Catégorie : Gestion des risques

Quelles sont les tendances en gouvernance qui se sont avérées au cours des 4 dernières années ?


Dans un premier temps, j’ai tenté de répondre à cette question en renvoyant le lecteur à deux publications que j’ai faites sur le sujet. C’est du genre check-list !

Puis, dans un deuxième temps, je vous invite à consulter les documents suivants qui me semblent très pertinents pour répondre à la question. Il s’agit en quelque sorte d’une revue de la littérature sur le sujet.

  1. La gouvernance relative aux sociétés en 2017 | Un « Survey » des entreprises du SV 150 et de la S&P 100
  2. Principales tendances en gouvernance à l’échelle internationale en 2017
  3. Séparation des fonctions de PDG et de président du conseil d’administration | Signe de saine gouvernance !
  4. Six mesures pour améliorer la gouvernance des organismes publics au Québec | Yvan Allaire
  5. Cadre de référence pour évaluer la gouvernance des sociétés | Questionnaire de 100 items
  6. La gouvernance française suit-elle la tendance mondiale ?
  7. Enquête mondiale sur les conseils d’administration et la gouvernance

 

J’espère que ces commentaires vous seront utiles, même si mon intervention est colorée par la situation canadienne et américaine !

Bonne lecture !

 

Résultats de recherche d'images pour « tendances en gouvernance »

 

Gouvernance : 12 tendances à surveiller

 

J’ai réalisé une entrevue avec le Journal des Affaires le 17 mars 2014. Une rédactrice au sein de l’Hebdo des AG, un média numérique qui se consacre au traitement des sujets touchant à la gouvernance des entreprises françaises, m’a contacté afin de connaître mon opinion sur quelles « prédictions » se sont effectivement avérées, et lesquelles restent encore à améliorer.

J’ai préparé quelques réflexions en référence aux douze tendances que j’avais identifiées le 17 mars 2014. J’ai donc revisité les tendances afin de vérifier comment la situation avait évolué en quatre ans. J’ai indiqué en rouge mon point de vue eu égard à ces tendances.

 « Si la gouvernance des entreprises a fait beaucoup de chemin depuis quelques années, son évolution se poursuit. Afin d’imaginer la direction qu’elle prendra au cours des prochaines années, nous avons consulté l’expert en gouvernance Jacques Grisé, ex- directeur des programmes du Collège des administrateurs de sociétés, de l’Université Laval. Toujours affilié au Collège, M. Grisé publie depuis plusieurs années le blogue www.jacquesgrisegouvernance.com, un site incontournable pour rester à l’affût des bonnes pratiques et tendances en gouvernance. Voici les 12 tendances dont il faut suivre l’évolution, selon Jacques Grisé »

 

  1. Les conseils d’administration réaffirmeront leur autorité. « Auparavant, la gouvernance était une affaire qui concernait davantage le management », explique M. Grisé. La professionnalisation de la fonction d’administrateur amène une modification et un élargissement du rôle et des responsabilités des conseils. Les CA sont de plus en plus sollicités et questionnés au sujet de leurs décisions et de l’entreprise. Cette affirmation est de plus en plus vraie. La formation certifiée en gouvernance est de plus en plus prisée. Les CA, et notamment les présidents de CA, sont de plus en plus sollicités pour expliquer leurs décisions, leurs erreurs et les problèmes de gestion de crise.
  2. La formation des administrateurs prendra de l’importance. À l’avenir, on exigera toujours plus des administrateurs. C’est pourquoi la formation est essentielle et devient même une exigence pour certains organismes. De plus, la formation continue se généralise ; elle devient plus formelle. Il va de soi que la formation en gouvernance prendra plus d’importance, mais les compétences et les expériences reliées au secteur d’activité de l’entreprise seront toujours très recherchées.
  3. L’affirmation du droit des actionnaires et celle du rôle du conseil s’imposeront. Le débat autour du droit des actionnaires par rapport à celui des conseils d’administration devra mener à une compréhension de ces droits conflictuels. Aujourd’hui, les conseils doivent tenir compte des parties prenantes en tout temps. Il existe toujours une situation potentiellement conflictuelle entre les intérêts des actionnaires et la responsabilité des administrateurs envers toutes les parties prenantes.
  4. La montée des investisseurs activistes se poursuivra. L’arrivée de l’activisme apporte une nouvelle dimension au travail des administrateurs. Les investisseurs activistes s’adressent directement aux actionnaires, ce qui mine l’autorité des conseils d’administration. Est-ce bon ou mauvais ? La vision à court terme des activistes peut être néfaste, mais toutes leurs actions ne sont pas négatives, notamment parce qu’ils s’intéressent souvent à des entreprises qui ont besoin d’un redressement sous une forme ou une autre. Pour bien des gens, les fonds activistes sont une façon d’améliorer la gouvernance. Le débat demeure ouvert. Le débat est toujours ouvert, mais force est de constater que l’actionnariat activiste est en pleine croissance partout dans le monde. Les effets souvent décriés des activistes sont de plus en plus acceptés comme bénéfiques dans plusieurs situations de gestion déficiente.
  5. La recherche de compétences clés deviendra la norme. De plus en plus, les organisations chercheront à augmenter la qualité de leur conseil en recrutant des administrateurs aux expertises précises, qui sont des atouts dans certains domaines ou secteurs névralgiques. Cette tendance est très nette. Les CA cherchent à recruter des membres aux expertises complémentaires.
  6. Les règles de bonne gouvernance vont s’étendre à plus d’entreprises. Les grands principes de la gouvernance sont les mêmes, peu importe le type d’organisation, de la PME à la société ouverte (ou cotée), en passant par les sociétés d’État, les organismes à but non lucratif et les entreprises familiales. Ici également, l’application des grands principes de gouvernance se généralise et s’applique à tous les types d’organisation, en les adaptant au contexte.
  7. Le rôle du président du conseil sera davantage valorisé. La tendance veut que deux personnes distinctes occupent les postes de président du conseil et de PDG, au lieu qu’une seule personne cumule les deux, comme c’est encore trop souvent le cas. Un bon conseil a besoin d’un solide leader, indépendant du PDG. Le rôle du Chairman est de plus en plus mis en évidence, car c’est lui qui représente le conseil auprès des différents publics. Il est de plus en plus indépendant de la direction. Les É.U. sont plus lents à adopter la séparation des fonctions entre Chairman et CEO.
  8. La diversité deviendra incontournable. Même s’il y a un plus grand nombre de femmes au sein des conseils, le déficit est encore énorme. Pourtant, certaines études montrent que les entreprises qui font une place aux femmes au sein de leur conseil sont plus rentables. Et la diversité doit s’étendre à d’autres origines culturelles, à des gens de tous âges et d’horizons divers. La diversité dans la composition des conseils d’administration est de plus en plus la norme. On a fait des progrès remarquables à ce chapitre, mais la tendance à la diminution de la taille des CA ralentit quelque peu l’accession des femmes aux postes d’administratrices.
  9. Le rôle stratégique du conseil dans l’entreprise s’imposera. Le temps où les CA ne faisaient qu’approuver les orientations stratégiques définies par la direction est révolu. Désormais, l’élaboration du plan stratégique de l’entreprise doit se faire en collaboration avec le conseil, en profitant de son expertise. Certes, l’un des rôles les plus importants des administrateurs est de voir à l’orientation de l’entreprise, en apportant une valeur ajoutée aux stratégies élaborées par la direction. Les CA sont toujours sollicités, sous une forme ou une autre, dans la conception de la stratégie.
  10. La réglementation continuera de se raffermir. Le resserrement des règles qui encadrent la gouvernance ne fait que commencer. Selon Jacques Grisé, il faut s’attendre à ce que les autorités réglementaires exercent une surveillance accrue partout dans le monde, y compris au Québec, avec l’Autorité des marchés financiers. En conséquence, les conseils doivent se plier aux règles, notamment en ce qui concerne la rémunération et la divulgation. Les responsabilités des comités au sein du conseil prendront de l’importance. Les conseils doivent mettre en place des politiques claires en ce qui concerne la gouvernance. Les conseils d’administration accordent une attention accrue à la gouvernance par l’intermédiaire de leur comité de gouvernance, mais aussi par leurs comités de RH et d’Audit. Les autorités réglementaires mondiales sont de plus en plus vigilantes eu égard à l’application des principes de saine gouvernance. La SEC, qui donnait souvent le ton dans ce domaine, est en mode révision de la réglementation parce que le gouvernement de Trump la juge trop contraignante pour les entreprises. À suivre !
  11. La composition des conseils d’administration s’adaptera aux nouvelles exigences et se transformera. Les CA seront plus petits, ce qui réduira le rôle prépondérant du comité exécutif, en donnant plus de pouvoir à tous les administrateurs. Ceux-ci seront mieux choisis et formés, plus indépendants, mieux rémunérés et plus redevables de leur gestion aux diverses parties prenantes. Les administrateurs auront davantage de responsabilités et seront plus engagés dans les comités aux fonctions plus stratégiques. Leur responsabilité légale s’élargira en même temps que leurs tâches gagnent en importance. Il faudra donc des membres plus engagés, un conseil plus diversifié, dirigé par un leader plus fort. C’est la voie que les CA ont empruntée. La taille des CA est de plus en plus réduite ; les conseils exécutifs sont en voie de disparition pour faire plus de place aux trois comités statutaires : Gouvernance, Ressources Humaines et Audit. Les administrateurs sont de plus en plus engagés et ils doivent investir plus de temps dans leurs fonctions.
  12. L’évaluation de la performance des conseils d’administration deviendra la norme. La tendance est déjà bien ancrée aux États-Unis, où les entreprises engagent souvent des firmes externes pour mener cette évaluation. Certaines choisissent l’auto-évaluation. Dans tous les cas, le processus est ouvert et si les résultats restent confidentiels, ils contribuent à l’amélioration de l’efficacité des conseils d’administration. Effectivement, l’évaluation de la performance des conseils d’administration est devenue une pratique quasi universelle dans les entreprises cotées. Celles-ci doivent d’ailleurs divulguer le processus dans le rapport aux actionnaires. On assiste à un énorme changement depuis les dix dernières années.

 

À ces 12 tendances, il faudrait en ajouter deux autres qui se sont révélées cruciales pour les conseils d’administration depuis quelques années :

(1) la mise en œuvre d’une politique de gestion des risques, l’identification des risques, l’évaluation des facteurs de risque eu égard à leur probabilité d’occurrence et d’impact sur l’organisation, le suivi effectué par le comité d’audit et par l’auditeur interne.

(2) le renforcement des ressources du conseil par l’ajout de compétences liées à la cybersécurité. La sécurité des données est l’un des plus grands risques des entreprises.

 

Aspects fondamentaux à considérer par les administrateurs dans la gouvernance des organisations

 

 

Récemment, je suis intervenu auprès du conseil d’administration d’une OBNL et j’ai animé une discussion tournant autour des thèmes suivants en affirmant certains principes de gouvernance que je pense être incontournables.

Vous serez certainement intéressé par les propositions suivantes :

(1) Le conseil d’administration est souverain — il est l’ultime organe décisionnel.

(2) Le rôle des administrateurs est d’assurer la saine gestion de l’organisation en fonction d’objectifs établis. L’administrateur a un rôle de fiduciaire, non seulement envers les membres qui les ont élus, mais aussi envers les parties prenantes de toute l’organisation. Son rôle comporte des devoirs et des responsabilités envers celle-ci.

(3) Les administrateurs ont un devoir de surveillance et de diligence ; ils doivent cependant s’assurer de ne pas s’immiscer dans la gestion de l’organisation (« nose in, fingers out »).

(4) Les administrateurs élus par l’assemblée générale ne sont pas porteurs des intérêts propres à leur groupe ; ce sont les intérêts supérieurs de l’organisation qui priment.

(5) Le président du conseil est le chef d’orchestre du groupe d’administrateurs ; il doit être en étroite relation avec le premier dirigeant et bien comprendre les coulisses du pouvoir.

(6) Les membres du conseil doivent entretenir des relations de collaboration et de respect entre eux ; ils doivent viser les consensus et exprimer leur solidarité, notamment par la confidentialité des échanges.

(7) Les administrateurs doivent être bien préparés pour les réunions du conseil et ils doivent poser les bonnes questions afin de bien comprendre les enjeux et de décider en toute indépendance d’esprit. Pour ce faire, ils peuvent tirer profit de l’avis d’experts indépendants.

(8) La composition du conseil devrait refléter la diversité de l’organisation. On doit privilégier l’expertise, la connaissance de l’industrie et la complémentarité.

(9) Le conseil d’administration doit accorder toute son attention aux orientations stratégiques de l’organisation et passer le plus clair de son temps dans un rôle de conseil stratégique.

(10) Chaque réunion devrait se conclure par un huis clos, systématiquement inscrit à l’ordre du jour de toutes les rencontres.

(11) Le président du CA doit procéder à l’évaluation du fonctionnement et de la dynamique du conseil.

(12) Les administrateurs doivent prévoir des activités de formation en gouvernance et en éthique.

 

Voici enfin une documentation utile pour bien appréhender les grandes tendances qui se dégagent dans le monde de la gouvernance aux É.U., au Canada et en France.

 

  1. La gouvernance relative aux sociétés en 2017 | Un « Survey » des entreprises du SV 150 et de la S&P 100
  2. Principales tendances en gouvernance à l’échelle internationale en 2017
  3. Séparation des fonctions de PDG et de président du conseil d’administration | Signe de saine gouvernance !
  4. Six mesures pour améliorer la gouvernance des organismes publics au Québec | Yvan Allaire
  5. Cadre de référence pour évaluer la gouvernance des sociétés | Questionnaire de 100 items
  6. La gouvernance française suit-elle la tendance mondiale ?
  7. Enquête mondiale sur les conseils d’administration et la gouvernance

 

Rôle du CA dans l’établissement d’une forte culture organisationnelle | Une référence essentielle


Vous trouverez, ci-dessous, un document partagé par Joanne Desjardins*, qui porte sur le rôle du CA dans l’établissement d’une solide culture organisationnelle.

C’est certainement l’un des guides les plus utiles sur le sujet. Il s’agit d’une référence essentielle en matière de gouvernance.

Je vous invite à lire le sommaire exécutif. Vos commentaires sont appréciés.

 

Managing Culture | A good practical guide – December 2017

 

Résultats de recherche d'images pour « tone at the top »

Executive summary

 

In Australia, the regulators Australian Prudential Regulation Authority (APRA) and Australian Securities and Investments Commission (ASIC) have both signalled that there are significant risks around poor corporate culture. ASIC recognises that culture is at the heart of how an organisation and its staff think and behave, while APRA directs boards to define the institution’s risk appetite and establish a risk management strategy, and to ensure management takes the necessary steps to monitor and manage material risks. APRA takes a broad approach to ‘risk culture’ – includingrisk emerging from a poor culture.

Regulators across the globe are grappling with the issue of risk culture and how best to monitor it. While regulators generally do not dictate a cultural framework, they have identified common areas that may influence an organisation’s risk culture: leadership, good governance, translating values and principles into practices, measurement and accountability, effective communication and challenge, recruitment and incentives. Ultimately, the greatest risk lies in organisations that are believed to be hypocritical when it comes to the espoused versus actual culture.

The board is ultimately responsible for the definition and oversight of culture. In the US, Mary Jo White, Chair of the Securities and Exchange Commission (SEC), recognised that a weak risk culture is the root cause of many large governancefailures, and that the board must set the ‘tone at the top’.

Culture also has an important role to play in risk management and risk appetite, and can pose significant risks that may affect an organisation’s long-term viability.

However, culture is much more about people than it is about rules. This guide argues that an ethical framework – which is different from a code of ethics or a code of conduct – should sit at the heart of the governance framework of an organisation. An ethical framework includes a clearly espoused purpose, supported by values and principles.

There is no doubt that increasing attention is being given to the ethical foundations of an organisation as a driving force of culture, and one method of achieving consistency of organisational conduct is to build an ethical framework in which employees can function effectively by achieving clarity about what the organisation deems to be a ‘good’ or a ‘right’ decision.

Culture can be measured by looking at the extent to which the ethical framework of the organisation is perceived to be or is actually embedded within day-to-day practices. Yet measurement and evaluation of culture is in its early stages, and boards and senior management need to understand whether the culture they have is the culture they want.

In organisations with strong ethical cultures, the systems and processes of the organisation will align with the ethical framework. And people will use the ethical framework in the making of day-to-day decisions – both large and small.

Setting and embedding a clear ethical framework is not just the role of the board and senior management – all areas can play a role. This publication provides high-level guidance to these different roles:

The board is responsible for setting the tone at the top. The board should set the ethical foundations of the organisation through the ethical framework. Consistently, the board needs to be assured that the ethical framework is embedded within the organisation’s systems, processes and culture.

Management is responsible for implementing and monitoring the desired culture as defined and set by the board. They are also responsible for demonstrating leadership of the culture.

Human resources (HR) is fundamental in shaping, reinforcing and changing corporate culture within an organisation. HR drives organisational change programs that ensure cultural alignment with the ethical framework of the organisation. HR provides alignment to the ethical framework through recruitment, orientation, training, performance management, remuneration and other incentives.

Internal audit assesses how culture is being managed and monitored, and can provide an independent view of the current corporate culture.

External audit provides an independent review of an entity’s financial affairs according to legislative requirements, and provides the audit committee with valuable, objective insight into aspects of the entity’s governance and internal controls including its risk management.

 

 

*Joanne Desjardins est administratrice de sociétés et consultante en gouvernance. Elle possède plus de 18 années d’expérience comme avocate et comme consultante en gouvernance, en stratégie et en gestion des ressources humaines. Elle est constamment à l’affût des derniers développements en gouvernance et publie des articles sur le sujet.

Quand les opinions d’un président de compagnie deviennent-elles un sujet de préoccupation pour le CA ? | Un cas pratique


Voici un cas publié, sur le site de Julie Garland McLellan, qui met l’accent sur une problématique particulière pouvant ébranler la réputation d’une entreprise.

Quand une déclaration d’un président sur les médias sociaux (notamment Facebook) constitue-t-elle une entorse à la saine gestion d’une entreprise ? Comment un président peut-il faire connaître son point de vue sur une politique gouvernementale sans affecter la réputation de l’entreprise ?

Qui est responsable de proposer une stratégie pour réparer les pots cassés. Dans ce cas, à mon avis, le président du conseil est appelé à intervenir pour éviter les débordements sur la place publique et résorber une crise potentielle de réputation, le président sortant Finneas a également un rôle important à jouer.

Le cas est bref, mais présente la situation de manière assez explicite ; puis, trois experts se prononcent sur le dilemme que vit le président du conseil.

Bonne lecture ! Vos commentaires sont toujours les bienvenus.

 

Risques associés aux communications publiques des CEO sur les réseaux sociaux | un cas pratique

 

 

Résultats de recherche d'images pour « communications publique »

 

Finneas chairs a medium-sized listed company board. He has been with the company through a very successful CEO transition and is enjoying the challenge of helping the new CEO to hone his leadership of the company.

The CEO has proved a good choice and the staff are settled and productive. Recently the government announced a new policy that will most likely increase the cost of doing business and decrease export competitiveness.

The CEO is rightly concerned. He has already made some personal statements opposing the policy – calling it ‘Stupid and short-sighted industrial vandalism’ – on his Facebook page. Fortunately, the CEO keeps his Facebook account mainly for friends and family so Finneas felt the comments hadn’t attracted much attention.

At his most recent meeting with the CEO, Finneas heard that a journalist had seen the comments and called the CEO asking if he would be prepared to participate in an interview. The CEO is excited at the opportunity to stimulate public debate about the issue. Finneas is more concerned that the CEO will cause people to think poorly of himself, as a harsh critic, and of the company. There are a couple of days before the scheduled interview.

How should Finneas proceed?

Voir les réponses de trois experts de la gouvernance | http://www.mclellan.com.au/archive/dilemma_201811.html

Quelles tendances en gouvernance, identifiées en 2014, se sont avérées au 20 octobre 2018


Dans un premier temps, j’ai tenté de répondre à cette question en renvoyant le lecteur à deux publications que j’ai faites sur le sujet. C’est du genre check-list !

Puis, dans un deuxième temps, je vous invite à consulter les documents suivants qui me semblent très pertinents pour répondre à la question. Il s’agit en quelque sorte d’une revue de la littérature sur le sujet.

  1. La gouvernance relative aux sociétés en 2017 | Un « Survey » des entreprises du SV 150 et de la S&P 100
  2. Principales tendances en gouvernance à l’échelle internationale en 2017
  3. Séparation des fonctions de PDG et de président du conseil d’administration | Signe de saine gouvernance !
  4. Six mesures pour améliorer la gouvernance des organismes publics au Québec | Yvan Allaire
  5. Cadre de référence pour évaluer la gouvernance des sociétés | Questionnaire de 100 items
  6. La gouvernance française suit-elle la tendance mondiale ?
  7. Enquête mondiale sur les conseils d’administration et la gouvernance

 

J’espère que ces commentaires vous seront utiles, même si mon intervention est colorée par la situation canadienne et américaine !

Bonne lecture !

 

Résultats de recherche d'images pour « tendances en gouvernance »

 

Gouvernance : 12 tendances à surveiller

 

J’ai réalisé une entrevue avec le Journal des Affaires le 17 mars 2014. Une rédactrice au sein de l’Hebdo des AG, un média numérique qui se consacre au traitement des sujets touchant à la gouvernance des entreprises françaises, m’a contacté afin de connaître mon opinion sur quelles « prédictions » se sont effectivement avérées, et lesquelles restent encore à améliorer.

J’ai préparé quelques réflexions en référence aux douze tendances que j’avais identifiées le 17 mars 2014. J’ai donc revisité les tendances afin de vérifier comment la situation avait évolué en quatre ans. J’ai indiqué en rouge mon point de vue eu égard à ces tendances.

 « Si la gouvernance des entreprises a fait beaucoup de chemin depuis quelques années, son évolution se poursuit. Afin d’imaginer la direction qu’elle prendra au cours des prochaines années, nous avons consulté l’expert en gouvernance Jacques Grisé, ex- directeur des programmes du Collège des administrateurs de sociétés, de l’Université Laval. Toujours affilié au Collège, M. Grisé publie depuis plusieurs années le blogue www.jacquesgrisegouvernance.com, un site incontournable pour rester à l’affût des bonnes pratiques et tendances en gouvernance. Voici les 12 tendances dont il faut suivre l’évolution, selon Jacques Grisé »

 

  1. Les conseils d’administration réaffirmeront leur autorité. « Auparavant, la gouvernance était une affaire qui concernait davantage le management », explique M. Grisé. La professionnalisation de la fonction d’administrateur amène une modification et un élargissement du rôle et des responsabilités des conseils. Les CA sont de plus en plus sollicités et questionnés au sujet de leurs décisions et de l’entreprise. Cette affirmation est de plus en plus vraie. La formation certifiée en gouvernance est de plus en plus prisée. Les CA, et notamment les présidents de CA, sont de plus en plus sollicités pour expliquer leurs décisions, leurs erreurs et les problèmes de gestion de crise.
  2. La formation des administrateurs prendra de l’importance. À l’avenir, on exigera toujours plus des administrateurs. C’est pourquoi la formation est essentielle et devient même une exigence pour certains organismes. De plus, la formation continue se généralise ; elle devient plus formelle. Il va de soi que la formation en gouvernance prendra plus d’importance, mais les compétences et les expériences reliées au secteur d’activité de l’entreprise seront toujours très recherchées.
  3. L’affirmation du droit des actionnaires et celle du rôle du conseil s’imposeront. Le débat autour du droit des actionnaires par rapport à celui des conseils d’administration devra mener à une compréhension de ces droits conflictuels. Aujourd’hui, les conseils doivent tenir compte des parties prenantes en tout temps. Il existe toujours une situation potentiellement conflictuelle entre les intérêts des actionnaires et la responsabilité des administrateurs envers toutes les parties prenantes.
  4. La montée des investisseurs activistes se poursuivra. L’arrivée de l’activisme apporte une nouvelle dimension au travail des administrateurs. Les investisseurs activistes s’adressent directement aux actionnaires, ce qui mine l’autorité des conseils d’administration. Est-ce bon ou mauvais ? La vision à court terme des activistes peut être néfaste, mais toutes leurs actions ne sont pas négatives, notamment parce qu’ils s’intéressent souvent à des entreprises qui ont besoin d’un redressement sous une forme ou une autre. Pour bien des gens, les fonds activistes sont une façon d’améliorer la gouvernance. Le débat demeure ouvert. Le débat est toujours ouvert, mais force est de constater que l’actionnariat activiste est en pleine croissance partout dans le monde. Les effets souvent décriés des activistes sont de plus en plus acceptés comme bénéfiques dans plusieurs situations de gestion déficiente.
  5. La recherche de compétences clés deviendra la norme. De plus en plus, les organisations chercheront à augmenter la qualité de leur conseil en recrutant des administrateurs aux expertises précises, qui sont des atouts dans certains domaines ou secteurs névralgiques. Cette tendance est très nette. Les CA cherchent à recruter des membres aux expertises complémentaires.
  6. Les règles de bonne gouvernance vont s’étendre à plus d’entreprises. Les grands principes de la gouvernance sont les mêmes, peu importe le type d’organisation, de la PME à la société ouverte (ou cotée), en passant par les sociétés d’État, les organismes à but non lucratif et les entreprises familiales. Ici également, l’application des grands principes de gouvernance se généralise et s’applique à tous les types d’organisation, en les adaptant au contexte.
  7. Le rôle du président du conseil sera davantage valorisé. La tendance veut que deux personnes distinctes occupent les postes de président du conseil et de PDG, au lieu qu’une seule personne cumule les deux, comme c’est encore trop souvent le cas. Un bon conseil a besoin d’un solide leader, indépendant du PDG. Le rôle du Chairman est de plus en plus mis en évidence, car c’est lui qui représente le conseil auprès des différents publics. Il est de plus en plus indépendant de la direction. Les É.U. sont plus lents à adopter la séparation des fonctions entre Chairman et CEO.
  8. La diversité deviendra incontournable. Même s’il y a un plus grand nombre de femmes au sein des conseils, le déficit est encore énorme. Pourtant, certaines études montrent que les entreprises qui font une place aux femmes au sein de leur conseil sont plus rentables. Et la diversité doit s’étendre à d’autres origines culturelles, à des gens de tous âges et d’horizons divers. La diversité dans la composition des conseils d’administration est de plus en plus la norme. On a fait des progrès remarquables à ce chapitre, mais la tendance à la diminution de la taille des CA ralentit quelque peu l’accession des femmes aux postes d’administratrices.
  9. Le rôle stratégique du conseil dans l’entreprise s’imposera. Le temps où les CA ne faisaient qu’approuver les orientations stratégiques définies par la direction est révolu. Désormais, l’élaboration du plan stratégique de l’entreprise doit se faire en collaboration avec le conseil, en profitant de son expertise. Certes, l’un des rôles les plus importants des administrateurs est de voir à l’orientation de l’entreprise, en apportant une valeur ajoutée aux stratégies élaborées par la direction. Les CA sont toujours sollicités, sous une forme ou une autre, dans la conception de la stratégie.
  10. La réglementation continuera de se raffermir. Le resserrement des règles qui encadrent la gouvernance ne fait que commencer. Selon Jacques Grisé, il faut s’attendre à ce que les autorités réglementaires exercent une surveillance accrue partout dans le monde, y compris au Québec, avec l’Autorité des marchés financiers. En conséquence, les conseils doivent se plier aux règles, notamment en ce qui concerne la rémunération et la divulgation. Les responsabilités des comités au sein du conseil prendront de l’importance. Les conseils doivent mettre en place des politiques claires en ce qui concerne la gouvernance. Les conseils d’administration accordent une attention accrue à la gouvernance par l’intermédiaire de leur comité de gouvernance, mais aussi par leurs comités de RH et d’Audit. Les autorités réglementaires mondiales sont de plus en plus vigilantes eu égard à l’application des principes de saine gouvernance. La SEC, qui donnait souvent le ton dans ce domaine, est en mode révision de la réglementation parce que le gouvernement de Trump la juge trop contraignante pour les entreprises. À suivre !
  11. La composition des conseils d’administration s’adaptera aux nouvelles exigences et se transformera. Les CA seront plus petits, ce qui réduira le rôle prépondérant du comité exécutif, en donnant plus de pouvoir à tous les administrateurs. Ceux-ci seront mieux choisis et formés, plus indépendants, mieux rémunérés et plus redevables de leur gestion aux diverses parties prenantes. Les administrateurs auront davantage de responsabilités et seront plus engagés dans les comités aux fonctions plus stratégiques. Leur responsabilité légale s’élargira en même temps que leurs tâches gagnent en importance. Il faudra donc des membres plus engagés, un conseil plus diversifié, dirigé par un leader plus fort. C’est la voie que les CA ont empruntée. La taille des CA est de plus en plus réduite ; les conseils exécutifs sont en voie de disparition pour faire plus de place aux trois comités statutaires : Gouvernance, Ressources Humaines et Audit. Les administrateurs sont de plus en plus engagés et ils doivent investir plus de temps dans leurs fonctions.
  12. L’évaluation de la performance des conseils d’administration deviendra la norme. La tendance est déjà bien ancrée aux États-Unis, où les entreprises engagent souvent des firmes externes pour mener cette évaluation. Certaines choisissent l’auto-évaluation. Dans tous les cas, le processus est ouvert et si les résultats restent confidentiels, ils contribuent à l’amélioration de l’efficacité des conseils d’administration. Effectivement, l’évaluation de la performance des conseils d’administration est devenue une pratique quasi universelle dans les entreprises cotées. Celles-ci doivent d’ailleurs divulguer le processus dans le rapport aux actionnaires. On assiste à un énorme changement depuis les dix dernières années.

 

À ces 12 tendances, il faudrait en ajouter deux autres qui se sont révélées cruciales pour les conseils d’administration depuis quelques années :

(1) la mise en œuvre d’une politique de gestion des risques, l’identification des risques, l’évaluation des facteurs de risque eu égard à leur probabilité d’occurrence et d’impact sur l’organisation, le suivi effectué par le comité d’audit et par l’auditeur interne.

(2) le renforcement des ressources du conseil par l’ajout de compétences liées à la cybersécurité. La sécurité des données est l’un des plus grands risques des entreprises.

 

Aspects fondamentaux à considérer par les administrateurs dans la gouvernance des organisations

 

 

Récemment, je suis intervenu auprès du conseil d’administration d’une OBNL et j’ai animé une discussion tournant autour des thèmes suivants en affirmant certains principes de gouvernance que je pense être incontournables.

Vous serez certainement intéressé par les propositions suivantes :

(1) Le conseil d’administration est souverain — il est l’ultime organe décisionnel.

(2) Le rôle des administrateurs est d’assurer la saine gestion de l’organisation en fonction d’objectifs établis. L’administrateur a un rôle de fiduciaire, non seulement envers les membres qui les ont élus, mais aussi envers les parties prenantes de toute l’organisation. Son rôle comporte des devoirs et des responsabilités envers celle-ci.

(3) Les administrateurs ont un devoir de surveillance et de diligence ; ils doivent cependant s’assurer de ne pas s’immiscer dans la gestion de l’organisation (« nose in, fingers out »).

(4) Les administrateurs élus par l’assemblée générale ne sont pas porteurs des intérêts propres à leur groupe ; ce sont les intérêts supérieurs de l’organisation qui priment.

(5) Le président du conseil est le chef d’orchestre du groupe d’administrateurs ; il doit être en étroite relation avec le premier dirigeant et bien comprendre les coulisses du pouvoir.

(6) Les membres du conseil doivent entretenir des relations de collaboration et de respect entre eux ; ils doivent viser les consensus et exprimer leur solidarité, notamment par la confidentialité des échanges.

(7) Les administrateurs doivent être bien préparés pour les réunions du conseil et ils doivent poser les bonnes questions afin de bien comprendre les enjeux et de décider en toute indépendance d’esprit. Pour ce faire, ils peuvent tirer profit de l’avis d’experts indépendants.

(8) La composition du conseil devrait refléter la diversité de l’organisation. On doit privilégier l’expertise, la connaissance de l’industrie et la complémentarité.

(9) Le conseil d’administration doit accorder toute son attention aux orientations stratégiques de l’organisation et passer le plus clair de son temps dans un rôle de conseil stratégique.

(10) Chaque réunion devrait se conclure par un huis clos, systématiquement inscrit à l’ordre du jour de toutes les rencontres.

(11) Le président du CA doit procéder à l’évaluation du fonctionnement et de la dynamique du conseil.

(12) Les administrateurs doivent prévoir des activités de formation en gouvernance et en éthique.

 

Voici enfin une documentation utile pour bien appréhender les grandes tendances qui se dégagent dans le monde de la gouvernance aux É.U., au Canada et en France.

 

  1. La gouvernance relative aux sociétés en 2017 | Un « Survey » des entreprises du SV 150 et de la S&P 100
  2. Principales tendances en gouvernance à l’échelle internationale en 2017
  3. Séparation des fonctions de PDG et de président du conseil d’administration | Signe de saine gouvernance !
  4. Six mesures pour améliorer la gouvernance des organismes publics au Québec | Yvan Allaire
  5. Cadre de référence pour évaluer la gouvernance des sociétés | Questionnaire de 100 items
  6. La gouvernance française suit-elle la tendance mondiale ?
  7. Enquête mondiale sur les conseils d’administration et la gouvernance

 

Le conseil d’administration est garant de la bonne conduite éthique de l’organisation | Rendez-vous à un colloque inspirant !


La considération de l’éthique et des valeurs d’intégrité sont des sujets de grande actualité dans toutes les sphères de la vie organisationnelle*. À ce propos, le Réseau d’éthique organisationnelle du Québec (RÉOQ) tient son colloque annuel les 25 et 26 octobre 2018 à l’hôtel Marriott Courtyard Montréal Centre-Ville et il propose plusieurs conférences qui traitent de l’éthique au quotidien. Je vous invite à consulter le programme du colloque et y participer.

 

 

Ne vous méprenez pas, la saine gouvernance des entreprises repose sur l’attention assidue accordée aux questions éthiques par le président du conseil, par le comité de gouvernance et d’éthique, ainsi que par tous les membres du conseil d’administration. Ceux-ci ont un devoir inéluctable de respect de la charte éthique approuvée par le CA.

Les défaillances en ce qui a trait à l’intégrité des personnes et les manquements de nature éthique sont souvent le résultat d’un conseil d’administration qui n’exerce pas un fort leadership éthique et qui n’affiche pas de valeurs transparentes à ce propos. Ainsi, il faut affirmer haut et fort que les comportements des employés sont largement tributaires de la culture de l’entreprise, des pratiques en cours, des contrôles internes… Et que les administrateurs sont les fiduciaires de ces valeurs qui font la réputation de l’entreprise !

Cette affirmation implique que tous les membres d’un conseil d’administration doivent faire preuve de comportements éthiques exemplaires : « Tone at the Top ». Les administrateurs doivent se donner les moyens d’évaluer cette valeur au sein de leur conseil, et au sein de l’organisation.

C’est la responsabilité du conseil de veiller à ce que de solides valeurs d’intégrité soient transmises à l’échelle de toute l’organisation, que la direction et les employés connaissent bien les codes de conduites et que l’on s’assure d’un suivi adéquat à cet égard.

Mais là où les CA achoppent trop souvent dans l’établissement d’une solide conduite éthique, c’est (1) dans la formulation de politiques probantes (2) dans la mise en place de l’instrumentalisation requise (3) dans le recrutement de personnes qui adhèrent aux objectifs énoncés et (4) dans l’évaluation et le suivi du climat organisationnel.

Les administrateurs doivent poser les bonnes questions sur la situation existante et prendre le recul nécessaire pour envisager les divers points de vue des parties prenantes dans le but d’assurer la transmission efficace du code de conduite de l’entreprise.

Les préconceptions et les préjugés sont coriaces, mais ils doivent être confrontés lors des échanges de vues au CA ou lors des huis clos. Les administrateurs doivent aborder les situations avec un esprit ouvert et indépendant.

Vous aurez compris que le président du conseil a un rôle clé à cet égard. C’est lui qui doit incarner le leadership en matière d’éthique et de culture organisationnelle. L’une de ses tâches est de s’assurer qu’il consacre le temps approprié aux questionnements éthiques. Pour ce faire, le président du CA doit poser des gestes concrets (1) en plaçant les considérations éthiques à l’ordre du jour (2) en s’assurant de la formation des administrateurs (3) en renforçant le rôle du comité de gouvernance et (4) en mettant le comportement éthique au cœur de ses préoccupations.

Le choix du premier dirigeant (PDG) est l’une des plus grandes responsabilités des conseils d’administration. Lors du processus de sélection, on doit s’assurer que le PDG incarne les valeurs éthiques qui correspondent aux attentes élevées des administrateurs ainsi qu’aux pratiques en vigueur. L’évaluation annuelle des dirigeants doit tenir compte de leur engagement éthique, et le résultat doit se refléter dans la rémunération variable des dirigeants.

Quels items peut-on utiliser pour évaluer la composante éthique de la gouvernance du conseil d’administration ? Voici un instrument qui peut aider à y voir plus clair. Ce cadre de référence novateur a été conçu par le Bureau de vérification interne de l’Université de Montréal.

 

1.       Les politiques de votre organisation visant à favoriser l’éthique sont-elles bien connues et appliquées par ses employés, partenaires et bénévoles ?
2.       Le Conseil de votre organisation aborde-t-il régulièrement la question de l’éthique, notamment en recevant des rapports sur les plaintes, les dénonciations ?
3.       Le Conseil et l’équipe de direction de votre organisation participent-ils régulièrement à des activités de formation visant à parfaire leurs connaissances et leurs compétences en matière d’éthique ?
4.       S’assure-t-on que la direction générale est exemplaire et a développé une culture fondée sur des valeurs qui se déclinent dans l’ensemble de l’organisation ?
5.       S’assure-t-on que la direction prend au sérieux les manquements à l’éthique et les gère promptement et de façon cohérente ?
6.       S’assure-t-on que la direction a élaboré un code de conduite efficace auquel elle adhère, et veille à ce que tous les membres du personnel en comprennent la teneur, la pertinence et l’importance ?
7.       S’assure-t-on de l’existence de canaux de communication efficaces (ligne d’alerte téléphonique dédiée, assistance téléphonique, etc.) pour permettre aux membres du personnel et partenaires de signaler les problèmes ?
8.       Le Conseil reconnaît-il l’impact sur la réputation de l’organisation du comportement de ses principaux fournisseurs et autres partenaires ?
9.       Est-ce que le président du Conseil donne le ton au même titre que le DG au niveau des opérations sur la culture organisationnelle au nom de ses croyances, son attitude et ses valeurs ?

10.    Est-ce que l’organisation a la capacité d’intégrer des changements à même ses processus, outils ou comportements dans un délai raisonnable ?

*Autres lectures pertinentes :

  1. Formation en éthique 2.0 pour les conseils d’administration
  2. Rapport spécial sur l’importance de l’éthique dans l’amélioration de la gouvernance | Knowledge@Wharton
  3. Rôle du conseil d’administration en matière d’éthique*
  4. Comment le CA peut-il exercer une veille de l’éthique ?
  5. Le CA est garant de l’intégrité de l’entreprise
  6. Cadre de référence pour évaluer la gouvernance des sociétés | Questionnaire de 100 items

En quoi une formation en gouvernance des TI est-elle essentielle ?


Plusieurs personnes me demandent s’il existe une formation en gouvernance des TI à l’intention de membres de conseils d’administration et des hauts dirigeants.

Le Collège des administrateurs de sociétés (CAS) offre une formation ciblée d’une journée en gouvernance des TI, même si vous n’êtes pas un spécialiste en la matière.

Bon nombre d’administrateurs se sentent démunis et mal à l’aise lorsque vient le temps de discuter des dossiers de TI au conseil d’administration et de prendre des décisions importantes et stratégiques pour l’entreprise.
Cette formation d’une journée en gouvernance des TI vous donnera des assises solides pour comprendre et bien jouer votre rôle, et ce même si vous n’êtes pas un spécialiste en la matière.

Paule-Anne Morin, ASC, consultante, administratrice de sociétés et formatrice a conçu une formation spécialisée de haut niveau pour combler ce grand besoin.

 

 

Thèmes abordés lors de la journée

 

Gouvernance des TI : pourquoi faut-il s’y intéresser ?

Tremplin stratégique dans la performance des organisations : des outils concrets

Enjeux numériques et gestion de risques

Outils de mesure et de performance TI

CA et gouvernance des TI : rôle, structure et conditions de succès

Profil des participants

 

– Membres de conseils d’administration

– Hauts dirigeants

– Gestionnaires

– Investisseurs

 

Prochaines sessions de formation

 

23 octobre 2018 — Québec

De 8 h à 18 h
Édifice Price
65, rue Sainte-Anne
11e étage Québec (Québec)  G1R 3X5

 

28 mars 2019 — Montréal

De 8 h à 18 h
Centre de conférence Le 1000
Niveau Mezzanine
1000, rue De La Gauchetière Ouest
Montréal (Québec)  H3B 4W5

 

Inscrivez-vous ici

 

 

Information

Consultez la page Gouvernance des TI sur le site du CAS pour obtenir tous les détails.

Reconnaissance professionnelle

Cette formation, d’une durée de 7,5 heures, est reconnue aux fins des règlements ou des politiques de formation continue obligatoire du Collège et des ordres et organismes professionnels suivants : Barreau du Québec, Ordre des ADMA du Québec, Ordre des CPA du Québec, Ordre des CRHA et Association des MBA du Québec.

Le conseil d’administration est garant de la bonne conduite éthique de l’organisation !


La considération de l’éthique et des valeurs d’intégrité sont des sujets de grande actualité dans toutes les sphères de la vie organisationnelle*. À ce propos, le Réseau d’éthique organisationnelle du Québec (RÉOQ) tient son colloque annuel les 25 et 26 octobre 2018 à l’hôtel Marriott Courtyard Montréal Centre-Ville et il propose plusieurs conférences qui traitent de l’éthique au quotidien. Je vous invite à consulter le programme du colloque et y participer.

 

 

Ne vous méprenez pas, la saine gouvernance des entreprises repose sur l’attention assidue accordée aux questions éthiques par le président du conseil, par le comité de gouvernance et d’éthique, ainsi que par tous les membres du conseil d’administration. Ceux-ci ont un devoir inéluctable de respect de la charte éthique approuvée par le CA.

Les défaillances en ce qui a trait à l’intégrité des personnes et les manquements de nature éthique sont souvent le résultat d’un conseil d’administration qui n’exerce pas un fort leadership éthique et qui n’affiche pas de valeurs transparentes à ce propos. Ainsi, il faut affirmer haut et fort que les comportements des employés sont largement tributaires de la culture de l’entreprise, des pratiques en cours, des contrôles internes… Et que les administrateurs sont les fiduciaires de ces valeurs qui font la réputation de l’entreprise !

Cette affirmation implique que tous les membres d’un conseil d’administration doivent faire preuve de comportements éthiques exemplaires : « Tone at the Top ». Les administrateurs doivent se donner les moyens d’évaluer cette valeur au sein de leur conseil, et au sein de l’organisation.

C’est la responsabilité du conseil de veiller à ce que de solides valeurs d’intégrité soient transmises à l’échelle de toute l’organisation, que la direction et les employés connaissent bien les codes de conduites et que l’on s’assure d’un suivi adéquat à cet égard.

Mais là où les CA achoppent trop souvent dans l’établissement d’une solide conduite éthique, c’est (1) dans la formulation de politiques probantes (2) dans la mise en place de l’instrumentalisation requise (3) dans le recrutement de personnes qui adhèrent aux objectifs énoncés et (4) dans l’évaluation et le suivi du climat organisationnel.

Les administrateurs doivent poser les bonnes questions sur la situation existante et prendre le recul nécessaire pour envisager les divers points de vue des parties prenantes dans le but d’assurer la transmission efficace du code de conduite de l’entreprise.

Les préconceptions et les préjugés sont coriaces, mais ils doivent être confrontés lors des échanges de vues au CA ou lors des huis clos. Les administrateurs doivent aborder les situations avec un esprit ouvert et indépendant.

Vous aurez compris que le président du conseil a un rôle clé à cet égard. C’est lui qui doit incarner le leadership en matière d’éthique et de culture organisationnelle. L’une de ses tâches est de s’assurer qu’il consacre le temps approprié aux questionnements éthiques. Pour ce faire, le président du CA doit poser des gestes concrets (1) en plaçant les considérations éthiques à l’ordre du jour (2) en s’assurant de la formation des administrateurs (3) en renforçant le rôle du comité de gouvernance et (4) en mettant le comportement éthique au cœur de ses préoccupations.

Le choix du premier dirigeant (PDG) est l’une des plus grandes responsabilités des conseils d’administration. Lors du processus de sélection, on doit s’assurer que le PDG incarne les valeurs éthiques qui correspondent aux attentes élevées des administrateurs ainsi qu’aux pratiques en vigueur. L’évaluation annuelle des dirigeants doit tenir compte de leur engagement éthique, et le résultat doit se refléter dans la rémunération variable des dirigeants.

Quels items peut-on utiliser pour évaluer la composante éthique de la gouvernance du conseil d’administration ? Voici un instrument qui peut aider à y voir plus clair. Ce cadre de référence novateur a été conçu par le Bureau de vérification interne de l’Université de Montréal.

 

1.       Les politiques de votre organisation visant à favoriser l’éthique sont-elles bien connues et appliquées par ses employés, partenaires et bénévoles ?
2.       Le Conseil de votre organisation aborde-t-il régulièrement la question de l’éthique, notamment en recevant des rapports sur les plaintes, les dénonciations ?
3.       Le Conseil et l’équipe de direction de votre organisation participent-ils régulièrement à des activités de formation visant à parfaire leurs connaissances et leurs compétences en matière d’éthique ?
4.       S’assure-t-on que la direction générale est exemplaire et a développé une culture fondée sur des valeurs qui se déclinent dans l’ensemble de l’organisation ?
5.       S’assure-t-on que la direction prend au sérieux les manquements à l’éthique et les gère promptement et de façon cohérente ?
6.       S’assure-t-on que la direction a élaboré un code de conduite efficace auquel elle adhère, et veille à ce que tous les membres du personnel en comprennent la teneur, la pertinence et l’importance ?
7.       S’assure-t-on de l’existence de canaux de communication efficaces (ligne d’alerte téléphonique dédiée, assistance téléphonique, etc.) pour permettre aux membres du personnel et partenaires de signaler les problèmes ?
8.       Le Conseil reconnaît-il l’impact sur la réputation de l’organisation du comportement de ses principaux fournisseurs et autres partenaires ?
9.       Est-ce que le président du Conseil donne le ton au même titre que le DG au niveau des opérations sur la culture organisationnelle au nom de ses croyances, son attitude et ses valeurs ?

10.    Est-ce que l’organisation a la capacité d’intégrer des changements à même ses processus, outils ou comportements dans un délai raisonnable ?

*Autres lectures pertinentes :

  1. Formation en éthique 2.0 pour les conseils d’administration
  2. Rapport spécial sur l’importance de l’éthique dans l’amélioration de la gouvernance | Knowledge@Wharton
  3. Rôle du conseil d’administration en matière d’éthique*
  4. Comment le CA peut-il exercer une veille de l’éthique ?
  5. Le CA est garant de l’intégrité de l’entreprise
  6. Cadre de référence pour évaluer la gouvernance des sociétés | Questionnaire de 100 items

Le comportement d’Elon Musk est-il un signe de faible gouvernance chez Tesla ?


Depuis quelques années, on ne cesse de relater les faits d’armes de Elon Musk lequel gère ses entreprises de manières plutôt controversées, ou à tout le moins contraires aux principes de saine gouvernance.Dans cet article de Kevin Reed, publié sur le site de Board Agenda le 17 septembre 2018, on porte un jugement assez sévère sur le comportement autoritaire de Musk qui continue de bafouer les règles les plus élémentaires de gouvernance.

Les investisseurs qui croient dans le génie de cet entrepreneur sont en droit de s’attendre à ce que le fondateur mette en place des systèmes de gouvernance qui respectent les parties prenantes, dont les investisseurs.

Ces comportements de dominance sont tributaires du conseil d’administration où le fondateur joue le rôle de « Chairman, Product architect and CEO », comme s’il était le propriétaire de tout le capital de l’entreprise.

On peut comprendre la confiance que les investisseurs mettent en Musk, mais jusqu’à quel point doivent-ils ignorer certaines règles fondamentales de gouvernance d’entreprise ?

On connaît plusieurs entreprises qui sont dominées complètement par leur fondateur-entrepreneur. Ces comportements « dysfonctionnels » ne sont pas toujours signe de mauvaise performance à court terme. Mais, à long terme, sans de solides principes de gouvernance, ces entreprises rencontrent généralement des problèmes de croissance.

Selon l’auteur Kevin Reed,

Elon Musk, Tesla’s “chairman, product architect and CEO”, has recently the displayed classic traits of a dominant, idiosyncratic and controversial boss which, according to one commentator, is a sure sign of weak governance.

Voici un aperçu de l’argumentaire présenté dans l’article.

Bonne lecture !

 

Tale of Tesla’s Elon Musk is a ‘sadly familiar story’ of weak governance

 

 

Résultats de recherche d'images pour « elon musk »

There has been a long history of dominant, sometimes idiosyncratic and often irascible CEOs.

They will court controversy—which can be directly related to the business’s strategy and operations, or linked to “non-corporate” behaviour or actions.

Names such as Mike Ashley, Lord Sugar and even “shareholder-return-friendly” Sir Martin Sorrell have shown how outspoken and autocratic leaders will find their approach strongly questioned or criticised.

Names such as Mike Ashley, Lord Sugar and even “shareholder-return-friendly” Sir Martin Sorrell have shown how outspoken and autocratic leaders will find their approach strongly questioned or criticised—usually during tough times, despite previous spells of success.

However, recent proclamations on social and traditional media by Tesla’s Elon Musk could well be viewed as beyond the pale.

Whether offering a mini-submarine to rescue children stuck in a Thai cave, to making lewd accusations about another rescuer, through to proclaiming on Twitter that he is considering taking Tesla private, it puts into question whether such behaviour damages shareholder value.

“The tale of Elon Musk is a sadly familiar story of a founder who through vision, drive, ambition and talent grows a company to fantastic levels, but who then seems unable to accept challenge and healthy criticism and feels unable to operate in an appropriate governance environment,” explains Iain Wright, director of corporate and regional engagement at the Institute of Chartered Accountants in England and Wales (ICAEW).

Crashing companies onto rocks

Wright believes that we have seen “time and time again” dominant founders and chiefs “crash those companies onto the rocks” through “weak corporate governance”.

An important part of reining in such dominance is through the board and, namely, the chairman. They need to be able to support someone  with the vision and entrepreneurial spirit of someone like Musk, but also challenge them on behalf of the company and its stakeholders to “curb some of his erratic behaviour”.

“The board is subservient to the founder and chief executive rather than the other way round.”

He adds: “Good corporate governance would put in place a board who would challenge this, led by a chair who has the authority, experience and gravitas to stand up to Musk and tell him to have a holiday and get some sleep.”

And so, what of Tesla’s chairman? Well, that’s Elon Musk, whose full title is “chairman, product architect and CEO”. Attempts to separate the roles and appoint a chairman have been rebuffed by the board in the past, stating that it has a lead independent director in place.

This director is Antonio Gracias, a private equity investor who has reportedly shared many years associated with Musk.

“The board is subservient to the founder and chief executive rather than the other way round,” suggests Wright. “Musk is both chairman and CEO of Tesla, a situation relatively common in the States but quite properly frowned upon as inappropriate corporate governance in the UK.”

Separating the role is for the “long-term benefit of the company”, adds Wright. “This proposal should come back on the table soon.”

L’objectif visé par les fonds d’investissement activistes afin de profiter au maximum de leurs interventions : la vente de l’entreprise au plus offrant !


Vous trouverez, ci-dessous, un article de Roger L. Martinex-doyen de la Rotman School of Management de l’Université de Toronto, paru dans Harvard Business Review le 20 août 2018, qui remet en question la valeur des interventions des fonds activistes au cours des dernières années.

L’auteur pourfend les prétendus bénéfices des campagnes orchestrées par les fonds activistes en s’appuyant notamment sur une étude d’Allaire qui procure des données statistiques probantes sur les rendements des fonds activistes.

Ainsi, l’étude publiée par Allaire montre que les fonds d’investissement activistes réalisent des rendements moyens de 12,4 %, comparés à 13,5 % pour le S&P 500. Le rendement était de 13,9 % pour des firmes de tailles similaires dans les mêmes secteurs industriels.

Je vous invite à prendre connaissance d’une présentation PPT du professeur Allaire qui présente des résultats empiriques très convaincants : Hedge Fund Activism : Some empirical evidence.

Le résultat qui importe, et qui est très payant, pour les investisseurs activistes est la réalisation de la vente de l’entreprise ciblée afin de toucher la prime de contrôle qui est de l’ordre de 30 %.

The reason investors keep giving their money to these hedge funds is simple. There is gold for activist hedge funds if they can accomplish one thing. If they can get their target sold, the compound annual TSR jumps from a lackluster 12,4 % to a stupendous 94,3 %.  That is why they so frequently agitate for the sale of their victim.

Bonne lecture. Vos commentaires sont les bienvenus.

 

Activist Hedge Funds Aren’t Good for Companies or Investors, So Why Do They Exist?

 

 

Résultats de recherche d'images pour « Activist Hedge Funds Aren’t Good for Companies or Investors, So Why Do They Exist? »

 

Activist hedge funds have become capital market and financial media darlings. The Economist famously called them“capitalism’s unlikely heroes” in a cover story, and the FT published an article saying we “should welcome” them.

But they are utterly reviled by CEOs. And at best, their performance is ambiguous.

The most comprehensive study of activist hedge fund performance that I have read is by Yvan Allaire at the Institute for Governance of Private and Public Organizations in Montreal, which studies hedge fund campaigns against U.S. companies for an eight-year period (2005–2013).

Total shareholder return is what the activist hedge funds claim to enhance. But for the universe of U.S. activist hedge fund investments Allaire studied, the mean compound annual TSR for the activists was 12.4% while for the S&P500 it was 13.5% and for a random sample of firms of similar size in like industries, it was 13.9%. That is to say, if you decided to invest money in a random sample of activist hedge funds, you would have earned 12.4% before paying the hedge fund 2% per year plus 20% of that 12.4% upside. If instead you would have invested in a Vanguard S&P500 index fund, you would have kept all but a tiny fraction of 13.5%.

Since the returns that they produce underwhelm, why do activist hedge funds exist? Why do investors keep giving them money? It is an important question because the Allaire data shows the truly sad and unfortunate outcomes for the companies after the hedge funds ride off into the sunset, after a median holding period of only 423 unpleasant days. Over this span, employee headcount gets reduced by an average of 12%, while R&D gets cut by more than half, and returns don’t change.

The reason investors keep giving their money to these hedge funds is simple. There is gold for activist hedge funds if they can accomplish one thing. If they can get their target sold, the compound annual TSR jumps from a lackluster 12.4% to a stupendous 94.3%.  That is why they so frequently agitate for the sale of their victim.

But why is this such a lucrative avenue? It is because of the control premium. When a S&P500-sized company gets sold, the average premium over the prevailing stock price that is paid for the right to take over that company is in excess of 30%. This is ironic, of course, because studies show the majority of acquisitions don’t earn the cost of capital for the buyer. It is a case of the triumph of hope over reality – which is not unusual. It is not dissimilar to what happens in the National Football League where the trade price for a future draft pick is typically higher than the trade price for an accomplished successful player. That is because the acquiring team dreams that the player it will pick in the draft will be more awesome than that player is likely to turn out to be. But hope springs eternal!

The activist hedge funds have their eyes focused laser-like on the control premium — which for the S&P 500, which has a market capitalization of $23 trillion, is conservatively a $7 trillion pie assuming a 30% control premium. To get a piece of that scrumptious pie, all they need to do is pressure their victim to put itself up for sale and they will have “created shareholder value.” Of course, on average, they will have destroyed shareholder value for the acquiring firm, but they couldn’t care less. They are long gone by that time; off to the next victim.

And they have lots of friends to help them access the control premium pie. Investment bankers want to help them do the deal whether it is a good deal or not and that $7 trillion pie for hedge funds translates into a multibillion dollar annual slice for investment bankers. And for the M&A lawyers that need to opine on the deal. And the accounting firms that need to audit the deal. And for the proxy voting firms that collect the votes for and against the deal. And the consultants who get hired to do post-merger integration. And the financial press that gets to write stories about an exciting deal.

It is an entire ecosystem that sees the $7 trillion pie and wants a piece of it. It doesn’t matter a whit whether a hedge-fund inspired change of control is a good thing for customers, employees or the combined shareholders involved (selling plus acquiring). It is too lucrative a pie to pass up.

What will stop this lunacy? When shareholders come to their senses and realize that when an activist hedge fund has pressured a company intensively enough to put it up for sale, they are simply feeding the hedge fund beast and the vast majority of the time it will be at their own expense. When activist hedge funds’ access to the $7 trillion pie is shut off, they will have to rely on their ability to actually make their victims perform better. And their track record on that front is mediocre at best.

______________________________________________________________

Roger L. Martin is the director of the Martin Prosperity Institute and a former . He is a coauthor of Creating Great Choices: A Leader’s Guide to Integrative Thinking.

Le futur code de gouvernance du Royaume-Uni


Je vous invite à prendre connaissance du futur code de gouvernance du Royaume-Uni (R.-U.).

À cet effet, voici un billet de Martin Lipton*, paru sur le site de Harvard Law School Forum on Corporate Governance, qui présente un aperçu des points saillants.

Bonne lecture !

 

The Financial Reporting Council today [July 16, 2018] issued a revised corporate governance code and announced that a revised investor stewardship code will be issued before year-end. The code and related materials are available at www.frc.org.uk.

The revised code contains two provisions that will be of great interest. They will undoubtedly be relied upon in efforts to update the various U.S. corporate governance codes. They will also be used to further the efforts to expand the sustainability and stakeholder concerns of U.S. boards.

First, the introduction to the code makes note that shareholder primacy needs to be moderated and that the concept of the “purpose” of the corporation, as long put forth in the U.K. by Colin Mayer and recently popularized in the U.S. by Larry Fink in his 2018 letter to CEO’s, is the guiding principle for the revised code:

Companies do not exist in isolation. Successful and sustainable businesses underpin our economy and society by providing employment and creating prosperity. To succeed in the long-term, directors and the companies they lead need to build and maintain successful relationships with a wide range of stakeholders. These relationships will be successful and enduring if they are based on respect, trust and mutual benefit. Accordingly, a company’s culture should promote integrity and openness, value diversity and be responsive to the views of shareholders and wider stakeholders.

Second, the code provides that the board is responsible for policies and practices which reinforce a healthy culture and that the board should engage:

with the workforce through one, or a combination, of a director appointed from the workforce, a formal workforce advisory panel and a designated non-executive director, or other arrangements which meet the circumstances of the company and the workforce.

It will be interesting to see how this provision will be implemented and whether it gains any traction in the U.S.

 

 

The UK Corporate Governance Code

 

Résultats de recherche d'images pour « UK Corporate Governance Code 2018 »

Martin Lipton* is a founding partner of Wachtell, Lipton, Rosen & Katz, specializing in mergers and acquisitions and matters affecting corporate policy and strategy. This post is based on a Wachtell Lipton memorandum by Mr. Lipton.

Comment un CA peut-il utiliser la technologie pour conserver son avantage concurrentiel ?


Maggie McGhee* a publié un très bon article sur l’importance croissante d’une solide connaissance des administrateurs eu égard aux perspectives offertes par les nouvelles technologies.

C’est la seule façon de s’assurer de développer ou de maintenir un avantage concurrentiel. L’article est paru sur le site de Board Agenda du 5 juillet 2018.

L’utilisation de nouvelles technologies peut varier d’une entreprise à une autre, mais aucune organisation ne peut se priver de questionner son modèle d’affaires afin de tenir compte des changements de paradigme.

L’auteure fait donc un rappel crucial aux administrateurs. De nouvelles compétences sont requises sur le Board !

Je vous invite également à lire un article, en français, sur les 10 nouvelles technologies qui ont marqué l’année 2017.

Enfin, je vous rappelle que cet article peut être traduit en français instantanément (vous n’avez qu’à cliquer sur le premier symbole dans la partie supérieure droite du navigateur Chrome de Google). La traduction est très acceptable pour une bonne compréhension de l’article pour ceux qui ont moins de facilité avec l’anglais.

Bonne lecture !

 

How boards can use technology to retain a competitive edge

 

Knowledge and skills in the boardroom must evolve with the risks and opportunities presented by technology—as well as its associated data—if companies are to remain competitive.

 

Résultats de recherche d'images pour « technologie »

 

For many organisations, embracing technology can be the difference between remaining relevant in their market, and being disrupted by new entrants. It represents a significant, and often the leading, business risk that boards need to address.

At the same time, by being proactive in their approach towards technology, boards may profit from what others see merely as threats. But what skills does the board need in order to provide such effective oversight, while being strategic?

In the need to remain relevant to customers and stakeholders, organisations are recognising that it is essential to adapt and embrace the opportunities that are created. Technology itself is an enabler, but it is never the solution, nor the sole driver.

 

Impact of technology

 

In our report, The Race for Relevance, we consider six technologies that are directly impacting the finance function alone. There are significantly more technologies that impact organisations as a whole.

As customer “stickiness” becomes a key tool in growth, organisations are starting to recognise the value of data created by the technologies that they own. It is an asset that is increasingly important, yet is also vulnerable to attack. Regulatory regimes are changing in order to address this. The upcoming implementation of the General Data Protection Regulation (GDPR) in May 2018, which focuses on personal data held in the EU, is one such example.

For many organisations, technology and the data generated by it present a significant business opportunity and risk—one which deserves appropriate board-level attention. So what role should the board play in assessing the use of technology and data?

 

Insight and guidance

 

The board needs to have the capability to provide insight and guidance in a number of areas. First, in the role of technology to deliver the business strategy, and whether advantage is being taken of emerging technologies.

Then there is the appraisal of technology investments, whether they are to support growth and commercial advantage, or to protect assets.

Boards must also evaluate the data strategy of the organisation by assessing whether the financial and non-financial data used to report against strategic objectives is appropriate.

Next, the board should consider the appropriateness of the organisation’s strategies to protect existing assets and information from unauthorised access or malicious attack.

They should also appraise whether the assessments of the critically held data are appropriate, and understand how data flows in an organisation comply with legal and regulatory requirements.

Assessing the risks arising from the use of technology, and how these are monitored through the organisation’s enterprise risk-management framework and internal control structures, is also a priority.

Lastly, boards should consider whether appropriate recovery plans are in place to manage the consequences of business disruption—including the management of technology and data assets.

 

The right skills

 

In discharging their responsibilities, boards should ask whether they have the skills within their membership to assess and advise appropriately.

This responsibility can be done in one of two ways. The first is by ensuring that at least one board member has direct experience of technology in the context of the industry in which the organisation operates. Having experience of addressing the risks of projects and protecting assets is invaluable, especially in those sectors where there is a high dependency on technology.

Or as an alternative, it can be done by ensuring the board has access to those with the requisite experience to advise on the risks. These may be internal experts or third parties.

Technology is an issue that cannot be ignored by boards. While not every board member needs to be fully technology-literate, it is important that all members can appreciate where it is used to create and sustain commercial advantage.

Equally, it is important that the board takes the lead in communicating across the organisation the risk and opportunity associated with technology. Without a shared understanding of the organisation’s approach to the use of technology, it will be practically impossible to roll out a consistent approach effectively.

Technology will continue to develop and provide new opportunities. Risks will continue to evolve. Commercial strategies will change as a result.

Boards need to embrace all of this if they are to remain relevant.

Maggie McGhee* is director of professional insights at ACCA (the Association of Chartered Certified Accountants).

La gouvernance des grandes institutions bancaires européennes au cours des dix années qui ont suivi la crise financière des 2008


Voici un article publié par Lisa Andersson*, directrice de la recherche à Aktis et Stilpon Nestor, paru sur le site du Forum de Harvard Law School, qui brosse un portrait de l’évolution de la gouvernance des grandes institutions bancaires européennes au cours des dix années qui ont suivi la crise financière des 2008.

Je vous invite à prendre connaissance de ce document illustré d’infographies très éclairantes. J’ai reproduit, ci-dessous, l’introduction à l’article.

Si vous avez un intérêt pour la gouvernance dans le milieu bancaire, cet article est pour vous.

Bonne lecture ! Vos commentaires sont les bienvenus.

 

Governance of the 25 Largest European Banks a Decade After the Crisis

 

 

Résultats de recherche d'images pour « gouvernance bancaire européenne »

 

 

This summer marked the 10-year anniversary of the start of the global financial crisis. Over the 18 months following August 2007, several bank collapses in the United States, Germany and Britain, culminating with the demise of Lehman Brothers in September 2008 shook the financial system to its core. The interconnectivity of the world’s financial system meant that the repercussions would be felt globally, and on a monumental scale. The US Department of the Treasury has estimated that total household wealth would lose some $19.2 trillion following a publicly-funded government bailout program. Over the last decade governments, regulators, banks and their investors have revamped the financial system and its supervision in order to recover the public subsidy and prevent a similar crash from happening again.

In Europe, politicians and regulators at both the national and European level abandoned the path of deregulation and dramatically increased regulatory requirements and the scope of prudential supervision with an unparalleled focus on governance. The Capital Requirements Directive IV (CRD IV) and the ensuing European Banking Authority (EBA) and European Central Bank (ECB) guidance implied stricter suitability reviews for board members and senior management, along with individual responsibility and in some cases criminal liability of non-executive directors (“NEDs”), as well as strict limits on variable remuneration. Higher regulatory requirements were compounded by the creation of a single supervisor for all systemic Eurozone banks. In many countries, especially the smaller ones, familiarity with supervisors usually allow a larger margin of forbearance and greater tolerance in assuming local sovereign risk. This has since disappeared. New rules and stricter oversight practices in the financial industry have translated into higher governance requirements and expectations for European banks’ boards of directors and senior management. So how do the boards and management committees of the top European banks measure up to their former selves? Data from the 25 largest listed banks [1] in Europe shows that boards today are smaller, work harder, and have a higher level of expertise than a decade ago.

While board sizes are getting smaller, the number of committees supporting the board has consistently grown over the years. This is in part driven by the mandatory separation of the audit and risk committee into two separate committees, but also by a general trend towards establishing more and more committees focusing on regulatory and compliance issues, as well as bank culture, conduct and reputation.

On average, 86% of board membership has been refreshed post-crisis. New board members brought with them greater independence, banking experience and general financial expertise among NEDs, as well as an improved gender balance on the board. In fact, women now comprise on average 34% of top European banks’ board membership, a development largely driven by national initiatives. Another significant change since 2007 is the fact that all the bank boards in the group now conduct regular assessments of the effectiveness of the board, a Capital Requirements Directive IV (CRD IV) requirement. The disclosure of this process has also improved significantly, with 48% of banks now disclosing specific challenges identified and actions taken to address these.

The role of a bank NED has evolved post-crisis. With increased scrutiny, boards of financial institutions are now required to adopt a more hands-on approach, requiring a greater time-commitment by their non-executive directors. On average, the workload per director has increased by over 30% compared to pre-crisis levels.

In contrast to the board, the size of management committees has grown in recent years. The top management committee now tend to include more heads of functions, reflected by the increased presence of the Chief Risk Officer, Head of Compliance and Head of Legal. Despite the positive development of a better gender balance on the board of directors, the number of women on the highest management committee has not increased significantly over the last ten years. This may suggest that the “top-down” approach of board quotas adopted in many European countries might be less than effective in promoting gender equality.

*Lisa Andersson is Head of Research of Aktis and Stilpon Nestor is Managing Director and Senior Advisor at Nestor Advisors. This post is based on their recent Nestor Advisors/Aktis publication.

 

Conséquences à la non-divulgation d’une cyberattaque majeure


Quelles sont les conséquences de ne pas divulguer une intrusion importante du système de sécurité informatique ?

Les auteurs, Matthew C. Solomon* et Pamela L. Marcogliese, dans un billet publié sur le forum du HLS, ont étudié de près la situation des manquements à la sécurité informatique de Yahoo et ils nous présentent les conséquences de la non-divulgation d’attaques cybernétiques et de bris à la sécurité des informations des clients.

Ils exposent le cas très clairement, puis ils s’attardent aux modalités des arrangements financiers avec la Securities and Exchange Commission (SEC). 

Comme ce sont des événements susceptibles de se produire de plus en plus, il importe que les entreprises soient bien au fait de ce qui les attend en cas de violation des obligations de divulgation.

Les auteurs font les cinq (5) constats suivants eu égard à la situation vécue par Yahoo :

 

— First, public companies should take seriously the SEC’s repeated warnings that one of its top priorities is ensuring that public companies meet their obligations to adequately disclose material cybersecurity incidents and risks. This requires regular assessment of cyber incidents and risks in light of the company’s disclosures, with the assistance of outside counsel and auditors as appropriate, and ensuring that there are adequate disclosure controls in place for such incidents and risks.

— Second, the SEC’s recently released interpretive guidance on cybersecurity disclosure is an important guidepost for all companies with such disclosure obligations. The guidance specifically cited the fact that the SEC views disclosure that a company is subject to future cybersecurity attacks as inadequate if the company had already suffered such incidents. Notably, the Yahoo settlement specifically faulted the company for this precise inadequacy in its disclosures. Similarly, the recent guidance encouraged companies to adopt comprehensive policies and procedures related to cybersecurity and to assess their compliance regularly, including the sufficiency of their disclosure controls and procedures as they relate to cybersecurity disclosure. The Yahoo settlement also found that the company had inadequate such controls.

— Third, at the same time the SEC announced the settlement, it took care to emphasize that “[w]e do not second-guess good faith exercises of judgment about cyber-incident disclosure.” [7] The SEC went on to note that Yahoo failed to meet this standard with respect to the 2014 Breach, but by articulating a “good faith” standard the SEC likely meant to send a message to the broader market that it is not seeking to penalize companies that make reasonable efforts to meet their cyber disclosure obligations.

— Fourth, it is also notable that the SEC charges did not include allegations that Yahoo violated securities laws with respect to the 2013 Breach. Yahoo had promptly disclosed the 2013 Breach after learning about it in late 2016, but updated its disclosure almost a year later with significant new information about the scope of the breach. The SEC’s recent guidance indicated that it was mindful that some material facts may not be available at the time of the initial disclosure, as was apparently the case with respect to the 2013 Breach. [8] At the same time, the SEC cautioned that “an ongoing internal or external investigation – which often can be lengthy – would not on its own provide a basis for avoiding disclosures of a material cybersecurity incident.” [9]

— Finally, it is worth noting that the Commission did not insist on settlements with any individuals. Companies, of course, can only commit securities violations through the actions of their employees. While it is not unusual for the Commission to settle entity-only cases on a “collective negligence” theory, the SEC Chair and the Enforcement Division’s leadership have emphasized the need to hold individuals accountable in order to maximize the deterrent impact of SEC actions. [10]

 

Bonne lecture !

 

Failure to Disclose a Cybersecurity Breach

 

 

Résultats de recherche d'images pour « yahoo data breach »

 

 

On April 24, 2018, Altaba, formerly known as Yahoo, entered into a settlement with the Securities and Exchange Commission (the “SEC”), pursuant to which Altaba agreed to pay $35 million to resolve allegations that Yahoo violated federal securities laws in connection with the disclosure of the 2014 data breach of its user database. The case represents the first time a public company has been charged by the SEC for failing to adequately disclose a cyber breach, an area that is expected to face continued heightened scrutiny as enforcement authorities and the public are increasingly focused on the actions taken by companies in response to such incidents. Altaba’s settlement with the SEC, coming on the heels of its agreement to pay $80 million to civil class action plaintiffs alleging similar disclosure violations, underscores the increasing potential legal exposure for companies based on failing to properly disclose cybersecurity risks and incidents.

Background

As alleged, Yahoo learned in late 2014 that it had recently suffered a data breach affecting over 500 million user accounts (the “2014 Breach”). Yahoo did not disclose the 2014 Breach until September 2016. During the time period Yahoo was aware of the undisclosed breach, it entered into negotiations to be acquired by Verizon and finalized a stock purchase agreement in July 2016, two months prior to the disclosure of the 2014 Breach. Following the disclosure in September 2016, Yahoo’s stock price dropped 3% and it later renegotiated the stock purchase agreement to reduce the price paid for Yahoo’s operating business by $350 million.

In or about late 2016, following its disclosure of the 2014 Breach, Yahoo learned about a separate breach that had taken place in August 2013 and promptly announced that such breach had affected 1 billion users (the “2013 Breach”). In October 2017, Yahoo updated its disclosure concerning the 2013 Breach, announcing that it now believed that all 3 billion of its accounts had been affected.

The Settlement

Altaba’s SEC settlement centered on the 2014 Breach only. The SEC found that despite learning of the 2014 Breach in late 2014—which resulted in the theft of as many as 500 million of its users’ Yahoo usernames, email addresses, telephone numbers, dates of birth, hashed passwords, and security questions and answers, referred to internally as Yahoo’s “crown jewels”— Yahoo failed to timely disclose the material cybersecurity incident in any of its public securities filings until September 2016. Although Yahoo senior management and relevant legal staff were made aware of the 2014 Breach, according to the SEC, they “did not properly assess the scope, business impact, or legal implications of the breach, including how and where the breach should have been disclosed in Yahoo’s public filings or whether the fact of the breach rendered, or would render, any statements made by Yahoo in its public filings misleading.” [1] The SEC also faulted Yahoo’s senior management and legal staff because they “did not share information regarding the breach with Yahoo’s auditors or outside counsel in order to assess the company’s disclosure obligations in its public filings.” [2]

Among other things, the SEC found that Yahoo’s risk factor disclosures in its annual and quarterly reports from 2014 through 2016 were materially misleading in that they claimed the company only faced the risk of potential future data breaches, without disclosing that “a massive data breach” had in fact already occurred. [3]

The SEC also alleged that Yahoo management’s discussion and analysis of financial condition and results of operations (“MD&A”) in those reports was also misleading to the extent it omitted known trends or uncertainties with regard to liquidity or net revenue presented by the 2014 Breach. [4]Finally, the SEC further found that Yahoo did not maintain adequate disclosure controls and procedures designed to ensure that reports from Yahoo’s information security team raising actual incidents of the theft of user data, or the significant risk of theft of user data, were properly and timely assessed to determine how and where data breaches should be disclosed in Yahoo’s public filings. [5]

Based on these allegations, the SEC found that Yahoo violated Sections 17(a)(2) and 17(a)(3) of the Securities Act and Section 13(a) of the Securities Exchange Act. [6] To settle the charges, Altaba, without admitting or denying liability, agreed to cease and desist from any further violations of the federal securities laws and pay a civil penalty of $35 million.

Takeaways

There are several important takeaways from the settlement:

— First, public companies should take seriously the SEC’s repeated warnings that one of its top priorities is ensuring that public companies meet their obligations to adequately disclose material cybersecurity incidents and risks. This requires regular assessment of cyber incidents and risks in light of the company’s disclosures, with the assistance of outside counsel and auditors as appropriate, and ensuring that there are adequate disclosure controls in place for such incidents and risks.

— Second, the SEC’s recently released interpretive guidance on cybersecurity disclosure is an important guidepost for all companies with such disclosure obligations. The guidance specifically cited the fact that the SEC views disclosure that a company is subject to future cybersecurity attacks as inadequate if the company had already suffered such incidents. Notably, the Yahoo settlement specifically faulted the company for this precise inadequacy in its disclosures. Similarly, the recent guidance encouraged companies to adopt comprehensive policies and procedures related to cybersecurity and to assess their compliance regularly, including the sufficiency of their disclosure controls and procedures as they relate to cybersecurity disclosure. The Yahoo settlement also found that the company had inadequate such controls.

— Third, at the same time the SEC announced the settlement, it took care to emphasize that “[w]e do not second-guess good faith exercises of judgment about cyber-incident disclosure.” [7] The SEC went on to note that Yahoo failed to meet this standard with respect to the 2014 Breach, but by articulating a “good faith” standard the SEC likely meant to send a message to the broader market that it is not seeking to penalize companies that make reasonable efforts to meet their cyber disclosure obligations.

— Fourth, it is also notable that the SEC charges did not include allegations that Yahoo violated securities laws with respect to the 2013 Breach. Yahoo had promptly disclosed the 2013 Breach after learning about it in late 2016, but updated its disclosure almost a year later with significant new information about the scope of the breach. The SEC’s recent guidance indicated that it was mindful that some material facts may not be available at the time of the initial disclosure, as was apparently the case with respect to the 2013 Breach. [8] At the same time, the SEC cautioned that “an ongoing internal or external investigation – which often can be lengthy – would not on its own provide a basis for avoiding disclosures of a material cybersecurity incident.” [9]

— Finally, it is worth noting that the Commission did not insist on settlements with any individuals. Companies, of course, can only commit securities violations through the actions of their employees. While it is not unusual for the Commission to settle entity-only cases on a “collective negligence” theory, the SEC Chair and the Enforcement Division’s leadership have emphasized the need to hold individuals accountable in order to maximize the deterrent impact of SEC actions. [10]

_________________________________________________________________________

Endnotes

1Altaba Inc., f/d/b/a Yahoo! Inc., Securities Act Release No. 10485, Exchange Act Release No. 83096, Accounting and Auditing Enforcement Release No. 3937, Administrative Proceeding File No. 3937 (Apr. 24, 2018) at ¶ 14.(go back)

2Idat ¶ 15.(go back)

3Idat ¶¶ 2, 16.(go back)

4Id.(go back)

5Idat ¶ 15.(go back)

6Idat ¶¶ 22-23.(go back)

7Press Release, SEC, Altaba, Formerly Known As Yahoo!, Charged With Failing to Disclose Massive Cybersecurity Breach; Agrees To Pay $35 Million (Apr. 24, 2018), https://www.sec.gov/news/press-release/2018-71.(go back)

8As we have previously discussed, the federal securities laws do not impose a general affirmative duty on public companies to continuously disclose material information and, as acknowledged in Footnote 37 of the interpretive guidance, circuits are split on whether a duty to update exists. However, in circuits where a duty to update has been found to exist, a distinction has often been drawn between statements of a policy nature that are within the company’s control and statements describing then current facts that would be expected to change over time. The former have been held subject to a duty to update while the latter have not. See In re Advanta Corp. Securities Litigation, 180 F.3d 525, 536 (3d Cir. 1997) (“[T]he voluntary disclosure of an ordinary earnings forecast does not trigger any duty to update.”); In re Burlington Coat Factory Securities Litigation, 114 F.3d 1410, 1433 (3d Cir. 1997); In re Duane Reade Inc. Securities Litigation, No. 02 Civ. 6478 (NRB), 2003 WL 22801416, at *7 (S.D.N.Y. Nov. 25, 2003), aff’d sub nom. Nardoff v. Duane Reade, Inc., 107 F. App’x 250 (2d Cir. 2004) (“‘company has no duty to update forward–looking statements merely because changing circumstances have proven them wrong.’”).(go back)

9See SEC, Commission Statement and Guidance on Public Company Cybersecurity Disclosures, 83 Fed. Reg 8166, 8169 (Feb. 26, 2018), https://www.federalregister.gov/documents/2018/02/26/2018-03858/commission-statement-and-guidance-on-public- company-cybersecurity-disclosures.(go back)

10See, e.g., Steven R. Peikin, Co-Director, Div. Enf’t., SEC, Reflections on the Past, Present, and Future of the SEC’s Enforcement of the Foreign Corrupt Practices Act, Keynote Address at N.Y.U. Program on Corporate Law and Enforcement Conference: No Turning Back: 40 Years of the FCAP and 20 Years of the OECD Anti-Bribery Convention Impacts, Achievements, and Future Challenges (Nov. 9, 2017), https://www.sec.gov/news/speech/speech-peikin2017-11-09;
SEC Div. Enf’t., Annual Report A Look Back at Fiscal Year 2017, at 2 (Nov. 15, 2017), https://www.sec.gov/files/enforcement-annual-report2017.pdf.(go back)

_______________________________________________________________________

*Matthew C. Solomon and Pamela L. Marcogliese are partners and Rahul Mukhi is counsel at Cleary Gottlieb Steen & Hamilton LLP. This post is based on a Cleary Gottlieb publication by Mr. Solomon, Ms. Marcogliese, Ms. Mukhi, and Kal Blassberger.

La bonne gouvernance est associée au rendement selon une étude | Le Temps.ch


Aujourd’hui, je partage avec vous un article publié dans le magazine suisse Le Temps.ch qui présente les résultats d’une recherche sur la bonne gouvernance des caisses de retraite en lien avec les recommandations des fonds de placement tels que BlackRock.

L’auteur, Emmanuel Garessus, montre que même si le lien entre la performance des sociétés et la bonne gouvernance semble bien établi, les caisses de retraite faisant l’objet de la recherche ont des indices de gouvernance assez dissemblables. L’étude montre que les caisses ayant des indices de gouvernance faibles ont des rendements plus modestes en comparaison avec les indices de référence retenus.

Également, il ressort de cette étude que c’était surtout la prédominance de la gestion des risques qui était associée à la performance des caisses de retraite.

Comme le dit Christian Ehmann, spécialisé dans la sélection de fonds de placement auprès de Safra Sarasin, « la gouvernance n’est pas une cause de surperformance, mais il existe un lien direct entre les deux ».

Encore une fois, il appert que BlackRock défend les petits épargnants-investisseurs en proposant des normes de gouvernance uniformisées s’appliquant au monde des entreprises cotées en bourses.

J’ai reproduit l’article en français ci-dessous afin que vous puissiez bien saisir l’objet de l’étude et ses conclusions.

Bonne lecture ! Vos commentaires sont les bienvenus.

 

BlackRock contre Facebook, un combat de géants

 

 

Résultats de recherche d'images pour « le temps »

 

 

Résultats de recherche d'images pour « gouvernance »

 

 

Le principe de gouvernance selon lequel une action donne droit à une voix en assemblée générale est bafoué par de très nombreuses sociétés, surtout technologiques, au premier rang desquelles on trouve Facebook, Snap, Dropbox et Google. BlackRock, le plus grand groupe de fonds de placement du monde, demande aux autorités d’intervenir et de présenter des standards minimaux, indique le Financial Times.

Le groupe dont Philipp Hildebrand est vice-président préfère un appel à l’Etat plutôt que de laisser les fournisseurs d’indices (MSCI, Dow Jones, etc.) modifier la composition des indices en y intégrant divers critères d’exclusion. Barbara Novick, vice-présidente de BlackRock, a envoyé une lettre à Baer Pettit, président de MSCI, afin de l’informer de son désir de mettre de l’ordre dans les structures de capital des sociétés cotées.

 

Mark Zuckerberg détient 60% des droits de vote

 

De nombreuses sociétés ont deux catégories d’actions donnant droit à un nombre distinct de droits de vote. Les titres Facebook de la classe B ont par exemple dix fois plus de droits de vote que ceux de la classe A. Mark Zuckerberg, grâce à ses actions de classe B (dont il détient 75% du total), est assuré d’avoir 60% des droits de vote du groupe. A la suite du dernier scandale lié à Cambridge Analytica, le fondateur du réseau social ne court donc aucun risque d’être mis à la porte, explique Business Insider. L’intervention de BlackRock n’empêche pas l’un de ses fonds (Global Allocation Fund) d’avoir probablement accumulé des titres Facebook après sa correction de mars, selon Reuters, pour l’intégrer dans ses dix principales positions.

Cette structure du capital répartie en plusieurs catégories d’actions permet à un groupe d’actionnaires, généralement les fondateurs, de contrôler la société avec un minimum d’actions. Les titres ayant moins ou pas de droit de vote augmentent de valeur si la société se développe bien, mais leurs détenteurs ont moins de poids en assemblée générale. Les sociétés qui disposent d’une double catégorie de titres la justifient par le besoin de se soustraire aux réactions à court terme du marché boursier et de rester ainsi concentrés sur les objectifs à long terme. Ce sont souvent des sociétés technologiques.

Facebook respecte très imparfaitement les principes de bonne conduite en matière de gouvernance. Mark Zuckerberg, 33 ans, est en effet à la fois président du conseil d’administration et président de la direction générale. Ce n’est pas optimal puisque, en tant que président, il se contrôle lui-même. Sa rémunération est également inhabituelle. Sur les 8,9 millions de dollars de rémunération, 83% sont liés à ses frais de sécurité et le reste presque entièrement à l’utilisation d’un avion privé (son salaire est de 1 dollar et son bonus nul).

 

Quand BlackRock défend le petit épargnant

 

Le site de prévoyance IPE indique que le fonds de pension suédois AP7, l’un des plus grands actionnaires du réseau social, est parvenu l’an dernier à empêcher l’émission d’une troisième catégorie de titres Facebook. Cette dernière classe d’actions n’aurait offert aucun droit de vote. Une telle décision, si elle avait été menée à bien, aurait coûté 10 milliards de dollars à AP7. Finalement Facebook a renoncé.

BlackRock prend la défense du petit investisseur. Il est leader de la gestion indicielle et des ETF et ses produits restent investis à long terme dans tous les titres composant un indice. Il préfère influer sur la gouvernance par ses prises de position que de vendre le titre. Le plus grand groupe de fonds de placement du monde demande aux autorités de réglementation d’établir des standards de gouvernance en collaboration avec les sociétés de bourse plutôt que de s’en remettre aux fournisseurs d’indices comme MSCI.

La création de plusieurs classes d’actions peut être justifiée par des start-up en forte croissance dont les fondateurs ne veulent pas diluer leur pouvoir. BlackRock reconnaît ce besoin spécifique aux start-up en forte croissance, mais le gérant estime que «ce n’est acceptable que durant une phase transitoire. Ce n’est pas une situation durable.»

Le géant des fonds de placement aimerait que les producteurs d’indices soutiennent sa démarche et créent des «indices alternatifs» afin d’accroître la transparence et de réduire l’exposition aux sociétés avec plusieurs catégories de titres. L’initiative de BlackRock est également appuyée par George Dallas, responsable auprès du puissant International Corporate Governance Network (ICGN).

La gouvernance des «bonnes caisses de pension»

 

La recherche économique a largement démontré l’impact positif d’une bonne gouvernance sur la performance d’une entreprise. Mais presque tout reste à faire en matière de fonds de placement et de caisses de pension.

«La gouvernance n’est pas une cause de surperformance, mais il existe un lien direct entre les deux. Les caisses de pension qui appartiennent au meilleur quart en termes de bonne gouvernance présentent une surperformance de 1% par année par rapport au moins bon quart», explique Christian Ehmann, spécialisé dans la sélection de fonds de placement auprès de Safra Sarasin, lors d’une présentation organisée par la CFA Society Switzerland, à Zurich.

Ce dernier est avec le professeur Manuel Ammann coauteur d’une étude sur la gouvernance et la performance au sein des caisses de pension suisses (Is Governance Related to Investment Performance and Asset Allocation?, Université de Saint-Gall, 2016). «Le travail sur cette étude m’a amené à porter une attention particulière à la gouvernance des fonds de placement dans mon travail quotidien», déclare Christian Ehmann. Son regard porte notamment sur la structure de l’équipe de gestion, son organisation et son système de gestion des risques. «Je m’intéresse par exemple à la politique de l’équipe de gérants en cas de catastrophe», indique-t-il.

Claire surperformance

 

L’étude réalisée sur 139 caisses de pension suisses, représentant 43% des actifs gérés, consiste à noter objectivement la qualité de la gouvernance et à définir le lien avec la performance de gestion. L’analyse détaille les questions de gouvernance en fonction de six catégories, de la gestion du risque à la transparence des informations en passant par le système d’incitations, l’objectif et la stratégie d’investissement ainsi que les processus de placement. Sur un maximum de 60 points, la moyenne a été de 21 (plus bas de 10 et plus haut de 50). La dispersion est donc très forte entre les caisses de pension. Certaines institutions de prévoyance ne disposent par exemple d’aucun système de gestion du risque.

Les auteurs ont mesuré la performance sur trois ans (2010 à 2012), le rendement relatif par rapport à l’indice de référence et l’écart de rendement par rapport au rendement sans risque (ratio de Sharpe). Toutes ces mesures confirment le lien positif entre la gouvernance et la performance (gain de 2,7 points de base par point de gouvernance). Les moteurs de surperformance proviennent clairement de la gestion du risque et du critère portant sur les objectifs et la stratégie d’investissement. Les auteurs constatent aussi que même les meilleurs, en termes de gouvernance, sous-performent leur indice de référence.

La deuxième étape de la recherche portait sur l’existence ou non d’une relation entre le degré de gouvernance et l’allocation des actifs. Ce lien n’a pas pu être établi.

Les responsabilités des administrateurs eu égard à la gestion des risques


Les administrateurs de sociétés doivent apporter une attention spéciale à la gestion des risques telle qu’elle est mise en œuvre par les dirigeants des entreprises.

Les préoccupations des fiduciaires pour la gestion des risques, quoique fondamentales, sont relativement récentes, et les administrateurs ne savent souvent pas comment aborder cette question.

L’article présenté, ci-dessous, est le fruit d’une recherche de Martin Lipton, fondateur de la firme Wachtell, Lipton, Rosen & Katz, spécialisée dans les fusions et acquisitions ainsi que dans les affaires de gouvernance.

L’auteur et ses collaborateurs ont produit un guide des pratiques exemplaires en matière de gestion des risques. Cet article de fond s’adresse aux administrateurs et touche aux éléments-clés de la gestion des risques :

(1) la distinction entre la supervision des risques et la gestion des risques ;

(2) les leçons que l’on doit tirer de la supervision des risques à Wells Fargo ;

(3) l’importance accordée par les investisseurs institutionnels aux questions des risques ;

(4) « tone at the top » et culture organisationnelle ;

(5) les devoirs fiduciaires, les contraintes réglementaires et les meilleures pratiques ;

(6) quelques recommandations spécifiques pour améliorer la supervision des risques ;

(7) les programmes de conformité juridiques ;

(8) les considérations touchant les questions de cybersécurité ;

(9) quelques facettes se rapportant aux risques environnementaux, sociaux et de gouvernance ;

(10) l’anticipation des risques futurs.

 

Voici donc l’introduction de l’article. Je vous invite à prendre connaissance de l’article au complet.

Bonne lecture !

 

Risk Management and the Board of Directors

 

Résultats de recherche d'images pour « Gestion des risques et administrateurs de sociétés »

 

Overview

The past year has seen continued evolution in the political, legal and economic arenas as technological change accelerates. Innovation, new business models, dealmaking and rapidly evolving technologies are transforming competitive and industry landscapes and impacting companies’ strategic plans and prospects for sustainable, long-term value creation. Tax reform has created new opportunities and challenges for companies too. Meanwhile, the severe consequences that can flow from misconduct within an organization serve as a reminder that corporate operations are fraught with risk. Social and environmental issues, including heightened focus on income inequality and economic disparities, scrutiny of sexual misconduct issues and evolving views on climate change and natural disasters, have taken on a new salience in the public sphere, requiring companies to exercise utmost care to address legitimate issues and avoid public relations crises and liability.

Corporate risk taking and the monitoring of corporate risk remain prominently top of mind for boards of directors, investors, legislators and the media. Major institutional shareholders and proxy advisory firms increasingly evaluate risk oversight matters when considering withhold votes in uncontested director elections and routinely engage companies on risk-related topics. This focus on risk management has also led to increased scrutiny of compensation arrangements throughout the organization that have the potential for incentivizing excessive risk taking. Risk management is no longer simply a business and operational responsibility of management. It has also become a governance issue that is squarely within the oversight responsibility of the board. This post highlights a number of issues that have remained critical over the years and provides an update to reflect emerging and recent developments. Key topics addressed in this post include:

the distinction between risk oversight and risk management;

a lesson from Wells Fargo on risk oversight;

the strong institutional investor focus on risk matters;

tone at the top and corporate culture;

fiduciary duties, legal and regulatory frameworks and third-party guidance on best practices;

specific recommendations for improving risk oversight;

legal compliance programs;

special considerations regarding cybersecurity matters;

special considerations pertaining to environmental, social and governance (ESG) risks; and

anticipating future risks.

Comment présenter ses arguments lors d’une AGA dont les membres sont considérés comme réfractaires à une position du conseil ? | Un cas de communication


Aujourd’hui, je partage avec vous un cas publié sur le site de Julie Garland McLellan qui demande beaucoup d’analyse, de stratégie et de jugement.

Dans ce cas, Xandra, la présidente du comité d’audit d’une petite association professionnelle, propose une solution courageuse afin de mettre un terme au déclin du membership de l’organisation : une diminution des frais de cotisation en échange d’une hausse des frais de service et des frais associés à la formation.

La proposition a été jugée inéquitable par les membres, qui ont soulevé leur grande désapprobation, en la condamnant sur les réseaux sociaux.

Plusieurs membres insistent pour que cette décision soit mise au vote lors de l’AGA, et que le PDG soit démis de ses fonctions.

Étant donné que les règlements internes de l’organisation ne permettent pas aux membres de voter sur ces questions en assemblée générale (puisque c’est une prérogative du CA), le président du conseil demande à Xandra de préparer une défense pour le rejet de la requête.

Xandra est cependant consciente que la stratégie de communication arrêtée devra faire l’objet d’une analyse judicieuse afin de ne pas mettre la survie de l’organisation en danger.

Comment la responsable doit-elle procéder pour présenter une argumentation convaincante ?

La situation est exposée de manière assez synthétique ; puis, trois experts se prononcent sur le dilemme que vit Xandra.

Je vous invite donc à prendre connaissance de ces avis, en cliquant sur le lien ci-dessous, et me faire part vos commentaires.

Bonne lecture !

 

Communication des propositions du conseil lors des AGA réfractaires

 

 

This month our case study investigates the options for a board to respond to shareholders who know that they want something but don’t quite know how to get it. I hope you enjoy thinking about the governance and strategic implications of this dilemma:

Xandra chairs the audit committee of a small professional association. She has a strong working relationship with the chair and CEO who are implementing a strategic reform based on ‘user pays services’ to redress a fall in membership numbers and hence revenue. The strategy bravely introduced a reduced membership fee compensated by charges for advisory services and an increase in the cost of member events and education.

Some members felt that this was unfair as they used more services than others and would now pay a higher total amount each year. They have voiced their concerns through the company’s Facebook page and in an ‘open’ letter addressed to the board. In the letter they have said that they want to put a motion to the next AGM asking for a vote on the new pricing strategy and for the CEO to be dismissed. They copied the letter to a journalist in a national paper. The journalist has not contacted the company for comment or published the letter.

The CEO has checked the bylaws and the open letter does not meet the technical requirements for requisitioning a motion (indeed the authors seem to have confused their right to requisition an EGM with the right of members to speak at the AGM and ask questions of the board and auditor).

As the only person qualified in directorship on the association board, the Chair has asked Xandra « how can we push back against this request? »

Xandra is not sure that it is wise to rebuff a clear request for engagement with the members on an issue that is important for the survival of their association. She agrees that putting a motion to a members’ meeting could be dangerous. She also agrees that the matter needs to be handled sensitively and away from emotive online fora where passions are running unexpectedly high

How should she advise her chair?

Enjeux clés concernant les membres des comités d’audit | KPMG


Le récent rapport de KPMG sur les grandes tendances en audit présente sept défis que les membres des CA, notamment les membres des comités d’audit, doivent considérer afin de bien s’acquitter de leurs responsabilités dans la gouvernance des sociétés.

Le rapport a été rédigé par des professionnels en audit de la firme KPMG ainsi que par le Conference Board du Canada.

Les sept défis abordés dans le rapport sont les suivants :

– talent et capital humain ;

– technologie et cybersécurité ;

– perturbation des modèles d’affaires ;

– paysage réglementaire en évolution ;

– incertitude politique et économique ;

– évolution des attentes en matière de présentation de l’information ;

– environnement et changements climatiques.

Je vous invite à consulter le rapport complet ci-dessous pour de plus amples informations sur chaque enjeu.

Bonne lecture !

 

Tendances en audit

 

 

Résultats de recherche d'images pour « tendances en audit »

 

 

Alors que l’innovation technologique et la cybersécurité continuent d’avoir un impact croissant sur le monde des finances et des affaires à l’échelle mondiale, tant les comités d’audit que les chefs des finances reconnaissent le besoin de compter sur des talents de haut calibre pour contribuer à affronter ces défis et à en tirer parti.

Le rôle du comité d’audit est de s’assurer que l’organisation dispose des bonnes personnes possédant l’expérience et les connaissances requises, tant au niveau de la gestion et des opérations qu’au sein même de sa constitution. Il ne s’agit que de l’un des nombreux défis à avoir fait surface dans le cadre de ce troisième numéro du rapport Tendances en audit.

Les comités d’audit d’aujourd’hui ont la responsabilité d’aider les organisations à s’orienter parmi les nombreux enjeux et défis plus complexes que jamais auxquels ils font face, tout en remplissant leur mandat traditionnel de conformité et de présentation de l’information. Alors que les comités d’audit sont pleinement conscients de cette nécessité, notre rapport indique que les comités d’audit et les chefs des finances se demandent dans quelle mesure leur organisation est bien positionnée pour faire face à la gamme complète des tendances actuelles et émergentes.

Pour mettre en lumière cette préoccupation et d’autres enjeux clés, le rapport Tendances en audit se penche sur les sept défis qui suivent :

  1. talent et capital humain;
  2. technologie et cybersécurité;
  3. perturbation des modèles d’affaires;
  4. paysage réglementaire en évolution;
  5. incertitude politique et économique;
  6. évolution des attentes en matière de présentation de l’information;
  7. environnement et changements climatiques.

Au fil de l’évolution des mandats et des responsabilités, ce rapport se révélera être une ressource précieuse pour l’ensemble des parties prenantes en audit.

Comment le CA peut-il gérer les cyber risques ?


Cet article explique comment les entreprises doivent agir afin de minimiser les risques cybernétiques et les cyberattaques.

Paula Loop*, directrice au Governance Insights Center, vient de publier les conclusions d’une étude de PwC :  2018 Global State of Information Security® Survey

Les résultats sont présentés sous forme de questions relatives à la sécurité informatique :

  1. Le CA doit-il être le responsable de la surveillance de cette activité ?
  2. Votre CA nécessite-t-il plus d’expertise dans le domaine de la cybersécurité ?
  3. Avons-nous toutes les compétences requises au sein du CA ?
  4. Possédons-nous les informations nécessaires pour la supervision des risques de cybersécurité ?
  5. Le CA, et notamment son président, a-t-il développé un niveau de relation ouverte avec le responsable des technologies (CISO) ?
  6. Comment savoir si les contrôles mis en place pour prévenir les brèches dans les systèmes sont efficaces ?

 

Les auteurs donnent un exemple de tableau de bord utile pour les CA :

 

Despite how pervasive the threats are, 44% of the 9,500 executives surveyed in PwC’s 2018 Global State of Information Security® Survey say they don’t have an overall information security strategy. That gives you a sense of how much work companies still need to do. Overseeing cyber risk is a huge challenge, but we have ideas for how directors can tackle cybersecurity head-on.

 

L’article présente également une mine d’informations eu égard aux enjeux, aux défis et aux actions qu’un CA doit entreprendre pour assurer une solide sécurité informatique.

Je vous invite à lire les conclusions de l’étude de PwC ci-dessous. Pour plus d’information sur ce sujet, vous pouvez consulter le rapport complet.

Bonne lecture !

 

Overseeing Cyber Risk

 

Résultats de recherche d'images pour « cyber risques entreprise »

 

Directors can add value as their companies struggle to tackle cyber risk. We put the threat environment in context for you and outline the top issues confronting companies and boards. And we identify concrete steps for boards to up their game in this complex area.

You don’t need us to tell you that cyber threats are everywhere. Breaches make headlines on

what seems like a daily basis. They also cost companies—in money and reputation. Indeed, cyber threats are among US CEOs’ top concerns, according to PwC’s 20th Global CEO Survey.

The pace of cyber breaches isn’t slowing. In part, we’re making it too easy for attackers. How? Employees fall for sophisticated phishing schemes, neglect to install security updates or use weak passwords. We are also doing more work on mobile devices, which tend not to be as well protected. And companies don’t always invest enough in cybersecurity or patch their systems promptly when problems are discovered.

The nature of cyber threats is also evolving. The self-propagating WannaCry attack, for instance, could infect a computer even if the user didn’t click on the link. Indeed, 2017 saw a number of major ransomware attacks that froze computer systems—keeping some companies offline for weeks.

Despite how pervasive the threats are, 44% of the 9,500 executives surveyed in PwC’s 2018 Global State of Information Security® Survey say they don’t have an overall information security strategy. That gives you a sense of how much work companies still need to do. Overseeing cyber risk is a huge challenge, but we have ideas for how directors can tackle cybersecurity head-on.

 

 

Challenge:

How can our board understand whether management’s cybersecurity and IT program reduces the risk of a major cyberattack or data breach—or actually makes the company more vulnerable?

 

Many directors are not confident that management has a handle on cyber threats. PwC’s 2017 Annual Corporate Directors Survey found that only 39% of directors are very comfortable that their company has identified its most valuable and sensitive digital assets. And a quarter had little or no faith at all that their company has identified who might attack.

There are obviously many moving parts that management needs to get right. Many companies align their programs and investments with a cybersecurity framework to help ensure they’re addressing everything they should.

For a board to oversee cyber risks effectively, it needs the right information on how the company addresses those risks. But 63% of directors say they’re not very comfortable that their company is providing the board with adequate cybersecurity metrics. [1]

Boards also shortchange the time they give to discussing cyber risks. We often see board agendas allocate relatively little time to the topic.

Another part of the challenge is that few boards have directors with current technology or cybersecurity expertise. And that puts directors at a disadvantage in being able to figure out if management is doing enough to address this area of significant risk.

 

Why does cybersecurity often break down in companies?

 

Common issues Why they matter
There’s no inventory of the company’s digital assets Companies can’t protect assets they don’t know about. Management should be able to explain what information and data they hold, why it’s needed, where it is (within the company’s systems or with third parties) and whether it’s properly protected. They should also know which data is most valuable (the crown jewels).
The company doesn’t know which third parties it digitally connects with A company may interact—and even share sensitive information—with thousands of suppliers and contractors. Hackers often target these third parties as a way to get into a company’s network. Yet more than half of companies don’t keep a comprehensive inventory of the third parties they share sensitive information with. [2]
The company hasn’t identified who is most likely to come after its data Knowing who might attack helps the company better anticipate how they might attack. That in turn may help the company put up better defenses.
The company has poor cyber hygiene Systems that aren’t properly configured are more vulnerable to attacks. So companies should employ leading practices, like multi-factor authentication, to protect highly sensitive information. They also need to do the basics right—like removing access on a timely basis for people who leave the company or change jobs.
The company hasn’t patched known system vulnerabilities System vulnerabilities are being uncovered constantly. But not all software companies push out patches to users. So the company needs to ensure someone regularly monitors to see if patch updates are available. And then make sure those fixes get made.
The company has a wide attack surface Providing more ways to access company systems makes things easier for employees, customers and third parties. And for hackers. So companies need stronger controls (such as multi-factor authentication). And they need to increase their monitoring for suspicious activity.
Employees aren’t trained on their role in security Current employees are the top source of security incidents—whether intentional or not. [3] Yet only half (52%) of executives say their company has an employee security awareness training program. [4]
Cybersecurity is viewed as the CISO’s responsibility A chief information security officer (CISO) can’t do the job alone. Other groups like Infrastructure or Operations need to cooperate and provide resources to address cyber issues.

Board action:

Focus on getting the right information and building relationships with the company’s tech and security leaders so you get a better sense of whether management is doing enough

 

 

This is a really tough area to oversee. Here are a number of questions to help as you address it.

1. Since cybersecurity is really a business issue, should the full board oversee it?

Half of directors say their audit committee is responsible for cyber risk, and 16% give it to either a separate risk committee or a separate IT committee. Only 30% say it’s a full board responsibility. [5] If the full board doesn’t want to oversee cyber risk, ensure that, at a minimum, whichever committee is assigned the responsibility provides regular and comprehensive reporting up to the whole board. And consider moving it from the already overloaded audit committee to another board committee.

2. Does our board need greater cybersecurity or technology expertise?

For some companies, the answer will be to recruit a director with serious expertise in cybersecurity. But others won’t choose to close their skill gap by adding a new director. People with these skills are hard to find, especially since the technology landscape is changing so quickly. Some boards may not have room to add another member. Others may not want to add someone with such specific expertise unless they’re confident that person could handle other board matters as well. So instead they look for other ways to address any gap, including continuing education and using outside advisors.

3. Is everyone in the room who needs to be?

The cybersecurity discussion should include business, technology and risk management leaders—as well as the CEO and CFO. Why? For one, it reinforces that cyber is an enterprise-wide issue—and that directors expect everyone to be accountable for managing the risk. The discussion also may expose other areas where there are security gaps. For example, while a CISO will often cover IT, many industrial organizations also need to protect OT—the operational technology that directs what happens in physical plants or processes. So if the CISO isn’t covering OT, the board needs to hear from whoever is.

4. Do we have the information we need to oversee cyber risk?

First, consider whether you have the basic information you need on the company’s IT environment. Without this background, it’s tough to make sense of the level of risk the company faces. There are a few key areas:

The nature of the company’s systems.

Are they developed in-house, purchased and customized or in the cloud?

Are any no longer supported by vendors?

Is the company running multiple versions of key systems in different divisions?

To what extent has the company integrated the systems of companies it acquired?

The security resources.

Where does IT security report?

What are IT security’s resources and budget? How do they compare to industry benchmarks?

Has the company adopted a cybersecurity framework (e.g., NIST, ISO 27001)?

This type of basic information doesn’t change much, so directors likely only need periodic refreshers.

On the other hand, directors will want more frequent reporting on what does change. Each company needs to figure out which items—quantitative and qualitative—are most relevant. It’s also helpful for directors to see whether management believes cyber risk is increasing, stable or decreasing.

A good dashboard gives directors an at-a-glance understanding of the state of the company’s cyber risk. There are a number of different approaches to assembling a dashboard. One is to simply classify issues between external and internal factors, like the example we show below.

If boards sense the dashboard isn’t giving a complete or accurate picture, they shouldn’t be afraid to challenge what’s presented in it. Read more to find out how.

 

Example of what a dashboard might look like

 

5. Have we built a relationship that allows the CISO to be candid with us?

The CISO has a lot of responsibility but doesn’t always have the authority to insist that other technology and business leaders fall in line. A strong relationship with the board helps the CISO feel comfortable giving directors the true picture (warts and all) of cyber risks, including his or her views on whether resources are adequate. Periodic private sessions with the CISO are a key part of understanding whether the company is doing enough to manage these risks.

6. How can we know whether the controls and processes designed to prevent data breaches are working?

Speaking to objective groups, such as internal audit, can offer the board different perspectives. The board may also want to hire its own outside consultants to periodically review the state of cybersecurity at the company and report back to the board.

 How can directors improve their knowledge of cybersecurity?

Hold deep-dive discussions about the company’s situation. That could include the company’s cybersecurity strategy, the types of cyber threats facing the company and the nature of the company’s “crown jewels.”

Attend external programs. There are a number of conferences that focus on the oversight of cyber risk.

Ask management what it has learned from connecting with peers and industry groups.

Ask law enforcement (e.g., the FBI) and other experts to present on the threat environment, attack trends and common vulnerabilities. Then discuss with management how the company is addressing these developments.

Challenge:

Given that companies are under constant attack, how can directors understand whether their company is adequately prepared to handle a breach?

 

No company is immune to the threat of a breach. One particularly scary aspect of cybersecurity is that companies may only know they’ve been breached when an outside party, such as the FBI, notifies them. Then there’s the question of what the company needs to do once it discovers a breach. Obviously it needs to investigate and patch its systems. But there’s much more.

Nearly all US states and many countries have laws requiring entities to notify individuals when there’s been a security breach involving personally identifiable information. These laws often set a deadline for notification—sometimes as short as 72 hours. The data breach notification laws change from time to time, making it a challenge to keep up to date. Separately, companies should also consider any potential SEC disclosure requirements regarding cyber risks and incidents.

Breaches can mean significant fines from regulatory agencies, as well as class-action lawsuits. They can also damage a company’s reputation and brand—resulting in loss of customers, as well as investors possibly losing confidence in the company. And as we have seen with some breaches, senior executives can lose their jobs.

Breaches also mean more costs to companies—to investigate, remediate and compensate those who were harmed. Only half of US companies have cyber insurance, [6] despite the growing number and size of incidents. In part, there’s still some skepticism on how claims will be covered.

Given how likely a breach is and how much companies need to do to respond, it’s surprising that 54% of executives say their companies don’t have an incident response plan. [7] Yet companies that responded well to a breach—thanks to better preparation—usually come out of the crisis better than those that had to scramble.

 

Board action:

Regularly review the breach and crisis management plan and lessons learned from management’s testing

 

It’s important to ask management about the company’s cyber incident response and crisis management plan on a regular basis. If there isn’t one, press management for a timeline to develop and test one.

If there is a plan, discuss what it entails and how the company intends to continue operating in the event of a disruptive attack. It should also identify everyone who needs to be involved, which could include the communications team, finance leaders, business leaders, legal counsel and the broader crisis response team, as well as IT specialists. The plan should specify which external resources are on retainer to support the internal teams. And who the company will work with on the law enforcement side.

A key part of the plan should cover breach notification and escalation procedures. When will the board be notified? What is the company’s plan to inform regulators? How and when will other stakeholders—including individuals whose personal information may have been lost—be informed?

Also ask management about plan testing and what changes were made as a result of the last test. Some directors even observe or participate in tabletop testing exercises to get a better appreciation for how management plans to address a cyber crisis.

Finally, have management explain if it has updated controls or recovery plans based on recent incidents at other organizations.

 

In conclusion…

 

As cyber threats persist, boards recognize they need to step up their cyber risk oversight. That starts when directors recognize that the responsibility for handling cyber risk goes well beyond the CISO. How? By insisting that cybersecurity be a business discussion, with the right senior executives in the room and a sophisticated understanding of the threats.

 

____________________________________________________________

Endnotes

1PwC, 2017 Annual Corporate Directors Survey, October 2017.(go back)

2Ponemon Institute, Data Risk in the Third-Party Ecosystem, September 28, 2017.(go back)

3PwC, Global State of Information Security® Survey 2018, October 2017.(go back)

4Ibid.(go back)

5PwC, 2017 Annual Corporate Directors Survey, October 2017.(go back)

6Insurance Journal, “Why 27% of U.S. Firms Have No Plans to Buy Cyber Insurance”, May 31, 2017; http://www.insurancejournal.com/news/national/2017/05/31/452647.htm(go back)

7PwC, Global State of Information Security® Survey 2018, October 2017.(go back)

_______________________________________________

*Paula Loop is Leader at the Governance Insights Center, Catherine Bromilow is Partner at the Governance Insights Center, and Sean Joyce is US Cybersecurity and Privacy Leader at PricewaterhouseCoopers LLP. This post is based on a PwC publication by Ms. Loop, Ms. Bromilow, and Mr. Joyce.

Quelle est l’influence des femmes CEO sur la structure de gouvernance des entreprises ?


Ceux qui se posent des questions sur l’influence que peut avoir une femme CEO sur la structure de gouvernance des entreprises seront certainement très intéressés par cette recherche de Melissa B. Frye, professeure de finance à l’University of Central Florida, et Duong T. Pham, professeur de finance à la Georgia Southern University.

L’étude montre que bien qu’il y ait encore peu de femmes qui occupent ces positions de pouvoir (5,4 % du S&P 500), il y a une différence significative dans les comportements des CEO masculins et féminins eu égard aux structures de gouvernance qui résultent de leurs actions managériales.

L’analyse des données en surprendra assurément plusieurs. En ce qui me concerne, c’est la première fois que je constate une telle évidence dans les comportements associés au genre.

Voici donc comment les auteurs résument les résultats de leur recherche :

« Using a sample of publicly traded firms in the U.S., we focus specifically on board characteristics that alter the efficiency of the monitoring of the board and are also influenced by the CEO. To capture monitoring intensity we use board size, board independence, the ratio of inside to outside directors, the gender diversity of the board, the board network, director age, interlocking directors, board attendance, and an aggregate board monitoring measure. We find that female CEOs are associated with boards of directors that are smaller, consist of more independent directors, have a lower ratio of inside to outside directors, are more gender diversified, have a broader director network, are composed of younger directors and are in general structured for more intense monitoring of the CEOs relative to the industry median, consistent with our first hypothesis ».

Toute étude comporte son lot de forces et faiblesses. Dans le cas de cette recherche quels sont vos questionnements et vos commentaires ?

Bonne lecture !

 

CEO Gender and Corporate Board Structures

 

 

In our article, CEO Gender and Corporate Board Structure (forthcoming in the Quarterly Review of Economics and Finance), we investigate the relationship between the gender of the CEO and corporate board structures. In recent years, women have made strides in cracking the glass ceiling in leadership positions in corporate America. Female CEOs have been appointed not only in female-friendly industries such as healthcare and consumer products but also in fields that are traditionally dominated by their male counterparts such as energy, utilities or automotive. The number of female CEOs leading S&P 500 companies reached a record high in 2016 with 27 women at the helm of these firms. However, women CEOs only make up 5.4% of the total S&P 500 CEO positions.

A growing body of academic research in finance shows that gender matters in terms of value enhancing decision making. Studies have documented that male executives carry out more acquisitions and issue more debt than their female counterparts, consistent with men being more overconfident than women and less effective corporate decision makers. Research has also shown that firms run by female CEOs have lower leverage, less volatile earnings, and a higher chance of survival than male CEO firms.

Since corporate governance helps mitigate agency conflicts between managers and shareholders of the firm, a good governance system is believed to enhance firm value. In our study, we focus on what is viewed as the most important governance mechanism for shareholders. The board of directors are trusted with monitoring and advising the firm’s management and protecting shareholders’ interests. While the literature has explored mechanisms that are associated with effective governance, the question of whether behavioral differences, associated with the gender of the CEO, play a role in shaping monitoring structures has not been addressed. Thus, we examine whether the “woman effect” in corporate decisions and performance extends to board structures. Essentially, we explore whether behavioral differences between men and women may lead to different board structures.

Whether female CEOs are associated with boards structured for more or less monitoring is an empirical question. To explore this, we consider three hypotheses based on documented behavioral differences between males and females. First, female CEOs may establish boards with greater monitoring. The channel between more board monitoring and gender comes from the literature on negotiations, overconfidence, and stereotyping. Several prior studies report that women perform worse than men at the negotiation table. Basic agency theory would suggest that all CEOs prefer less monitoring. Thus, if females are less savvy negotiators, they may not bargain as effectively with respect to board structure. Likewise, differences in overconfidence may lead to greater board monitoring. A male CEO may overestimate his ability and underestimate the role of board monitoring, thus he may seek to reduce board monitoring relative to a less overconfident female CEO. Stereotyping and/or discrimination on the part of the board may motivate directors to force stricter monitoring on a female CEO. Second, we consider that gender-based differences may lead to less monitoring of female CEOs. The conduit for less board monitoring for female CEOs comes from the perception that women leaders would simply need less monitoring. The overconfidence theory may suggest that boards would be less inclined to intensely monitor female CEOs, since women leaders may make better decisions. Third, it is also possible that male and female CEOs will not differ in terms of board structures. Essentially, females that make it to the top of a publicly traded firm may exhibit very similar behavioral characteristics as their male counterparts.

Using a sample of publicly traded firms in the U.S., we focus specifically on board characteristics that alter the efficiency of the monitoring of the board and are also influenced by the CEO. To capture monitoring intensity we use board size, board independence, the ratio of inside to outside directors, the gender diversity of the board, the board network, director age, interlocking directors, board attendance, and an aggregate board monitoring measure. We find that female CEOs are associated with boards of directors that are smaller, consist of more independent directors, have a lower ratio of inside to outside directors, are more gender diversified, have a broader director network, are composed of younger directors and are in general structured for more intense monitoring of the CEOs relative to the industry median, consistent with our first hypothesis.

In general, we provide strong evidence that female CEOs are associated with boards of directors that are significantly different in structure from their male counterparts. Our results are consistent with gender-based behavioral differences in negotiation, overconfidence, and/or discrimination leading to greater board monitoring at female-led firms. Prior literature shows that better governance is viewed positively by the market and leads to better performance. Activists and regulators also put significant weight on effective monitoring. In light of this, our study supports the push to increase the number of women leaders. Our findings suggest female CEOs welcome board monitoring and stronger governance structures.

The complete article is available for download here.

Rôle du CA dans l’établissement d’une forte culture organisationnelle | Un guide pratique


Vous trouverez, ci-dessous, un document partagé par Joanne Desjardins*, qui porte sur le rôle du CA dans l’établissement d’une solide culture organisationnelle.

C’est certainement l’un des guides les plus utiles sur le sujet. Il s’agit d’une référence essentielle en matière de gouvernance.

Je vous invite à lire le sommaire exécutif. Vos commentaires sont appréciés.

 

Managing Culture | A good practical guide – December 2017

 

Résultats de recherche d'images pour « tone at the top »

Executive summary

 

In Australia, the regulators Australian Prudential Regulation Authority (APRA) and Australian Securities and Investments Commission (ASIC) have both signalled that there are significant risks around poor corporate culture. ASIC recognises that culture is at the heart of how an organisation and its staff think and behave, while APRA directs boards to define the institution’s risk appetite and establish a risk management strategy, and to ensure management takes the necessary steps to monitor and manage material risks. APRA takes a broad approach to ‘risk culture’ – includingrisk emerging from a poor culture.

Regulators across the globe are grappling with the issue of risk culture and how best to monitor it. While regulators generally do not dictate a cultural framework, they have identified common areas that may influence an organisation’s risk culture: leadership, good governance, translating values and principles into practices, measurement and accountability, effective communication and challenge, recruitment and incentives. Ultimately, the greatest risk lies in organisations that are believed to be hypocritical when it comes to the espoused versus actual culture.

The board is ultimately responsible for the definition and oversight of culture. In the US, Mary Jo White, Chair of the Securities and Exchange Commission (SEC), recognised that a weak risk culture is the root cause of many large governancefailures, and that the board must set the ‘tone at the top’.

Culture also has an important role to play in risk management and risk appetite, and can pose significant risks that may affect an organisation’s long-term viability.

However, culture is much more about people than it is about rules. This guide argues that an ethical framework – which is different from a code of ethics or a code of conduct – should sit at the heart of the governance framework of an organisation. An ethical framework includes a clearly espoused purpose, supported by values and principles.

There is no doubt that increasing attention is being given to the ethical foundations of an organisation as a driving force of culture, and one method of achieving consistency of organisational conduct is to build an ethical framework in which employees can function effectively by achieving clarity about what the organisation deems to be a ‘good’ or a ‘right’ decision.

Culture can be measured by looking at the extent to which the ethical framework of the organisation is perceived to be or is actually embedded within day-to-day practices. Yet measurement and evaluation of culture is in its early stages, and boards and senior management need to understand whether the culture they have is the culture they want.

In organisations with strong ethical cultures, the systems and processes of the organisation will align with the ethical framework. And people will use the ethical framework in the making of day-to-day decisions – both large and small.

Setting and embedding a clear ethical framework is not just the role of the board and senior management – all areas can play a role. This publication provides high-level guidance to these different roles:

The board is responsible for setting the tone at the top. The board should set the ethical foundations of the organisation through the ethical framework. Consistently, the board needs to be assured that the ethical framework is embedded within the organisation’s systems, processes and culture.

Management is responsible for implementing and monitoring the desired culture as defined and set by the board. They are also responsible for demonstrating leadership of the culture.

Human resources (HR) is fundamental in shaping, reinforcing and changing corporate culture within an organisation. HR drives organisational change programs that ensure cultural alignment with the ethical framework of the organisation. HR provides alignment to the ethical framework through recruitment, orientation, training, performance management, remuneration and other incentives.

Internal audit assesses how culture is being managed and monitored, and can provide an independent view of the current corporate culture.

External audit provides an independent review of an entity’s financial affairs according to legislative requirements, and provides the audit committee with valuable, objective insight into aspects of the entity’s governance and internal controls including its risk management.

 

 

*Joanne Desjardins est administratrice de sociétés et consultante en gouvernance. Elle possède plus de 18 années d’expérience comme avocate et comme consultante en gouvernance, en stratégie et en gestion des ressources humaines. Elle est constamment à l’affût des derniers développements en gouvernance et publie des articles sur le sujet.