation ? »

Lettre aux PDG | Larry Fink


Larry Fink est fondateur, président et chef de la direction de BlackRock Inc.

Ce billet est basé sur la lettre annuelle de M. Fink aux chefs de la direction.

Cette lecture me semble « un must » pour les administrateurs. Dans sa lette l’auteur insiste sur la nécessité de s’adresser aux risques climatiques.

En janvier de l’année dernière, j’ai écrit que le risque climatique est un risque d’investissement. J’ai alors dit qu’au fur et à mesure que les marchés commenceraient à faire passer le risque climatique à la valeur des titres, cela déclencherait une réaffectation fondamentale du capital. Puis la pandémie s’est installe et, en mars, la sagesse conventionnelle était que la crise détournerait l’attention du climat. Mais, c’est exactement le contraire qui s’est produit, et la réaffectation du capital s’est accélérée encore plus rapidement que je ne l’avais prévu.

De janvier à novembre 2020, les investisseurs de fonds communs de placement et de FNB ont investi 288 milliards de dollars à l’échelle mondiale dans des actifs durables, soit une augmentation de 96 % par rapport à l’ensemble de 2019. Je crois que c’est le début d’une longue transition qui se déroulera à un rythme effarant et qui remodèlera les prix des actifs de tous types. Nous savons que le risque climatique est un risque d’investissement. Mais nous croyons aussi que la transition climatique représente une opportunité d’investissement historique.

 

Letter to CEOs (harvard.edu)

 

BlackRock CEO Larry Fink says climate change will soon reshape markets