Top 10 des billets publiés sur Harvard Law School Forum au 14 octobre 2021


Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 14 octobre 2021.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

Ensemble Des Dix Meilleures étiquettes | Vecteur Gratuite

 

  1. SEC Form 10-K Comments Regarding Climate-Related Disclosures
  2. Data Governance Tips for Companies Following SEC’s In re App Annie
  3. Questions to Ask Before Forming a New Board Committee
  4. Crisis Management in the Era of “No Normal”
  5. 2022 Proxy and Annual Report Season
  6. Banking-Crisis Interventions, 1257-2019
  7. Sustainability Impact in Investor Decision-Making
  8. Just Say No? Shareholder Voting on Securities Class Actions
  9. Special Committee Report
  10. Comment on Climate Change Disclosures

Savoir-être au sein des conseils d’administration


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publie quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du neuvième article du CAS qui porte sur le savoir-être au sein des conseils d’administration

La publication de Sylvie St-Onge*, professeure titulaire de management à HEC Montréal, aborde un sujet capital dans le monde de la gouvernance et des comportements des administrateurs : l’importance de faire preuve d’un esprit d’équipe au conseil, tout en conservant son indépendance d’esprit et en prévenant les pièges de la pensée de groupe.

L’auteure fait notamment ressortir certaines particularités idiosyncrasiques des conseils d’administration en tant que groupe.

L’auteure présente plusieurs situations où l’esprit de corps au conseil risque d’aboutir à une pensée de groupe dysfonctionnelle. Également, elle discute de la meilleure façon d’entretenir un comportement d’équipe sain au conseil.

L’article rappelle les quatre principaux facteurs qui distinguent les conseils d’administration jugés exemplaires.

Voici de larges extraits de l’article. Bonne lecture !

Malgré le renforcement des mécanismes qui régissent la gouvernance des organisations, des cas de faillite et de fraude se produisent, tandis que des décisions excessivement risquées et éthiquement douteuses sont prises. Les conseils d’administration de ces sociétés sont alors fréquemment critiqués : pourquoi ont-ils approuvé ces décisions et manqué à leur devoir de prudence, de diligence et de loyauté envers toutes les parties prenantes? On sait aujourd’hui que le climat et les modes de fonctionnement des conseils d’administration font partie des facteurs explicatifs de ce phénomène.

En outre, il existe un consensus selon lequel l’esprit d’équipe s’avère un préalable des meilleurs conseils d’administration (CA). Favoriser la cohésion au sein des CA est d’autant plus important que ces instances ont des particularités qui les distinguent des équipes en milieux de travail. Toutefois, l’esprit d’équipe ne doit pas être une fin en soi ni agir au détriment de l’efficacité des CA en se transformant en pensée de groupe. Tout le problème consiste alors à susciter un climat favorable à l’apparition et au maintien de l’esprit d’équipe en évitant de dériver vers la pensée groupale.

L’ESPRIT D’ÉQUIPE : UN PRÉALABLE ESSENTIEL À L’EFFICACITÉ DES CONSEILS D’ADMINISTRATION

Il y a maintenant des années que bon nombre de chercheurs et de consultants en gouvernance ont démontré que l’esprit d’équipe et la cohésion des membres d’un CA constituent un préalable essentiel à l’efficacité de ces instances dans les entreprises de tous les domaines d’activité (secteurs privé, public, municipal, etc.). Essentiellement, l’esprit d’équipe au sein d’un CA correspond à la solidarité, voire à l’altruisme de ses membres. Ainsi, une forte cohésion au sein d’un CA améliore l’ouverture d’esprit et la confiance interpersonnelle au sein des personnes qui le composent, celles-ci se sentant dès lors plus libres d’exprimer leurs idées, d’échanger de l’information et des ressources ou de débattre de manière respectueuse et honnête, ce qui, au bout du compte, permet de prendre de meilleures décisions et joue en faveur de la performance de l’entreprise. Un meilleur esprit d’équipe au sein d’un CA peut aussi permettre de mieux faire face à un chef de la direction qui se montre dominateur et autocrate.

LE CONSEIL D’ADMINISTRATION : UNE ÉQUIPE AUX NOMBREUSES PARTICULARITÉS

Les membres d’une équipe ou d’un groupe de travail doivent pouvoir miser sur la collaboration pour que chacun d’eux puisse contribuer de manière optimale à l’atteinte des objectifs collectifs. Si les CA gagnent à atteindre et à maintenir une grande cohésion entre leurs membres, force est de reconnaître qu’il s’agit d’un défi de chaque instant. Pourquoi? Parce que les CA se distinguent des équipes et des groupes de travail en milieux de travail en raison de caractéristiques – leur composition, les réseaux de contacts de leurs membres et la nature même de leur travail – qui ne favorisent pas vraiment l’esprit d’équipe et qui peuvent même lui nuire.

COMMENT SE REND-ON COMPTE QUE L’ESPRIT D’ÉQUIPE DÉRIVE VERS LA PENSÉE GROUPALE?

Si l’esprit d’équipe au sein des CA doit souvent être renforcé, il ne doit jamais devenir une fin en soi. Des chercheurs en psychologie sociale ont montré qu’un excès de cohésion au sein de toute forme d’instance collective est susceptible d’enclencher un processus de pensée de groupe (group thinking). Dans un CA, la pensée de groupe crée un biais qui fait en sorte que les administrateurs se sentent obligés d’atteindre à tout prix un consensus et, par conséquent, d’appuyer le point de vue qui obtient selon eux l’adhésion des autres membres, même s’ils sont personnellement en désaccord. Sous l’emprise de la pensée de groupe, les administrateurs sont alors susceptibles de prendre des décisions inopportunes ou déraisonnables dans la mesure où les pressions interpersonnelles affaiblissent leur discernement, leur compréhension de la réalité et leur sens de l’éthique. Des recherches ont d’ailleurs démontré que la cohésion parmi les membres des CA et la justesse de leurs décisions suivent une courbe en forme de U inversé : jusqu’à un certain seuil, la cohésion s’avère bénéfique aux décisions, mais au-delà de ce seuil, elle peut lui nuire.

Trois grands indicateurs permettent d’affirmer que la pensée de groupe est à l’œuvre au sein d’un CA. Tout d’abord, il arrive que les membres du CA exercent de fortes pressions entre eux pour obtenir l’unanimité : ils s’abstiennent d’exprimer des critiques, des doutes ou des objections, voire de simples questions, et font entorse à leurs principes personnels pour maintenir l’unité, peu importe le prix. Ces pressions sur les dissidents avérés ou potentiels peuvent provenir d’une culture d’autocensure ou de loyauté aveugle ; elles peuvent aussi être exercées par le chef de la direction ou par le président du CA lui-même, bien qu’il arrive parfois que des « gardiens de la pensée » autoproclamés dissimulent certaines informations divergentes ou s’érigent eux-mêmes en experts dont les autres membres du CA doivent suivre inconditionnellement les avis.

Deuxièmement, les administrateurs peuvent faire preuve d’étroitesse d’esprit, par exemple en exprimant des préjugés injustifiables ou en discréditant certaines parties prenantes (concurrents, investisseurs, analystes financiers, membres du personnel de l’organisation, représentants du gouvernement, etc.) dont les avis ne concordent pas avec les leurs. Il arrive aussi qu’ils tentent de justifier des décisions inconscientes ou désastreuses en les rationalisant de façon outrancière afin qu’elles paraissent cohérentes, réfléchies et judicieuses.

Enfin, les administrateurs peuvent surestimer leurs compétences, entretenir des illusions d’invulnérabilité (hubris) et croire aveuglément dans l’infaillibilité morale du CA ou de la direction de l’entreprise.

COMMENT ENTRETENIR L’ESPRIT D’ÉQUIPE SANS DÉRIVER VERS LA PENSÉE GROUPALE?

Le comportement du chef de la direction constitue le facteur par excellence du maintien d’un esprit d’équipe sain. Cette personne doit veiller à créer les conditions optimales et à offrir les ressources nécessaires (plages de discussion, information pertinente, compétences variées et complémentaires des administrateurs, ordres du jour privilégiant davantage l’avenir que le passé, préférence accordée à la franchise plutôt qu’au conformisme, etc.) afin que son CA apporte une valeur ajoutée à l’organisation, et ce, dans un climat de respect, de transparence et de confiance. En effet, l’état actuel des connaissances indique que le facteur de prédiction principal de l’apparition de la pensée groupale au sein d’un CA reste l’autoritarisme et l’arrogance d’un chef de la direction.

Ensuite, le choix du président d’un CA demeure crucial. Il doit savoir mettre à profit les forces de tout un chacun et se montrer diligent dans ses responsabilités en ce qui concerne une foule de questions (préparation des ordres du jour, conduite des réunions, attribution du droit de parole, recadrage des discussions, accueil des nouveaux membres du CA, imposition du huis clos, relations avec le chef de la direction, surveillance des cliques, évaluation du travail du CA et de ses membres, etc.). Évidemment, il faut sélectionner les administrateurs avec soin afin que ceux qui se joignent au CA le fassent pour des motifs valables et possèdent non seulement les savoirs, mais aussi et surtout, les savoir-faire et le savoir-être nécessaires pour contribuer de manière constructive et respectueuse aux discussions, sans que leurs intérêts personnels ou leur ego n’entrent en ligne de compte, dans l’intérêt du CA lui-même et de l’organisation.

En conclusion, le respect et la confiance au sein d’un CA ne se mesurent pas en fonction de l’absence de désaccords ou de l’obtention de consensus. Il faut garder à l’esprit que bien des gens ont naturellement tendance à se soumettre à une figure d’autorité hiérarchique. Lorsque la moindre dissension n’est pas tolérée, tous les membres d’un groupe finissent toujours par se conformer, sinon, on les invite à partir ou ils démissionnent. L’esprit d’équipe qui permet de créer une véritable plus-value collective ne peut survivre que dans un climat d’ouverture aux questionnements de fond, aux débats, aux conflits, etc.

______________________________________

*Sylvie St-Onge, Ph.D., ASC, CRHA Distinction Fellow, professeure titulaire, Département de management, HEC Montréal.

Comment les meilleurs conseils d’administration abordent le processus de la planification de la relève du PDG ?


Aujourd’hui, je vous propose la lecture d’un article de Maria Castañón Moats et Paul DeNicola, directeurs du Governance Insights Center de PwC, publié sur le site de Harvard Law School Forum on Corporate Governance.

Les auteurs discutent de sept pratiques exemplaires en matière de planification de la relève des PDG que les conseils d’administration doivent prendre en compte.

De nombreux conseils d’administration ne sont pas entièrement préparés aux départs de leur PDG, bien que la planification de la relève soit l’une de leurs principales responsabilités. Si nous avons appris quelque chose pendant la pandémie, c’est que tout peut arriver. Il existe des mesures importantes que les administrateurs peuvent prendre pour mieux se préparer à la fois aux départs planifiés et aux imprévus.

Je vous invite à lire la version française de la publication effectuée par Google, que j’ai corrigée. Ce travail de correction est certainement encore perfectible, mais le résultat est très satisfaisant.

Bonne lecture !

How the Best Boards Approach CEO Succession Planning

 

Your CEO Succession Plan Can't Wait

 

Pourquoi la planification de la relève du PDG est-elle difficile ?

La planification de qui sera le prochain dirigeant de l’entreprise est depuis longtemps l’une des responsabilités les plus importantes d’un conseil d’administration. Sans la bonne personne au sommet, même les meilleures entreprises avec les stratégies les plus innovantes auront du mal. La crise du COVID 19 a accéléré le rythme de la transformation numérique, de la consolidation du secteur et des modalités de travail flexibles. Ainsi, les conseils d’administration devront peut-être repenser les compétences qu’ils recherchent chez un haut dirigeant dans l’environnement post-pandémique.

Les entreprises ont plus que jamais besoin d’un leadership fort. Pourtant, trop souvent, les conseils d’administration sont pris au dépourvu lorsqu’ils ont besoin d’un changement de direction. Pourquoi cela arrive-t-il ? Pour commencer, il peut être difficile d’avoir simplement la conversation. Dans les entreprises très performantes, les administrateurs peuvent craindre que le fait d’aborder le sujet de la succession amène le PDG actuel à penser qu’ils recherchent un remplaçant. Dans les entreprises sous-performantes, les administrateurs peuvent vouloir éviter de faire quoi que ce soit pour que le PDG s’inquiète de la sécurité de l’emploi lorsqu’ils doivent se concentrer sur la stratégie de conduite.

Alors, pourquoi ne pas retarder ce qui pourrait être un processus douloureux ? Surtout lorsque le PDG fonctionne bien et que la conversation ne semble pas urgente ? Parce que planifier pour le prochain dirigeant de l’entreprise est dans le meilleur intérêt de l’entreprise et de ses actionnaires.

Plus de la moitié des membres du conseil d’administration dans un récent sondage déclarent qu’ils doivent améliorer la planification de la relève de leur PDG. Mais c’est plus facile à dire qu’à faire. Pour aider les administrateurs à trouver une meilleure approche, nous avons identifié les pratiques exemplaires qui peuvent aider les conseils d’administration à mieux planifier la relève du chef de la direction.

La nature changeante de la planification de la succession des PDG

L’environnement des PDG est en train de changer. En 2020, 56 PDG du S&P 500 ont démissionné. Parmi ceux qui ont arrêté, 20 % l’ont fait sous pression, contre 13 % l’année précédente. Pendant ce temps, les mandats moyens des PDG continuent de baisser, ce qui rend de plus en plus probable que les administrateurs superviseront davantage de successions de PDG au cours de leur mandat au conseil d’administration.

Alors que les organisations réajustaient leurs modèles commerciaux, leurs chaînes d’approvisionnement et leurs méthodes de travail pour faire face à la pandémie, il est devenu plus courant de rechercher des dirigeants à l’extérieur de l’entreprise. Par exemple, en 2020, 29 % des entreprises du S&P 500 qui ont remplacé leurs PDG ont embauché un candidat externe, contre 21 % en 2019. À l’avenir, les conseils d’administration devront peut-être mettre encore plus l’accent sur la nomination de dirigeants ayant une expérience en matière de fusions et acquisitions, une expertise en transformation numérique et une meilleure connaissance des principaux effectifs flexibles.

Sept pratiques de pointe en matière de planification de la relève des PDG

 

Alors que certains conseils évitent de planifier la succession du PDG, d’autres trouvent des moyens de jeter les bases d’une transition en douceur du PDG. Comment font-ils cela malgré les pressions plus immédiates de la supervision des performances trimestrielles et de l’exécution de la stratégie ? Nous avons identifié sept caractéristiques qui peuvent contribuer à leur succès.

1. Ils s’entendent sur les compétences, l’expérience et les traits personnels dont le PDG aura besoin pour exécuter la stratégie actuelle et future de l’entreprise

Un obstacle courant à des discussions productives sur la succession du PDG est le manque de consensus sur la façon dont les stratégies à court et à long terme de l’entreprise devraient affecter le choix du prochain PDG de l’entreprise. Trouver un terrain d’entente commence par l’évaluation des facteurs les plus susceptibles d’avoir un impact sur l’entreprise au cours des trois à cinq prochaines années, tels que l’évolution des demandes des clients, le changement climatique et les avancées technologiques.

Une fois que le conseil d’administration s’est mis d’accord sur la manière dont la stratégie de l’entreprise doit refléter ces changements, il peut identifier les compétences et l’expérience dont le prochain dirigeant aura besoin pour atteindre ses objectifs clés. Étant donné que les conditions du marché changent rapidement, le processus du conseil d’administration pour identifier les capacités clés du PDG doit être dynamique. Sans rafraîchir systématiquement leur réflexion sur ce qu’il faut pour diriger l’entreprise, les conseils d’administration ne peuvent pas vraiment savoir ce dont ils ont besoin chez un PDG.

Dans le même temps, les administrateurs doivent identifier les qualités qui feraient d’un leader une bonne adéquation culturelle. Si la culture doit changer, ils doivent définir le type de personne qui pourrait diriger le changement. Ce processus devrait également inclure des conversations avec le PDG actuel et l’équipe de direction afin d’identifier les attributs critiques pour le succès du PDG aujourd’hui et à l’avenir.

2. Ils savent qui est responsable du processus de planification de la relève

La supervision de la planification de la relève du PDG est largement considérée comme une responsabilité de l’ensemble du conseil d’administration. Mais déterminer qui fait quoi dans le cadre de ce mandat peut être difficile. La plupart des conseils désignent les comités de nomination et de gouvernance ou de rémunération pour diriger ces efforts. Certains ont créé un comité ad hoc spécial à cet effet. Quelle que soit la structure, le plus important est d’établir des rôles et des responsabilités clairement définis.

Si un comité du conseil supervise la succession du PDG, il doit fournir à l’ensemble du conseil des mises à jour régulières afin que tous les administrateurs comprennent le processus, le plan et le pipeline. Le niveau d’implication du PDG en poste dans la planification de la relève variera. À tout le moins, leur responsabilité devrait inclure le développement de candidatures internes. Le président du conseil ou l’administrateur principal agit généralement comme point de contact pour les discussions du conseil avec le PDG sur la planification de la relève.

3. Ils ont un plan documenté avec un calendrier et un processus pour le mettre à jour

Pour que la planification de la succession du PDG reste une priorité, les administrateurs doivent définir les objectifs du processus, la cadence des discussions, les aspects à court et à long terme du plan et les détails du programme de développement des candidats. Ils devraient également déterminer à quelle fréquence la planification de la relève du PDG figure à l’ordre du jour du conseil. Et bien que le PDG actuel puisse apporter une contribution précieuse, le conseil d’administration devrait discuter régulièrement de la succession du PDG lors de huis clos.

Le résultat de ces discussions devrait être un plan de succession documenté du PDG qui décrit les responsabilités et les attentes du nouveau PDG. Cela pourrait également inclure les compétences et l’expérience dont ils auront besoin pour conduire la stratégie à long terme de l’entreprise et une liste de candidats possibles.

Le plan pourrait également établir un échéancier pour chaque étape que le conseil prendra, de l’évaluation des candidats internes et des entretiens avec les candidats externes, à la nomination du nouveau PDG et à l’annonce publique du choix du conseil.

L’ensemble du conseil devrait revoir le plan de succession au moins une fois par an. Cela permet aux administrateurs de mettre à jour les exigences de capacité du prochain PDG à mesure que les besoins de l’entreprise évoluent.

4. Ils ont un plan de relève d’urgence bien défini

Trop de conseils d’administration n’ont qu’une vague idée de la façon dont ils réagiraient à un départ soudain du PDG. Compte tenu de l’augmentation brutale des départs inattendus de PDG, les entreprises sans plan d’urgence mettent en péril leur avenir financier et leurs relations avec les parties prenantes.

L’élaboration d’un plan de relève d’urgence nécessite l’identification de candidats intérimaires solides qui peuvent intervenir rapidement, tels que le directeur financier, le directeur de l’exploitation ou d’autres candidats déjà préparés pour le poste. Le fait que les candidats PDG d’urgence passent du temps avec le conseil d’administration et le PDG actuel pour mieux comprendre l’entreprise facilitera la transition. La discussion du conseil devrait prévoir si un administrateur pourrait temporairement assumer le rôle de PDG pendant que le conseil recherche un remplaçant à long terme.

5. Ils engagent leurs PDG dans la planification de la relève dès le premier jour

Une fois que les conseils d’administration ont effectué le travail acharné de nomination et de transition d’un nouveau PDG, peu ont l’envie de redémarrer le processus de planification. Beaucoup le repoussent de deux à trois ans après la nomination du nouveau PDG. Près d’un tiers des administrateurs interrogés dans le sondage annuel des administrateurs d’entreprise de PwC affirment que le plus gros obstacle pour démarrer plus tôt est que le PDG actuel répond aux attentes.

Une façon de réduire la gêne de parler à un PDG pour savoir qui pourrait le remplacer est d’en faire une conversation de routine. Discuter régulièrement des successeurs, peu importe qui occupe le poste et leurs performances, contribuera à rendre la conversation moins personnelle.

Les conseils d’administration qui indiquent clairement à leurs PDG dès le premier jour que la planification de leur succession est une partie essentielle de leur travail peuvent éviter une grande partie de l’inquiétude quant à savoir si le PDG se sentira menacé par le processus. Leur responsabilité, tout comme celle du conseil d’administration, est d’éviter de perturber une transition désordonnée de PDG.

Le rôle principal du PDG dans la planification de la relève est d’identifier les successeurs potentiels et de s’assurer que ces personnes acquièrent l’expérience et l’exposition appropriées pour assumer le poste. Par conséquent, les administrateurs devraient demander des mises à jour régulières au PDG et au directeur des ressources humaines sur leurs progrès dans l’identification et le développement de candidats internes.

6. Ils ont un solide programme de pipeline

Les administrateurs classent le maintien d’un vivier solide de talents de niveau PDG comme leur défi numéro un dans la planification de la relève. Et pourtant, un pipeline faible peut entraîner une ruée pour remplir le rôle ou choisir quelqu’un qui n’est pas encore prêt à relever le défi.

Un programme interne formel de développement des candidats doit fournir des expériences de première main dans les fonctions exercées par le PDG, y compris la reddition de comptes au conseil d’administration. Ceci, à son tour, permet au conseil de connaître les candidats et d’évaluer leur performance. Les candidats en devenir devraient également être exposés à divers aspects de l’entreprise et se voir confier la responsabilité d’initiatives majeures telles que l’orientation de l’entreprise sur de nouveaux marchés.

Il est également essentiel pour les administrateurs d’approfondir leur compréhension du marché des talents externes. Par exemple, une analyse comparative externe confidentielle pour identifier les talents externes qui pourraient être considérés pour le poste de PDG peut donner aux administrateurs une meilleure idée des forces et des faiblesses de leurs candidats internes.

Lorsque deux candidats internes ou plus sont en compétition pour un poste de PDG, les administrateurs doivent être conscients de l’impact potentiel sur la culture d’entreprise. Les candidats peuvent devenir compétitifs, et jusqu’à une décision finale, les tensions peuvent être vives.

Les administrateurs doivent également anticiper la possibilité de départs des cadres exclus pour le poste et procéder à une planification de scénarios. Par exemple, quels candidats veulent-ils conserver après la décision ? Selon la réponse, les administrateurs peuvent trouver de nouveaux rôles ou opportunités pour les cadres qu’ils souhaitent conserver. Ils devront également réfléchir qui pourrait remplacer ceux qui partiront après la nomination du nouveau PDG.

7. Ils comprennent l’importance d’une bonne intégration, de défendre le candidat choisi et de communiquer le processus aux parties prenantes

Ne pas intégrer de manière adéquate un nouveau PDG, en particulier un candidat externe, le désavantagera immédiatement. Les meilleurs conseils d’administration veillent à ce qu’il existe un plan de transition qui aide le nouveau PDG à se familiariser avec les objectifs, la stratégie et la culture de l’entreprise. Les administrateurs doivent également consacrer du temps à écouter et à guider le nouveau PDG.

Pour maintenir la transparence, les conseils d’administration peuvent décrire leur processus de succession du PDG dans la déclaration de procuration de l’entreprise ; celle-ci pourrait inclure une description de qui est responsable de diriger le processus, comment ils identifient et évaluent les candidats PDG, à quelle fréquence le conseil examine le plan de succession et comment ils réagiraient à un départ d’urgence.

Enfin, les administrateurs doivent promouvoir le nouveau PDG pour jeter les bases d’un mandat réussi. Les médias, les employés et les autres parties prenantes devraient tous comprendre que le conseil soutient pleinement le nouveau dirigeant.

Les yeux sur la balle !

Ces temps turbulents exigent beaucoup plus des dirigeants d’entreprise. Lorsque la planification de la succession est bien exécutée, la transition du PDG peut augmenter les chances de rentabilité d’une entreprise. Si le processus est négligé, les perspectives de l’entreprise et l’avenir de ceux qui en dépendent sont laissés au hasard. Et, c’est une chance que les meilleurs conseils d’administration ne sont pas prêts à prendre !

_________________________

Perspectives PwC — Succession du PDG

L’occasion idéale pour envisager d’autres types de changement

Réduisez les débordements : lors d’une transition de PDG, les conseils d’administration doivent revoir la politique de leur entreprise sur le nombre de postes d’administrateur externes que le PDG peut occuper en tant que cadre supérieur. Les investisseurs institutionnels, les activistes et les conseillers en vote envisagent souvent d’exagérer, en particulier des directeurs généraux, lorsqu’ils formulent des recommandations et des décisions de vote. Lors d’une succession de PDG, les conseils d’administration peuvent déterminer s’ils ont besoin de limitations différentes.

Repenser la structure de direction du conseil d’administration : les appels à la séparation des rôles de président du conseil d’administration et de PDG sont devenus plus courants. Certains actionnaires soutiennent qu’un rôle unifié diminue l’indépendance du conseil. Les transitions impliquant un PDG sortant qui est également président du conseil d’administration sont un bon moment pour les administrateurs d’évaluer si cette structure de direction du conseil d’administration est toujours appropriée.

Augmenter la diversité : Le nombre de femmes PDG dans le S&P 500 est passé à 34 en 2020, le plus haut jamais enregistré. Mais il n’y a eu que 86 femmes PDG depuis 2000 dans le S&P 500. Lors de la recherche de candidats PDG, les conseils d’administration doivent faire un effort concerté pour considérer les candidats PDG qui diffèrent par le sexe, l’âge, la race et l’origine ethnique.

 

En quoi les PDG sont-ils différents ?


Voici un article qui présente les résultats d’une étude sur les caractéristiques-clés des PDG, celles qui les différentient des autres dirigeants.

L’étude publiée sur le site de HLS par Steven N. Kaplan et Morten Sorensen* montre que les PDG se distinguent sur la base de quatre facteurs :

(1) ils ont une capacité générale significativement plus élevée;

(2) ils penchent davantage vers l’exécution que vers les compétences interpersonnelles;

(3) ils sont plus charismatiques qu’analytiques;

(4) ils sont plus stratégiques que très attentifs aux détails.

Je vous invite à lire la version française de la publication effectuée par Google, que j’ai corrigée. Ce travail de correction est certainement encore perfectible, mais le résultat est très satisfaisant.

Bonne lecture !

 

CEO Job Description

 

L’évaluation des dirigeants et des cadres est au cœur des préoccupations des entreprises et de leurs conseils d’administration. Une question cruciale est de savoir en quoi les PDG diffèrent des autres cadres supérieurs. Il existe de nombreuses preuves anecdotiques et de nombreuses études sur des entreprises spécifiques et des dirigeants individuels, mais il existe très peu de preuves systématiques sur ce à quoi ressemblent les PDG, en quoi ils diffèrent des autres cadres supérieurs et quels candidats sont les plus susceptibles d’être éventuellement promus à la première place. Dans une étude récente, s’appuyant sur des données uniques avec des évaluations de personnalité de milliers de candidats, nous comparons les types d’individus pris en compte pour les postes de PDG, de directeur financier et de directeur de l’exploitation. Nous examinons qui parmi les candidats considérés est le plus susceptible d’être embauché pour chaque poste. Et en nous concentrant sur les candidats plus tôt dans leur carrière, nous prédisons qui deviendra éventuellement PDG, directeur financier et directeur de l’exploitation.

Dans une collecte de données qui a duré plusieurs années, nous avons traité environ 2 600 candidats. Nous avons commencé avec des candidats évalués par ghSMART, un cabinet de conseil en RH de premier plan qui a développé un processus rigoureux utilisant des entretiens structurés pour classer la personnalité de chaque candidat. Ces évaluations sont généralement effectuées dans le cadre de processus d’embauche ou de rétention, souvent pour le processus de diligence raisonnable des sociétés de capital-risque et de capital-investissement évaluant les investissements dans les entreprises. Nous avons combiné les évaluations de ghSMART avec des informations recueillies à partir de recherches publiques et d’autres sources de données pour suivre la carrière ultérieure de chaque candidat. Les données résultantes sont uniques. Ils contiennent un plus grand nombre de cadres, chacun évalué selon un processus structuré et systématique, couvrant un large éventail d’entreprises, une gamme de postes.

Chaque candidat est évalué sur une trentaine de caractéristiques individuelles. Nous utilisons l’analyse factorielle, une méthode statistique standard, pour découvrir les modèles de base de ces caractéristiques. Notre premier résultat est que la personnalité d’un candidat peut être résumée par quatre facteurs : le premier est la « capacité générale ». Les candidats ont tendance à être généralement meilleurs ou pires dans l’ensemble, et le premier facteur mesure cette tendance en tant que capacité générale du candidat. Le deuxième facteur (« exécution versus interpersonnelle ») est plus intrigant. Il classe les candidats, à une extrémité de l’échelle, les candidats qui ont tendance à traiter les gens avec respect, sont ouverts à la critique, ont une meilleure capacité d’écoute et sont de meilleurs joueurs d’équipe, ce qui reflète collectivement les « compétences interpersonnelles » du candidat. À l’autre extrémité de l’échelle se trouvent des candidats plus agressifs, rapides, proactifs, et qui tiennent les autres pour responsables, ce qui reflète les « compétences d’exécution ». De même, le troisième facteur (« charismatique versus analytique ») distingue les candidats plus charismatiques et persuasifs de ceux qui sont plus analytiques. Enfin, le quatrième facteur (« stratégique versus souci du détail ») classe les candidats avec des perspectives plus larges et plus stratégiques par rapport aux candidats plus managériaux et plus attentifs aux détails.

À l’aide de cette classification à quatre facteurs, nous effectuons trois analyses. Tout d’abord, nous comparons les types de candidats considérés pour les postes de PDG, de directeur financier et de directeur de l’exploitation. Les différences sont frappantes, mais intuitives : les candidats PDG sont à un extrême. Ils ont une capacité générale significativement plus élevée (facteur 1), ils penchent davantage vers l’exécution que vers les compétences interpersonnelles (facteur 2), ils sont plus charismatiques qu’analytiques (facteur 3) et ils sont plus stratégiques que l’attention aux détails (facteur 4). Fait intéressant, les directeurs financiers sont à l’autre extrême, et les signes de leurs scores factoriels sont opposés à ceux des PDG. Les directeurs financiers ont une capacité générale plus faible (facteur 1), sont plus interpersonnels (facteur 2), plus analytiques (facteur 3) et prêtent plus d’attention aux détails (facteur 4).

Deuxièmement, nous constatons que les scores factoriels des candidats sont prédictifs de la progression de carrière ultérieure. En particulier, les candidats non-PDG qui ressemblent davantage à des candidats PDG sont, en fait, plus susceptibles de devenir PDG plus tard dans leur carrière. Cela fournit une validation solide pour les scores factoriels.

Troisièmement, à condition d’être pris en considération, les candidats ayant une plus grande capacité générale et des compétences interpersonnelles sont plus susceptibles d’être embauchés. Dans nos travaux précédents, nous avons constaté que la capacité générale et les compétences d’exécution étaient prédictives du succès d’un PDG. Les résultats de cet article combinés à nos résultats précédents sur le succès des PDG suggèrent que les conseils d’administration surpondèrent les compétences interpersonnelles lors de l’embauche des PDG.

L’article complet est disponible en téléchargement ici.


*Steven N. Kaplan est professeur d’entrepreneuriat et de finance de la famille Neubauer à la Booth School of Business de l’Université de Chicago, et Morten Sorensen est professeur agrégé de finance à la Tuck School of Business de l’Université de Dartmouth. Cet article est basé sur leur article récent, à paraître dans Journal of Finance.

Top 10 des billets publiés sur Harvard Law School Forum au 29 juillet 2021


Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 29 juillet 2021.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

Harvard Law -Tesla's Governance Record & ESG | Blog | Truvalue Labs

  1. EESG Activism After ExxonMobil
  2. Corporate Governance in the Face of an Activist Investor
  3. Commenters Weigh in on SEC Climate Disclosures Request for Public Input
  4. SEC Increasingly Turns Focus Toward Strength of Cyber Risk Disclosures
  5. Connecting the Dots: Breaking the ESG Code
  6. Buybacks: Look Before You Leap
  7. Stewardship Excellence: ESG Engagement In 2021
  8. Voluntary Environmental and Social Disclosures
  9. Spotlight on Boards and Board Oversight of Business Strategy and Risk Management in a Post-Pandemic World
  10. Does Socially Responsible Investing Change Firm Behavior?

Ce que les entreprises doivent savoir sur les attaques de ransomware modernes et comment y répondre


Voici un sujet qui interpelle sérieusement les conseils d’administration et la responsabilité fiduciaire des administrateurs, notamment avec l’accroissement des activités liées à la cybercriminalité.

L’article a été publié par Antonia M. Apps et Adam Fee , associés de Milbank et Matthew Laroche, conseiller juridique spécial chez Milbank sur le Forum du HLS on Corporate Governance.

Les auteurs examinent les principales caractéristiques des ransomwares modernes que les entreprises devraient prendre en compte, notamment la façon dont les acteurs des ransomwares ciblent désormais des entreprises spécifiques, menaçant de publier les données les plus sensibles de leurs victimes en ligne, et collaborer avec d’autres cybercriminels pour accroître la sophistication des attaques.

Après avoir exploré les ransomwares modernes, l’article met l’accent sur des directives aux entreprises qui réagissent immédiatement après une attaque afin que celles-ci soient mieux placées pour contenir l’incident, reprendre leurs activités commerciales normales et évaluer de manière appropriée les risques juridiques et réglementaires.

Je vous invite à lire la version française de la publication effectuée par Google, que j’ai corrigée. Ce travail de correction est certainement encore perfectible, mais le résultat est très satisfaisant.

Bonne lecture !

What Companies Need to Know About Modern Ransomware Attacks and How to Respond

Cybercriminalité : les coûts des dégâts sous-estimés

 

Les ransomwares sont une menace de cybersécurité croissante et évolutive à laquelle sont confrontées les organisations du monde entier. En 2020, les attaques de ransomwares ont été multipliées par sept à la fin de l’année, avec plus de 17 000 appareils détectant les ransomwares chaque jour. [1] En tant que défi supplémentaire, les ransomwares sont plus sophistiqués que jamais avec des variantes modernes conçues pour infliger d’immenses dégâts et les auteurs exigeant des paiements plus élevés. Au cours des derniers mois seulement, les ransomwares ont provoqué des perturbations catastrophiques dans les activités commerciales de, entre autres, Colonial Pipeline, le géant de la transformation alimentaire JBS USA Holdings Inc. et le système national de santé irlandais. [2]

Les attaques réussies coûtent des millions de dollars aux entreprises, y compris les perturbations de l’activité, le coût du personnel, le coût des appareils, le coût du réseau, les opportunités perdues, les atteintes à la réputation et le paiement potentiel d’une rançon. [3] Les cybercriminels sont exigeants et gagnent de plus en plus d’argent, le paiement moyen des ransomwares par événement passant d’environ 115 000 $ en 2018 à plus de 300 000 $ en 2020 ; et la rançon la plus élevée payée a plus que doublé, passant de 5 millions de dollars entre 2015 et 2019 à 11 millions de dollars en 2021. [4] Les gouvernements, les forces de l’ordre et les organismes de réglementation en ont pris note, les entreprises étant confrontées à des pressions pour se préparer et répondre efficacement aux attaques de ransomware. [5]

Compte tenu de l’environnement actuel des menaces, il est essentiel que les entreprises qui cherchent à gérer leurs risques de cybersécurité comprennent comment les ransomwares ont évolué pour devenir l’une des menaces de cybersécurité les plus dommageables aujourd’hui. Les entreprises sont confrontées à un examen juridique, réglementaire et politique accru à la suite de ces attaques, ce qui oblige les entreprises à mettre en place des structures de gestion et des contrôles appropriés, sous la surveillance du conseil d’administration, afin d’anticiper et de traiter les dommages importants qui peuvent être causés à la suite d’une attaque de ransomware.

Ci-dessous, nous examinons les principales caractéristiques des ransomwares modernes que les entreprises devraient prendre en compte, notamment la façon dont les acteurs des ransomwares ciblent désormais des entreprises spécifiques, menaçant de publier les données les plus sensibles de leurs victimes en ligne, et collaborer avec d’autres cybercriminels pour accroître la sophistication des attaques. Après avoir exploré les ransomwares modernes, nous recommandons ensuite des directives aux entreprises qui réagissent immédiatement après une attaque afin que les entreprises soient les mieux placées pour contenir l’incident, reprendre leurs activités commerciales normales et évaluer de manière appropriée les risques juridiques et réglementaires.

Principales caractéristiques des ransomwares modernes

Les attaques de ransomwares opéraient traditionnellement en accédant à un système, généralement via des e-mails de phishing, puis en verrouillant ou cryptant automatiquement les données en recherchant les fichiers avec certaines extensions. Dans le passé, la plupart des acteurs des ransomwares utilisaient une approche « spray and please » ou « shotgun » dans laquelle les ransomwares étaient distribués sans discernement à la recherche d’une organisation vulnérable. Bien que ces attaques opportunistes aient connu plusieurs succès notables, en 2018, les organisations s’étaient largement adaptées à la menace en mettant en œuvre des mesures de cybersécurité et des plans de reprise après sinistre et de continuité des activités en réponse aux attaques. En conséquence, les ransomwares traditionnels ont eu moins de succès et ont été, pendant un certain temps, largement éclipsés par d’autres cybermenaces. [6]

Au cours des 18 derniers mois, cependant, les ransomwares sont revenus au premier plan du paysage des cybermenaces. Les attaques de ransomware modernes sont plus sophistiquées et dommageables à plusieurs égards. Premièrement, les acteurs modernes des ransomwares utilisent fréquemment une approche ciblée, connue sous le nom de « chasse au gros gibier » ou « attaques opérées par l’homme », dans laquelle le ransomware est conçu pour des victimes spécifiques. Avant même qu’une attaque ne soit lancée, les acteurs des ransomwares procèdent à un profilage approfondi des victimes. [7] Les acteurs des ransomwares sont devenus plus compétents pour le faire pour plusieurs raisons, notamment la disponibilité de bases de données et d’autres outils qui aident à identifier les victimes en fonction de leur emplacement, de leur secteur d’activité, de leur taille et de leurs revenus ; et des plateformes de communication anonymes qui permettent des interactions sécurisées et une collaboration accrue des groupes de cybercriminels. Après avoir identifié une victime et obtenu l’accès à leur réseau, les acteurs du ransomware passent un temps considérable (généralement des semaines ou des mois) à prendre le contrôle de sections du réseau avant d’exécuter le ransomware. En passant plus de temps dans le système ciblé, les cybercriminels peuvent se déplacer latéralement pour accéder à davantage de parties du réseau, identifier les données les plus sensibles stockées par la victime et infiltrer les sauvegardes critiques, ce qui rend plus difficile la récupération des victimes après une attaque.[8]

Deuxièmement, en conjonction avec le large accès aux données sensibles fourni par les attaques ciblées, les acteurs des ransomwares utilisent désormais la « double extorsion » dans laquelle le ransomware non seulement crypte les données de la victime, mais les exfiltre également du réseau de la victime. Cela donne aux cybercriminels une autre possibilité d’extorsion : si une victime ne paie pas la rançon, l’attaquant peut publier ou menacer de publier les données de la victime en ligne, vendre les données sur le dark web ou utiliser les données volées pour exploiter les vulnérabilités des systèmes associés. Les victimes sont confrontées à une pression importante pour payer des rançons dans ces circonstances, ce qui a entraîné une augmentation substantielle du montant des demandes de rançon et des paiements. [9]

Troisièmement, les attaques de ransomwares modernes sont souvent menées par plusieurs groupes collaborant sur différents aspects de l’infiltration. Un exemple est le modèle d’abonnement dit de ransomware-as-a-service (« RaaS »), dans lequel les développeurs de ransomware recherchent des affiliés pour mener des attaques et en échange reçoivent une part du produit. [dix]Dans ces scénarios, un groupe possède le ransomware et un ou plusieurs autres groupes contrôlent l’infrastructure compromise, ce qui permet aux cybercriminels d’utiliser des experts à chaque étape de l’attaque. Avec un accès plus large à un réseau de victimes, les cybercriminels sont également devenus plus efficaces pour monétiser différentes parties des actifs compromis. Par exemple, les acteurs des ransomwares peuvent choisir de déployer des ransomwares sur une partie d’un réseau victime tout en vendant l’accès à une autre, créant ainsi plusieurs sources de revenus pour la même attaque. [11] Cette dynamique rend également plus difficile pour les organisations de victimes d’évaluer la durée et l’étendue de la violation et d’identifier tous les auteurs.

Enfin, les acteurs modernes des ransomwares utilisent désormais généralement la crypto-monnaie comme méthode préférée de paiement des rançons. Dans le passé, les cybercriminels étaient contraints d’utiliser d’autres instruments financiers pour recevoir des paiements, tels que des plateformes de paiement par téléphone mobile ou des portefeuilles électroniques, localisés dans une région géographique particulière et/ou réglementés par les gouvernements. La crypto-monnaie, en revanche, contourne les réglementations et est capable de transférer de l’argent dans le monde entier, permettant aux cybercriminels d’initier des transferts d’argent transfrontaliers à haut volume de manière anonyme avec peu de risques.

Les acteurs modernes des ransomwares ont déployé certaines ou toutes les méthodes ci-dessus, obtenant plusieurs succès récents de grande envergure. Les exemples notables incluent :

DarkSide : Darkside est l’une des variantes de ransomware modernes les plus notoires et elle a fait des ravages dans le monde entier, infiltrant des organisations de divers secteurs dans plus de 15 pays. Introduit à l’origine en 2020 par un groupe de cyberhackers connu sous le nom de Carbon Spider, Darkside fonctionne comme un RaaS et utilise diverses méthodes pour obtenir un accès initial à son système cible, notamment via le phishing, l’exploitation du protocole RDP (« RDP ») et d’autres exploits . [12] Une fois que Darkside a infecté le réseau victime, il se déplace vers le contrôleur de domaine (un serveur qui vérifie les informations d’identification de l’utilisateur sur un réseau informatique), où il vole les informations d’identification et se déplace latéralement pour identifier d’autres actifs précieux à voler. Avant de lancer la charge utile du ransomware, Darkside exfiltre les fichiers critiques, en utilisant des sites de fuite basés sur TOR pour héberger les données volées. [13]

Le déploiement de Darkside le plus notoire a été l’attaque de mai 2021 contre Colonial Pipeline, une entreprise responsable de près de la moitié de l’approvisionnement en carburant de la côte est des États-Unis. [14] Darkside a utilisé une double extorsion en verrouillant les systèmes informatiques de Colonial Pipeline et en volant plus de 100 gigaoctets de données d’entreprise. [15] Cette attaque a provoqué une perturbation importante de la distribution de carburant aux États-Unis, et Colonial Pipeline a payé une rançon de 4,4 millions de dollars en bitcoins pour retrouver l’accès à ses systèmes. Le Federal Bureau of Investigation a ensuite récupéré une partie de la rançon en surveillant un registre bitcoin visible au public alors que les pirates transféraient la rançon bitcoin vers d’autres registres numériques, qui s’apparentent à des portefeuilles numériques personnels. Lorsqu’une partie importante de la rançon, environ 64 bitcoins, a été transférée à une adresse numérique pour laquelle le FBI avait obtenu une « clé privée » ( c’est -à- dire le mot de passe pour accéder à l’adresse), le FBI a obtenu un mandat de perquisition et a saisi le bitcoin . [16] D’autres victimes récentes de Darkside couvrent plusieurs secteurs, notamment les services financiers, le droit, la fabrication, les services professionnels, la vente au détail et la technologie. [17]

Nefilim : Nefilim a été identifié pour la première fois en mars 2020 et a été l’une des variantes les plus réussies pour violer les réseaux de victimes. Nefilim obtient généralement un accès initial à un réseau victime en exploitant des informations d’identification faibles sur le RDP exposé ou d’autres services connexes. Une fois à l’intérieur d’un réseau cible, les acteurs Nefilim téléchargent des outils administratifs supplémentaires pour faciliter les déplacements latéraux dans le réseau. Nefilim exfiltre ensuite les données, les publie sur des sites Web protégés par TOR et lance la charge utile du ransomware pour crypter le réseau de la victime. Au cours de la dernière année, Nefilim a publié en ligne environ deux téraoctets de données volées. [18]

Nefilim s’est distingué des autres familles de ransomwares en ciblant des entreprises dont le chiffre d’affaires annuel se chiffre en milliards de dollars. L’attaque la plus médiatisée de Nefilim a été dirigée contre l’organisation maritime australienne, Toll Group, en mai 2020. Toll Group aurait refusé de payer les demandes de rançon de Nefilim et, en conséquence, Nefilim a divulgué des données sensibles de Toll Group et a annoncé comment Toll Group pourrait être infiltré dans le futur. [19] Nefilim a également été identifié comme l’auteur d’un certain nombre d’autres attaques, notamment contre des victimes aux États-Unis, en Amérique du Sud, en Europe et en Asie.

REvil : REvil (également connu sous le nom de Sodinokibi) est apparu en 2019 et a commencé à cibler diverses industries aux États-Unis, en Australie, au Canada, en Finlande et à Hong Kong. Les variantes récentes de REvil accèdent généralement aux réseaux des victimes via des e-mails de spam malveillants, des vulnérabilités RDP et des sites Web compromis. Comme Darkside et Nefilim, après avoir eu accès au réseau des victimes, REvil utilise la double extorsion, dispose d’un site de fuite dédié à la publication de données sensibles et aurait tenté de mettre aux enchères des données volées en ligne. [20]

REvil a été identifié comme l’auteur de plusieurs attaques de ransomware très médiatisées, notamment (i) l’attaque de juin 2021 contre Grupo Fluery, une société brésilienne de diagnostic médical qui effectue environ 75 millions d’examens cliniques chaque année ; (ii) l’attaque de juin 2021 contre l’entreprise de transformation alimentaire JBS, qui a fermé des usines qui traitent environ un cinquième de l’approvisionnement en viande des États-Unis ; et (iii) l’attaque de mai 2020 contre le cabinet d’avocats Grubman Shire Meiselas & Sacks, qui aurait entraîné le vol de près d’un téraoctet de données client sensibles. [21] JBS a finalement payé à REvil 11 millions de dollars en crypto-monnaie pour protéger JBS contre d’autres interruptions d’activité, ce qui est le plus grand paiement de ransomware signalé publiquement à ce jour. [22]

Répondre à une attaque de ransomware moderne

À la lumière du récent succès des attaques de ransomwares modernes, nous nous attendons à ce que les ransomwares continuent de tourmenter les industries du monde entier dans les années à venir. Lorsqu’une attaque se produit, l’organisation victime doit agir de manière décisive pour contenir l’incident, et les premières 48 heures suivant l’attaque sont les plus critiques. Pendant ce temps, les organisations doivent agir rapidement pour évaluer l’attaque, isoler les systèmes affectés, identifier si les données sont récupérables via des fichiers de sauvegarde ou d’autres méthodes, et évaluer les risques juridiques et réglementaires, qui sont nombreux. Une organisation qui traite efficacement chacun de ces problèmes sera dans la position la plus forte possible pour reprendre ses activités normales et déterminer si elle doit ou non payer la rançon. Compte tenu de la sophistication des attaques de ransomware modernes,

Mobiliser l’équipe d’intervention en cas de violation: Les organisations doivent former une équipe pour coordonner la réponse à la violation. Idéalement, cette équipe avait déjà été identifiée et préparée bien avant que la violation ne se produise, et comprend la haute direction, la criminalistique, la sécurité de l’information, la technologie de l’information et les composants juridiques. À la lumière de la complexité des attaques de ransomware modernes, les organisations devraient envisager de faire appel à des enquêteurs judiciaires indépendants possédant une expertise en ransomware. Les organisations devraient également envisager sérieusement de retenir les services d’un avocat externe pour les guider dans la réponse aux incidents en vertu du secret professionnel de l’avocat, y compris les questions juridiques et réglementaires discutées ci-dessous. De plus, si l’organisation décide de faire appel à des enquêteurs médico-légaux indépendants, ces personnes devraient être retenues par un avocat externe pour préserver le privilège juridique de leur travail,

Évaluer les dommages: Les organisations doivent agir le plus rapidement possible pour évaluer l’ampleur de l’attaque. Cela inclut l’identification du ou des systèmes informatiques concernés, l’origine de l’attaque, la variante du ransomware ou tout autre logiciel malveillant utilisé pour infiltrer le système et toute connexion externe actuelle au système. Cette étape est plus compliquée lors de la réponse à une attaque de ransomware moderne car, comme décrit ci-dessus, l’attaque peut impliquer plusieurs cybercriminels qui ont passé des semaines ou des mois à se déplacer sur le réseau de la victime. Les organisations de victimes ne doivent pas supposer que l’identification de logiciels malveillants sur une section de leur système constitue l’intégralité de la violation. L’équipe d’intervention doit plutôt déterminer si ce logiciel malveillant a été utilisé dans le cadre d’une attaque de ransomware ciblée plus large. Si c’était,

Conserver les fichiers journaux : les fichiers journaux sont essentiels pour évaluer l’attaque par ransomware, et les organisations doivent prendre des mesures immédiates pour les préserver. Cela inclut l’augmentation de la taille par défaut des fichiers journaux sur les serveurs et la désactivation des tâches de maintenance automatisées telles que la suppression des fichiers temporaires et la rotation des journaux pour empêcher l’écrasement des journaux. Si la journalisation n’est pas activée sur un système affecté, l’organisation doit activer la journalisation immédiatement, ce qui peut également fournir des informations utiles à la suite de la violation.

Isoler et imager les systèmes affectés : Une fois les systèmes affectés identifiés, ils doivent être isolés. Ce processus comprend non seulement la suppression de ces systèmes du réseau lui-même, mais également la sécurisation des zones physiques potentiellement liées à la violation. Une fois que ces systèmes sont isolés, ils doivent également faire l’objet d’une image médico-légale, ce qui aidera à enquêter sur les origines et les causes de la violation. De plus, si l’organisation paie l’acteur du ransomware pour une clé de déchiffrement, il est possible que la clé contienne des bogues qui peuvent endommager les données pendant le processus de déchiffrement. Si cela se produit, l’image médico-légale peut être utilisée pour tenter de répéter le décryptage sans endommager les données d’origine.

Fichiers de sauvegarde sécurisés : la sécurisation des fichiers de sauvegarde le plus rapidement possible joue un rôle crucial dans la reprise rapide des opérations commerciales. Idéalement, au moins certains fichiers de sauvegarde sont stockés sur un réseau à vide que l’attaque n’a pas atteint et n’a pas pu atteindre. Dans la mesure où les fichiers de sauvegarde sont connectés au réseau infecté, les entreprises doivent déconnecter le stockage de sauvegarde du réseau et/ou verrouiller l’accès aux systèmes de sauvegarde jusqu’à ce que l’infection soit résolue. Ici encore, les organisations doivent agir avec prudence, car les attaques de ransomwares modernes ciblent spécifiquement les fichiers de sauvegarde pour empêcher délibérément une récupération rapide. De plus, étant donné que les attaques de ransomware modernes ont des délais plus longs, les entreprises doivent être prêtes à identifier et à récupérer les fichiers de sauvegarde qui sont considérablement antérieurs à la découverte de l’intrusion.

Évaluer les problèmes juridiques et réglementaires: Les organisations sont confrontées à une variété de considérations juridiques et réglementaires aux niveaux étatique, fédéral et, potentiellement, international suite à une attaque de ransomware, et bon nombre de ces problèmes doivent être résolus immédiatement. Selon l’organisation et le type de données compromises, l’attaque de ransomware peut déclencher un patchwork complexe d’exigences de notification légale, dont certaines ont des délais de notification courts. Par exemple, les États ont promulgué une législation exigeant la notification des atteintes à la sécurité impliquant des informations personnelles, certaines dans les 24 heures suivant la découverte du vol. De plus, la SEC a publié des directives concernant les divulgations à la suite d’une violation de la cybersécurité. Et le Règlement général sur la protection des données du Royaume-Uni impose aux organisations de signaler certaines violations de données personnelles dans les 72 heures, dans la mesure du possible. [23]

Les organisations doivent également se préparer aux enquêtes gouvernementales et aux litiges. Les secteurs réglementés tels que les soins de santé, la finance et les infrastructures critiques font régulièrement l’objet d’un examen minutieux après des cyberattaques de la part des autorités de réglementation et des procureurs généraux des États. Lorsque des données de consommateurs sont impliquées, les droits d’action privés en vertu des lois de l’État sur la protection des consommateurs peuvent conduire à des recours collectifs. Au-delà de cela, les organisations doivent également déterminer si elles doivent ou non payer la rançon, ce qui soulève une foule d’autres problèmes pratiques et juridiques. Le FBI conseille généralement aux entreprises de ne pas payer de rançon. L’Office of Foreign Assets Control (« OFAC ») du département du Trésor a déclaré que certains paiements de ransomware peuvent également constituer des violations des lois sur les sanctions économiques. Au-delà de l’OFAC, le paiement de la rançon peut impliquer les lois anti-blanchiment et le Patriot Act. En outre,[24] à New York, les législateurs ont également proposé une législation qui interdirait les paiements de ransomware par toute entité exerçant des activités à New York ou dans un établissement de santé réglementé par le ministère de la Santé de New York. [25] Comme nous l’avons indiqué, la participation précoce d’un conseiller juridique est importante pour évaluer toutes ces questions tout en préservant le privilège.


Compte tenu de la prolifération d’acteurs de ransomware sophistiqués à la recherche de primes de plus en plus importantes pour les données sensibles de l’entreprise, les entreprises doivent à la fois anticiper et être prêtes à répondre à l’attaque inévitable. En prenant les mesures décrites ici, les entreprises se mettront dans la meilleure position pour contenir la violation une fois qu’elle se produira, empêcher la perte de données supplémentaires, lancer le processus de récupération, limiter l’exposition légale et réglementaire et déterminer si elles doivent payer la rançon.

Notes de fin

Voir Fortinet, Global Threat Landscape Report : A Semiannual Report by FortiGuard Labs (février 2021), disponible sur https://www.fortinet.com/content/dam/maindam/public/02_marketing/08_Report/Global-TLR-2021 -2H.pdf .(retourner)

2 Collin Eaton et Dustin Volz, PDG de Colonial Pipeline, expliquent pourquoi il a payé une rançon de 4,4 millions de dollars aux pirates , Wall St. J. (19 mai 2021) ; Catherine Stupp, Le système de santé irlandais lutte contre les perturbations technologiques après l’attaque par ransomware de mai , Wall St. J. (18 juin 2021).(retourner)

Voir Dep’t of Health & Human Serv., Ransomware Trends 2021 à 11 (3 juin 2021), disponible sur https://www.hhs.gov/sites/default/files/ransomware-trends-2021.pdf.(retourner)

4 Palo Alto Networks, rapport sur les menaces de ransomware à 4 (2021) ; voir aussi Jacob Bunge, JBS Paid $11 Million to Resolve Ransomware Attack , Wall St. J. (9 juin 2021).(retourner)

Voir, par exemple , Communiqué de presse, Sénateur américain Jackie Rosen, Rosen Leads Bipartisan Group of Senators to Reintroduce Bipartisan Electric Grid Security Legislation (24 juin 2021) ; Communiqué de presse, Féd. Bureau of Investigation, Déclaration du FBI sur les récentes attaques de ransomware (4 juin 2021) ; Communiqué de presse, Dep’t of Homeland Security, DHS annonce de nouvelles exigences en matière de cybersécurité pour les propriétaires et exploitants de pipelines critiques (27 mai 2021).(retourner)

6 Magno Logan, Erika Mendoza, et al., The State of Ransomware: 2020’s Catch-22 (3 février 2021), disponible sur https://www.trendmicro.com/vinfo/us/security/news/cybercrime- and-digital-menaces/the-state-of-ransomware-2020-s-catch-22 .(retourner)

7 Mayra Fuentes, Feike Hacquebord et al., Modern Ransomware’s Double Extorsion Tactics and How to Protect Enterprises Against Them at 9 (2021), disponible sur https://documents.trendmicro.com/assets/white_papers/wp-modern-ransomwares -double-extorsion-tactiques.pdf .(retourner)

Id. Certains acteurs de ransomware incluent une troisième couche d’extorsion en ajoutant des attaques par déni de service (« DDoS ») contre les sites Web des victimes, qui peuvent submerger un réseau de trafic, provoquant une interruption supplémentaire des opérations. D’autres ont même ajouté une quatrième couche d’extorsion en contactant directement les clients d’une victime dans le but d’augmenter la pression sur la victime pour qu’elle paie. Voir Janus Agcaoili, Miguel Ang et al., Ransomware Double Extortion and Beyond : REvil, Clop et Conti (15 juin 2021), disponible sur https://www.trendmicro.com/vinfo/dk/security/news/ cybercriminalité-et-menaces-numériques/ransomware-double-extorsion-and-beyond-revil-clop-and-conti .(retourner)

Voir le rapport Palo Alto, supra note 4, p. 4.(retourner)

10 Voir Fuentes et al., supra note 7, à 6.(retourner)

11 Bob McArdle, The Life Cycle of a Compromised (Cloud) Server, Trend Micro (1er septembre 2020), disponible sur https://blog.trendmicro.com/the-lifecycle-of-a-compromised-cloud-server .(retourner)

12 Voir, par exemple , Cybersecurity Infrastructure & Sec. Agency (« CISA »), Darkside Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks (30 mai 2021), disponible sur https://us-cert.cisa.gov/ncas/alerts/aa21-131a . TOR est un logiciel gratuit qui permet des communications anonymes sur Internet.(retourner)

13 Id.(retourner)

14 Id.(retourner)

15 Jordan Robertson & William Turton, Colonial Hackers Stole Data Thursday Ahead of Shutdown , Bloomberg (8 mai 2021), disponible sur https://www.bloomberg.com/news/articles/2021-05-09/colonial-hackers- volé-données-jeudi-avant-l’arrêt-du-pipeline .(retourner)

16 Communiqué de presse, US Dep’t of Justice, Department of Justice saisit 2,3 millions de dollars en crypto-monnaie payés aux ransomwares Extortionists Darkside (7 juin 2021).(retourner)

17 Shining a Light on Darkside Ransomware Operations, Fireeye (11 mai 2021), disponible sur https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware -opérations.html .(retourner)

18 Voir Fuentes et al., supra note 7.(retourner)

19 Ry Crozier, Toll Group peut avoir perdu plus de 200 Go de données lors d’une attaque de ransomware , IT News (20 mai 2020).(retourner)

20 Phil Muncaster, REvil Ransomware Group Auctions Stolen Data , Info Security Group (3 juin 2020), disponible sur https://www.infosecurity-magazine.com/news/revil-ransomware-group-auctions .(retourner)

21 Lawrence Abrams, Healthcare Giant Grupo Fleury Hit By REvil Ransomware Attack , BleepingComputer (23 juin 2021), disponible sur https://www.bleepingcomputer.com/news/security/healthcare-giant-grupo-fleury-hit-by- attaque-revil-ransomware/ ; Communiqué de presse, Féd. Bureau of Investigation, Déclaration du FBI sur la cyberattaque JBS (2 juin 2021).(retourner)

22 Voir Bunge, supra note 4.(retourner)

23 Voir S. 645, 117e Cong. (2021), disponible sur https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/warnerrubiodraftbill.pdf(retourner)

24 Voir, par exemple , Doug Olenick, Should Paying Ransoms to Attackers Be Banned, Data Breach (24 mai 2021) ; Cynthia Brumfield, Four States Propose Laws to Ban Ransomware Payments , CSO (28 juin 2021), disponible sur https://www.csoonline.com/article/3622888/four-states-propose-laws-to-ban-ransomware- paiements.html .(retourner)

25 N.YS 6806, 2021-2022 Sess. (18 mai 2021), disponible sur https://www.nysenate.gov/legislation/bills/2021/s6806 .(retourner)

Surveillance de l’actif « confiance » par le conseil d’administration


Voici un article très intéressant paru sur le Forum de Harvard Law School on Corporate Governance aujourd’hui et publié par Don Fancher, directeur de Risk & Financial Advisory, Jennifer Lee, associée directrice canadienne et Debbie McCormack, directrice générale chez Deloitte.

Les auteurs mettent l’accent sur l’importance pour les administrateurs de considérer la confiance organisationnelle comme une variable déterminante dans la gouvernance. En effet, comme tenu de la valeur de cet actif, il importe que les CA accordent une attention renouvelée à la confiance (trust).

Les responsabilités des conseils d’administration continuent d’évoluer et d’augmenter, particulièrement compte tenu des événements de la dernière année. En plus des sujets pérennes tels que la stratégie, la succession, les rapports financiers, la conformité et la culture, les conseils d’administration sont confrontés à des exigences plus larges en matière de surveillance en raison des considérations croissantes des parties prenantes et des actionnaires ; les défis persistants de la pandémie mondiale en cours et de ses conséquences ; et aborder le rôle changeant de l’entreprise dans la société en général sur des questions telles que la justice raciale et le climat. La croissance du nombre et de la complexité des responsabilités du conseil d’administration s’effectue dans un environnement de scepticisme croissant envers nos diverses institutions.

Dans ce contexte, les entreprises et leurs conseils d’administration peuvent aider à relever ces multiples défis en considérant l’un des actifs les plus critiques qui ne figurent pas dans leur bilan : la confiance.

Je vous invite à lire un extrait de la version française de la publication effectuée par Google, que j’ai corrigée. Ce travail de correction est certainement encore perfectible, mais le résultat est très satisfaisant.

Trust: A Critical Asset

 

How advisers can fight the 'crisis of trust' in financial services - MarketWatch

Qu’est-ce que la confiance ?

La confiance a été définie comme « notre volonté d’être vulnérable aux actions des autres parce que nous pensons qu’ils ont de bonnes intentions et qu’ils se comporteront bien envers nous ».  Cependant, en particulier pour une entreprise commerciale, la confiance n’est pas une qualité ou une attitude éphémère. Il s’agit plutôt d’un actif critique, même s’il ne figure pas au bilan ou autrement dans les états financiers, car il n’a aucune valeur intrinsèque.

Cependant, la confiance est bien réelle et concrète. Lorsqu’elle est prise en compte par les dirigeants dans les relations avec les parties prenantes, elle donne lieu à des activités et des réponses qui peuvent aider à construire ou reconstruire une organisation et permettre à une organisation d’atteindre son objectif. La confiance peut également être créée entre divers groupes au sein de l’organisation : entre le conseil d’administration et la direction, entre l’employeur et l’employé, parmi la main-d’œuvre, l’organisation et les parties prenantes, les fournisseurs et les clients.

À l’inverse, un abus de confiance peut entraîner une perte de valeur importante pour une entreprise. Par exemple, une analyse de Deloitte Canada a révélé que trois grandes entreprises mondiales, chacune avec une capitalisation boursière de plus de 10 milliards de dollars, ont perdu de 20 à 56 % de leur valeur, soit un total de 70 milliards de dollars, lorsqu’elles ont abusé de la confiance de leurs parties prenantes.

En d’autres termes, bien que la confiance n’apparaisse pas au bilan, il s’agit d’un actif critique qui peut avoir un impact énorme, positif ou négatif, sur la valeur marchande d’une organisation.

Bonne lecture !

Gouvernance et création de valeur


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publie quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du huitième article du CAS qui porte sur la gouvernance et la création de valeur.

La publication de Maurice Gosselin*, professeur titulaire de l’École de comptabilité de la faculté des sciences de l’administration de l’Université Laval, nous présente le concept de la création de valeur, et comment celle-ci contribue à la bonne gouvernance des organisations.

Il fait notamment la distinction entre la création de valeur sociale et la création de valeur économique, en expliquant par ailleurs le rôle du CA pour chacune de ces facettes, tant à l’interne qu’à l’externe.

L’auteur fait le lien entre les notions de valeur économique des organisations et les valeurs sociales.  Comment doivent se comporter les administrateurs de sociétés afin de s’acquitter de leurs obligations fiduciaires ?

Voici un extrait de l’article.

La création de valeur économique représente comment l’organisation réussit à assurer sa pérennité en se donnant des ressources financières suffisantes pour réaliser ses objectifs. La création de la valeur économique passe par la surveillance de la direction par le conseil d’administration et par la gestion effectuée par la direction générale. La performance financière constitue la pierre angulaire de la création de valeur économique.

Sur le plan économique, la création de valeur à l’interne passe par des décisions stratégiques relevant du conseil d’administration et de la direction telles que :

  • Le positionnement stratégique;
  • L’innovation;
  • Le regroupement d’entreprises d’un secteur et la restructuration des activités dans cette chaîne de valeur;
  • Le développement de nouvelles entreprises;
  • L’internationalisation des activités.

La création de valeur sociale à l’interne passe par le bien-être des employés et leur responsabilisation. Le développement d’une culture organisationnelle qui place les ressources humaines au cœur de l’organisation est essentiel au succès dans ce domaine. Et ce, encore plus, dans un contexte où les ressources humaines compétentes sont de plus en plus rares. De plus, les préoccupations en matière de création d’emplois, de santé et sécurité au travail et de formation sont au cœur de la création de valeur sociale à l’interne. Les administrateurs désirent être informés des objectifs et de la performance de l’organisation à ce chapitre.

Le conseil d’administration se préoccupera également de la gestion des talents et de la relève, car les ressources humaines doivent évoluer pour répondre aux besoins de l’organisation. Elles sont rares et mobiles, et essentielles pour assurer la pérennité de l’organisation.

Le développement durable, et plus spécifiquement l’empreinte environnementale de l’organisation est aussi une dimension importante de la création de valeur sociale. Les parties prenantes sont de plus en plus préoccupées par cet aspect de la gestion d’une organisation.

Le conseil d’administration va vouloir évaluer la création de valeur sociale. La direction va donc être appelée à produire périodiquement un tableau de bord ou un rapport qui regroupera les éléments de création de valeur sociale comme :

  • La performance sociale;
  • La performance environnementale;
  • La création d’emplois;
  • La satisfaction de la clientèle et des autres acteurs dans la chaîne de valeur;
  • La santé et la sécurité au travail des employés;
  • La période sans accident de travail majeur.

Bonne lecture !


*Maurice Gosselin, Ph.D., FCPA auditeur, CA, ASC, professeur titulaire, École de comptabilité, FSA ULaval

Enquête auprès des investisseurs institutionnels 2021


Voici le résumé d’une enquête annuelle des investisseurs institutionnels ((IIS) publié par Kiran Vasantham, directeur de l’engagement des investisseurs et Jana Jevcakova, directrice générale de la gouvernance d’entreprise APAC et Mandy Offel, responsable de la gouvernance d’entreprise chez Morrow Sodali.

Cet article est paru sur le Forum de Harvard Law School on Corporate Governance aujourd’hui.

Comme cela est largement rapporté, la tendance des entrées de capitaux dans les investissements orientés ESG a explosé pour atteindre un niveau record de 1,65 billion de dollars au 4T2020, en hausse de près de 29 % par rapport au troisième trimestre. La pandémie de COVID-19 a contribué à l’accélération des investissements ESG. Il est important de noter que le rythme des investissements dans les fonds durables devrait continuer à s’accélérer dans la course vers une économie nette à zéro carbone d’ici 2050.

Les conseils d’administration sont de plus en plus interpellés pour adopter des critères d’évaluation des résultats liés à l’ESG.

Je vous invite à lire la version française de la publication effectuée par Google, que j’ai corrigée. Ce travail de correction est certainement encore perfectible, mais le résultat est très satisfaisant.

Institutional Investor Survey 2021

 

Climate Change Tops the Agenda for Institutional Investors in 2021 | Business Wire

 

Sommaire

Nous sommes ravis de publier la sixième enquête annuelle des investisseurs institutionnels (IIS) de Morrow Sodali, qui recense les points de vue et opinions de plus d’un quart des actifs sous gestion dans le monde [1] à un moment d’importance mondiale.

Dans le contexte de la pandémie de COVID-19, les impacts environnementaux, sociaux et de gouvernance (ESG) des sociétés cotées en bourse ont été propulsés au premier plan de l’attention des investisseurs alors qu’ils évaluent la gestion des risques et des opportunités, la résilience opérationnelle et la création de valeur pour les actionnaires travers une période d’incertitude et de turbulence sans précédent sur les marchés.

Comme cela est largement rapporté, la tendance des entrées de capitaux dans les investissements orientés ESG a explosé pour atteindre un niveau record de 1,65 billion de dollars au 4T2020, en hausse de près de 29 % par rapport au troisième trimestre. [2] La pandémie de COVID-19 a contribué à l’accélération des investissements ESG. Il est important de noter que le rythme des investissements dans les fonds durables devrait continuer à s’accélérer dans la course vers une économie nette à zéro carbone d’ici 2050.

Pour cette raison et à la suite d’une crise sanitaire mondiale, l’intérêt et l’appétit des investisseurs, en particulier les propriétaires d’actifs, pour tenir les conseils d’administration et les entreprises responsables de leurs performances par rapport aux critères ESG « non financiers ».

Par conséquent, pour comprendre et répondre de manière réfléchie aux préoccupations des investisseurs, il est plus que jamais nécessaire de renforcer la confiance et le soutien des investisseurs alors que les entreprises et leurs dirigeants sont confrontés à des défis uniques. Nous espérons que les conclusions de notre IIS 2021 contribueront à cet objectif.

Il ne faut pas s’étonner qu’au cours de l’année écoulée, COVID-19 ait été identifié par notre enquête comme l’une des principales raisons incitant les investisseurs à s’engager avec les entreprises. Avec les pressions économiques et opérationnelles croissantes causées par la pandémie, les investisseurs et autres parties prenantes demandent aux entreprises d’articuler leur « objectif d’entreprise », leur mission et leurs valeurs au cœur de la façon dont elles mènent leurs affaires.

La rémunération des cadres supérieurs a également fait l’objet d’un examen particulier en raison de la pandémie. Les investisseurs ont besoin d’explications convaincantes lorsque des incitations ont été versées, en particulier si des « subventions » du gouvernement ont été reçues, et lorsque les performances financières ont été négativement affectées. Cet examen se poursuivra en 2021, car les revenus et la rentabilité de l’entreprise continuent d’être affectés par la pandémie.

Nous notons qu’un certain nombre de tendances identifiées dans les sondages au cours des dernières années se sont poursuivies, notamment la préférence des investisseurs pour s’engager directement avec le conseil d’administration sur les questions environnementales et sociales. Indéniablement cependant, les investisseurs classent le risque climatique comme la question ESG et le sujet d’engagement le plus important pour la deuxième année consécutive. En s’appuyant sur les données recueillies l’année dernière, les investisseurs sont particulièrement intéressés par la compréhension de l’ESG dans le contexte du plan d’affaires d’une entreprise et l’identification de liens clairs avec les risques et opportunités financiers dans les informations relatives au climat d’une entreprise.

L’importance croissante du risque climatique s’est maintenant clairement traduite par la volonté des investisseurs de tenir les entreprises et les conseils d’administration responsables par le dépôt et le co-dépôt de résolutions d’actionnaires liées à l’ESG. Ce changement d’attitude notable marque un tournant dans la relation entre les entreprises et les actionnaires où l’échec du dialogue poli pour conduire le changement aura un impact direct sur les comportements d’investissement et de vote.

Il est intéressant de noter que de nombreux investisseurs se sont déclarés en faveur d’un « Say on Sustainability ». Alors qu’un certain nombre d’entreprises dans le monde ont volontairement adopté des résolutions de vote « Say on climate » non contraignantes, l’enquête suggère que dans un proche avenir, des résolutions de vote sur la durabilité pourraient également être sur la table. Cependant, en termes de « Say on Climate », il existe des différences notables selon les régions ; d’une part, un certain nombre d’entreprises européennes, canadiennes et australiennes ont été ouvertes à l’idée, mais d’autre part, il y a eu un recul important de la part d’entreprises et d’investisseurs américains. Cela veut dire que des différences similaires pourraient être attendues concernant les futures campagnes « Say on Sustainability ».

Celles-ci, ainsi que d’autres découvertes et idées peuvent être trouvées dans notre IIS 2021.

Enfin, nous tenons à remercier sincèrement tous les investisseurs institutionnels qui ont donné de leur temps pour contribuer à cette enquête.

À propos de l’enquête

Pour l’IIS 2021, un total de 42 investisseurs institutionnels mondiaux, gérant environ 29 000 milliards de dollars d’actifs sous gestion (« AUM ») ont volontairement participé à l’enquête. Les données sont donc représentatives et peuvent être extrapolées à l’ensemble de l’univers global d’investissement.

Les réponses ont été recueillies à partir de conversations directes ou via un sondage en ligne. Les investisseurs participants représentaient un large éventail de fonds en termes de style d’investissement, de profil, de taille et d’emplacement géographique, entre autres attributs. Les données et les conclusions intéresseront donc un large éventail de sociétés cotées dans tous les secteurs, les conseils d’administration et les autres acteurs du marché des capitaux.

Pour permettre des comparaisons d’une année à l’autre, un certain nombre de questions du sondage sont répétées ou suivent des thèmes similaires. En outre, de nouvelles questions sont posées qui reflètent les développements et les thèmes d’actualité.

Top 10 des billets publiés sur Harvard Law School Forum au 21 mai 2021


Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 21 mai 2021.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

Top Ten Reasons to Work With A Neal Estate Team Buyer Specialist

  1. Cybersecurity Oversight and Defense — A Board and Management Imperative
  2. Materiality: The Word that Launched a Thousand Debates
  3. Do ESG Funds Make Stakeholder-Friendly Investments?
  4. Which Corporate ESG News Does the Market React To?
  5. The Lipton Archive
  6. Mitigating SPAC Enforcement and Litigation Risks
  7. Human Capital Disclosure: What Do Companies Say About Their “Most Important Asset”?
  8. Is Public Equity Deadly? Evidence from Workplace Safety and Productivity Tradeoffs in the Coal Industry
  9. The Case for a Best Execution Principle in Cross-Border Payments
  10. 2021 Proxy Season Issues and Early Voting Trends

La gestion des risques et le rôle du CA au Canada


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publie quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du septième article qui porte sur la gestion des risques d’entreprises (GRE) et l’importance d’identifier les risques émergents en ces temps de pandémie COVID-19. « Dans ce contexte, le conseil d’administration assume une responsabilité de supervision (oversight) de la gestion des risques organisationnels, et non pas d’exécution ».

La publication de Gilles Bernier*, professeur titulaire retraité de la faculté des sciences de l’administration de l’Université Laval, nous invite à prendre connaissance d’une récente enquête réalisée en ligne en 2018 par le Conference Board du Canada (en partenariat avec CPA Canada et l’Institut mondial de gestion des risques du secteur financier), auprès de 160 professionnels qui dirigent la gestion des risques au sein de leur organisation respective

L’auteure aborde plusieurs questions cruciales pour les administrateurs : que peuvent-ils et que doivent-ils faire afin de s’acquitter de leurs obligations fiduciaires ?

Voici un extrait de l’article.

– La GRE a beaucoup progressé au cours de la dernière décennie au Canada, sauf dans les plus petites organisations.

– Au Canada, les conseils d’administration semblent prendre de plus en plus au sérieux la gouvernance des risques d’entreprise. Ainsi, le sondage montre « que 69 % des répondants confirment que leur conseil d’administration a supervisé les politiques de gestion des risques de l’organisation ». De plus, près de 60 % des répondants qualifient la GRE de leur organisation de « centralisée », c’est-à-dire relevant de la direction générale ou de la direction financière.

– Un autre aspect que le sondage indique est le manque de soutien des équipes de direction, ce qui va souvent se refléter par un niveau de ressources — humaines, financières et technologiques — insuffisantes pour permettre à la fonction GRE d’atteindre une plus grande maturité. Une idée qui pourrait possiblement faire en sorte que les dirigeants adhèrent encore plus à la GRE serait de resserrer le lien entre celle-ci et leur rémunération.

– Il s’avère que là où la GRE est vraiment intégrée (par exemple, dans le secteur financier), elle est plus souvent considérée comme un outil stratégique clé et comme un facteur de réussite en affaires. Dès lors, la gouvernance des risques stratégiques est certes un aspect auquel les conseils d’administration canadiens devraient porter une attention encore plus marquée. En effet, il faut se rappeler qu’un plan stratégique n’est qu’un scénario qui comporte bien des incertitudes.

– Un autre constat fort intéressant réside dans le fait que le potentiel de la GRE « pour ce qui est de tirer parti du bon côté du risque et de créer de la valeur reste sous-développé » dans un grand nombre d’organisations.

– Enfin, les répondants se montrent davantage préoccupés par les priorités relatives aux risques immédiats (financiers, opérationnels, de non-conformité et d’atteinte à la réputation) et moins par les risques émergents.

Bonne lecture !


*Gilles Bernier, Ph.D., ASC, C.Dir., A.C.C., professeur retraité, FSA ULaval, et administrateur de sociétés

L’évaluation du CA, des comités et des administrateurs | en rappel


Les conseils d’administration sont de plus en plus confrontés à l’exigence d’évaluer l’efficacité de leur fonctionnement par le biais d’une évaluation annuelle du CA, des comités et des administrateurs.

En fait, le NYSE exige depuis dix ans que les conseils procèdent à leur évaluation et que les résultats du processus soient divulgués aux actionnaires. Également, les investisseurs institutionnels et les activistes demandent de plus en plus d’informations au sujet du processus d’évaluation.

Les résultats de l’évaluation peuvent être divulgués de plusieurs façons, notamment dans les circulaires de procuration et sur le site de l’entreprise.

L’article publié par John Olson, associé fondateur de la firme Gibson, Dunn & Crutcher, professeur invité à Georgetown Law Center, et paru sur le forum du Harvard Law School, présente certaines approches fréquemment utilisées pour l’évaluation du CA, des comités et des administrateurs.

On recommande de modifier les méthodes et les paramètres de l’évaluation à chaque trois ans afin d’éviter la routine susceptible de s’installer si les administrateurs remplissent les mêmes questionnaires, gérés par le président du conseil. De plus, l’objectif de l’évaluation est sujet à changement (par exemple, depuis une décennie, on accorde une grande place à la cybersécurité).

C’est au comité de gouvernance que revient la supervision du processus d’évaluation du conseil d’administration. L’article décrit quatre méthodes fréquemment utilisées.

(1) Les questionnaires gérés par le comité de gouvernance ou une personne externe

(2) les discussions entre administrateurs sur des sujets déterminés à l’avance

(3) les entretiens individuels avec les administrateurs sur des thèmes précis par le président du conseil, le président du comité de gouvernance ou un expert externe.

(4) L’évaluation des contributions de chaque administrateur par la méthode d’auto-évaluation et par l’évaluation des pairs.

Chaque approche a ses particularités et la clé est de varier les façons de faire périodiquement. On constate également que beaucoup de sociétés cotées utilisent les services de spécialistes pour les aider dans leurs démarches.

Évaluer le conseil d'administration

La quasi-totalité des entreprises du S&P 500 divulgue le processus d’évaluation utilisé pour améliorer leur efficacité. L’article présente deux manières de diffuser les résultats du processus d’évaluation.

(1) Structuré, c’est-à-dire un format qui précise — qui évalue quoi ; la fréquence de l’évaluation ; qui supervise les résultats ; comment le CA a-t-il agi eu égard aux résultats de l’opération d’évaluation.

(2) Information axée sur les résultats — les grandes conclusions ; les facteurs positifs et les points à améliorer ; un plan d’action visant à corriger les lacunes observées.

Notons que la firme de services aux actionnaires ISS (Institutional Shareholder Services) utilise la qualité du processus d’évaluation pour évaluer la robustesse de la gouvernance des sociétés. L’article présente des recommandations très utiles pour toute personne intéressée par la mise en place d’un système d’évaluation du CA et par sa gestion.

Voici trois articles parus sur mon blogue qui abordent le sujet de l’évaluation :

L’évaluation des conseils d’administration et des administrateurs | Sept étapes à considérer

Quels sont les devoirs et les responsabilités d’un CA ?  (la section qui traite des questionnaires d’évaluation du rendement et de la performance du conseil)

Évaluation des membres de Conseils

Bonne lecture !

Getting the Most from the Evaluation Process

More than ten years have passed since the New York Stock Exchange (NYSE) began requiring annual evaluations for boards of directors and “key” committees (audit, compensation, nominating/governance), and many NASDAQ companies also conduct these evaluations annually as a matter of good governance. [1] With boards now firmly in the routine of doing annual evaluations, one challenge (as with any recurring activity) is to keep the process fresh and productive so that it continues to provide the board with valuable insights. In addition, companies are increasingly providing, and institutional shareholders are increasingly seeking, more information about the board’s evaluation process. Boards that have implemented a substantive, effective evaluation process will want information about their work in this area to be communicated to shareholders and potential investors. This can be done in a variety of ways, including in the annual proxy statement, in the governance or investor information section on the corporate website, and/or as part of shareholder engagement outreach.

To assist companies and their boards in maximizing the effectiveness of the evaluation process and related disclosures, this post provides an overview of several frequently used methods for conducting evaluations of the full board, board committees and individual directors. It is our experience that using a variety of methods, with some variation from year to year, results in more substantive and useful evaluations. This post also discusses trends and considerations relating to disclosures about board evaluations. We close with some practical tips for boards to consider as they look ahead to their next annual evaluation cycle.

Common Methods of Board Evaluation

As a threshold matter, it is important to note that there is no one “right” way to conduct board evaluations. There is room for flexibility, and the boards and committees we work with use a variety of methods. We believe it is good practice to “change up” the board evaluation process every few years by using a different format in order to keep the process fresh. Boards have increasingly found that year-after-year use of a written questionnaire, with the results compiled and summarized by a board leader or the corporate secretary for consideration by the board, becomes a routine exercise that produces few new insights as the years go by. This has been the most common practice, and it does respond to the NYSE requirement, but it may not bring as much useful information to the board as some other methods.

Doing something different from time to time can bring new perspectives and insights, enhancing the effectiveness of the process and the value it provides to the board. The evaluation process should be dynamic, changing from time to time as the board identifies practices that work well and those that it finds less effective, and as the board deals with changing expectations for how to meet its oversight duties. As an example, over the last decade there have been increasing expectations that boards will be proactive in oversight of compliance issues and risk (including cyber risk) identification and management issues.

Three of the most common methods for conducting a board or committee evaluation are: (1) written questionnaires; (2) discussions; and (3) interviews. Some of the approaches outlined below reflect a combination of these methods. A company’s nominating/governance committee typically oversees the evaluation process since it has primary responsibility for overseeing governance matters on behalf of the board.

1. Questionnaires

The most common method for conducting board evaluations has been through written responses to questionnaires that elicit information about the board’s effectiveness. The questionnaires may be prepared with the assistance of outside counsel or an outside advisor with expertise in governance matters. A well-designed questionnaire often will address a combination of substantive topics and topics relating to the board’s operations. For example, the questionnaire could touch on major subject matter areas that fall under the board’s oversight responsibility, such as views on whether the board’s oversight of critical areas like risk, compliance and crisis preparedness are effective, including whether there is appropriate and timely information flow to the board on these issues. Questionnaires typically also inquire about whether board refreshment mechanisms and board succession planning are effective, and whether the board is comfortable with the senior management succession plan. With respect to board operations, a questionnaire could inquire about matters such as the number and frequency of meetings, quality and timeliness of meeting materials, and allocation of meeting time between presentation and discussion. Some boards also consider their efforts to increase board diversity as part of the annual evaluation process.

Many boards review their questionnaires annually and update them as appropriate to address new, relevant topics or to emphasize particular areas. For example, if the board recently changed its leadership structure or reallocated responsibility for a major subject matter area among its committees, or the company acquired or started a new line of business or experienced recent issues related to operations, legal compliance or a breach of security, the questionnaire should be updated to request feedback on how the board has handled these developments. Generally, each director completes the questionnaire, the results of the questionnaires are consolidated, and a written or verbal summary of the results is then shared with the board.

Written questionnaires offer the advantage of anonymity because responses generally are summarized or reported back to the full board without attribution. As a result, directors may be more candid in their responses than they would be using another evaluation format, such as a face-to-face discussion. A potential disadvantage of written questionnaires is that they may become rote, particularly after several years of using the same or substantially similar questionnaires. Further, the final product the board receives may be a summary that does not pick up the nuances or tone of the views of individual directors.

In our experience, increasingly, at least once every few years, boards that use questionnaires are retaining a third party, such as outside counsel or another experienced facilitator, to compile the questionnaire responses, prepare a summary and moderate a discussion based on the questionnaire responses. The desirability of using an outside party for this purpose depends on a number of factors. These include the culture of the board and, specifically, whether the boardroom environment is one in which directors are comfortable expressing their views candidly. In addition, using counsel (inside or outside) may help preserve any argument that the evaluation process and related materials are privileged communications if, during the process, counsel is providing legal advice to the board.

In lieu of asking directors to complete written questionnaires, a questionnaire could be distributed to stimulate and guide discussion at an interactive full board evaluation discussion.

2. Group Discussions

Setting aside board time for a structured, in-person conversation is another common method for conducting board evaluations. The discussion can be led by one of several individuals, including: (a) the chairman of the board; (b) an independent director, such as the lead director or the chair of the nominating/governance committee; or (c) an outside facilitator, such as a lawyer or consultant with expertise in governance matters. Using a discussion format can help to “change up” the evaluation process in situations where written questionnaires are no longer providing useful, new information. It may also work well if there are particular concerns about creating a written record.

Boards that use a discussion format often circulate a list of discussion items or topics for directors to consider in advance of the meeting at which the discussion will occur. This helps to focus the conversation and make the best use of the time available. It also provides an opportunity to develop a set of topics that is tailored to the company, its business and issues it has faced and is facing. Another approach to determining discussion topics is to elicit directors’ views on what should be covered as part of the annual evaluation. For example, the nominating/governance could ask that each director select a handful of possible topics for discussion at the board evaluation session and then place the most commonly cited topics on the agenda for the evaluation.

A discussion format can be a useful tool for facilitating a candid exchange of views among directors and promoting meaningful dialogue, which can be valuable in assessing effectiveness and identifying areas for improvement. Discussions allow directors to elaborate on their views in ways that may not be feasible with a written questionnaire and to respond in real time to views expressed by their colleagues on the board. On the other hand, they do not provide an opportunity for anonymity. In our experience, this approach works best in boards with a high degree of collegiality and a tradition of candor.

3. Interviews

Another method of conducting board evaluations that is becoming more common is interviews with individual directors, done in-person or over the phone. A set of questions is often distributed in advance to help guide the discussion. Interviews can be done by: (a) an outside party such as a lawyer or consultant; (b) an independent director, such as the lead director or the chair of the nominating/governance committee; or (c) the corporate secretary or inside counsel, if directors are comfortable with that. The party conducting the interviews generally summarizes the information obtained in the interview process and may facilitate a discussion of the information obtained with the board.

In our experience, boards that have used interviews to conduct their annual evaluation process generally have found them very productive. Directors have observed that the interviews yielded rich feedback about the board’s performance and effectiveness. Relative to other types of evaluations, interviews are more labor-intensive because they can be time-consuming, particularly for larger boards. They also can be expensive, particularly if the board retains an outside party to conduct the interviews. For these reasons, the interview format generally is not one that is used every year. However, we do see a growing number of boards taking this path as a “refresher”—every three to five years—after periods of using a written questionnaire, or after a major event, such as a corporate crisis of some kind, when the board wants to do an in-depth “lessons learned” analysis as part of its self-evaluation. Interviews also offer an opportunity to develop a targeted list of questions that focuses on issues and themes that are specific to the board and company in question, which can contribute further to the value derived from the interview process.

For nominating/governance committees considering the use of an interview format, one key question is who will conduct the interviews. In our experience, the most common approach is to retain an outside party (such as a lawyer or consultant) to conduct and summarize interviews. An outside party can enhance the effectiveness of the process because directors may be more forthcoming in their responses than they would if another director or a member of management were involved.

Individual Director Evaluations

Another practice that some boards have incorporated into their evaluation process is formal evaluations of individual directors. In our experience, these are not yet widespread but are becoming more common. At companies where the nominating/governance committee has a robust process for assessing the contributions of individual directors each year in deciding whether to recommend them for renomination to the board, the committee and the board may conclude that a formal evaluation every year is unnecessary. Historically, some boards have been hesitant to conduct individual director evaluations because of concerns about the impact on board collegiality and dynamics. However, if done thoughtfully, a structured process for evaluating the performance of each director can result in valuable insights that can strengthen the performance of individual directors and the board as a whole.

As with board and committee evaluations, no single “best practice” has emerged for conducting individual director evaluations, and the methods described above can be adapted for this purpose. In addition, these evaluations may involve directors either evaluating their own performance (self-evaluations), or evaluating their fellow directors individually and as a group (peer evaluations). Directors may be more willing to evaluate their own performance than that of their colleagues, and the utility of self-evaluations can be enhanced by having an independent director, such as the chairman of the board or lead director, or the chair of the nominating/governance committee, provide feedback to each director after the director evaluates his or her own performance. On the other hand, peer evaluations can provide directors with valuable, constructive comments. Here, too, each director’s evaluation results typically would be presented only to that director by the chairman of the board or lead director, or the chair of the nominating/governance committee. Ultimately, whether and how to conduct individual director evaluations will depend on a variety of factors, including board culture.

Disclosures about Board Evaluations

Many companies discuss the board evaluation process in their corporate governance guidelines. [2] In addition, many companies now provide disclosure about the evaluation process in the proxy statement, as one element of increasingly robust proxy disclosures about their corporate governance practices. According to the 2015 Spencer Stuart Board Index, all but 2% of S&P 500 companies disclose in their proxy statements, at a minimum, that they conduct some form of annual board evaluation.

In addition, institutional shareholders increasingly are expressing an interest in knowing more about the evaluation process at companies where they invest. In particular, they want to understand whether the board’s process is a meaningful one, with actionable items emerging from the evaluation process, and not a “check the box” exercise. In the United Kingdom, companies must report annually on their processes for evaluating the performance of the board, its committees and individual directors under the UK Corporate Governance Code. As part of the code’s “comply or explain approach,” the largest companies are expected to use an external facilitator at least every three years (or explain why they have not done so) and to disclose the identity of the facilitator and whether he or she has any other connection to the company.

In September 2014, the Council of Institutional Investors issued a report entitled Best Disclosure: Board Evaluation (available here), as part of a series of reports aimed at providing investors and companies with approaches to and examples of disclosures that CII considers exemplary. The report recommended two possible approaches to enhanced disclosure about board evaluations, identified through an informal survey of CII members, and included examples of disclosures illustrating each approach. As a threshold matter, CII acknowledged in the report that shareholders generally do not expect details about evaluations of individual directors. Rather, shareholders “want to understand the process by which the board goes about regularly improving itself.” According to CII, detailed disclosure about the board evaluation process can give shareholders a “window” into the boardroom and the board’s capacity for change.

The first approach in the CII report focuses on the “nuts and bolts” of how the board conducts the evaluation process and analyzes the results. Under this approach, a company’s disclosures would address: (1) who evaluates whom; (2) how often the evaluations are done; (3) who reviews the results; and (4) how the board decides to address the results. Disclosures under this approach do not address feedback from specific evaluations, either individually or more generally, or conclusions that the board has drawn from recent self-evaluations. As a result, according to CII, this approach can take the form of “evergreen” proxy disclosure that remains similar from year to year, unless the evaluation process itself changes.

The second approach focuses more on the board’s most recent evaluation. Under this approach, in addition to addressing the evaluation process, a company’s disclosures would provide information about “big-picture, board-wide findings and any steps for tackling areas identified for improvement” during the board’s last evaluation. The disclosures would identify: (1) key takeaways from the board’s review of its own performance, including both areas where the board believes it functions effectively and where it could improve; and (2) a “plan of action” to address areas for improvement over the coming year. According to CII, this type of disclosure is more common in the United Kingdom and other non-U.S. jurisdictions.

Also reflecting a greater emphasis on disclosure about board evaluations, proxy advisory firm Institutional Shareholder Services Inc. (“ISS”) added this subject to the factors it uses in evaluating companies’ governance practices when it released an updated version of “QuickScore,” its corporate governance benchmarking tool, in Fall 2014. QuickScore views a company as having a “robust” board evaluation policy where the board discloses that it conducts an annual performance evaluation, including evaluations of individual directors, and that it uses an external evaluator at least every three years (consistent with the approach taken in the UK Corporate Governance Code). For individual director evaluations, it appears that companies can receive QuickScore “credit” in this regard where the nominating/governance committee assesses director performance in connection with the renomination process.

What Companies Should Do Now

As noted above, there is no “one size fits all” approach to board evaluations, but the process should be viewed as an opportunity to enhance board, committee and director performance. In this regard, a company’s nominating/governance committee and board should periodically assess the evaluation process itself to determine whether it is resulting in meaningful takeaways, and whether changes are appropriate. This includes considering whether the board would benefit from trying new approaches to the evaluation process every few years.

Factors to consider in deciding what evaluation format to use include any specific objectives the board seeks to achieve through the evaluation process, aspects of the current evaluation process that have worked well, the board’s culture, and any concerns directors may have about confidentiality. And, we believe that every board should carefully consider “changing up” the evaluation process used from time to time so that the exercise does not become rote. What will be the most beneficial in any given year will depend on a variety of factors specific to the board and the company. For the board, this includes considerations of board refreshment and tenure, and developments the board may be facing, such as changes in board or committee leadership.  Factors relevant to the company include where the company is in its lifecycle, whether the company is in a period of relative stability, challenge or transformation, whether there has been a significant change in the company’s business or a senior management change, whether there is activist interest in the company and whether the company has recently gone through or is going through a crisis of some kind. Specific items that nominating/governance committees could consider as part of maintaining an effective evaluation process include:

  1. Revisit the content and focus of written questionnaires. Evaluation questionnaires should be updated each time they are used in order to reflect significant new developments, both in the external environment and internal to the board.
  2. “Change it up.”  If the board has been using the same written questionnaire, or the same evaluation format, for several years, consider trying something new for an upcoming annual evaluation. This can bring renewed vigor to the process, reengage the participants, and result in more meaningful feedback.
  3. Consider whether to bring in an external facilitator. Boards that have not previously used an outside party to assist in their evaluations should consider whether this would enhance the candor and overall effectiveness of the process.
  4. Engage in a meaningful discussion of the evaluation results. Unless the board does its evaluation using a discussion format, there should be time on the board’s agenda to discuss the evaluation results so that all directors have an opportunity to hear and discuss the feedback from the evaluation.
  5. Incorporate follow-up into the process. Regardless of the evaluation method used, it is critical to follow up on issues and concerns that emerge from the evaluation process. The process should include identifying concrete takeaways and formulating action items to address any concerns or areas for improvement that emerge from the evaluation. Senior management can be a valuable partner in this endeavor, and should be briefed as appropriate on conclusions reached as a result of the evaluation and related action items. The board also should consider its progress in addressing these items.
  6. Revisit disclosures.  Working with management, the nominating/governance committee and the board should discuss whether the company’s proxy disclosures, investor and governance website information and other communications to shareholders and potential investors contain meaningful, current information about the board evaluation process.

Endnotes:

[1] See NYSE Rule 303A.09, which requires listed companies to adopt and disclose a set of corporate governance guidelines that must address an annual performance evaluation of the board. The rule goes on to state that “[t]he board should conduct a self-evaluation at least annually to determine whether it and its committees are functioning effectively.” See also NYSE Rules 303A.07(b)(ii), 303A.05(b)(ii) and 303A.04(b)(ii) (requiring annual evaluations of the audit, compensation, and nominating/governance committees, respectively).
(go back)

[2] In addition, as discussed in the previous note, NYSE companies are required to address an annual evaluation of the board in their corporate governance guidelines.
(go back)

______________________________

*John Olson is a founding partner of the Washington, D.C. office at Gibson, Dunn & Crutcher LLP and a visiting professor at the Georgetown Law Center.

Les attaques de cybersécurité sont-elles une fatalité ?


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publie quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du sixième article qui porte sur les risques associés aux attaques de plus en plus fréquentes de nature informatique. Quels sont les devoirs et les responsabilités des administrateurs de sociétés eu égard à la cybersécurité ?

La publication de Lyne Bouchard*, professeure agrégée de la faculté des sciences de l’administration de l’Université Laval, nous rappelle les moyens de défense accessibles afin d’éviter les ravages causés par les attaques informatiques.

L’article présente un aperçu de l’univers des menaces en cybersécurité et montre comment plusieurs sociétés ont été victimes des cybercriminels. 

L’auteure aborde une question fondamentale pour les administrateurs : que peuvent-ils et que doivent-ils faire afin de s’acquitter de leurs obligations fiduciaires ?

Voici un extrait de l’article.

On finalise la préparation du rapport annuel de votre organisation. On vous demande de certifier, avec votre signature, que les résultats présentés dans le rapport sont fidèles à la réalité et n’ont pas été modifiés à la suite d’un événement de cybersécurité. Vous signez ?

POURQUOI EST-CE SI FACILE DE MENER DES CYBERATTAQUES ?

Ce qui est le plus désolant c’est que ce sont souvent les organisations elles-mêmes ou les utilisateurs eux-mêmes qui ont rendu possible, littéralement, les attaques :– Les vols de données chez Desjardins, Revenu Québec ou au Ministère de l’Éducation ont été rendus possibles par des gestionnaires qui ont traité à la légère les demandes d’accès à des informations de la part de leurs employés, demandes qui n’étaient pas justifiées, mais qui ont rendu possible de vol de données ;

– Chez Équifax, Capital One, Uber, et LifeLabs, c’est l’absence de mise à jour des correctifs de sécurité publiés par les fournisseurs de logiciels et matériel informatique ou le laxisme en sécurité informatique de la part des spécialistes, qui a rendu possible les vols de données ;

– Yahoo, Target, TransUnion, la Banque de Montréal et la CIBC n’avaient pas implanté des identifiants forts pour permettre à des gens de l’externe de se connecter à leurs systèmes ou des procédures sécuritaires pour modifier les mots de passe ;

– De nombreux autres exemples, tels que l’hôpital Michel Garron de Toronto, le gouvernement du Nunavuk, les villes de Woodstock et de Saskatoon, ont péché par l’absence de formation adéquate de leur personnel qui a cliqué sur un fichier attaché dans un courriel, n’a pas utilisé de bons mots de passe, s’est fié aux personnes qui les ont contactés par courriel ou par téléphone.

Heureusement, de telles situations peuvent être évitées. Les technologies sont au cœur des menaces, mais la solution se situe au niveau des individus.

Bonne lecture !

_____________________________

*Lyne Bouchard, IAS.A., professeure agrégée, FSA ULaval | Vice-rectrice aux ressources humaines de l’Université Laval | Directrice de l’Observatoire de gouvernance des technologies de l’information

Top 10 des billets publiés sur Harvard Law School Forum au 22 avril 2021


Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 22 avril 2021.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

AHLA - Top Ten Issues in Health Law 2021

  1. Interest in SPACs is Booming…and So is the Risk of Litigation
  2. Statement by Commissioner Peirce on Rethinking Global ESG Metrics
  3. Integrating Sustainability and Long Term Planning for the Biopharma Sector
  4. When Disclosure Is The Better Part of Valor: Lessons From The AT&T Regulation FD Enforcement Action
  5. How Boards Can Get Human Capital Management Right in Five (Not So) Easy Steps
  6. SEC Approves NYSE’s Amended “Related Party” and “20%” Stockholder Approval Rules
  7. The Activism Vulnerability Report Q4 2020
  8. The Giant Shadow of Corporate Gadflies
  9. Was Milton Friedman Right about Shareholder Capitalism?
  10. A New Theory of Material Adverse Effects

Qui s’intéresse au nombre de CA auxquels les administrateurs siègent ?


Voici un article, auquel j’ai collaboré, qui a été publié sur le blogue Gouvernail de Joanne Desjardins dans le journal les affaires.

L’auteure aborde un sujet sensible dans le monde de la gouvernance. Elle pose de vraies questions sur les responsabilités des acteurs de la gouvernance, qui ont une réelle incidence sur le renouvellement des CA.

Comment assurer une plus grande diversité dans les conseils d’administration, si les systèmes de gouvernance en vigueur dans les entreprises autorisent leurs PDG à siéger à plusieurs conseils d’administration ?

Quelle attention les comités de recrutement accordent-ils aux candidats siégeant à plusieurs conseils d’administration ?

En quoi le fait de siéger à plusieurs CA, souvent avec les mêmes administrateurs, et pour de longues périodes, porte-t-il atteinte à l’indépendance requise de fiduciaire ?

Je vous invite à lire cet article ; vos commentaires sont les bienvenus.

Bonne lecture !

Quand siéger à trop de CA, c’est trop !

 

Responsabilités des administrateurs : organismes de bienfaisance enregistrés non incorporés | Éducaloi

 

Qui, concrètement, s’intéresse au nombre de CA auxquels les administrateurs siègent ?

D’abord, les comités de gouvernance et les présidents des conseils qui ont la responsabilité de s’assurer de l’efficacité de la conduite des affaires du CA, dans l’exécution de leur rôle de fiduciaire. C’est donc souvent le CA lui-même qui doit avoir ces préoccupations, et qui peut imposer ses propres règles.

Ensuite, les investisseurs institutionnels sont de plus en plus préoccupés par la participation d’administrateurs à un trop grand nombre de CA. En effet, ils sont d’avis que la capacité des administrateurs à s’acquitter efficacement de leurs fonctions s’en trouve affectée si ceux-ci siègent à plusieurs CA. En plus des autres engagements professionnels, la fonction d’administrateur est très accaparante, notamment pour les PDG. La disponibilité est un critère essentiel pour un administrateur qui exerce son rôle de fiduciaire avec sérieux.

Enfin, les firmes de conseil en votation telles que Institutional Shareholder Services (ISS) et Glass Lewis recommandent aux actionnaires de s’abstenir de voter en faveur des administrateurs siégeant à un trop grand nombre de CA de sociétés inscrites en bourse.

Qu’entend-on par un trop grand nombre de CA ? On constate, depuis plusieurs années, que les organisations imposent des limites aux nombres et aux durées des mandats d’administrateurs, l’objectif étant de refléter le lien direct entre l’engagement en termes de temps et la performance.

Plusieurs CA et investisseurs institutionnels, soucieux de prendre les mesures raisonnables pour que les administrateurs puissent consacrer suffisamment de temps à leurs fonctions, appliquent les principes directeurs suivants lorsqu’ils analysent les candidatures d’administrateurs :

  • Pour ce qui est des candidats occupant un poste de chef de la direction (PDG) ou un autre poste de haute direction dans une société́ ouverte, on privilégie généralement des candidats siégeant à un maximum de deux (2) conseils d’administration de sociétés ouvertes (y compris celui du candidat) ;
  • Pour ce qui est des autres candidats, on privilégie les candidats siégeant à un maximum de cinq (5) conseils d’administration de sociétés ouvertes (y compris celui de l’entreprise visée).

 

Dans cette optique, le nombre de CA auxquels un administrateur siège devrait-il être davantage limité afin d’éviter le phénomène du « Director overboarding » ? Les autorités des marchés financiers au Canada ne fournissent pas de directives précises sur le nombre maximum de CA auxquels un administrateur devrait siéger. On note qu’il y a encore beaucoup de latitude laissée aux administrateurs. Tout au plus, les autorités réglementaires recommandent-elles la divulgation dans les rapports aux actionnaires.

Mentionnons que les CA de sociétés ouvertes affiliées ou autrement reliées entre elles sont souvent considérés comme un seul CA. Certains CA imposent une limite aux membres de comité. Par exemple, certaines entreprises prescrivent qu’un administrateur siégeant au comité d’audit ne devrait pas siéger à plus de trois autres comités d’audit de sociétés publiques.

Évidemment, les limites précitées ne tiennent pas compte de l’implication des administrateurs au sein des CA d’organisations à but non lucratif (OBNL). Les administrateurs bénévoles qui sont très engagés dans la mission de ces organisations n’ont souvent pas la disponibilité nécessaire pour participer efficacement aux travaux requis.

Certaines entreprises demandent à ce que les administrateurs les informent avant d’accepter un poste d’administrateur. Le CA, sous la loupe du comité de gouvernance, évalue alors, de concert avec le président du CA, si l’engagement sollicité par l’administrateur risque de nuire à l’exercice d’un jugement indépendant en le plaçant en situation de conflit d’intérêts, et s’il demeure apte à remplir ses fonctions d’administrateur.

À l’heure où nous assistons à la professionnalisation de la fonction d’administrateur, il n’est pas rare de constater qu’un administrateur cumule plusieurs CA. Certains administrateurs monopolisent le peu de sièges disponibles limitant ainsi la capacité de diversifier les CA. En effet, on constate une propension des administrateurs à se nommer entre eux. Cette pratique a tendance à créer un cercle fermé d’initiés limitant ainsi la capacité des CA à se renouveler et à se diversifier. Or, les attentes envers les administrateurs ne font que s’accroître ainsi que les responsabilités liées au travail sur les comités du conseil.

Siéger à un CA est un privilège et non un droit. Un privilège duquel découle un devoir de fiduciaire ainsi qu’un engagement appréciable en termes de temps. Ce privilège doit être exercé avec circonspection. Un CA performant adopte des pratiques de gouvernance exemplaires et il s’assure de la pleine disponibilité des administrateurs, ainsi que de la diversité de profil de ceux-ci.

_________________________________

Cet article a été rédigé en collaboration avec Marie-France Veilleux, conseillère exécutive et Jacques Grisé, aviseur chez Brio, boutique de management.

 

Le développement durable au CA


Dans le cadre de son quinzième anniversaire, le Collège des administrateurs de sociétés (CAS) publiera quinze articles originaux sur des thèmes recoupant des problématiques de gouvernance dans les organisations.

Voici donc une introduction à la publication du cinquième article qui porte essentiellement sur le développement durable ; comment le conseil d’administration doit intégrer ces valeurs dans son fonctionnement.

La publication de Olivier Boiral, Ph.D., professeur titulaire du département de management de la FSA de l’Université Laval nous rappelle les raisons de se préoccuper du développement durable pour une gouvernance exemplaire des conseils d’administration.

Voici un extrait de l’article.

Les enjeux de DD et la façon d’y répondre peuvent être très différents selon les organisations en raison notamment de la spécificité de leurs activités. Cependant, les études empiriques sur le sujet et les recherches menées depuis une quinzaine d’années dans le cadre de la Chaire de recherche du Canada sur l’internalisation du développement durable et la responsabilisation des organisations[1] permettent d’énoncer une douzaine de facteurs clés de succès qui sont trop rarement pris en compte par les conseils d’administration (CA). Ces facteurs clés de succès gravitent autour des quatre principaux rôles du CA (créer de la valeur et réduire les risques; supporter la stratégie et les bonnes pratiques; adopter des mécanismes de gouvernance efficaces; surveiller les résultats et leur divulgation).

Je vous invite à lire cet article sur le site du CAS.

Bonne lecture !

Le développement durable au CA? Quelques clés pour administrateurs et administratrices avisé(e)s

Collège des administrateurs de sociétés

Créer de la valeur à long terme avec les métriques RSE (ESG)


On accorde de plus en plus d’importance à la RSE (ESG) parce que l’on peut démontrer que l’entreprise crée de la valeur à long terme en s’appuyant sur les dimensions des responsabilités sociales des entreprises (RSE), telles que les ressources humaines, la sécurité, l’environnement, la culture et la diversité.

Notons que les investisseurs institutionnels exercent une pression croissante pour la gestion dans une perspective de long terme.

Le compte rendu de Erin Lehr, responsable de la recherche chez Equilar, est paru sur le Forum de Harvard Law School on Corporate Governance. Il montre que les grandes entreprises américaines ont de plus en plus tendance à lier la rémunération aux objectifs se rapportant à la culture et à la diversité.

L’auteur donne plusieurs exemples d’organisation qui réussissent à relever les défis de créer des objectifs mesurables auxquels elles peuvent associer la rémunération des dirigeants.

L’établissement de lignes directrices claires pour mesurer et récompenser les performances est essentiel lors de l’utilisation de mesures ESG dans les plans de rémunération des dirigeants.

Cela garantit que les dirigeants sont tenus responsables des questions liées à la culture, à la diversité, au capital humain, à l’environnement et à la sécurité et qu’ils considèrent ces questions comme essentielles à l’entreprise.

De plus, la divulgation de ces informations permet une plus grande transparence avec les actionnaires. À mesure que la saison de procuration 2021 s’accélère, attendez-vous à voir plus de divulgations dans l’ensemble, ainsi que plus de divulgations quantitatives, en particulier celles relatives à la culture et à la diversité.

Aux fins de cette étude, Equilar a examiné les déclarations de procuration les plus récentes des sociétés Fortune 100 au 1er février 2020. L’étude ne comprend que les sociétés ouvertes, dont 94 au total.

Bonne lecture !

Creating Long-Term Value With ESG Metrics

 

Equilar | Creating Long-Term Value With ESG Metrics

 

During the last few years, ESG has transformed from a buzzword into a priority in the corporate world. More recently, a plethora of events has accelerated this demand for corporate change and accountability—COVID-19, the resurgence of racial justice movements and climate change. Additionally, there is mounting pressure from institutional investors on this front. ESG measures, while in the past viewed as costly to the bottom line, are increasingly viewed as key for ensuring long-term success and sustainability. Corporations may also avoid additional costs related to turnover and lawsuits through ESG practices. One way in which companies demonstrate to their shareholders that they value ESG matters is through executive compensation. In order to understand the connection between ESG and executive incentives, Equilar performed an analysis of ESG compensation metrics disclosed by Fortune 100 companies over the last year.

Among the Fortune 100, 38 companies disclosed compensation metrics that were tied to ESG goals. Out of these companies, three referenced forward-looking practices only, while the rest applied to the past year. There were 53 metrics disclosed in total, most of which corresponded to annual incentive plans. Only one company incorporated an ESG metric into their long-term incentive plan. While it’s clear that ESG is on the mind of compensation committees, the category of ESG is rather broad in itself. The actual metrics companies are using vary widely. For the purpose of this study, Equilar broke down ESG metrics into seven categories: general ESG, human capital, safety, environmental, culture, diversity and other.


graph
Most commonly, companies tied compensation to goals related to culture and diversity. Collectively, these categories accounted for 37.8% of all ESG metrics disclosed. The decision to evaluate based on these topics is unsurprising, given the increased interest in diversity and corporate social responsibility. Additionally, senior leadership has a significant influence on company culture, so it makes sense that companies would incentivize their executives in relation to this. These metrics falling under the “social” umbrella of ESG are applicable across a wide spectrum of companies, while others are more industry-specific. Environmental and safety metrics, for instance, tend to show up most frequently in energy companies, where compensation is tied to emission goals or incident prevention. Companies must select metrics that are material to their business and essential for their long-term success.

However, the challenge lies in creating measurable goals to which companies can link executive compensation. The goals should also correspond to areas of executive impact. Some companies will disclose that they incorporate ESG metrics into their incentive plans but not give much detail. The majority of these metrics, while taken into consideration for executive payouts, are not quantified. Often the achievement of these goals (which are frequently vague) is a matter of discretion, rather than calculation. Others give more detailed descriptions of the specific goals and how they measure performance in relation to them. Below is an in-depth example of a culture disclosure from Cardinal Health, Inc. This disclosure is unique in that it includes metrics for both Cardinal Health’s annual cash incentive and 2020 PSU grants from its long-term incentive plan.

Cardinal Health, Inc. (CAH)

DEF 14A filed 9/23/2020

The completion of a training course, such as unconscious bias training, showed up in several disclosures. Surveys were also fairly popular methods of determining levels of achievement for goals related to culture and human capital. While disclosures such as this one are not the norm, the trend toward detailed, quantitative measurement is gaining traction.

Aside from descriptions of their goals, some companies disclosed the specific weightings or payout percentages of these ESG metrics. Walgreens Boots Alliance, Inc., for example, is introducing a new diversity component to its 2021 annual incentive program in order to “reinforce its commitment to diversity goals throughout the Company with goals designed to support driving tangible results in this critical area.” Although these diversity goals were not disclosed in the proxy statement, the metric weighting and payout structure was:

Walgreen’s Boots Alliance, Inc. (WBA)

DEF 14A filed 12/8/2020

Establishing clear guidelines for measuring and rewarding performance is crucial when employing ESG metrics in executive compensation plans. This ensures that executives are held responsible for matters related to culture, diversity, human capital, the environment and safety and that they view these matters as essential to the business. Furthermore, disclosing this information enables greater transparency with shareholders. As the 2021 proxy season ramps up, expect to see more disclosures overall, and also more quantitative disclosures, especially ones relating to culture and diversity.

Methodology: For the purpose of this study, Equilar examined the most recent proxy statements of Fortune 100 companies as of February 1, 2020. The study only includes public companies, of which there were 94 total.

Top 10 des billets publiés sur Harvard Law School Forum au 26 mars 2021


Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 26 mars 2021.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

Le Classement Doré Isolé Main écrit Le Mot TOP TEN Classement Clip Art Libres De Droits , Vecteurs Et Illustration. Image 84666394.

  1. Equality Metrics
  2. SEC Announces It Will Aggressively Scrutinize Issuers’ Climate Change Disclosure
  3. Gensler and SEC’s 2021 Examination Priorities Highlight ESG and Climate Risk
  4. Corporate Officers Face Personal Liability for Steering Sale of the Company to a Favored Buyer
  5. BlackRock’s 2021 Engagement Priorities
  6. Are Women Underpriced? Board Diversity and IPO Performance
  7. Activist Shareholder Proposals and HCM Disclosures in 2021
  8. Protests from Within: Engaging with Employee Activists
  9. Behavioral Psychology Might Explain What’s Holding Boards Back
  10. The Distribution of Voting Rights to Shareholders

Rapport annuel sur la diversité et l’inclusion | Osler


Osler vient de publier son cinquième rapport annuel sur la diversité. C’est un exemple de document que les firmes publient de plus en plus.

Celui de Osler est remarquable autant par la finesse de son analyse que par son caractère complet et rigoureux.

Je vous invite à prendre connaissance de cet excellent guide relatif à la diversité et à l’inclusion, qui concerne toutes les parties prenantes de cette firme juridique.

Vous trouverez, ci-dessous, un bref extrait du rapport.

Bonne lecture !

 

 La diversité chez Osler : Rétrospective de l’année 2020

 

 

Notre cabinet attache une importance primordiale au soutien à la diversité et à l’inclusion, comme en témoigne notre façon de soutenir nos clients et les collectivités dans lesquelles nous travaillons et l’importance que nous accordons à la poursuite du développement d’un milieu de travail inclusif. Notre rapport intitulé La diversité chez Osler : Rétrospective de l’année 2020 décrit notre travail pour soutenir la diversité et l’inclusion au cours de la dernière année et notre engagement à faire bouger les choses et à accroître nos efforts en la matière.

Le rapport présente les nombreux projets et initiatives que nous avons élaborés et auxquels nous avons participé tout au long de 2020, dont les suivants que nous allons continuer à faire avancer :

Nous avons lancé un programme à l’échelle du cabinet qui se concentre sur la manière de découvrir les préjugés inconscients dans nos pratiques d’embauche et sur la manière dont nous nous collaborons les uns avec les autres sur le lieu de travail.

Nous avons continué à apporter des changements significatifs pour que nos professionnelles du droit demeurent engagées tout au long de leur carrière afin non seulement qu’elles restent, mais qu’elles se démarquent.

Nous nous sommes engagés envers l’Initiative BlackNorth et soutenons activement les organisations locales qui se consacrent à l’amélioration de la santé, de l’éducation et du bien-être des membres de la communauté noire.

Nous avons créé deux nouveaux groupes-ressources de professionnels du droit — le Réseau des avocats noirs d’Osler et le Réseau de l’Asie du Sud d’Osler — dont la contribution mènera à un dialogue et des résultats plus constructifs sur le plan de l’avancement.

Nous avons réalisé notre cinquième sondage démographique mené par une tierce partie afin de poser des questions plus incisives sur les expériences vécues par les membres du cabinet.

Nous sommes impatients de continuer à travailler avec nos membres, nos clients et nos collectivités pour apporter des changements encore plus significatifs et multiplier de nouvelles initiatives qui auront des répercussions durables.

Lisez le rapport La diversité chez Osler : Rétrospective de l’année 2020

Top 10 des billets publiés sur Harvard Law School Forum au 4 mars 2021


Voici, comme à l’habitude, le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 4 mars 2021.

Cette semaine, j’ai relevé les dix principaux billets.

Bonne lecture !

 

Top 10 Global Consumer Trends 2020 | Research World

 

  1. The Capital Markets Tug-of-War Between US and China
  2. How Boards Can Prepare for Activism’s Next Wave
  3. An Introduction to Activist Stewardship
  4. Biden’s “Money Cop” to Shine a Light on ESG Disclosure
  5. Climate Risk and the Transition to a Low-Carbon Economy
  6. Gender Quotas and Support for Women in Board Elections
  7. 2021 Global and Regional Trends in Corporate Governance
  8. 2021 Compensation Committee
  9. Proxy Advisory Firms Release First Reports on Latest Best Practices
  10. Duty and Diversity
%d blogueueurs aiment cette page :