Guide des pratiques exemplaires en matière de gestion des risques | Les responsabilités des administrateurs


Les administrateurs de sociétés doivent apporter une attention spéciale à la gestion des risques telle qu’elle est mise en œuvre par les dirigeants des entreprises.

Les préoccupations des fiduciaires pour la gestion des risques, quoique fondamentales, sont relativement récentes, et les administrateurs ne savent souvent pas comment aborder cette question.

L’article présenté, ci-dessous, est le fruit d’une recherche de Martin Lipton, fondateur de la firme Wachtell, Lipton, Rosen & Katz, spécialisée dans les fusions et acquisitions ainsi que dans les affaires de gouvernance.

L’auteur et ses collaborateurs ont produit un guide des pratiques exemplaires en matière de gestion des risques. Cet article de fond s’adresse aux administrateurs et touche aux éléments-clés de la gestion des risques :

(1) la distinction entre la supervision des risques et la gestion des risques ;

(2) les leçons que l’on doit tirer de la supervision des risques à Wells Fargo ;

(3) l’importance accordée par les investisseurs institutionnels aux questions des risques ;

(4) « tone at the top » et culture organisationnelle ;

(5) les devoirs fiduciaires, les contraintes réglementaires et les meilleures pratiques ;

(6) quelques recommandations spécifiques pour améliorer la supervision des risques ;

(7) les programmes de conformité juridiques ;

(8) les considérations touchant les questions de cybersécurité ;

(9) quelques facettes se rapportant aux risques environnementaux, sociaux et de gouvernance ;

(10) l’anticipation des risques futurs.

 

Voici donc l’introduction de l’article. Je vous invite à prendre connaissance de l’article au complet.

Bonne lecture !

 

Risk Management and the Board of Directors

 

Résultats de recherche d'images pour « Gestion des risques et administrateurs de sociétés »

 

Overview

The past year has seen continued evolution in the political, legal and economic arenas as technological change accelerates. Innovation, new business models, dealmaking and rapidly evolving technologies are transforming competitive and industry landscapes and impacting companies’ strategic plans and prospects for sustainable, long-term value creation. Tax reform has created new opportunities and challenges for companies too. Meanwhile, the severe consequences that can flow from misconduct within an organization serve as a reminder that corporate operations are fraught with risk. Social and environmental issues, including heightened focus on income inequality and economic disparities, scrutiny of sexual misconduct issues and evolving views on climate change and natural disasters, have taken on a new salience in the public sphere, requiring companies to exercise utmost care to address legitimate issues and avoid public relations crises and liability.

Corporate risk taking and the monitoring of corporate risk remain prominently top of mind for boards of directors, investors, legislators and the media. Major institutional shareholders and proxy advisory firms increasingly evaluate risk oversight matters when considering withhold votes in uncontested director elections and routinely engage companies on risk-related topics. This focus on risk management has also led to increased scrutiny of compensation arrangements throughout the organization that have the potential for incentivizing excessive risk taking. Risk management is no longer simply a business and operational responsibility of management. It has also become a governance issue that is squarely within the oversight responsibility of the board. This post highlights a number of issues that have remained critical over the years and provides an update to reflect emerging and recent developments. Key topics addressed in this post include:

the distinction between risk oversight and risk management;

a lesson from Wells Fargo on risk oversight;

the strong institutional investor focus on risk matters;

tone at the top and corporate culture;

fiduciary duties, legal and regulatory frameworks and third-party guidance on best practices;

specific recommendations for improving risk oversight;

legal compliance programs;

special considerations regarding cybersecurity matters;

special considerations pertaining to environmental, social and governance (ESG) risks; and

anticipating future risks.

Quelles sont les tendances en gouvernance qui se sont avérées au cours des 4 dernières années ?


Dans un premier temps, j’ai tenté de répondre à cette question en renvoyant le lecteur à deux publications que j’ai faites sur le sujet. C’est du genre check-list !

Puis, dans un deuxième temps, je vous invite à consulter les documents suivants qui me semblent très pertinents pour répondre à la question. Il s’agit en quelque sorte d’une revue de la littérature sur le sujet.

  1. La gouvernance relative aux sociétés en 2017 | Un « Survey » des entreprises du SV 150 et de la S&P 100
  2. Principales tendances en gouvernance à l’échelle internationale en 2017
  3. Séparation des fonctions de PDG et de président du conseil d’administration | Signe de saine gouvernance !
  4. Six mesures pour améliorer la gouvernance des organismes publics au Québec | Yvan Allaire
  5. Cadre de référence pour évaluer la gouvernance des sociétés | Questionnaire de 100 items
  6. La gouvernance française suit-elle la tendance mondiale ?
  7. Enquête mondiale sur les conseils d’administration et la gouvernance

 

J’espère que ces commentaires vous seront utiles, même si mon intervention est colorée par la situation canadienne et américaine !

Bonne lecture !

 

Résultats de recherche d'images pour « tendances en gouvernance »

 

Gouvernance : 12 tendances à surveiller

 

J’ai réalisé une entrevue avec le Journal des Affaires le 17 mars 2014. Une rédactrice au sein de l’Hebdo des AG, un média numérique qui se consacre au traitement des sujets touchant à la gouvernance des entreprises françaises, m’a contacté afin de connaître mon opinion sur quelles « prédictions » se sont effectivement avérées, et lesquelles restent encore à améliorer.

J’ai préparé quelques réflexions en référence aux douze tendances que j’avais identifiées le 17 mars 2014. J’ai donc revisité les tendances afin de vérifier comment la situation avait évolué en quatre ans. J’ai indiqué en rouge mon point de vue eu égard à ces tendances.

 « Si la gouvernance des entreprises a fait beaucoup de chemin depuis quelques années, son évolution se poursuit. Afin d’imaginer la direction qu’elle prendra au cours des prochaines années, nous avons consulté l’expert en gouvernance Jacques Grisé, ex- directeur des programmes du Collège des administrateurs de sociétés, de l’Université Laval. Toujours affilié au Collège, M. Grisé publie depuis plusieurs années le blogue www.jacquesgrisegouvernance.com, un site incontournable pour rester à l’affût des bonnes pratiques et tendances en gouvernance. Voici les 12 tendances dont il faut suivre l’évolution, selon Jacques Grisé »

 

  1. Les conseils d’administration réaffirmeront leur autorité. « Auparavant, la gouvernance était une affaire qui concernait davantage le management », explique M. Grisé. La professionnalisation de la fonction d’administrateur amène une modification et un élargissement du rôle et des responsabilités des conseils. Les CA sont de plus en plus sollicités et questionnés au sujet de leurs décisions et de l’entreprise. Cette affirmation est de plus en plus vraie. La formation certifiée en gouvernance est de plus en plus prisée. Les CA, et notamment les présidents de CA, sont de plus en plus sollicités pour expliquer leurs décisions, leurs erreurs et les problèmes de gestion de crise.
  2. La formation des administrateurs prendra de l’importance. À l’avenir, on exigera toujours plus des administrateurs. C’est pourquoi la formation est essentielle et devient même une exigence pour certains organismes. De plus, la formation continue se généralise ; elle devient plus formelle. Il va de soi que la formation en gouvernance prendra plus d’importance, mais les compétences et les expériences reliées au secteur d’activité de l’entreprise seront toujours très recherchées.
  3. L’affirmation du droit des actionnaires et celle du rôle du conseil s’imposeront. Le débat autour du droit des actionnaires par rapport à celui des conseils d’administration devra mener à une compréhension de ces droits conflictuels. Aujourd’hui, les conseils doivent tenir compte des parties prenantes en tout temps. Il existe toujours une situation potentiellement conflictuelle entre les intérêts des actionnaires et la responsabilité des administrateurs envers toutes les parties prenantes.
  4. La montée des investisseurs activistes se poursuivra. L’arrivée de l’activisme apporte une nouvelle dimension au travail des administrateurs. Les investisseurs activistes s’adressent directement aux actionnaires, ce qui mine l’autorité des conseils d’administration. Est-ce bon ou mauvais ? La vision à court terme des activistes peut être néfaste, mais toutes leurs actions ne sont pas négatives, notamment parce qu’ils s’intéressent souvent à des entreprises qui ont besoin d’un redressement sous une forme ou une autre. Pour bien des gens, les fonds activistes sont une façon d’améliorer la gouvernance. Le débat demeure ouvert. Le débat est toujours ouvert, mais force est de constater que l’actionnariat activiste est en pleine croissance partout dans le monde. Les effets souvent décriés des activistes sont de plus en plus acceptés comme bénéfiques dans plusieurs situations de gestion déficiente.
  5. La recherche de compétences clés deviendra la norme. De plus en plus, les organisations chercheront à augmenter la qualité de leur conseil en recrutant des administrateurs aux expertises précises, qui sont des atouts dans certains domaines ou secteurs névralgiques. Cette tendance est très nette. Les CA cherchent à recruter des membres aux expertises complémentaires.
  6. Les règles de bonne gouvernance vont s’étendre à plus d’entreprises. Les grands principes de la gouvernance sont les mêmes, peu importe le type d’organisation, de la PME à la société ouverte (ou cotée), en passant par les sociétés d’État, les organismes à but non lucratif et les entreprises familiales. Ici également, l’application des grands principes de gouvernance se généralise et s’applique à tous les types d’organisation, en les adaptant au contexte.
  7. Le rôle du président du conseil sera davantage valorisé. La tendance veut que deux personnes distinctes occupent les postes de président du conseil et de PDG, au lieu qu’une seule personne cumule les deux, comme c’est encore trop souvent le cas. Un bon conseil a besoin d’un solide leader, indépendant du PDG. Le rôle du Chairman est de plus en plus mis en évidence, car c’est lui qui représente le conseil auprès des différents publics. Il est de plus en plus indépendant de la direction. Les É.U. sont plus lents à adopter la séparation des fonctions entre Chairman et CEO.
  8. La diversité deviendra incontournable. Même s’il y a un plus grand nombre de femmes au sein des conseils, le déficit est encore énorme. Pourtant, certaines études montrent que les entreprises qui font une place aux femmes au sein de leur conseil sont plus rentables. Et la diversité doit s’étendre à d’autres origines culturelles, à des gens de tous âges et d’horizons divers. La diversité dans la composition des conseils d’administration est de plus en plus la norme. On a fait des progrès remarquables à ce chapitre, mais la tendance à la diminution de la taille des CA ralentit quelque peu l’accession des femmes aux postes d’administratrices.
  9. Le rôle stratégique du conseil dans l’entreprise s’imposera. Le temps où les CA ne faisaient qu’approuver les orientations stratégiques définies par la direction est révolu. Désormais, l’élaboration du plan stratégique de l’entreprise doit se faire en collaboration avec le conseil, en profitant de son expertise. Certes, l’un des rôles les plus importants des administrateurs est de voir à l’orientation de l’entreprise, en apportant une valeur ajoutée aux stratégies élaborées par la direction. Les CA sont toujours sollicités, sous une forme ou une autre, dans la conception de la stratégie.
  10. La réglementation continuera de se raffermir. Le resserrement des règles qui encadrent la gouvernance ne fait que commencer. Selon Jacques Grisé, il faut s’attendre à ce que les autorités réglementaires exercent une surveillance accrue partout dans le monde, y compris au Québec, avec l’Autorité des marchés financiers. En conséquence, les conseils doivent se plier aux règles, notamment en ce qui concerne la rémunération et la divulgation. Les responsabilités des comités au sein du conseil prendront de l’importance. Les conseils doivent mettre en place des politiques claires en ce qui concerne la gouvernance. Les conseils d’administration accordent une attention accrue à la gouvernance par l’intermédiaire de leur comité de gouvernance, mais aussi par leurs comités de RH et d’Audit. Les autorités réglementaires mondiales sont de plus en plus vigilantes eu égard à l’application des principes de saine gouvernance. La SEC, qui donnait souvent le ton dans ce domaine, est en mode révision de la réglementation parce que le gouvernement de Trump la juge trop contraignante pour les entreprises. À suivre !
  11. La composition des conseils d’administration s’adaptera aux nouvelles exigences et se transformera. Les CA seront plus petits, ce qui réduira le rôle prépondérant du comité exécutif, en donnant plus de pouvoir à tous les administrateurs. Ceux-ci seront mieux choisis et formés, plus indépendants, mieux rémunérés et plus redevables de leur gestion aux diverses parties prenantes. Les administrateurs auront davantage de responsabilités et seront plus engagés dans les comités aux fonctions plus stratégiques. Leur responsabilité légale s’élargira en même temps que leurs tâches gagnent en importance. Il faudra donc des membres plus engagés, un conseil plus diversifié, dirigé par un leader plus fort. C’est la voie que les CA ont empruntée. La taille des CA est de plus en plus réduite ; les conseils exécutifs sont en voie de disparition pour faire plus de place aux trois comités statutaires : Gouvernance, Ressources Humaines et Audit. Les administrateurs sont de plus en plus engagés et ils doivent investir plus de temps dans leurs fonctions.
  12. L’évaluation de la performance des conseils d’administration deviendra la norme. La tendance est déjà bien ancrée aux États-Unis, où les entreprises engagent souvent des firmes externes pour mener cette évaluation. Certaines choisissent l’auto-évaluation. Dans tous les cas, le processus est ouvert et si les résultats restent confidentiels, ils contribuent à l’amélioration de l’efficacité des conseils d’administration. Effectivement, l’évaluation de la performance des conseils d’administration est devenue une pratique quasi universelle dans les entreprises cotées. Celles-ci doivent d’ailleurs divulguer le processus dans le rapport aux actionnaires. On assiste à un énorme changement depuis les dix dernières années.

 

À ces 12 tendances, il faudrait en ajouter deux autres qui se sont révélées cruciales pour les conseils d’administration depuis quelques années :

(1) la mise en œuvre d’une politique de gestion des risques, l’identification des risques, l’évaluation des facteurs de risque eu égard à leur probabilité d’occurrence et d’impact sur l’organisation, le suivi effectué par le comité d’audit et par l’auditeur interne.

(2) le renforcement des ressources du conseil par l’ajout de compétences liées à la cybersécurité. La sécurité des données est l’un des plus grands risques des entreprises.

 

Aspects fondamentaux à considérer par les administrateurs dans la gouvernance des organisations

 

 

Récemment, je suis intervenu auprès du conseil d’administration d’une OBNL et j’ai animé une discussion tournant autour des thèmes suivants en affirmant certains principes de gouvernance que je pense être incontournables.

Vous serez certainement intéressé par les propositions suivantes :

(1) Le conseil d’administration est souverain — il est l’ultime organe décisionnel.

(2) Le rôle des administrateurs est d’assurer la saine gestion de l’organisation en fonction d’objectifs établis. L’administrateur a un rôle de fiduciaire, non seulement envers les membres qui les ont élus, mais aussi envers les parties prenantes de toute l’organisation. Son rôle comporte des devoirs et des responsabilités envers celle-ci.

(3) Les administrateurs ont un devoir de surveillance et de diligence ; ils doivent cependant s’assurer de ne pas s’immiscer dans la gestion de l’organisation (« nose in, fingers out »).

(4) Les administrateurs élus par l’assemblée générale ne sont pas porteurs des intérêts propres à leur groupe ; ce sont les intérêts supérieurs de l’organisation qui priment.

(5) Le président du conseil est le chef d’orchestre du groupe d’administrateurs ; il doit être en étroite relation avec le premier dirigeant et bien comprendre les coulisses du pouvoir.

(6) Les membres du conseil doivent entretenir des relations de collaboration et de respect entre eux ; ils doivent viser les consensus et exprimer leur solidarité, notamment par la confidentialité des échanges.

(7) Les administrateurs doivent être bien préparés pour les réunions du conseil et ils doivent poser les bonnes questions afin de bien comprendre les enjeux et de décider en toute indépendance d’esprit. Pour ce faire, ils peuvent tirer profit de l’avis d’experts indépendants.

(8) La composition du conseil devrait refléter la diversité de l’organisation. On doit privilégier l’expertise, la connaissance de l’industrie et la complémentarité.

(9) Le conseil d’administration doit accorder toute son attention aux orientations stratégiques de l’organisation et passer le plus clair de son temps dans un rôle de conseil stratégique.

(10) Chaque réunion devrait se conclure par un huis clos, systématiquement inscrit à l’ordre du jour de toutes les rencontres.

(11) Le président du CA doit procéder à l’évaluation du fonctionnement et de la dynamique du conseil.

(12) Les administrateurs doivent prévoir des activités de formation en gouvernance et en éthique.

 

Voici enfin une documentation utile pour bien appréhender les grandes tendances qui se dégagent dans le monde de la gouvernance aux É.U., au Canada et en France.

 

  1. La gouvernance relative aux sociétés en 2017 | Un « Survey » des entreprises du SV 150 et de la S&P 100
  2. Principales tendances en gouvernance à l’échelle internationale en 2017
  3. Séparation des fonctions de PDG et de président du conseil d’administration | Signe de saine gouvernance !
  4. Six mesures pour améliorer la gouvernance des organismes publics au Québec | Yvan Allaire
  5. Cadre de référence pour évaluer la gouvernance des sociétés | Questionnaire de 100 items
  6. La gouvernance française suit-elle la tendance mondiale ?
  7. Enquête mondiale sur les conseils d’administration et la gouvernance

 

Cinq questionnements qui préoccupent les nouveaux administrateurs de sociétés | SpencerStuart


Aujourd’hui, je reviens sur un texte vraiment très important de SpencerStuart qui propose des conseils aux nouveaux administrateurs qui acceptent de siéger à des conseils d’administration, peu importe le type d’organisation.

Les conseils prodigués par les auteurs George AndersonTessa BamfordJason BaumgartenKevin A. Jurd, afin d’accélérer l’efficacité des nouveaux administrateurs peuvent se résumer essentiellement à cinq grandes préoccupations :

  1. Comment puis-je savoir si je choisis le bon CA ? Quels devoirs dois-je accomplir avant d’accepter une offre ?
  2. Comment dois-je me préparer pour ma première réunion du conseil ?
  3. Quels comportements en matière de prises de parole dois-je adopter lors de cette première rencontre ?
  4. Quelles sont les stratégies à adopter pour avoir un impact et une plus-value sur le CA et sur l’entreprise ?
  5. Si j’expérimente une grande préoccupation, comment montrer mon désaccord ou soulever une question délicate ?

 

À l’heure où environ le tiers des postes d’administrateurs sont occupés par de nouvelles recrues, il est crucial de bien explorer les occasions qui se présentent, car un engagement comme administrateur peut nous occuper plus de 20 jours par année, pour une période de neuf ans !

Je vous invite donc à lire attentivement ce document si vous êtes dans votre première année d’un mandat qui pourrait être assez long.

Bonne lecture !

 

The Five Most Common New Director Questions

 

Résultats de recherche d'images pour « spencer stuart »

 

 

No matter how experienced they are as leaders or how much previous boardroom exposure they have had, most first-time directors will admit to having some trepidation before their first board meeting: What will the first board meeting be like? Should I say anything at all in my first meeting? Am I prepared?

Helping these directors quickly acclimate matters because, depending on the country, first-timers can represent a sizable share of the new director population in a given year. One-third of newly appointed S&P 500 directors in the U.S., for example, are serving on their first corporate board, as are about 30 percent of new U.K. non-executive directors. Given the escalating demands on boards, new directors must be prepared to quickly contribute.

In working with first-time board directors around the world and the chairmen and lead independent directors of the boards they join, we have found that their questions and concerns about board experience typically fall into the five following areas:

  1. How do I know what’s the right board to join? Should I say yes to the first board invitation?
  2. What do I need to do to prepare for my first board?
  3. How much should I speak up during the early board meetings?
  4. How can I have an impact for the board and company?
  5. What if I have concerns? How do I disagree or raise questions when I’m new?

To explore these first-time director questions in more detail, we spoke with directors around the world who shared what they learned from their first board experience and offered observations that boards can use to enhance their new director onboarding programs.

 

(1) Selecting the right opportunity

 

Most directors would describe their first non-executive board role as a major professional milestone, a terrific growth opportunity and something they are very glad they did, even though it represented a significant commitment. Given the demands of board service — 20-30 days a year up to nine or more years — it pays to carefully weigh the pros and cons of a given opportunity. The key question, say directors, is whether it is mutually beneficial — one that the prospective director finds engaging and useful as a growth opportunity and that adds a valuable perspective to the board. As one director put it, “You need something that will bind you to the job, because it is a lot of time.” Ask yourself, “Is this a business that I will still be interested in, say, in six to nine years’ time?”

Other considerations may be who else is on the board — especially the opportunity to work with a good chair and gain exposure to experienced executives from other industries — the strength and diversity of the management team, and how well the board and management team work together, which in part reflects how much the CEO values the board’s contribution. “I asked the CEO, ‘Do you like having a board?’ And he very honestly said, ‘Mostly.’ If he’d said to me, ‘I think they’re marvelous all the time,’ I’d know he was lying because that’s just not how executives think,” recalls one director.

When considering whether you can balance board service with other commitments, particularly if you have a full-time executive role, understand that you will likely underestimate how much time it will take, especially early on. “It took much more time than I thought would be required initially to get up to speed — to understand the business, strategies, key issues and opportunities,” one director told us. If you have to travel to meetings, plan on that adding a day or two to the board meeting commitment. You also should allow time for work related to committee assignments and, depending on your expertise, you may be tapped to mentor someone on the executive team, work on issues outside of board meetings or respond to unexpected demands related to a crisis or deal. “It can be hard to budget for that, and it can happen at the worst time. But you can’t shake off your responsibilities at the time when you’re needed most, when there’s an activist or stakeholder issue, a significant transition or a succession planning issue that you have to work through.”

Conversely, don’t immediately take yourself out of the running for a very valuable opportunity. “If I thought too much about the time commitment, there is a chance I would have turned it down, which would have been a terrible thing,” one director told us. Equally do your research; it’s amazing the sorts of businesses that initially might seem not right for you but on further research are really interesting and worth pursuing.

 

(2) Preparing for the first board meeting

 

As part of your due diligence, you will already have read published information about the company, and it goes without saying that new directors will have received a wealth of material as part of the onboarding process and in advance of the first meeting. What many don’t appreciate before they’ve done it is just how much pre-reading material there can be, and the amount of time it can take to thoroughly digest it.

Many first-time directors have presented to their own company’s board of directors, but these encounters provide just a narrow glimpse of the board’s responsibilities. For this reason, some first-time directors find it helpful to attend a formal director education program providing a deep dive into corporate governance, including the board’s fiduciary responsibilities and areas such as NED liability, reporting to shareholders and reporting on sustainability. “They expect you to have an understanding of governance when you come in. They’re happy to answer questions, but they’re not going to know what you don’t know. If you don’t even know what you don’t know, then you don’t know to ask,” said one director.

Most formal onboarding programs encourage new directors to meet with key members of management, and many will schedule site visits to key operations. “It was really helpful to spend quality time with each of the CEO’s main direct reports so that I could get a sense of their top priorities and how they think about running their businesses. Without that little additional context from some of these executives in the organization, you’re really operating in a bubble.”

One-on-one meetings with as many of other directors as possible before the first board meeting can provide a sense of the priorities of the board, and the dynamics among directors and between management and the board. When these meetings are not an explicit part of the onboarding process, it can feel awkward to reach out to other board members, but directors say arranging a breakfast or dinner meeting or even a coffee with other directors, starting with committee chairs, is well worth it. “Everybody is busy, but the time you take to meet people upfront definitely pays dividends in the long run because you get context you wouldn’t have gotten any other way. You can’t replace seeing someone’s facial expression or their gestures while they’re talking about a certain topic. You’ll see how much something worries them. How emphatic they’re being. You’ll see their brow wrinkle when you dig deeper into certain issues.”

What else did new directors find most helpful in preparing for their first board meetings?

The key performance indicators (KPIs) and lead indicators for the company. “What do I have to keep my eye on? Every other question ends up stemming from those KPIs.”

A glossary of company and industry-specific jargon and acronyms. “Many companies overlook this, but it’s a real impediment to being productive in your first couple of meetings.”

Meeting with as many members of the executive committee or senior management team as possible.

Understand how the board views sector and company risk. How does management assess, present and articulate risk? Are assumptions discussed and challenged clearly and freely?

A detailed overview of the operations, operational challenges and underlying infrastructure. “You can think you know how an airline runs, but when you walk through the operation center and see hundreds of people managing thousands of flights in the air at the same time around the world, you begin to understand the complexity of the business.”

A holistic view of the board calendar and activities — not just what the next board meeting is about, but the key processes of the board over the course of 12 months of board meetings. “When you’re new, you might wonder why the board isn’t talking about the compensation implication of a decision, as an example, but everyone else knows that’s because the next meeting is the one when the board does the comp review.”

A detailed explanation of how the finances are organized, including a complete listing of accounts in an accounting system. “Everybody’s chart of accounts is different. Depending on how it’s drawn, you can get a very different look at P&L.”

 

Spotlight: Director induction best practices

 

Most boards have a formal induction program, which typically includes the following:

Presentations from management on the business model, profitability and performance

A review of the previous 12 months’ board papers and minutes to provide context on the current issues

Meetings with key business executives and functional leaders, including finance, marketing, IT, HR, etc.

Site visits providing new directors a better sense of how the business works and an opportunity to meet people on the ground

Meetings with external advisers such as accountants, bankers, brokers and others

Explanation of regulatory and governance issues

Attendance at an investor day

Mentoring: First-time directors, especially, tell us they appreciate having a mentor during the first six to 12 months on the board. An informal mentor program pairs a new director with a more experienced director who can provide perspective on boardroom activities and dynamics or help with meeting preparation, explain aspects of board papers, and debrief and act as a sounding board between meetings.

What new directors can do: Don’t be afraid to ask for the process to be tailored to your needs if you want to explore certain areas of the business in greater depth.

(3) Participating in early meetings

 

First-time directors tend to assume that they should say little during their first few meetings, while they observe and get to know the board and its dynamics. The directors we spoke with recommend a more balanced approach: listen more than talk, but be willing to participate in the discussion, especially in your area of expertise. “You’re there for a reason. You’re there because they thought you could add value.” New directors appreciate getting feedback from the board chair or lead director about their contribution level — so, if it’s not given, directors should ask for it. “After the first meeting, the lead director said, ‘I’m glad you spoke up a couple times. Do that more. We brought you here to get your point of view so feel free to speak up.’ It was great to hear that. You never want to hear it the other way, where you spoke up too much or took up too much air time.”

Nothing is more valuable for getting a sense of the board dynamics and directors’ expectations for how you should behave in those early meetings than one-on-one discussions with individual board members. “I wanted to get to know them a little bit personally before meetings where more-involved or controversial topics would be discussed so that we at least have met and have a little bit of an understanding of one another.”

New directors also appreciate when the board chair or lead independent director is proactive in making sure that the multiple voices are heard in board discussions. “Even when the board composition is diverse along many dimensions, your work isn’t done. You still have to actively work to avoid conforming your behaviors and opinions and to hear diverse viewpoints. That’s a constant work in progress.”

 

(4) Having an impact

 

“How do I have impact?” It’s a question that is top of mind for most new directors, especially those who were brought on the board because of their expertise in areas such as digital technology, product development, risk management or go-to-market experience. Depending on the size of the company and experience of the management team, a new director’s involvement outside the boardroom could include interviewing candidates for key roles, mentoring senior leaders, advising on specific topics or making useful introductions. “Engagement has to be on the terms that work for the executive team,” advised one of the directors we interviewed.

New directors with specialized expertise also play a role in educating other directors. “You don’t want a situation where the rest of the board sits back while all the questions flow to one person. Over time, all directors want to learn how to ask challenging questions in these areas. I find that other directors ask me questions like: ‘Why did you ask that? Why did you put the question in this way? What were you looking for? There seems to be something in the response to that question that troubles you, so let’s peel that apart a little bit.’”

First-time directors can find it challenging to know if they are having a positive impact on the board — and that the board is positively contributing to the business — because of the lack of regular feedback. “I would like a little more focus on making performance feedback a continuous process, particularly for the first six to 12 months. Following every meeting, there should be opportunities to point to out what’s working well and what could work differently, even if it’s just a 10- or 15-minute conversation to reinforce and correct the issues that didn’t go well in context.” So it is important to ask the chairman for feedback.

 

(5) Raising questions

 

By definition, a new director lacks perspective on the board’s history — the sacred cows, the topics that have been debated ad nauseam already and other important context. This makes knowing when to raise questions or to push for more information all the more difficult. “Fresh eyes are good, but one of the worst things you can do is walk into the board and hone in on topics that aren’t going to be productive, that the board has already hashed to death.” That is why it is important to have read the board minutes, if not papers, for the previous year or so, so you can understand some of the key issues and debates.

Getting a read from other directors about the board’s priorities can provide important context, as can using meeting breaks to follow up on your questions. “You’re not going to know everything going in. Expect that you’ve got a lot of holes. When I have big questions, I’ll grab a board member who I know will have the context and say, ‘Hey, I noticed this,’ or ‘I had a question on this,’ or ‘I’m sure there’s context here that I don’t know about,’ and just let them talk.”

When a director does have questions or concerns that go deeper, the delivery is important. “Asking questions, even when you know what the answer is, rather than making declarative statements is a good general approach. Other directors will be receptive to your questions if you communicate that you’re trying to get to the heart of important issues and facilitate discussion that needs to happen to gain consensus on direction.” How you frame questions also is important: Ask, “How are you thinking about …?” rather than trying to be too prescriptive and asking, “Have you considered …?”

 

Conclusion

 

Most new directors truly value their first board assignment, despite the time demands and steep learning curve. First-time directors are most likely to enjoy the experience when they conduct careful research and due diligence before accepting a board invitation, prepare thoroughly for board meetings and have the confidence to be themselves in the boardroom.

______________________________________________________________

Participating Directors :

Stewart Butel, former managing director of Wesfarmers Resources and independent director for DUET Company Limited
Amy L. Chang, CEO and founder of Accompany and non-executive director of Cisco, The Procter & Gamble Company and Splunk
Sue Clark, managing director of SABMiller Europe and non-executive director of Britvic
Greg Couttas, former Deloitte audit partner and non-executive director of Virtus Health
Tom Killalea, former Amazon vice president and independent director of Capital One, Carbon Black and MongoDB
George Mattson, former managing director of the Global Industrials Group for Goldman Sachs and independent director of Delta Air Lines
Admiral (Ret.) Gary Roughead, former chief of Naval Operations and independent director of Northrop Grumman Corporation
Michelle Somerville, former KPMG audit partner and independent director of The GPT Group and Challenger
Sybella Stanley, director of corporate finance at RELX and non-executive director at Tate & Lyle and Merchants Trust
Jane Thompson, former senior vice president of Match.com and independent director of Michael Kors
Gene Tilbrook, chair of The GPT Group Nomination and Remuneration Committee
Trae Vassallo, co-founder and managing director of Defy Partners and non-executive director of Telstra Corporation

Quelles tendances en gouvernance, identifiées en 2014, se sont avérées au 20 octobre 2018


Dans un premier temps, j’ai tenté de répondre à cette question en renvoyant le lecteur à deux publications que j’ai faites sur le sujet. C’est du genre check-list !

Puis, dans un deuxième temps, je vous invite à consulter les documents suivants qui me semblent très pertinents pour répondre à la question. Il s’agit en quelque sorte d’une revue de la littérature sur le sujet.

  1. La gouvernance relative aux sociétés en 2017 | Un « Survey » des entreprises du SV 150 et de la S&P 100
  2. Principales tendances en gouvernance à l’échelle internationale en 2017
  3. Séparation des fonctions de PDG et de président du conseil d’administration | Signe de saine gouvernance !
  4. Six mesures pour améliorer la gouvernance des organismes publics au Québec | Yvan Allaire
  5. Cadre de référence pour évaluer la gouvernance des sociétés | Questionnaire de 100 items
  6. La gouvernance française suit-elle la tendance mondiale ?
  7. Enquête mondiale sur les conseils d’administration et la gouvernance

 

J’espère que ces commentaires vous seront utiles, même si mon intervention est colorée par la situation canadienne et américaine !

Bonne lecture !

 

Résultats de recherche d'images pour « tendances en gouvernance »

 

Gouvernance : 12 tendances à surveiller

 

J’ai réalisé une entrevue avec le Journal des Affaires le 17 mars 2014. Une rédactrice au sein de l’Hebdo des AG, un média numérique qui se consacre au traitement des sujets touchant à la gouvernance des entreprises françaises, m’a contacté afin de connaître mon opinion sur quelles « prédictions » se sont effectivement avérées, et lesquelles restent encore à améliorer.

J’ai préparé quelques réflexions en référence aux douze tendances que j’avais identifiées le 17 mars 2014. J’ai donc revisité les tendances afin de vérifier comment la situation avait évolué en quatre ans. J’ai indiqué en rouge mon point de vue eu égard à ces tendances.

 « Si la gouvernance des entreprises a fait beaucoup de chemin depuis quelques années, son évolution se poursuit. Afin d’imaginer la direction qu’elle prendra au cours des prochaines années, nous avons consulté l’expert en gouvernance Jacques Grisé, ex- directeur des programmes du Collège des administrateurs de sociétés, de l’Université Laval. Toujours affilié au Collège, M. Grisé publie depuis plusieurs années le blogue www.jacquesgrisegouvernance.com, un site incontournable pour rester à l’affût des bonnes pratiques et tendances en gouvernance. Voici les 12 tendances dont il faut suivre l’évolution, selon Jacques Grisé »

 

  1. Les conseils d’administration réaffirmeront leur autorité. « Auparavant, la gouvernance était une affaire qui concernait davantage le management », explique M. Grisé. La professionnalisation de la fonction d’administrateur amène une modification et un élargissement du rôle et des responsabilités des conseils. Les CA sont de plus en plus sollicités et questionnés au sujet de leurs décisions et de l’entreprise. Cette affirmation est de plus en plus vraie. La formation certifiée en gouvernance est de plus en plus prisée. Les CA, et notamment les présidents de CA, sont de plus en plus sollicités pour expliquer leurs décisions, leurs erreurs et les problèmes de gestion de crise.
  2. La formation des administrateurs prendra de l’importance. À l’avenir, on exigera toujours plus des administrateurs. C’est pourquoi la formation est essentielle et devient même une exigence pour certains organismes. De plus, la formation continue se généralise ; elle devient plus formelle. Il va de soi que la formation en gouvernance prendra plus d’importance, mais les compétences et les expériences reliées au secteur d’activité de l’entreprise seront toujours très recherchées.
  3. L’affirmation du droit des actionnaires et celle du rôle du conseil s’imposeront. Le débat autour du droit des actionnaires par rapport à celui des conseils d’administration devra mener à une compréhension de ces droits conflictuels. Aujourd’hui, les conseils doivent tenir compte des parties prenantes en tout temps. Il existe toujours une situation potentiellement conflictuelle entre les intérêts des actionnaires et la responsabilité des administrateurs envers toutes les parties prenantes.
  4. La montée des investisseurs activistes se poursuivra. L’arrivée de l’activisme apporte une nouvelle dimension au travail des administrateurs. Les investisseurs activistes s’adressent directement aux actionnaires, ce qui mine l’autorité des conseils d’administration. Est-ce bon ou mauvais ? La vision à court terme des activistes peut être néfaste, mais toutes leurs actions ne sont pas négatives, notamment parce qu’ils s’intéressent souvent à des entreprises qui ont besoin d’un redressement sous une forme ou une autre. Pour bien des gens, les fonds activistes sont une façon d’améliorer la gouvernance. Le débat demeure ouvert. Le débat est toujours ouvert, mais force est de constater que l’actionnariat activiste est en pleine croissance partout dans le monde. Les effets souvent décriés des activistes sont de plus en plus acceptés comme bénéfiques dans plusieurs situations de gestion déficiente.
  5. La recherche de compétences clés deviendra la norme. De plus en plus, les organisations chercheront à augmenter la qualité de leur conseil en recrutant des administrateurs aux expertises précises, qui sont des atouts dans certains domaines ou secteurs névralgiques. Cette tendance est très nette. Les CA cherchent à recruter des membres aux expertises complémentaires.
  6. Les règles de bonne gouvernance vont s’étendre à plus d’entreprises. Les grands principes de la gouvernance sont les mêmes, peu importe le type d’organisation, de la PME à la société ouverte (ou cotée), en passant par les sociétés d’État, les organismes à but non lucratif et les entreprises familiales. Ici également, l’application des grands principes de gouvernance se généralise et s’applique à tous les types d’organisation, en les adaptant au contexte.
  7. Le rôle du président du conseil sera davantage valorisé. La tendance veut que deux personnes distinctes occupent les postes de président du conseil et de PDG, au lieu qu’une seule personne cumule les deux, comme c’est encore trop souvent le cas. Un bon conseil a besoin d’un solide leader, indépendant du PDG. Le rôle du Chairman est de plus en plus mis en évidence, car c’est lui qui représente le conseil auprès des différents publics. Il est de plus en plus indépendant de la direction. Les É.U. sont plus lents à adopter la séparation des fonctions entre Chairman et CEO.
  8. La diversité deviendra incontournable. Même s’il y a un plus grand nombre de femmes au sein des conseils, le déficit est encore énorme. Pourtant, certaines études montrent que les entreprises qui font une place aux femmes au sein de leur conseil sont plus rentables. Et la diversité doit s’étendre à d’autres origines culturelles, à des gens de tous âges et d’horizons divers. La diversité dans la composition des conseils d’administration est de plus en plus la norme. On a fait des progrès remarquables à ce chapitre, mais la tendance à la diminution de la taille des CA ralentit quelque peu l’accession des femmes aux postes d’administratrices.
  9. Le rôle stratégique du conseil dans l’entreprise s’imposera. Le temps où les CA ne faisaient qu’approuver les orientations stratégiques définies par la direction est révolu. Désormais, l’élaboration du plan stratégique de l’entreprise doit se faire en collaboration avec le conseil, en profitant de son expertise. Certes, l’un des rôles les plus importants des administrateurs est de voir à l’orientation de l’entreprise, en apportant une valeur ajoutée aux stratégies élaborées par la direction. Les CA sont toujours sollicités, sous une forme ou une autre, dans la conception de la stratégie.
  10. La réglementation continuera de se raffermir. Le resserrement des règles qui encadrent la gouvernance ne fait que commencer. Selon Jacques Grisé, il faut s’attendre à ce que les autorités réglementaires exercent une surveillance accrue partout dans le monde, y compris au Québec, avec l’Autorité des marchés financiers. En conséquence, les conseils doivent se plier aux règles, notamment en ce qui concerne la rémunération et la divulgation. Les responsabilités des comités au sein du conseil prendront de l’importance. Les conseils doivent mettre en place des politiques claires en ce qui concerne la gouvernance. Les conseils d’administration accordent une attention accrue à la gouvernance par l’intermédiaire de leur comité de gouvernance, mais aussi par leurs comités de RH et d’Audit. Les autorités réglementaires mondiales sont de plus en plus vigilantes eu égard à l’application des principes de saine gouvernance. La SEC, qui donnait souvent le ton dans ce domaine, est en mode révision de la réglementation parce que le gouvernement de Trump la juge trop contraignante pour les entreprises. À suivre !
  11. La composition des conseils d’administration s’adaptera aux nouvelles exigences et se transformera. Les CA seront plus petits, ce qui réduira le rôle prépondérant du comité exécutif, en donnant plus de pouvoir à tous les administrateurs. Ceux-ci seront mieux choisis et formés, plus indépendants, mieux rémunérés et plus redevables de leur gestion aux diverses parties prenantes. Les administrateurs auront davantage de responsabilités et seront plus engagés dans les comités aux fonctions plus stratégiques. Leur responsabilité légale s’élargira en même temps que leurs tâches gagnent en importance. Il faudra donc des membres plus engagés, un conseil plus diversifié, dirigé par un leader plus fort. C’est la voie que les CA ont empruntée. La taille des CA est de plus en plus réduite ; les conseils exécutifs sont en voie de disparition pour faire plus de place aux trois comités statutaires : Gouvernance, Ressources Humaines et Audit. Les administrateurs sont de plus en plus engagés et ils doivent investir plus de temps dans leurs fonctions.
  12. L’évaluation de la performance des conseils d’administration deviendra la norme. La tendance est déjà bien ancrée aux États-Unis, où les entreprises engagent souvent des firmes externes pour mener cette évaluation. Certaines choisissent l’auto-évaluation. Dans tous les cas, le processus est ouvert et si les résultats restent confidentiels, ils contribuent à l’amélioration de l’efficacité des conseils d’administration. Effectivement, l’évaluation de la performance des conseils d’administration est devenue une pratique quasi universelle dans les entreprises cotées. Celles-ci doivent d’ailleurs divulguer le processus dans le rapport aux actionnaires. On assiste à un énorme changement depuis les dix dernières années.

 

À ces 12 tendances, il faudrait en ajouter deux autres qui se sont révélées cruciales pour les conseils d’administration depuis quelques années :

(1) la mise en œuvre d’une politique de gestion des risques, l’identification des risques, l’évaluation des facteurs de risque eu égard à leur probabilité d’occurrence et d’impact sur l’organisation, le suivi effectué par le comité d’audit et par l’auditeur interne.

(2) le renforcement des ressources du conseil par l’ajout de compétences liées à la cybersécurité. La sécurité des données est l’un des plus grands risques des entreprises.

 

Aspects fondamentaux à considérer par les administrateurs dans la gouvernance des organisations

 

 

Récemment, je suis intervenu auprès du conseil d’administration d’une OBNL et j’ai animé une discussion tournant autour des thèmes suivants en affirmant certains principes de gouvernance que je pense être incontournables.

Vous serez certainement intéressé par les propositions suivantes :

(1) Le conseil d’administration est souverain — il est l’ultime organe décisionnel.

(2) Le rôle des administrateurs est d’assurer la saine gestion de l’organisation en fonction d’objectifs établis. L’administrateur a un rôle de fiduciaire, non seulement envers les membres qui les ont élus, mais aussi envers les parties prenantes de toute l’organisation. Son rôle comporte des devoirs et des responsabilités envers celle-ci.

(3) Les administrateurs ont un devoir de surveillance et de diligence ; ils doivent cependant s’assurer de ne pas s’immiscer dans la gestion de l’organisation (« nose in, fingers out »).

(4) Les administrateurs élus par l’assemblée générale ne sont pas porteurs des intérêts propres à leur groupe ; ce sont les intérêts supérieurs de l’organisation qui priment.

(5) Le président du conseil est le chef d’orchestre du groupe d’administrateurs ; il doit être en étroite relation avec le premier dirigeant et bien comprendre les coulisses du pouvoir.

(6) Les membres du conseil doivent entretenir des relations de collaboration et de respect entre eux ; ils doivent viser les consensus et exprimer leur solidarité, notamment par la confidentialité des échanges.

(7) Les administrateurs doivent être bien préparés pour les réunions du conseil et ils doivent poser les bonnes questions afin de bien comprendre les enjeux et de décider en toute indépendance d’esprit. Pour ce faire, ils peuvent tirer profit de l’avis d’experts indépendants.

(8) La composition du conseil devrait refléter la diversité de l’organisation. On doit privilégier l’expertise, la connaissance de l’industrie et la complémentarité.

(9) Le conseil d’administration doit accorder toute son attention aux orientations stratégiques de l’organisation et passer le plus clair de son temps dans un rôle de conseil stratégique.

(10) Chaque réunion devrait se conclure par un huis clos, systématiquement inscrit à l’ordre du jour de toutes les rencontres.

(11) Le président du CA doit procéder à l’évaluation du fonctionnement et de la dynamique du conseil.

(12) Les administrateurs doivent prévoir des activités de formation en gouvernance et en éthique.

 

Voici enfin une documentation utile pour bien appréhender les grandes tendances qui se dégagent dans le monde de la gouvernance aux É.U., au Canada et en France.

 

  1. La gouvernance relative aux sociétés en 2017 | Un « Survey » des entreprises du SV 150 et de la S&P 100
  2. Principales tendances en gouvernance à l’échelle internationale en 2017
  3. Séparation des fonctions de PDG et de président du conseil d’administration | Signe de saine gouvernance !
  4. Six mesures pour améliorer la gouvernance des organismes publics au Québec | Yvan Allaire
  5. Cadre de référence pour évaluer la gouvernance des sociétés | Questionnaire de 100 items
  6. La gouvernance française suit-elle la tendance mondiale ?
  7. Enquête mondiale sur les conseils d’administration et la gouvernance

 

Les responsabilités des administrateurs eu égard à la gestion des risques


Les administrateurs de sociétés doivent apporter une attention spéciale à la gestion des risques telle qu’elle est mise en œuvre par les dirigeants des entreprises.

Les préoccupations des fiduciaires pour la gestion des risques, quoique fondamentales, sont relativement récentes, et les administrateurs ne savent souvent pas comment aborder cette question.

L’article présenté, ci-dessous, est le fruit d’une recherche de Martin Lipton, fondateur de la firme Wachtell, Lipton, Rosen & Katz, spécialisée dans les fusions et acquisitions ainsi que dans les affaires de gouvernance.

L’auteur et ses collaborateurs ont produit un guide des pratiques exemplaires en matière de gestion des risques. Cet article de fond s’adresse aux administrateurs et touche aux éléments-clés de la gestion des risques :

(1) la distinction entre la supervision des risques et la gestion des risques ;

(2) les leçons que l’on doit tirer de la supervision des risques à Wells Fargo ;

(3) l’importance accordée par les investisseurs institutionnels aux questions des risques ;

(4) « tone at the top » et culture organisationnelle ;

(5) les devoirs fiduciaires, les contraintes réglementaires et les meilleures pratiques ;

(6) quelques recommandations spécifiques pour améliorer la supervision des risques ;

(7) les programmes de conformité juridiques ;

(8) les considérations touchant les questions de cybersécurité ;

(9) quelques facettes se rapportant aux risques environnementaux, sociaux et de gouvernance ;

(10) l’anticipation des risques futurs.

 

Voici donc l’introduction de l’article. Je vous invite à prendre connaissance de l’article au complet.

Bonne lecture !

 

Risk Management and the Board of Directors

 

Résultats de recherche d'images pour « Gestion des risques et administrateurs de sociétés »

 

Overview

The past year has seen continued evolution in the political, legal and economic arenas as technological change accelerates. Innovation, new business models, dealmaking and rapidly evolving technologies are transforming competitive and industry landscapes and impacting companies’ strategic plans and prospects for sustainable, long-term value creation. Tax reform has created new opportunities and challenges for companies too. Meanwhile, the severe consequences that can flow from misconduct within an organization serve as a reminder that corporate operations are fraught with risk. Social and environmental issues, including heightened focus on income inequality and economic disparities, scrutiny of sexual misconduct issues and evolving views on climate change and natural disasters, have taken on a new salience in the public sphere, requiring companies to exercise utmost care to address legitimate issues and avoid public relations crises and liability.

Corporate risk taking and the monitoring of corporate risk remain prominently top of mind for boards of directors, investors, legislators and the media. Major institutional shareholders and proxy advisory firms increasingly evaluate risk oversight matters when considering withhold votes in uncontested director elections and routinely engage companies on risk-related topics. This focus on risk management has also led to increased scrutiny of compensation arrangements throughout the organization that have the potential for incentivizing excessive risk taking. Risk management is no longer simply a business and operational responsibility of management. It has also become a governance issue that is squarely within the oversight responsibility of the board. This post highlights a number of issues that have remained critical over the years and provides an update to reflect emerging and recent developments. Key topics addressed in this post include:

the distinction between risk oversight and risk management;

a lesson from Wells Fargo on risk oversight;

the strong institutional investor focus on risk matters;

tone at the top and corporate culture;

fiduciary duties, legal and regulatory frameworks and third-party guidance on best practices;

specific recommendations for improving risk oversight;

legal compliance programs;

special considerations regarding cybersecurity matters;

special considerations pertaining to environmental, social and governance (ESG) risks; and

anticipating future risks.

Comment le CA peut-il gérer les cyber risques ?


Cet article explique comment les entreprises doivent agir afin de minimiser les risques cybernétiques et les cyberattaques.

Paula Loop*, directrice au Governance Insights Center, vient de publier les conclusions d’une étude de PwC :  2018 Global State of Information Security® Survey

Les résultats sont présentés sous forme de questions relatives à la sécurité informatique :

  1. Le CA doit-il être le responsable de la surveillance de cette activité ?
  2. Votre CA nécessite-t-il plus d’expertise dans le domaine de la cybersécurité ?
  3. Avons-nous toutes les compétences requises au sein du CA ?
  4. Possédons-nous les informations nécessaires pour la supervision des risques de cybersécurité ?
  5. Le CA, et notamment son président, a-t-il développé un niveau de relation ouverte avec le responsable des technologies (CISO) ?
  6. Comment savoir si les contrôles mis en place pour prévenir les brèches dans les systèmes sont efficaces ?

 

Les auteurs donnent un exemple de tableau de bord utile pour les CA :

 

Despite how pervasive the threats are, 44% of the 9,500 executives surveyed in PwC’s 2018 Global State of Information Security® Survey say they don’t have an overall information security strategy. That gives you a sense of how much work companies still need to do. Overseeing cyber risk is a huge challenge, but we have ideas for how directors can tackle cybersecurity head-on.

 

L’article présente également une mine d’informations eu égard aux enjeux, aux défis et aux actions qu’un CA doit entreprendre pour assurer une solide sécurité informatique.

Je vous invite à lire les conclusions de l’étude de PwC ci-dessous. Pour plus d’information sur ce sujet, vous pouvez consulter le rapport complet.

Bonne lecture !

 

Overseeing Cyber Risk

 

Résultats de recherche d'images pour « cyber risques entreprise »

 

Directors can add value as their companies struggle to tackle cyber risk. We put the threat environment in context for you and outline the top issues confronting companies and boards. And we identify concrete steps for boards to up their game in this complex area.

You don’t need us to tell you that cyber threats are everywhere. Breaches make headlines on

what seems like a daily basis. They also cost companies—in money and reputation. Indeed, cyber threats are among US CEOs’ top concerns, according to PwC’s 20th Global CEO Survey.

The pace of cyber breaches isn’t slowing. In part, we’re making it too easy for attackers. How? Employees fall for sophisticated phishing schemes, neglect to install security updates or use weak passwords. We are also doing more work on mobile devices, which tend not to be as well protected. And companies don’t always invest enough in cybersecurity or patch their systems promptly when problems are discovered.

The nature of cyber threats is also evolving. The self-propagating WannaCry attack, for instance, could infect a computer even if the user didn’t click on the link. Indeed, 2017 saw a number of major ransomware attacks that froze computer systems—keeping some companies offline for weeks.

Despite how pervasive the threats are, 44% of the 9,500 executives surveyed in PwC’s 2018 Global State of Information Security® Survey say they don’t have an overall information security strategy. That gives you a sense of how much work companies still need to do. Overseeing cyber risk is a huge challenge, but we have ideas for how directors can tackle cybersecurity head-on.

 

 

Challenge:

How can our board understand whether management’s cybersecurity and IT program reduces the risk of a major cyberattack or data breach—or actually makes the company more vulnerable?

 

Many directors are not confident that management has a handle on cyber threats. PwC’s 2017 Annual Corporate Directors Survey found that only 39% of directors are very comfortable that their company has identified its most valuable and sensitive digital assets. And a quarter had little or no faith at all that their company has identified who might attack.

There are obviously many moving parts that management needs to get right. Many companies align their programs and investments with a cybersecurity framework to help ensure they’re addressing everything they should.

For a board to oversee cyber risks effectively, it needs the right information on how the company addresses those risks. But 63% of directors say they’re not very comfortable that their company is providing the board with adequate cybersecurity metrics. [1]

Boards also shortchange the time they give to discussing cyber risks. We often see board agendas allocate relatively little time to the topic.

Another part of the challenge is that few boards have directors with current technology or cybersecurity expertise. And that puts directors at a disadvantage in being able to figure out if management is doing enough to address this area of significant risk.

 

Why does cybersecurity often break down in companies?

 

Common issues Why they matter
There’s no inventory of the company’s digital assets Companies can’t protect assets they don’t know about. Management should be able to explain what information and data they hold, why it’s needed, where it is (within the company’s systems or with third parties) and whether it’s properly protected. They should also know which data is most valuable (the crown jewels).
The company doesn’t know which third parties it digitally connects with A company may interact—and even share sensitive information—with thousands of suppliers and contractors. Hackers often target these third parties as a way to get into a company’s network. Yet more than half of companies don’t keep a comprehensive inventory of the third parties they share sensitive information with. [2]
The company hasn’t identified who is most likely to come after its data Knowing who might attack helps the company better anticipate how they might attack. That in turn may help the company put up better defenses.
The company has poor cyber hygiene Systems that aren’t properly configured are more vulnerable to attacks. So companies should employ leading practices, like multi-factor authentication, to protect highly sensitive information. They also need to do the basics right—like removing access on a timely basis for people who leave the company or change jobs.
The company hasn’t patched known system vulnerabilities System vulnerabilities are being uncovered constantly. But not all software companies push out patches to users. So the company needs to ensure someone regularly monitors to see if patch updates are available. And then make sure those fixes get made.
The company has a wide attack surface Providing more ways to access company systems makes things easier for employees, customers and third parties. And for hackers. So companies need stronger controls (such as multi-factor authentication). And they need to increase their monitoring for suspicious activity.
Employees aren’t trained on their role in security Current employees are the top source of security incidents—whether intentional or not. [3] Yet only half (52%) of executives say their company has an employee security awareness training program. [4]
Cybersecurity is viewed as the CISO’s responsibility A chief information security officer (CISO) can’t do the job alone. Other groups like Infrastructure or Operations need to cooperate and provide resources to address cyber issues.

Board action:

Focus on getting the right information and building relationships with the company’s tech and security leaders so you get a better sense of whether management is doing enough

 

 

This is a really tough area to oversee. Here are a number of questions to help as you address it.

1. Since cybersecurity is really a business issue, should the full board oversee it?

Half of directors say their audit committee is responsible for cyber risk, and 16% give it to either a separate risk committee or a separate IT committee. Only 30% say it’s a full board responsibility. [5] If the full board doesn’t want to oversee cyber risk, ensure that, at a minimum, whichever committee is assigned the responsibility provides regular and comprehensive reporting up to the whole board. And consider moving it from the already overloaded audit committee to another board committee.

2. Does our board need greater cybersecurity or technology expertise?

For some companies, the answer will be to recruit a director with serious expertise in cybersecurity. But others won’t choose to close their skill gap by adding a new director. People with these skills are hard to find, especially since the technology landscape is changing so quickly. Some boards may not have room to add another member. Others may not want to add someone with such specific expertise unless they’re confident that person could handle other board matters as well. So instead they look for other ways to address any gap, including continuing education and using outside advisors.

3. Is everyone in the room who needs to be?

The cybersecurity discussion should include business, technology and risk management leaders—as well as the CEO and CFO. Why? For one, it reinforces that cyber is an enterprise-wide issue—and that directors expect everyone to be accountable for managing the risk. The discussion also may expose other areas where there are security gaps. For example, while a CISO will often cover IT, many industrial organizations also need to protect OT—the operational technology that directs what happens in physical plants or processes. So if the CISO isn’t covering OT, the board needs to hear from whoever is.

4. Do we have the information we need to oversee cyber risk?

First, consider whether you have the basic information you need on the company’s IT environment. Without this background, it’s tough to make sense of the level of risk the company faces. There are a few key areas:

The nature of the company’s systems.

Are they developed in-house, purchased and customized or in the cloud?

Are any no longer supported by vendors?

Is the company running multiple versions of key systems in different divisions?

To what extent has the company integrated the systems of companies it acquired?

The security resources.

Where does IT security report?

What are IT security’s resources and budget? How do they compare to industry benchmarks?

Has the company adopted a cybersecurity framework (e.g., NIST, ISO 27001)?

This type of basic information doesn’t change much, so directors likely only need periodic refreshers.

On the other hand, directors will want more frequent reporting on what does change. Each company needs to figure out which items—quantitative and qualitative—are most relevant. It’s also helpful for directors to see whether management believes cyber risk is increasing, stable or decreasing.

A good dashboard gives directors an at-a-glance understanding of the state of the company’s cyber risk. There are a number of different approaches to assembling a dashboard. One is to simply classify issues between external and internal factors, like the example we show below.

If boards sense the dashboard isn’t giving a complete or accurate picture, they shouldn’t be afraid to challenge what’s presented in it. Read more to find out how.

 

Example of what a dashboard might look like

 

5. Have we built a relationship that allows the CISO to be candid with us?

The CISO has a lot of responsibility but doesn’t always have the authority to insist that other technology and business leaders fall in line. A strong relationship with the board helps the CISO feel comfortable giving directors the true picture (warts and all) of cyber risks, including his or her views on whether resources are adequate. Periodic private sessions with the CISO are a key part of understanding whether the company is doing enough to manage these risks.

6. How can we know whether the controls and processes designed to prevent data breaches are working?

Speaking to objective groups, such as internal audit, can offer the board different perspectives. The board may also want to hire its own outside consultants to periodically review the state of cybersecurity at the company and report back to the board.

 How can directors improve their knowledge of cybersecurity?

Hold deep-dive discussions about the company’s situation. That could include the company’s cybersecurity strategy, the types of cyber threats facing the company and the nature of the company’s “crown jewels.”

Attend external programs. There are a number of conferences that focus on the oversight of cyber risk.

Ask management what it has learned from connecting with peers and industry groups.

Ask law enforcement (e.g., the FBI) and other experts to present on the threat environment, attack trends and common vulnerabilities. Then discuss with management how the company is addressing these developments.

Challenge:

Given that companies are under constant attack, how can directors understand whether their company is adequately prepared to handle a breach?

 

No company is immune to the threat of a breach. One particularly scary aspect of cybersecurity is that companies may only know they’ve been breached when an outside party, such as the FBI, notifies them. Then there’s the question of what the company needs to do once it discovers a breach. Obviously it needs to investigate and patch its systems. But there’s much more.

Nearly all US states and many countries have laws requiring entities to notify individuals when there’s been a security breach involving personally identifiable information. These laws often set a deadline for notification—sometimes as short as 72 hours. The data breach notification laws change from time to time, making it a challenge to keep up to date. Separately, companies should also consider any potential SEC disclosure requirements regarding cyber risks and incidents.

Breaches can mean significant fines from regulatory agencies, as well as class-action lawsuits. They can also damage a company’s reputation and brand—resulting in loss of customers, as well as investors possibly losing confidence in the company. And as we have seen with some breaches, senior executives can lose their jobs.

Breaches also mean more costs to companies—to investigate, remediate and compensate those who were harmed. Only half of US companies have cyber insurance, [6] despite the growing number and size of incidents. In part, there’s still some skepticism on how claims will be covered.

Given how likely a breach is and how much companies need to do to respond, it’s surprising that 54% of executives say their companies don’t have an incident response plan. [7] Yet companies that responded well to a breach—thanks to better preparation—usually come out of the crisis better than those that had to scramble.

 

Board action:

Regularly review the breach and crisis management plan and lessons learned from management’s testing

 

It’s important to ask management about the company’s cyber incident response and crisis management plan on a regular basis. If there isn’t one, press management for a timeline to develop and test one.

If there is a plan, discuss what it entails and how the company intends to continue operating in the event of a disruptive attack. It should also identify everyone who needs to be involved, which could include the communications team, finance leaders, business leaders, legal counsel and the broader crisis response team, as well as IT specialists. The plan should specify which external resources are on retainer to support the internal teams. And who the company will work with on the law enforcement side.

A key part of the plan should cover breach notification and escalation procedures. When will the board be notified? What is the company’s plan to inform regulators? How and when will other stakeholders—including individuals whose personal information may have been lost—be informed?

Also ask management about plan testing and what changes were made as a result of the last test. Some directors even observe or participate in tabletop testing exercises to get a better appreciation for how management plans to address a cyber crisis.

Finally, have management explain if it has updated controls or recovery plans based on recent incidents at other organizations.

 

In conclusion…

 

As cyber threats persist, boards recognize they need to step up their cyber risk oversight. That starts when directors recognize that the responsibility for handling cyber risk goes well beyond the CISO. How? By insisting that cybersecurity be a business discussion, with the right senior executives in the room and a sophisticated understanding of the threats.

 

____________________________________________________________

Endnotes

1PwC, 2017 Annual Corporate Directors Survey, October 2017.(go back)

2Ponemon Institute, Data Risk in the Third-Party Ecosystem, September 28, 2017.(go back)

3PwC, Global State of Information Security® Survey 2018, October 2017.(go back)

4Ibid.(go back)

5PwC, 2017 Annual Corporate Directors Survey, October 2017.(go back)

6Insurance Journal, “Why 27% of U.S. Firms Have No Plans to Buy Cyber Insurance”, May 31, 2017; http://www.insurancejournal.com/news/national/2017/05/31/452647.htm(go back)

7PwC, Global State of Information Security® Survey 2018, October 2017.(go back)

_______________________________________________

*Paula Loop is Leader at the Governance Insights Center, Catherine Bromilow is Partner at the Governance Insights Center, and Sean Joyce is US Cybersecurity and Privacy Leader at PricewaterhouseCoopers LLP. This post is based on a PwC publication by Ms. Loop, Ms. Bromilow, and Mr. Joyce.

Compte rendu hebdomadaire de la Harvard Law School Forum on Corporate Governance | 8 juin 2017


Voici le compte rendu hebdomadaire du forum de la Harvard Law School sur la gouvernance corporative au 8 juin 2017.

J’ai relevé les principaux billets, tout en me limitant au Top 1o.

Bonne lecture !

 

Résultats de recherche d'images pour « harvard law school forum on corporate governance »

 

Résultats de recherche d'images pour « harvard law school forum on corporate governance »

 

 

  1. Decreasing Patience for IPOs with Poor Shareholder Rights
  2. Appraisal Decision Sole Reliance on Merger Price: PetSmart
  3. The Role of Social Capital in Corporations: A Review
  4. On Long-Tenured Independent Directors
  5. Why Your Board Should Refocus on Key Risks
  6. The Limits of Gatekeeper Liability
  7. The Long Game: Incentive Pay Aims at Generating Lasting Return
  8. The Corporate Demand for External Connectivity: Pricing Boardroom Social Capital
  9. Criticism of Governance Provisions in Proxy Contest Leads to Reincorporation
  10. Retired or Fired: How Can Investors Tell If the CEO Left Voluntarily?

 

Pourquoi une société choisirait-elle de remplacer son PDG par un membre du CA ?


Lorsqu’un PDG d’une grande entreprise démissionne ou se retire, l’organisation se retrouve souvent en mode de gestion de crise. C’est alors que certains CA optent pour la nomination d’un de leurs membres comme premier dirigeant, pour une période plus ou moins longue ! C’est l’objet de l’étude du professeur Larker.

Le nouveau PDG connaît déjà très bien l’organisation et, puisqu’il n’est pas membre du cercle fermé des hauts dirigeants, il est bien placé pour orchestrer les changements nécessaires ou pour poursuivre une stratégie qui s’était avérée efficace.

L’étude effectuée montre que sur les entreprises du Fortune 1000, 58 étaient dirigées par un ex-administrateur. Les deux tiers des cas étaient liés à une démission soudaine du PDG. Seulement, un tiers des nouveaux PDG avait fait l’objet d’une succession planifiée.

Résultats de recherche d'images pour « CEO and board »

Également, l’étude révèle que 64 % des administrateurs nommés comme PDG l’étaient à la suite d’un problème de performance.

Il appert que les nominations se font très rapidement, souvent le même jour de la démission du PDG. Les nominations se font par intérim dans 45 % des cas, et permanente dans 55 % des cas, ce qui est un peu surprenant étant donné que l’engagement se fait sans les formalités de recrutement habituelles.

Enfin, il ressort de cela que les administrateurs nommés restent en fonction seulement 3,3 ans, comparativement à 8 ans pour les PDG des grandes sociétés du Fortune 1000.

Enfin, les deux tiers des administrateurs nommés avaient une expérience de PDG dans une autre entreprise auparavant. La performance de ces nouveaux administrateurs nommés n’est pas jugée supérieure.

Je vous invite à lire cet article si vous souhaitez avoir plus de détails.

Bonne lecture !

 

From Boardroom to C-Suite: Why Would a Company Pick a Current Director as CEO?

 

 

We recently published a paper on SSRN (From Boardroom to C-Suite: Why Would a Company Pick a Current Director as Its CEO?) that explores situations in which companies appoint a non-executive director from the board as CEO.

Many observers consider the most important responsibility of the board of directors its responsibility to hire and fire the CEO. To this end, an interesting situation arises when a CEO resigns and the board chooses neither an internal nor external candidate, but a current board member as successor.

Résultats de recherche d'images pour « CEO and board »

Why would a company make such a decision? The benefit of appointing a current director to the CEO position is that the director can act as a hybrid “inside-outside” CEO. He or she is likely well versed in all aspects of the company, including strategy, business model, and risk-management practices. A current director likely also has personal relationships with the executive team and fellow board members, making it easier to determine cultural fit prior to hiring. At the same time, this individual is not a member of the current senior management team, and therefore has greater freedom to make organizational changes if needed. On the other hand, appointing a current director as CEO has potential drawbacks. The most obvious of these is that it signals a lack of preparedness on the company’s part to groom internal talent.

To understand the circumstances in which a company appoints a current board member as CEO, we conducted a search of CEO successions among Fortune 1000 companies between 2005 and 2016 and identified 58 instances where a non-executive (outside) director became CEO. Some companies made this decision more than once during the measurement period, and so our final sample includes 58 directors-turned-CEO at 50 companies.

Most director-turned-CEO appointments occur following a sudden resignation of the outgoing CEO. Over two-thirds (69 percent) follow a sudden resignation; whereas only one-third (31 percent) appear to be part of planned succession. Furthermore, director-turned-CEO appointments have an above average likelihood of following termination of a CEO for performance. Half (52 percent) of the outgoing CEOs in our sample resigned due to poor performance and an additional 12 percent resigned as part of a corporate-governance crisis, such as accounting restatement or ethical violation. That is, 64 percent of director-turned-CEO appointments followed a performance-driven turnover event compared to an estimated general market average of less than 40 percent.

Shareholders do not appear to be active drivers of these successions. In over three-quarter (78 percent) of the incidents in our sample, we failed to detect any significant press coverage of shareholder pressure for the outgoing CEO to resign. (This does not rule out the possibility that shareholders privately pressed the board of directors for change.) In 13 of 58 incidents (23 percent), a hedge fund, activist investor, or other major blockholder played a part in instigating the transition.

In most cases, companies name the director-turned-CEO as successor on the same day that the outgoing CEO resigns. In 91 percent of the incidents in our sample, the director was hired on the same day that the outgoing CEO stepped down; in only 9 percent of the incidents was there a gap between these announcements. When a gap did occur, the average number of days between the announcement of the resignation and the announcement of the successor was approximately four months (129 days). These situations included a mix of orderly successions and performance- or crisis-driven turnover.

The stock market reaction to the announcement of a director-turned-CEO is modest and not significantly different from zero. Because the outgoing CEO resignation tends to occur on the same day that the successor is named it is not clear how the market weighs the hiring decision of the director-turned-CEO relative to the news of the outgoing CEO resignation. In the small number of cases where the outgoing CEO resigned on a different date than the successor was appointed, we observe positive abnormal returns both to the resignation (2.4 percent) and to the succession (3.2 percent), suggesting that in these cases the market viewed these decisions favorably.

A large minority of director-turned-CEO appointments appear to be “emergency” appointments. In 45 percent of cases, directors were appointed CEO on an interim basis, although in a quarter of these the director was subsequently named permanent CEO. In the remaining 55 percent of cases, the director was named permanent CEO at the initial announcement date.

In terms of background, most directors-turned-CEO have significant experience with the company, with the industry, or as CEO of another company. Fifty-seven percent of directors-turned-CEO in our sample were recruited to the board during their predecessor’s tenure and served for an average of 6.9 years before being named CEO. Two-thirds (67 percent) had prior CEO experience at another company, and almost three-quarters (72 percent) had direct industry experience. Of note, only 9 percent had neither industry nor CEO experience.

Of note, directors-turned-CEO do not remain in the position very long, regardless of whether they are named permanently to the position or on an interim basis. We found that the directors-turned-CEO who served on an interim basis remained CEO for 174 days (just shy of 6 months) on average; directors permanently named to the CEO position remained CEO for only 3.3 years on average, compared to an average tenure of 8 years among all public company CEOs. It might be that their shorter tenure was driven by more challenging operating conditions at the time of their appointment, as indicated by the higher likelihood of performance-driven turnover preceding their tenure.

Finally, we do not find evidence that directors-turned-CEO exhibit above-average performance. Across our entire sample, we find slightly negative cumulative abnormal stock price returns (-2.3 percent) for companies who hire a director as CEO, relative to the S&P 500 Index. The results are similar when interim and permanent CEOs are evaluated separately. This suggests that the nature of the succession, rather than the choice of director as successor, is likely the more significant determinant of performance among these companies.

The complete paper is available for download here.

______________________________________

David Larcker is Professor of Accounting at Stanford Graduate School of Business. This post is based on a paper authored by Professor Larcker and Brian Tayan, Researcher with the Corporate Governance Research Initiative at Stanford Graduate School of Business.

Un guide utile pour bien évaluer les risques organisationnels | En reprise


Voici un article très intéressant sur l’évaluation des risques publié par H. Glen Jenkinset paru dans Inside Counsel (IC) Magazine.

Il s’agit d’un bref exposé sur la notion de risques organisationnels et sur les principaux éléments qu’il faut considérer afin d’en faire une gestion efficace.

Je vous invite à prendre connaissance des autres publications sur le site de IC, notamment Evaluating and managing litigation risk.

Bonne lecture !

Risk assessment: A primer for corporate counsel

 

The scope of legal responsibilities for in-house counsel varies depending on the size and complexity of the company. For instance, an attorney located at corporate headquarters could be chiefly responsible for issues affecting the shared services that are available and used by corporate headquarters, as well as every business unit and division. And yet at other times, in-house counsel’s concerns may be restricted to matters affecting only the parent company or a specific liability issue faced by only one business unit.

 

risk management flow chart concept handwritten by businessman

In each instance, however, in-house counsel are generally concerned with specific legal tasks and proactive risk management.

What exactly does risk management mean, and what does it encompass? Furthermore, once the definition of risk management has been established and accepted by the company’s management team, how can in-house counsel efficiently and comprehensively assess all possible risks?

Merriam Webster’s dictionary defines risk as “the possibility that something bad or unpleasant will happen.” Whenever many of us in the accounting and legal profession hear the word “risk,” we inherently may succumb to the aforementioned particular negative connotation of risk. How many times have we heard the phrase, “Risk is a part of life,’ and how often have we associated those five words with an undesirable implication?”

 

Alternatively, A Positive View of Risk

Taking risks does not always have to be painstakingly negative. It is unlikely that many will disagree with the Institute of Risk Management’s (IRM) assertion that “avoiding all risk would result in no achievement, no progress and no reward.” This statement undoubtedly portrays a different perspective of risk, indicating the potential of a positive outcome.

IRM goes on to define risk as “the combination of the probability of an event and its consequence. Consequences can range from positive and negative.”

Therein lies the basic premise of risk management. If the consequences of risk can be both positive and negative, it would seem only prudent to try and effectively manage risk to have the highest probability of a positive outcome.

Applying IRM’s definition of risk, together with the premise that avoiding all risk would result in no achievement, no progress and no reward, we intrinsically recognize that not all risks are bad and not all risks are to be avoided.

Over the course of three successive articles on risk, we will take a closer look at how in-house counsel works with internal and external resources to help identify, evaluate and categorize risk.

 Risk Assessment: The Starting Point for Successful Risk Management

Risk assessment is the identification, analysis and evaluation of risks involved in a given situation. Risk assessment also implies a comparison against benchmarks or standards, and the determination of an acceptable level of risk. The evaluation of risks should also provide management with a remediation or control for the identified hazard.

The word “risk” alone without any context is a vague and ill-defined term. There is safety risk, country risk, political risk, health risk and the ongoing list is virtually boundless and it is next to impossible to comprehensively assess all possible risks.

According to Tori Silas, privacy officer and senior counsel with Cox Enterprises, Inc., Cox uses the external resources of multinational accounting and advisory companies to assist with its risk assessments. Using best practices they have developed by analyzing business processes and assessing risk for companies on a global level, these organizations assist in the identification of risks in particular areas of the business, and provide a framework within which to rate risks and prioritize remediation efforts associated with those risks.

Assessment Begins with Knowing Who Decides Acceptable Levels of Risk

As an example of financial risk, according to a Tulane University study, the chances of getting hit by an asteroid or comet are 1,000 times greater than winning a jackpot mega millions lottery. Yet, some have accepted that level of risk and will habitually trade their money to play the lottery rather than investing their money or capital in an endeavor that has a much higher probability of building wealth. Whether right or wrong, a good or bad decision, those who make the choice of playing the lottery have intrinsically accepted the financial risk of losing their money in lieu of the near impossible odds to reap a grand reward.

No matter our opinion of playing the lottery, I think we would all agree that it would be highly unlikely to find a pragmatic business executive allotting some portion the company’s wealth and assets to invest in lottery tickets. But why not? Who decides the parameters of acceptable levels of risk for a business and against what benchmarks are those decisions made?

The business owners, board of directors and executive management define the business objectives, and establish the risk appetite and risk tolerances that are to be contemplated on an overall basis by management when making decisions and evaluating options and alternatives. Together they establish a system of rules, practices and processes by which their company is directed and controlled. This concept is often referred to as corporate governance. Businesses of all sizes embrace this concept, but small businesses may cloak this concept within the singular frame of mind of its ownership’s values, ideologies, philosophies, beliefs and individual business principles.

As the privacy officer for Cox Enterprises, Silas strives to make certain the employees of their consumer facing companies are aware of Cox’s obligations regarding data privacy and that they are appropriately trained to identify and mitigate risk related to and to protect any private consumer data they may have collected.

Corporate Governance

Since the purpose of a risk assessment is the identification, analysis, and evaluation of risks that could adversely impact the business meeting its objectives, the process of conducting a risk assessment should be integrated into existing management processes. According to Silas, Cox Enterprises also utilizes its own internal audit services department to examine functional processes and identify opportunities to strengthen controls and mitigate risks. It is recommended that risk assessments should be conducted using a top-down approach beginning with the top level of the company and filtering its way down through each division and business unit.

For example, a company may have three divisions: manufacturing, marketing and finance. Each of those divisions may operate in four global sectors. Using a top-down approach the three top divisions would conduct a risk assessment and each subdivision that is located in each global sector would conduct their own risk assessment. The top-down approach would then be complimented by bottom-up process where the risk assessments are sent up the business chain, gathered and compiled into an integrated risk assessment matrix.

Ten Tips for Conducting an Effective Risk Assessment

In quick summary, here are ten additional tips for conducting an effective risk assessment:

  1. Create, plan and conduct a formal risk assessment;
  2. Define the context and objectives of the risk assessment;
  3. Define and understand the organizations acceptable risk tolerance;
  4. Bring together the best team to conduct the risk assessment;
  5. Employ the best risk assessment techniques for the situation;
  6. Understand control measures to mitigate risk;
  7. Be objective and impartial conducting the risk assessment;
  8. Identify the environment that is conducive to risks;
  9. Identify who could be harmed; and
  10. Review, revisit and re-perform the risk assessment.

Gestion des risques liés aux tierces parties | Deloitte


Comment votre organisation peut-elle mieux contrôler les risques liés à ses tiers ? C’est ce que vous apprend ce document de Deloitte dans un numéro du bulletin « À l’ordre du jour du conseil ».

Encore récemment, le risque lié aux fournisseurs se limitait pour ainsi dire à la qualité des produits ou des matières premières fournies ou à la possibilité qu’un fournisseur ne respecte pas ses engagements d’approvisionnement et perturbe ainsi la production. Aujourd’hui, les entreprises sont de plus en plus tenues responsables du comportement de leurs fournisseurs, que ce soit en ce qui a trait aux pratiques en matière de santé, de sécurité et d’environnement, au respect des lois sur le travail et autres règlements, à l’utilisation de la propriété intellectuelle, à l’approvisionnement en matières premières, à la corruption et plus encore. Et comme les clients ne font pas de différence entre une organisation et ses fournisseurs, les actions de tiers peuvent également nuire à la réputation de l’organisation ou à la confiance de ses clients.

Voici un aperçu de ce document, notamment les questions que les administrateurs devraient se poser eu égard aux risques reliés aux entités tierces. On y présente également le point de vue de José Écio Pereira, administrateur de compagnie et associé retraité de Deloitte.

Bonne lecture !

Gestion du risque de l’entreprise étendue

Le risque lié aux entités tierces

L’usine d’un fournisseur s’effondre, faisant des centaines de victimes parmi les travailleurs, dont certains sont des enfants. Des milliers de fichiers contenant des données sur les cartes de crédit de clients et d’autres renseignements financiers confidentiels font l’objet de piratage d’un tiers autorisé à accéder au réseau de l’entreprise. Un fournisseur a utilisé des matériaux contaminés et une vaste campagne de rappel visant certains produits doit être lancée.

Encore récemment, le risque lié aux fournisseurs se limitait pour ainsi dire à la qualité des produits ou des matières premières fournis ou à la possibilité qu’un fournisseur ne respecte pas ses engagements d’approvisionnement et perturbe ainsi la production.

 

Gestion-des-risques

 

De nos jours, des lois comme la Foreign Corrupt Practices Act aux États-Unis, la Bribery Act au Royaume-Uni et d’autres encore font en sorte que les entreprises sont de plus en plus souvent tenues responsables des agissements de leurs fournisseurs. De même, les clients ne distinguent pas toujours une entreprise de ses fournisseurs. Pour eux, l’entreprise est celle qui leur fournit une solution ; s’il survient un problème, c’est elle qu’ils tiennent responsable, et c’est donc sa réputation qui est en péril. C’est pourquoi les entreprises doivent maintenant élargir leur surveillance des risques à l’entreprise étendue1 et observer chez leurs tiers fournisseurs les pratiques de santé, de sécurité et d’environnement, le respect des lois sur le travail et autres règlements, l’utilisation de la propriété intellectuelle, l’approvisionnement en matières premières, la corruption et plus encore.

Questions que les administrateurs devraient poser

(1) Notre entreprise a-t-elle évalué de manière exhaustive son risque lié aux tiers et, si c’est le cas, quelles en sont les composantes les plus déterminantes pour l’entreprise à l’heure actuelle ?

(2) Quels sont les tiers susceptibles d’entraver le plus gravement la capacité de l’entreprise à atteindre ses buts et objectifs stratégiques ?

(3) Que faisons-nous pour gérer et surveiller de manière proactive le risque et son évolution au sein de notre entreprise étendue ? Quels outils de gestion du risque utilisons-nous ?

(4) Qui est responsable de la gestion du risque lié aux tiers dans notre entreprise ?

(5) À quelle fréquence la direction informe-t-elle le conseil d’administration de son évaluation des risques de tiers et du processus mis en place pour atténuer ces risques ? Cette information est-elle suffisamment détaillée et présentée en temps opportun ?

Le point de vue d’un administrateur

José Écio Pereira est membre des conseils d’administration de Votorantim Cimentos, Fibria et Gafisa et a été membre du conseil de BRMalls ; il préside également le comité d’audit de Votorantim Cimentos et de Gafisa. Il est le propriétaire fondateur de JEPereira Consultoria em Gestão de Negócios et a été associé, maintenant à la retraite, de Deloitte Brésil.

Le risque lié aux entités tierces figure-t-il à l’ordre du jour des conseils d’administration ?

Les conseils dont je connais le fonctionnement effectuent une évaluation du risque tous les trois ou quatre mois. Le risque lié aux entités tierces à proprement parler n’est pas un point distinct à l’ordre du jour, mais nous l’abordons dans notre analyse des risques. Ceci dit, il est clair que de nos jours, les conseils accordent plus d’attention au risque lié aux tiers qu’il y a à peine deux ans. Au Brésil, c’est principalement à cause de la loi anticorruption (Clean Company Act) de 2014. En vertu de cette loi, les entreprises peuvent être tenues responsables des activités illégales ou de la conduite contraire à l’éthique de leurs tiers fournisseurs.

Depuis que cette loi est en vigueur, les administrateurs examinent de beaucoup plus près les risques associés aux tiers fournisseurs des entreprises qu’ils supervisent. Ils examinent les pratiques de leurs fournisseurs en matière de conditions de travail, de normes pour les employés, de mesures de santé et de sécurité et d’autres facteurs pour s’assurer que tous respectent les normes de l’entreprise qui a fait appel à eux. La santé financière des fournisseurs est un autre paramètre fort important, surtout au vu de la situation économique actuelle au Brésil. Les entreprises veulent être sûres que leurs fournisseurs paient leurs impôts et respectent leurs obligations juridiques, en particulier dans leurs relations avec leurs employés, et qu’ils seront à même de poursuivre leur exploitation.

Les administrateurs examinent-ils les relations avec des tiers dans le contexte du cyberrisque ?

Je pense que les entreprises dont les systèmes sont connectés avec ceux de tiers fournisseurs à des fins d’approvisionnement ou de logistique sont conscientes de l’existence du cyberrisque et prennent les mesures nécessaires pour s’en prémunir. Mais ces mesures sont généralement liées aux échanges de produits et de services.

Dans une perspective plus vaste, je dirais que la plupart des entreprises ne disposent pas de systèmes d’information appropriés pour gérer leurs relations avec des tiers. Les systèmes de la plupart des entreprises ne sont pas assez sophistiqués pour se connecter aux systèmes des fournisseurs ; les entreprises ont recours à divers outils pour gérer leurs relations avec des tiers et souvent, ces outils ne sont pas très bien intégrés entre eux. Les relations sont par exemple gérées à l’aide de plusieurs systèmes, y compris des chiffriers et des outils manuels qui ne sont pas du tout conçus pour cet usage.

À qui devrait revenir la responsabilité des tiers fournisseurs ?

Le conseil d’administration doit jouer un rôle de supervision et faire en sorte que les cadres supérieurs disposent d’un processus de gestion du risque lié aux tiers.

Au Brésil, c’est souvent le service de l’approvisionnement qui reste responsable des problèmes opérationnels et qui vérifie que les produits et les services sont bien fournis selon les modalités du contrat conclu avec le tiers fournisseur. De plus, nombre d’entreprises mettent aussi sur pied une fonction particulière chargée de la gestion des contrats conclus avec des tiers. La plupart des entreprises brésiliennes entretiennent plusieurs relations avec des tiers : services alimentaires, sécurité, transports, fabrication. Toutes sont essentielles au fonctionnement d’une entreprise au quotidien. Les entreprises sont donc nombreuses à affecter davantage de ressources à la gestion efficace des contrats.

Certaines entreprises surveillent constamment leurs fournisseurs pour s’assurer que les contrats sont observés à la lettre. Bon nombre exigent que leurs fournisseurs autoévaluent leur conformité contractuelle, en plus d’effectuer des audits périodiques et d’autres tests afin de vérifier le respect des contrats. Toutes ces mesures représentent un travail colossal et parfois, il faut y consacrer une fonction administrative particulière.

Je vais vous relater un exemple authentique. L’une des sociétés avec lesquelles je collabore est en train de construire de nouvelles installations de grande envergure. C’est un investissement de près de 2 milliards de dollars américains, et c’est un projet d’environ : 18 mois. À l’heure actuelle, la construction vient juste de commencer. Plusieurs fournisseurs y travaillent, que ce soit pour la sécurité du chantier ou pour l’approvisionnement en matériel ou son installation.

L’entreprise a mis sur pied un comité directeur de projet qui comprend entre autres des membres de l’équipe de direction. Ce comité se réunit au moins une fois tous les : 15 jours, et les relations avec les fournisseurs reviennent justement sans cesse à son ordre du jour. C’est beaucoup plus qu’une question de diligence raisonnable ; le comité procède aussi au suivi constant des tiers fournisseurs.

Le comité directeur présente chaque mois au conseil l’état d’avancement du projet. Le rapport d’avancement consigne tout ce qui a trait aux tiers fournisseurs : le défaut de verser les retenues sur salaires des employés, de payer des impôts fonciers ou des avantages sociaux, la violation des règles de santé et de sécurité sur le chantier, aussi bien que les problèmes opérationnels comme le non-respect des échéances par un fournisseur ou la qualité insuffisante des services qu’il a rendus. Lorsque des problèmes surgissent, le comité de projet les reporte sur la « carte du risque » du projet, et la direction prend les mesures de suivi nécessaires, y compris l’application des pénalités contractuelles, le cas échéant.

Les entreprises devraient-elles aussi définir leurs propres normes déontologiques à l’endroit des tiers fournisseurs ?

Après l’entrée en vigueur de la loi brésilienne anticorruption, la plupart des entreprises ont passé en revue leurs normes déontologiques et leur code de conduite ; l’une des grandes nouveautés, c’est qu’elles y ont ajouté des procédures et des règles qui s’adressent aux tiers fournisseurs.

Par le passé, toutes les activités encadrant les règles de déontologie, comme la formation et les ateliers, étaient entreprises dans une perspective interne. Les normes s’appliquaient au personnel de l’entreprise, mais ne dépassaient pas les limites de celle-ci pour viser également les fournisseurs externes. Maintenant, la portée s’est élargie et les règles régissant les employés, les mesures de santé et de sécurité, les conditions de travail, l’obéissance aux lois, etc., englobent aussi les tiers fournisseurs. Les entreprises ont également étendu leurs programmes de formation et invitent leurs fournisseurs à leurs séminaires et ateliers où seront expliqués les règles et les processus de surveillance.

Est-ce le temps de créer un conseil consultatif ?


Assez régulièrement, je cède la parole à Johanne Bouchard* qui agit à titre d’auteure invitée sur mon blogue en gouvernance. L’auteure a une solide expérience d’interventions de consultation auprès de conseils d’administration de sociétés américaines et d’accompagnements auprès de hauts dirigeants de sociétés publiques. Dans ce billet, elle présente plusieurs considérations importantes liées à la création d’un conseil consultatif.L’auteure décrit le travail préparatoire à la constitution de ce groupe de conseillers, triés sur le volet.

Ce type de structure, moins formelle, peut revêtir un caractère stratégique incontournable dans le cas de jeunes entreprises en croissance qui n’ont pas encore un conseil d’administration.

Mais toutes les entreprises peuvent se doter d’un groupe sélect d’experts que le premier dirigeant peut consulter à intervalle régulier.

Bonne lecture ! Vos commentaires sont les bienvenus.

Est-ce le temps de créer un conseil consultatif ?

par

Johanne Bouchard

Formation d’un conseil consultatif : Est-il temps?

 

Aucune entreprise n’est trop petite pour bénéficier d’un solide groupe de conseillers. Mais quand, comment et pourquoi une entreprise devrait-elle considérer la formation d’un tel conseil consultatif ?

On peut voir le conseil consultatif comme un laboratoire d’idées pour la direction, à la fois comme rôle conseil, comme source d’idées nouvelles et comme source d’une honnête rétroaction. Le conseil consultatif devrait être composé de gens qui ont un véritable intérêt pour l’entreprise et qui désirent contribuer à sa réussite. Ce sont des conseillers externes expérimentés agissant dans le prolongement de la direction en place, et souvent du conseil d’administration.

Il est temps de penser à former un conseil consultatif lorsque la croissance de l’entreprise justifie le soutien d’un groupe formel d’alliés au chef de la direction/entrepreneur de l’entreprise, ou au directeur général d’un organisme à but non lucratif (ci-après appelé le « leader »), dans le but d’échanger des idées, de discuter des priorités de développement, de revoir la gamme des produits, de faire des remue-méninges sur la stratégie ou de discuter de problèmes urgents.

Il ne faut pas prendre le recrutement des membres du conseil consultatif à la légère. Il est important pour le leader d’examiner les opportunités et les menaces auxquelles l’entreprise est confrontée, et d’évaluer les qualités qui pourraient le mieux compléter ses propres forces et faiblesses afin de mieux servir les besoins de l’organisation. Réfléchissez aux activités pour lesquelles vous avez besoin d’aide extérieure pour le fonctionnement, la croissance, l’innovation, le financement, les options d’investissement stratégique, la stratégie de marché, le leadership et les ressources humaines, pour n’en mentionner que quelques-unes. Une fois que la charte du conseil consultatif est clairement établie, il est temps d’arrêter le nombre de ses membres ainsi que leurs rôles et attributs clés respectifs. Il est important de fixer des standards élevés afin d’attirer les gens de qualité.

Lorsque vous savez ce que vous voulez et avez défini le profil de chaque membre, il est temps de voir qui remplira le mieux chacun des rôles. On n’a pas besoin de beaucoup de personnes sur un conseil consultatif — deux ou trois individus suffisent dans le cas d’une petite entreprise. J’ai fait partie de grands conseils consultatifs de plus de quinze personnes et il n’est alors pas facile pour le leader de réellement et pleinement tirer le meilleur parti de tous les membres d’un conseil aussi nombreux.

Très souvent, les conseils consultatifs se limitent à des listes de noms importants, et, à mon avis, la valeur réelle réside dans le dévouement entier de chacun des membres, non dans la liste. Priorisez la qualité des membres plutôt que la quantité. Voyez si quelqu’un de votre réseau immédiat peut jouer un des rôles que vous avez définis. Si oui, faites une entrevue avec chaque membre potentiel, et précisez sans hésitation les demandes particulières que vous avez à leur égard — le pire qui peut vous arriver est qu’ils refusent de se joindre au conseil consultatif !

Si vous ne connaissez personne ayant le profil que vous avez défini, informez-vous auprès de votre réseau d’affaires et de votre conseil d’administration (si vous en avez un), pour des suggestions de personnes qui pourraient convenir. Pensez aux gestionnaires à la retraite et aux leaders chevronnés, experts du domaine et spécialistes renommés de même qu’à une ou deux personnes qui pourraient éventuellement devenir des candidats pour votre conseil d’administration.

Il est aussi bon de considérer le recrutement d’un client prestigieux et d’un partenaire d’affaires à succès pour votre conseil consultatif lorsque vous devez évaluer quelques options stratégiques. Rappelez-vous que votre conseil consultatif doit vous appuyer et non vous nuire ! Entourez-vous de gens en qui vous avez confiance, qui ont vraiment votre entreprise à cœur et qui n’hésiteront pas à donner leurs points de vue, autant dans les situations de succès que dans les situations de grandes difficultés.

Afin de vous assurer que le leader optimise le succès actuel et futur de l’entreprise avec son conseil consultatif, il est impératif que chaque individu qui accepte de jouer un rôle dans le conseil n’ait pas une trop lourde charge de travail. Il n’est pas rare que les personnes retenues aient mal évalué l’ampleur des exigences liées à leurs engagements.

Les membres du conseil consultatif devraient s’attendre à vous rencontrer en groupe sur une base trimestrielle, et certains d’entre eux devraient être prêts à interagir avec vous sur une base plus régulière pour réagir à certaines idées, pour vous conseiller et pour faciliter les présentations. Préparez-vous à chaque rencontre du conseil consultatif en faisant une planification efficace, en préparant un ordre du jour réaliste et en distribuant tous les documents nécessaires à l’avance.

Rappelez-vous que, contrairement aux conseils d’administration, les conseils consultatifs n’ont aucune obligation ou responsabilité légale ou fiduciaire envers l’entreprise, ses propriétaires et ses investisseurs. Bien que plusieurs membres de conseil consultatif donnent gratuitement de leur temps, dans certaines circonstances, ils devraient recevoir une compensation financière pour leur présence à chaque rencontre. Même si la rémunération n’a pas besoin d’être très élevée, elle devrait être juste. Finalement, tout comme pour les membres du conseil d’administration, vous devriez évaluer leur performance sur une base annuelle.

Permettez-moi de conclure avec un exercice à faire lorsque vous pensez à constituer un conseil consultatif :

Notez vos forces comme leader ainsi que les domaines dans lesquels une amélioration serait souhaitable;

Décrivez les forces et les faiblesses de votre équipe de direction eu égard à son expérience;

Notez les domaines qui représentent les plus grands défis de votre entreprise et les problèmes pour lesquels vous aimeriez le plus avoir de l’aide;

Identifiez la personne de votre réseau qui a le plus d’expérience dans votre industrie (ou dans les secteurs que vous visez stratégiquement);

Identifiez qui peut le mieux vous aider à réfléchir aux perspectives d’avenir de votre entreprise, plutôt que de simplement régler des problèmes;

Identifiez qui a le meilleur réseau d’affaires lié à vos activités, et qui est prêt à le partager pour vous aider;

Déterminez comment le conseil consultatif pourrait compléter le travail de votre conseil d’administration (si vous en avez un). Qui serait susceptible d’en être membre ?

Soyez attentif afin d’éviter toute confusion possible : établissez clairement les limites entre les activités du conseil consultatif et celles du conseil d’administration. Pensez à « consultatif » comme « conseiller » dans des secteurs hautement stratégiques et comme « coach personnel ».

______________________________

*Johanne Bouchard est consultante auprès de conseils d’administration, de chefs de la direction et de comités de direction. Johanne a développé une expertise au niveau de la dynamique et la de composition d’un conseil d’administration. Après l’obtention de son diplôme d’ingénieure en informatique, sa carrière l’a menée à œuvrer dans tous les domaines du secteur de la technologie, du marketing et de la stratégie à l’échelle mondiale.

Pour en connaître plus sur le site de Johanne Bouchard

Gestion des risques informatiques en rappel | Les administrateurs doivent poser les bonnes questions !


Voici le résumé d’un article paru dans le Wall Street Journal le 21 juillet 2015, basé sur un billet de NACD In The News*.

Les administrateurs doivent être au fait de la situation de l’entreprise eu égard à la sécurité informatique. Cependant, la plupart des administrateurs ne savent pas trop comment s’y prendre pour s’assurer qu’ils s’acquittent de leurs responsabilités.

L’article propose six questions que les administrateurs devraient poser à l’équipe de la sécurité informatique de l’entreprise afin de mieux saisir la problématique de la sécurité cyber informatique.

Ces questions ne couvrent certainement pas tous les angles mais elles ont l’avantage de contribuer à une meilleure connaissance, partagée par tous les administrateurs.

Les questions suggérées sont vraiment percutantes :

What was our most significant cybersecurity incident in the past quarter? What was our response?

What was our most significant near miss? How was it discovered?

How is the performance of the security team evaluated?

Do you have relationships with law enforcement, such as the FBI and Interpol?

Do you work with business leaders on due diligence of acquisition targets? With supply chain leaders on security protocols of vendors and other partners?

What process is in place to ensure you can escalate serious issues and provide prompt, full disclosure of cybersecurity deficiencies?

               * Source: National Association of Corporate Directors (NACD)

Bonne lecture !

Cybersecurity: Boards Must Ask Sharper, Smarter Questions

Boards are trying to build more productive, transparent relationships with cybersecurity chiefs to decrease the risk of attack. But directors can by stymied by a lack of basic security knowledge.

New guidance from the National Association of Corporate Directors suggests asking more searching questions of chief information security officers, including how they measure their teams and technology and whether they have ongoing contacts with the Federal Bureau of Investigation and other law enforcement bodies that investigate attacks.

Former Thomson Reuters CEO Tom Glocer chairs Morgan Stanley’s technology committee. Philippe Lopez/AFP/Getty Images

The most common question directors ask of CISOs is whether their company is vulnerable to breaches similar to those at Target Corp.Anthem Inc. and the U.S. Office of Personnel Management, said Phil Ferraro, a former CISO at Las Vegas Sands Corp. who now consults with boards. But that approach is simplistic, he said. “Directors don’t understand that no security is ever perfect.”

More productive are conversations about how to decrease the risk of attack and the process for managing one when it occurs, Mr. Ferraro said. For example, the NACD suggests boards continuously ask about the most significant cybersecurity incident in the prior quarter and how the security team handled it, so that the discussion may lead to better practices.

Key Questions Directors Must Ask Cybersecurity Chiefs

  1. What was our most significant cybersecurity incident in the past quarter? What was our response?
  2. What was our most significant near miss? How was it discovered?
  3. How is the performance of the security team evaluated?
  4. Do you have relationships with law enforcement, such as the FBI and Interpol?
  5. Do you work with business leaders on due diligence of acquisition targets? With supply chain leaders on security protocols of vendors and other partners?
  6. What process is in place to ensure you can escalate serious issues and provide prompt, full disclosure of cybersecurity deficiencies?

Still, there is no single set of questions directors can ask to uncover all cybersecurity weak spots, said Tom Glocer, a director at Morgan Stanley and Merck & Co. Inc., and the former CEO of Thomson Reuters Corp.

“My experience is that the horribly dangerous cyber threats are the ones you don’t even know about,” said Mr. Glocer, who chairs Morgan Stanley’s board-level technology committee.

But directors should engage CISOs in continuous discussion to let management know that the board “cares and is watching,” he said. Security is a regular agenda item at Morgan Stanley board meetings, discussed boardwide and in the risk and technology committees. Morgan Stanley is one of just 15 of the Fortune 100 with a formal technology committee at the board level.

At boards less versed in technology and cybersecurity, CISOs must often first educate directors about the range of potential security problems because many members “simply don’t know,” Mr. Ferraro said.

Just 11% of board members across industries say they have a “high level” of knowledge about the topic, according to a recent NACD survey of 1,034 directors.

An important check is for CISOs to talk with board members about developing a process to ensure they can escalate serious issues and provide prompt, full disclosure of cybersecurity deficiencies, the NACD advised. “That’s something boards have got to pay attention to, because they’re on the line as much as management when something bad happens,”  Mr. Ferraro said.

Un guide utile pour bien évaluer les risques | En reprise


Voici un article très intéressant sur l’évaluation des risques publié par H. Glen Jenkinset paru dans Inside Counsel (IC) Magazine.

Il s’agit d’un bref exposé sur la notion de risques organisationnels et sur les principaux éléments qu’il faut considérer afin d’en faire une gestion efficace.

Je vous invite à prendre connaissance des autres publications sur le site de IC, notamment Evaluating and managing litigation risk.

Bonne lecture !

Risk assessment: A primer for corporate counsel

 

The scope of legal responsibilities for in-house counsel varies depending on the size and complexity of the company. For instance, an attorney located at corporate headquarters could be chiefly responsible for issues affecting the shared services that are available and used by corporate headquarters, as well as every business unit and division. And yet at other times, in-house counsel’s concerns may be restricted to matters affecting only the parent company or a specific liability issue faced by only one business unit.

risk management flow chart concept handwritten by businessmanIn each instance, however, in-house counsel are generally concerned with specific legal tasks and proactive risk management.

What exactly does risk management mean, and what does it encompass? Furthermore, once the definition of risk management has been established and accepted by the company’s management team, how can in-house counsel efficiently and comprehensively assess all possible risks?

Merriam Webster’s dictionary defines risk as “the possibility that something bad or unpleasant will happen.” Whenever many of us in the accounting and legal profession hear the word “risk,” we inherently may succumb to the aforementioned particular negative connotation of risk. How many times have we heard the phrase, “Risk is a part of life,’ and how often have we associated those five words with an undesirable implication?”

 

Alternatively, A Positive View of Risk

Taking risks does not always have to be painstakingly negative. It is unlikely that many will disagree with the Institute of Risk Management’s (IRM) assertion that “avoiding all risk would result in no achievement, no progress and no reward.” This statement undoubtedly portrays a different perspective of risk, indicating the potential of a positive outcome.

IRM goes on to define risk as “the combination of the probability of an event and its consequence. Consequences can range from positive and negative.”

Therein lies the basic premise of risk management. If the consequences of risk can be both positive and negative, it would seem only prudent to try and effectively manage risk to have the highest probability of a positive outcome.

Applying IRM’s definition of risk, together with the premise that avoiding all risk would result in no achievement, no progress and no reward, we intrinsically recognize that not all risks are bad and not all risks are to be avoided.

Over the course of three successive articles on risk, we will take a closer look at how in-house counsel works with internal and external resources to help identify, evaluate and categorize risk.

 Risk Assessment: The Starting Point for Successful Risk Management

Risk assessment is the identification, analysis and evaluation of risks involved in a given situation. Risk assessment also implies a comparison against benchmarks or standards, and the determination of an acceptable level of risk. The evaluation of risks should also provide management with a remediation or control for the identified hazard.

The word “risk” alone without any context is a vague and ill-defined term. There is safety risk, country risk, political risk, health risk and the ongoing list is virtually boundless and it is next to impossible to comprehensively assess all possible risks.

According to Tori Silas, privacy officer and senior counsel with Cox Enterprises, Inc., Cox uses the external resources of multinational accounting and advisory companies to assist with its risk assessments. Using best practices they have developed by analyzing business processes and assessing risk for companies on a global level, these organizations assist in the identification of risks in particular areas of the business, and provide a framework within which to rate risks and prioritize remediation efforts associated with those risks.

Assessment Begins with Knowing Who Decides Acceptable Levels of Risk

As an example of financial risk, according to a Tulane University study, the chances of getting hit by an asteroid or comet are 1,000 times greater than winning a jackpot mega millions lottery. Yet, some have accepted that level of risk and will habitually trade their money to play the lottery rather than investing their money or capital in an endeavor that has a much higher probability of building wealth. Whether right or wrong, a good or bad decision, those who make the choice of playing the lottery have intrinsically accepted the financial risk of losing their money in lieu of the near impossible odds to reap a grand reward.

No matter our opinion of playing the lottery, I think we would all agree that it would be highly unlikely to find a pragmatic business executive allotting some portion the company’s wealth and assets to invest in lottery tickets. But why not? Who decides the parameters of acceptable levels of risk for a business and against what benchmarks are those decisions made?

The business owners, board of directors and executive management define the business objectives, and establish the risk appetite and risk tolerances that are to be contemplated on an overall basis by management when making decisions and evaluating options and alternatives. Together they establish a system of rules, practices and processes by which their company is directed and controlled. This concept is often referred to as corporate governance. Businesses of all sizes embrace this concept, but small businesses may cloak this concept within the singular frame of mind of its ownership’s values, ideologies, philosophies, beliefs and individual business principles.

As the privacy officer for Cox Enterprises, Silas strives to make certain the employees of their consumer facing companies are aware of Cox’s obligations regarding data privacy and that they are appropriately trained to identify and mitigate risk related to and to protect any private consumer data they may have collected.

Corporate Governance

Since the purpose of a risk assessment is the identification, analysis, and evaluation of risks that could adversely impact the business meeting its objectives, the process of conducting a risk assessment should be integrated into existing management processes. According to Silas, Cox Enterprises also utilizes its own internal audit services department to examine functional processes and identify opportunities to strengthen controls and mitigate risks. It is recommended that risk assessments should be conducted using a top-down approach beginning with the top level of the company and filtering its way down through each division and business unit.

For example, a company may have three divisions: manufacturing, marketing and finance. Each of those divisions may operate in four global sectors. Using a top-down approach the three top divisions would conduct a risk assessment and each subdivision that is located in each global sector would conduct their own risk assessment. The top-down approach would then be complimented by bottom-up process where the risk assessments are sent up the business chain, gathered and compiled into an integrated risk assessment matrix.

Ten Tips for Conducting an Effective Risk Assessment

In quick summary, here are ten additional tips for conducting an effective risk assessment:

  1. Create, plan and conduct a formal risk assessment;
  2. Define the context and objectives of the risk assessment;
  3. Define and understand the organizations acceptable risk tolerance;
  4. Bring together the best team to conduct the risk assessment;
  5. Employ the best risk assessment techniques for the situation;
  6. Understand control measures to mitigate risk;
  7. Be objective and impartial conducting the risk assessment;
  8. Identify the environment that is conducive to risks;
  9. Identify who could be harmed; and
  10. Review, revisit and re-perform the risk assessment.

Guide destiné à mieux évaluer les risques


Voici un article très intéressant sur l’évaluation des risques publié par H. Glen Jenkinset paru dans Inside Counsel (IC) Magazine.

Il s’agit d’un bref exposé sur la notion de risques organisationnels et sur les principaux éléments qu’il faut considérer afin d’en faire une gestion efficace.

Je vous invite à prendre connaissance des autres publications sur le site de IC, notamment Evaluating and managing litigation risk.

Bonne lecture !

Risk assessment: A primer for corporate counsel

The scope of legal responsibilities for in-house counsel varies depending on the size and complexity of the company. For instance, an attorney located at corporate headquarters could be chiefly responsible for issues affecting the shared services that are available and used by corporate headquarters, as well as every business unit and division. And yet at other times, in-house counsel’s concerns may be restricted to matters affecting only the parent company or a specific liability issue faced by only one business unit.

risk management flow chart concept handwritten by businessmanIn each instance, however, in-house counsel are generally concerned with specific legal tasks and proactive risk management.

What exactly does risk management mean, and what does it encompass? Furthermore, once the definition of risk management has been established and accepted by the company’s management team, how can in-house counsel efficiently and comprehensively assess all possible risks?

Merriam Webster’s dictionary defines risk as “the possibility that something bad or unpleasant will happen.” Whenever many of us in the accounting and legal profession hear the word “risk,” we inherently may succumb to the aforementioned particular negative connotation of risk. How many times have we heard the phrase, “Risk is a part of life,’ and how often have we associated those five words with an undesirable implication?”

 

Alternatively, A Positive View of Risk

Taking risks does not always have to be painstakingly negative. It is unlikely that many will disagree with the Institute of Risk Management’s (IRM) assertion that “avoiding all risk would result in no achievement, no progress and no reward.” This statement undoubtedly portrays a different perspective of risk, indicating the potential of a positive outcome.

IRM goes on to define risk as “the combination of the probability of an event and its consequence. Consequences can range from positive and negative.”

Therein lies the basic premise of risk management. If the consequences of risk can be both positive and negative, it would seem only prudent to try and effectively manage risk to have the highest probability of a positive outcome.

Applying IRM’s definition of risk, together with the premise that avoiding all risk would result in no achievement, no progress and no reward, we intrinsically recognize that not all risks are bad and not all risks are to be avoided.

Over the course of three successive articles on risk, we will take a closer look at how in-house counsel works with internal and external resources to help identify, evaluate and categorize risk.

 Risk Assessment: The Starting Point for Successful Risk Management

Risk assessment is the identification, analysis and evaluation of risks involved in a given situation. Risk assessment also implies a comparison against benchmarks or standards, and the determination of an acceptable level of risk. The evaluation of risks should also provide management with a remediation or control for the identified hazard.

The word “risk” alone without any context is a vague and ill-defined term. There is safety risk, country risk, political risk, health risk and the ongoing list is virtually boundless and it is next to impossible to comprehensively assess all possible risks.

According to Tori Silas, privacy officer and senior counsel with Cox Enterprises, Inc., Cox uses the external resources of multinational accounting and advisory companies to assist with its risk assessments. Using best practices they have developed by analyzing business processes and assessing risk for companies on a global level, these organizations assist in the identification of risks in particular areas of the business, and provide a framework within which to rate risks and prioritize remediation efforts associated with those risks.

Assessment Begins with Knowing Who Decides Acceptable Levels of Risk

As an example of financial risk, according to a Tulane University study, the chances of getting hit by an asteroid or comet are 1,000 times greater than winning a jackpot mega millions lottery. Yet, some have accepted that level of risk and will habitually trade their money to play the lottery rather than investing their money or capital in an endeavor that has a much higher probability of building wealth. Whether right or wrong, a good or bad decision, those who make the choice of playing the lottery have intrinsically accepted the financial risk of losing their money in lieu of the near impossible odds to reap a grand reward.

No matter our opinion of playing the lottery, I think we would all agree that it would be highly unlikely to find a pragmatic business executive allotting some portion the company’s wealth and assets to invest in lottery tickets. But why not? Who decides the parameters of acceptable levels of risk for a business and against what benchmarks are those decisions made?

The business owners, board of directors and executive management define the business objectives, and establish the risk appetite and risk tolerances that are to be contemplated on an overall basis by management when making decisions and evaluating options and alternatives. Together they establish a system of rules, practices and processes by which their company is directed and controlled. This concept is often referred to as corporate governance. Businesses of all sizes embrace this concept, but small businesses may cloak this concept within the singular frame of mind of its ownership’s values, ideologies, philosophies, beliefs and individual business principles.

As the privacy officer for Cox Enterprises, Silas strives to make certain the employees of their consumer facing companies are aware of Cox’s obligations regarding data privacy and that they are appropriately trained to identify and mitigate risk related to and to protect any private consumer data they may have collected.

Corporate Governance

Since the purpose of a risk assessment is the identification, analysis, and evaluation of risks that could adversely impact the business meeting its objectives, the process of conducting a risk assessment should be integrated into existing management processes. According to Silas, Cox Enterprises also utilizes its own internal audit services department to examine functional processes and identify opportunities to strengthen controls and mitigate risks. It is recommended that risk assessments should be conducted using a top-down approach beginning with the top level of the company and filtering its way down through each division and business unit.

For example, a company may have three divisions: manufacturing, marketing and finance. Each of those divisions may operate in four global sectors. Using a top-down approach the three top divisions would conduct a risk assessment and each subdivision that is located in each global sector would conduct their own risk assessment. The top-down approach would then be complimented by bottom-up process where the risk assessments are sent up the business chain, gathered and compiled into an integrated risk assessment matrix.

Ten Tips for Conducting an Effective Risk Assessment

In quick summary, here are ten additional tips for conducting an effective risk assessment:

  1. Create, plan and conduct a formal risk assessment;
  2. Define the context and objectives of the risk assessment;
  3. Define and understand the organizations acceptable risk tolerance;
  4. Bring together the best team to conduct the risk assessment;
  5. Employ the best risk assessment techniques for the situation;
  6. Understand control measures to mitigate risk;
  7. Be objective and impartial conducting the risk assessment;
  8. Identify the environment that is conducive to risks;
  9. Identify who could be harmed; and
  10. Review, revisit and re-perform the risk assessment.

Gestion des risques informatiques | Les administrateurs doivent poser les bonnes questions !


Voici le résumé d’un article paru dans le Wall Street Journal le 21 juillet 2015, basé sur un billet de NACD In The News*.

Les administrateurs doivent être au fait de la situation de l’entreprise eu égard à la sécurité informatique. Cependant, la plupart des administrateurs ne savent pas trop comment s’y prendre pour s’assurer qu’ils s’acquittent de leurs responsabilités.

L’article propose six questions que les administrateurs devraient poser à l’équipe de la sécurité informatique de l’entreprise afin de mieux saisir la problématique de la sécurité cyber informatique.

Ces questions ne couvrent certainement pas tous les angles mais elles ont l’avantage de contribuer à une meilleure connaissance, partagée par tous les administrateurs.

Les questions suggérées sont vraiment percutantes :

What was our most significant cybersecurity incident in the past quarter? What was our response?

What was our most significant near miss? How was it discovered?

How is the performance of the security team evaluated?

Do you have relationships with law enforcement, such as the FBI and Interpol?

Do you work with business leaders on due diligence of acquisition targets? With supply chain leaders on security protocols of vendors and other partners?

What process is in place to ensure you can escalate serious issues and provide prompt, full disclosure of cybersecurity deficiencies?

               * Source: National Association of Corporate Directors (NACD)

Bonne lecture !

Cybersecurity: Boards Must Ask Sharper, Smarter Questions

Boards are trying to build more productive, transparent relationships with cybersecurity chiefs to decrease the risk of attack. But directors can by stymied by a lack of basic security knowledge.

New guidance from the National Association of Corporate Directors suggests asking more searching questions of chief information security officers, including how they measure their teams and technology and whether they have ongoing contacts with the Federal Bureau of Investigation and other law enforcement bodies that investigate attacks.

Former Thomson Reuters CEO Tom Glocer chairs Morgan Stanley’s technology committee. Philippe Lopez/AFP/Getty Images

The most common question directors ask of CISOs is whether their company is vulnerable to breaches similar to those at Target Corp.Anthem Inc. and the U.S. Office of Personnel Management, said Phil Ferraro, a former CISO at Las Vegas Sands Corp. who now consults with boards. But that approach is simplistic, he said. “Directors don’t understand that no security is ever perfect.”

More productive are conversations about how to decrease the risk of attack and the process for managing one when it occurs, Mr. Ferraro said. For example, the NACD suggests boards continuously ask about the most significant cybersecurity incident in the prior quarter and how the security team handled it, so that the discussion may lead to better practices.

Key Questions Directors Must Ask Cybersecurity Chiefs

  1. What was our most significant cybersecurity incident in the past quarter? What was our response?
  2. What was our most significant near miss? How was it discovered?
  3. How is the performance of the security team evaluated?
  4. Do you have relationships with law enforcement, such as the FBI and Interpol?
  5. Do you work with business leaders on due diligence of acquisition targets? With supply chain leaders on security protocols of vendors and other partners?
  6. What process is in place to ensure you can escalate serious issues and provide prompt, full disclosure of cybersecurity deficiencies?

Still, there is no single set of questions directors can ask to uncover all cybersecurity weak spots, said Tom Glocer, a director at Morgan Stanley and Merck & Co. Inc., and the former CEO of Thomson Reuters Corp.

“My experience is that the horribly dangerous cyber threats are the ones you don’t even know about,” said Mr. Glocer, who chairs Morgan Stanley’s board-level technology committee.

But directors should engage CISOs in continuous discussion to let management know that the board “cares and is watching,” he said. Security is a regular agenda item at Morgan Stanley board meetings, discussed boardwide and in the risk and technology committees. Morgan Stanley is one of just 15 of the Fortune 100 with a formal technology committee at the board level.

At boards less versed in technology and cybersecurity, CISOs must often first educate directors about the range of potential security problems because many members “simply don’t know,” Mr. Ferraro said.

Just 11% of board members across industries say they have a “high level” of knowledge about the topic, according to a recent NACD survey of 1,034 directors.

An important check is for CISOs to talk with board members about developing a process to ensure they can escalate serious issues and provide prompt, full disclosure of cybersecurity deficiencies, the NACD advised. “That’s something boards have got to pay attention to, because they’re on the line as much as management when something bad happens,”  Mr. Ferraro said.

Mieux contrôler les risques de litiges | Un guide en 4 étapes à l’intention des administrateurs


Les administrateurs de sociétés doivent accomplir leurs devoirs de diligence et de vigilance dans la surveillance des organisations. Les situations litigieuses sont de plus en plus fréquentes et les conséquences peuvent, non seulement affecter le succès des entreprises, mais aussi les intérêts des administrateurs.

L’article qui suit propose un cadre de référence très utile pour aider les administrateurs à s’acquitter de leurs responsabilités eu égard à la supervision des situations litigieuses.

Il a récemment été publié dans le Harvard Law School Forum on Corporate Governance par Jeff G. Hammel, associé de la firme Latham & Watkins, LLP.

bail-commercial
Les litiges organisationnels et les responsabilités des administrateurs

L’auteur explique les devoirs et les responsabilités des administrateurs en matière de litige, notamment en faisant ressortir les quatre étapes suivantes :

1. Suivre les cas litigieux susceptibles d’avoir de lourdes conséquences pour l’entreprise;

2. S’assurer de recevoir des rapports réguliers de la direction;

3. Poser les bonnes questions afin de s’assurer que la direction a pris les bonnes actions;

4. Être bien informé des polices d’assurance-responsabilité de la compagnie.

Voici un extrait de cet article. Bonne lecture !

Boardroom Perspectives: Oversight of Material Litigation in Four Practical Steps

1. Get Involved in the Right Cases

While public company directors need not be briefed on every claim or potential claim facing the company, management should consider involving the board in the important cases—and early on. Board involvement will depend upon various factors, including whether the adverse party is a competitor or customer, or former senior employee or executive; the amount of damages sought; the subject matter of the litigation; and the level of publicity a case has generated or is expected to generate.

2. Receive Regular Reports from Management

In order to be adequately prepared to give strategic advice, approve a settlement or take other necessary action, it is important for boards to stay adequately informed about the material litigation facing the company. Litigation reports to the board are typically prepared by the company’s general counsel or outside counsel, and include, as appropriate:

A general status update

A discussion of strategy

An assessment of risk

Budget information

Insurance coverage

Next steps

Reports preferably have the appropriate level of detail to inform the board without being unduly burdensome. In addition, reports are ideally provided in the context of the attorney-client privilege to protect the company. Minutes serve to reflect the discussion and create the record of director oversight.

3. Ask the Right Questions

Staying on top of material litigation involves frequent and open communication among management and directors. The board’s job is to ask the right questions to hold management accountable. For example, directors might ask:

What are the goals/objectives of the litigation?

What is the impact of the litigation on company resources?

Will the litigation require reliance on expert testimony?

Does the litigation subject the company to adverse publicity, and if so, what steps does the company plan to take to address this issue?

Does the litigation require a critical evaluation of one of the company’s business processes?

What is the company’s tolerance for risk, and to what extent should the company consider more adversarial or cooperative strategies?

Is settlement advisable, and what is the timing to broach settlement?

4. Keep Abreast of the Company’s Liability Insurance Policies

Comprehensive liability insurance policies help reduce the exposure to litigation risks, damages and expenses, but can vary widely in coverage, exclusions and limitations. To use liability insurance policies effectively in litigation risk management, directors may wish to review the policies the company maintains for itself and its directors and officers. For example, directors could:

Confirm that systems are in place to provide for timely notification to insurers of all claims, including potential claims

Verify that applications for new and renewal insurance policies are properly vetted (to ensure that misstatements or omissions in an application do not serve as a basis for rescission or denial of coverage); and

Understand coverage exclusions in director and officer insurance policies which, if invoked, could result in the denial of coverage for individual directors and officers

By following these steps in appropriate cases, board members can provide oversight to help management teams protect their companies from potentially damaging material litigation.

Moment propice à la réflexion sur les CA | Deloitte


Dans ce billet, je vous propose une courte lecture suggérée par  Chantal Rassart, associée | Chef de la gestion des connaissances en audit, de la firme Deloitte.

Dans le numéro de mai, un aperçu des nouveautés dans le domaine de la gouvernance d’entreprise, Chantal présente le point de vue de Terry Hatherell, associé | Service des risques d’entreprise chez Deloitte, sur certains moyens que les conseils d’administration devraient mettre en œuvre pour améliorer leur efficacité

L’auteur insiste surtout sur l’importance que le CA doit accorder à la stratégie, à la gestion des risques, à la surveillance des ressources humaines et aux compétences des membres du conseil. En bref, le succès est dans la sauce !

C’est un article rafraîchissant à lire mais ce n’est qu’un survol des tendances à suivre. Quel est votre point de vue à ce propos ?

Voici un extrait du bulletin du mois de mai dans lequel on retrouve le point de vue de M. Hatherell.

Bonne lecture !

Un moment propice à la réflexion

 

Lorsque nous demandons aux conseils quelle est leur principale difficulté, une réponse revient constamment : le manque de temps. Les membres du conseil prennent plus de temps que jamais pour s’acquitter efficacement de leurs responsabilités de gouvernance et de surveillance. De nombreux facteurs sont en cause, notamment l’intensification de la réglementation ainsi que la complexité et la volatilité du milieu des affaires.

Les conseils d’administration performants savent que l’efficacité ne dépend pas seulement du nombre d’heures qu’ils consacrent à leurs activités; d’autres éléments fondamentaux entrent en ligne de compte : la composition, la structure, les responsabilités, les processus et la culture du conseil. Pour demeurer efficace, un conseil doit évaluer régulièrement son rendement, chercher constamment à s’améliorer et apporter les ajustements requis en temps opportun. Les autorités de réglementation reconnaissent également l’importance de l’autoréflexion. Le Bureau du surintendant des institutions financières (BSIF) indique, dans sa Ligne directrice sur la gouvernance d’entreprise, qu’il s’attend à ce que les conseils des institutions financières fédérales procèdent périodiquement à une autoévaluation de leurs pratiques et de leur efficacité.

Stratégie

Dans un monde volatil, incertain et complexe, la stratégie compte plus que jamais. Il est clair, autant au sein des conseils les plus performants qu’avec la direction, qu’il faut une stratégie pour décider quand et comment le conseil doit s’engager. Un conseil performant offre des conseils à la direction sur l’élaboration des priorités et des plans stratégiques qui concordent avec la mission de l’entreprise et les intérêts des parties prenantes, et qui ont une portée à court, à moyen et à long terme. Le conseil surveille également de près la mise en œuvre par la direction des plans stratégiques acceptés ainsi que la transparence et le caractère adéquat de la communication interne et externe de ces plans.

Gouvernance des risques

Des événements récents – cyberattaques, cas de corruption et multiplication de la réglementation – ont incité les diverses parties prenantes à accroître leur vigilance envers les conseils, ce qui a haussé les attentes en matière de gouvernance des risques. Les conseils performants évaluent régulièrement l’efficacité de leur processus de gouvernance. Le rôle de surveillance des risques par le conseil est crucial; il comprend entre autres, la compréhension et l’approbation d’un niveau de tolérance au risque adéquat pour l’organisation; il doit aussi s’assurer de repérer, de surveiller et de hiérarchiser les risques en y accordant le degré d’attention voulu. Bon nombre de conseils, en particulier dans le secteur des services financiers, ont mis sur pied un comité de gestion des risques distinct qui permet de mieux mettre en évidence les risques, de les gérer et de les surveiller.

Talent

Sans surprise, les conseils efficaces ont compris que le talent est la pierre angulaire de leur efficacité. La question est habituellement abordée sous deux angles : d’un côté, le rôle essentiel du conseil en matière de surveillance des ressources humaines, de l’autre le fait qu’il doit s’assurer d’avoir les ressources suffisantes qui ont les connaissances et l’expérience adéquates pour s’acquitter de leurs responsabilités. En ce qui concerne la surveillance des ressources humaines, le rôle traditionnel du conseil, soit la sélection, l’évaluation et la rémunération du chef de la direction, demeure crucial. Toutefois, d’autres aspects requièrent beaucoup d’efforts et de temps pour le conseil : la supervision des programmes de RH, en particulier la nomination et le perfectionnement professionnel et la rémunération des dirigeants ainsi que la planification de la relève. L’efficacité d’un conseil repose sur ses compétences. Les conseils performants s’assurent de mettre en place un processus de sélection solide et transparent afin de trouver et de recruter des membres de qualité. Les compétences et l’expérience demeurent essentielles; cependant, la diversité est maintenant au nombre des ingrédients indispensables qui accroissent la performance d’un conseil. Une planification de la relève efficace au sein du conseil est également cruciale; à cet égard, l’instauration d’une durée maximale des mandats est une pratique exemplaire qui permet un certain renouveau au sein du conseil. La plupart des conseils offrent à leurs membres un programme de formation et de perfectionnement formel. Les matrices de compétences, très courantes, sont des outils efficaces pour favoriser le renouveau du conseil et le perfectionnement continu des membres.

Le secret est dans la sauce

Bien entendu, la recette de l’efficacité d’un conseil comporte de nombreux ingrédients qu’il n’est pas possible de décrire en détail dans mon court message. Toutefois, il s’est avéré que lorsqu’il manque des ingrédients, une telle lacune devient vite la cible des parties prenantes qui exercent une surveillance plus étroite du conseil, à la suite d’une perte ou d’un échec important. Selon notre expérience, les conseils les plus performants n’attendent pas qu’un événement de la sorte se produise avant de s’assurer qu’ils possèdent tous les ingrédients requis – ils s’appuient sur des processus d’autoévaluation solides et formels, bien intégrés au sein de leurs pratiques de gouvernance.

Trois étapes pour aider le CA à s’acquitter de ses obligations à l’égard de la surveillance de la gestion des risques


Quel doit être le rôle du conseil d’administration eu égard à la surveillance de la gestion des risques ? L’article publié par Scott Hodgkins, Steven B. Stokdyk, et Joel H. Trotter dans le forum du site du Harvard Law School présente, d’une manière très concise, les trois étapes qu’un conseil doit entreprendre en matière de gestion des risques d’une société.

Les auteurs rappellent l’utilisation d’un modèle développé par le COSO (Committee of Sponsoring Organizations de la Commission Treadway), bien connu en gouvernance, qui invite les CA à :

  1. S’entendre avec la direction sur un niveau de risque acceptable (l’appétit pour le risque);
  2. Comprendre les efforts de la direction dans l’exécution des pratiques de gestion des risques;
  3. Revoir le portefeuille des risques en considérant l’appétit pour le risque;
  4. Connaître les risques les plus importants de l’entreprise, ainsi que les stratégies de la direction pour les contrôler.

L’article discute des trois étapes que le CA doit accomplir afin de s’acquitter de son rôle en matière de gestion des risques :

  1. Déterminer le modèle de supervision privilégié par le CA;
  2. Convenir avec le management d’une approche appropriée à la gestion des risques et revoir l’approche retenue;
  3. Évaluer les ressources du CA en matière de gestion de risques et éviter les biais et la pensée de groupe.

Voici donc un extrait de l’article qui précise chacune des trois étapes.

Bonne lecture !

Three Practical Steps to Oversee Enterprise Risk Management

1. Determine the board’s preferred oversight model

Typically, boards either retain primary responsibility for risk oversight or delegate initial oversight duties to a committee, such as the audit committee or a risk committee. Where the board retains primary responsibility, individual committees may provide input on specific types of risk, such as compensation risk, audit and financial risk, and regulatory and compliance risk.

P1050650

In selecting between the active board model and the committee model, the board should consider those directors with the necessary expertise to oversee unique market, liquidity, regulatory, innovation, cybersecurity and other risks that may require special attention. The board should also consider whether adding duties to an existing committee, such as the audit committee, may be too burdensome in light of existing workload.

These issues are unique to each company, and the key is to ensure that the model you choose is effective for your situation.

2. Develop a stated approach to risk management

Some companies may adopt a risk management statement or policy. As with other policy statements, a risk management statement can create a tone-at-the-top benchmark for assessing value-creation opportunities as they arise and provide guideposts for management’s operational decisions.
A risk management statement should separately identify:

  1. Acceptable strategic risks
  2. Undesirable risks
  3. Risk tolerances or thresholds in stated categories, such as strategic, financial, operational and compliance

In developing the company’s approach, the board should consider:

  1. Investor expectations of the company’s risk appetite
  2. Competitors’ apparent risk appetite
  3. Stress-tests for risk scenarios, using historical experience and sensitivity analysis
  4. Long-term strategy versus existing core competencies
  5. Possible long-term market developments
  6. Risk concentrations (e.g., customer, supplier, investment, geographic)
  7. Effects of new business generation on desired risk profile
  8. Strategic planning and operations compared to articulated risk appetite

Developing a stated approach to risk management requires good working relationships among the board members, the CEO and management, as well as active participation by all involved.

3. Assess board capabilities and effectiveness, reviewing for bias and groupthink

The board must evaluate its own capabilities and effectiveness, paying particular attention to the possible emergence of cognitive bias or groupthink.

In assessing board capabilities and effectiveness, the board should consider:

  1. Directors’ skills and expertise compared to the company’s current and future operations
  2. Possible director education initiatives or new directors with additional skills
  3. Delegation of risk oversight in highly technical areas, such as cybersecurity
  4. Retention of independent experts to evaluate specific risk management practices
  5. Clear allocation of responsibility among the board committees and members
  6. The balance between board-level risk oversight and management-level day-to-day ERM Boards must also guard against two types of bias:
  7. Resistance to new ideas from outsiders, thus overlooking new opportunities or risks
  8. Confirmation bias, incorrectly filtering information and confirming preconceptions

Maintaining contact with business realities also requires collegiality and open communication among management and directors.

Boards should consider their risk oversight in light of these three steps to assist in framing an effective approach to enterprise-level risk exposures.

Dix (10) des plus importantes activités pour une gouvernance efficace*


Vous trouverez ci-dessous un checklist qui vous sera utile pour effectuer une révision de vos processus de gouvernance.

Bonne lecture. Vos commentaires sont les bienvenus.

Top Ten Steps to Improving Corporate Governance

1.      Recognise that good governance is not just about compliance

Boards need to balance conformance (i.e. compliance with legislation, regulation and codes of practice) with performance aspects of the board’s work (i.e. improving the performance of the organisation through strategy formulation and policy making). As a part of this process, a board needs to elaborate its position and understanding of the major functions it performs as opposed to those performed by management. These specifics will vary from board to board. Knowing the role of the board and who does what in relation to governance goes a long way towards maintaining a good relationship between the board and management.

2.      Clarify the board’s role in strategy

It is generally accepted today that the board has a significant role to play in the formulation and adoption of the organisation’s strategic direction. The extent of the board’s contribution to strategy will range from approval at one end to development at the other. Each board must determine what role is appropriate for it to undertake and clarify this understanding with management.

3.      Monitor organisational performance

Monitoring organisational performance is an essential board function and ensuring legal compliance is a major aspect of the board’s monitoring role. It ensures that corporate decision making is consistent with the strategy of the organisation and with owners’ expectations. This is best done by identifying the organisation’s key performance drivers and establishing appropriate measures for determining success. As a board, the directors should establish an agreed format for the reports they monitor to ensure that all matters that should be reported are in fact reported.

4.      Understand that the board employs the CEO

In most cases, one of the major functions of the board is to appoint, review, work through, and replace (when necessary), the CEO. The board/CEO relationship is crucial to effective corporate governance because it is the link between the board’s role in determining the organisation’s strategic direction and management’s role in achieving corporate objectives.

5.      Recognise that the governance of risk is a board responsibility

Establishing a sound system of risk oversight and management and internal control is another fundamental role of the board. Effective risk management supports better decision making because it develops a deeper insight into the risk-reward trade-offs that all organisations face.

6.      Ensure the directors have the information they need

Better information means better decisions. Regular board papers will provide directors with information that the CEO or management team has decided they need. But directors do not all have the same informational requirements, since they differ in their knowledge, skills, and experience. Briefings, presentations, site visits, individual director development programs, and so on can all provide directors with additional information. Above all, directors need to be able to find answers to the questions they have, so an access to independent professional advice policy is recommended.

7.      Build and maintain an effective governance infrastructure

Since the board is ultimately responsible for all the actions and decisions of an organisation, it will need to have in place specific policies to guide organisational behaviour. To ensure that the line of responsibility between board and management is clearly delineated, it is particularly important for the board to develop policies in relation to delegations. Also, under this topic are processes and procedures. Poor internal processes and procedures can lead to inadequate access to information, poor communication and uninformed decision making, resulting in a high level of dissatisfaction among directors. Enhancements to board meeting processes, meeting agendas, board papers and the board’s committee structure can often make the difference between a mediocre board and a high performing board.

8.      Appoint a competent chairperson

Research has shown that board structure and formal governance regulations are less important in preventing governance breaches and corporate wrongdoing than the culture and trust created by the chairperson. As the “leader” of the board, the chairperson should demonstrate strong and acknowledged leadership ability, the ability to establish a sound relationship with the CEO, and have the capacity to conduct meetings and lead group decision-making processes.

9.      Build a skills-based board

What is important for a board is that it has a good understanding of what skills it has and those skills it requires. Where possible, a board should seek to ensure that its members represent an appropriate balance between directors with experience and knowledge of the organisation and directors with specialist expertise or fresh perspective. Directors should also be considered on the additional qualities they possess, their “behavioural competencies”, as these qualities will influence the relationships around the boardroom table, between the board and management, and between directors and key stakeholders.

10.     Evaluate board and director performance and pursue opportunities for improvement

Boards must be aware of their own strengths and weaknesses, if they are to govern effectively. Board effectiveness can only be gauged if the board regularly assesses its own performance and that of individual directors. Improvements to come from a board and director evaluation can include areas as diverse as board processes, director skills, competencies and motivation, or even boardroom relationships. It is critical that any agreed actions that come out of an evaluation are implemented and monitored. Boards should consider addressing weaknesses uncovered in board evaluations through director development programs and enhancing their governance processes.

_________________________________________

* En reprise

Voir le site www.effectivegovernance.com.au

Enhanced by Zemanta

La gouvernance, les cyber risques et la reponsabilité du C.A.


Voici la présentation de M. Luis A. Aguilar, commissaire à la Securities and Exchange Commission (SEC). Le billet paru dans Harvard Law School Forum on Corporate Governance sonne l’alarme en ce qui regarde les menaces posées par les cyber attaques et les rôles et responsabilités des conseils d’administration à cet égard.
C’est un article qui met en perspective les besoins d’un changement significatif dans le focus de la gouvernance des entreprises.
Ci-dessous, un extrait de l’introduction à cet article, Bonne lecture !

I am pleased to be here and to have the opportunity to speak about cyber-risks and the boardroom, a topic that is both timely and extremely important. Over just a relatively short period of time, cybersecurity has become a top concern of American companies, financial institutions, law enforcement, and many regulators. I suspect that not too long ago, we would have been hard-pressed to find many individuals who had even heard of cybersecurity, let alone known what it meant. Yet, in the past few years, there can be no doubt that the focus on this issue has dramatically increased.

 

Boards of Directors, Corporate Governance and Cyber-Risks | Sharpening the Focus

 

Cybersecurity has become an important topic in both the private and public sectors, and for good reason. Law enforcement and financial regulators have stated publicly that cyber-attacks are becoming both more frequent and more sophisticated. Indeed, according to one survey, U.S. companies experienced a 42% increase between 2011 and 2012 in the number of successful cyber-attacks they experienced per week. As I am sure you have heard, recently there have also been a series of well-publicized cyber-attacks that have generated considerable media attention and raised public awareness of this issue. A few of the more well-known examples include:

The October 2013 cyber-attack on the software company Adobe Systems, Inc., in which data from more than 38 million customer accounts was obtained improperly;

The December 2013 cyber-attack on Target Corporation, in which the payment card data of approximately 40 million Target customers and the personal data of up to 70 million Target customers was accessed without authorization;

The January 2014 cyber-attack on Snapchat, a mobile messaging service, in which a reported 4.6 million user names and phone numbers were exposed;

The sustained and repeated cyber-attacks against several large U.S. banks, in which their public websites have been knocked offline for hours at a time; and

The numerous cyber-attacks on the infrastructure underlying the capital markets, including quite a few on securities exchanges.

Official portrait of Securities and Exchange C...
Official portrait of Securities and Exchange Commission (SEC) Commissioner Luis A. Aguilar. (Photo credit: Wikipedia)

In addition to becoming more frequent, there are reports indicating that cyber-attacks have become increasingly costly to companies that are attacked. According to one 2013 survey, the average annualized cost of cyber-crime to a sample of U.S. companies was $11.6 million per year, representing a 78% increase since 2009. In addition, the aftermath of the 2013 Target data breach demonstrates that the impact of cyber-attacks may extend far beyond the direct costs associated with the immediate response to an attack. Beyond the unacceptable damage to consumers, these secondary effects include reputational harm that significantly affects a company’s bottom line. In sum, the capital markets and their critical participants, including public companies, are under a continuous and serious threat of cyber-attack, and this threat cannot be ignored.

As an SEC Commissioner, the threats are a particular concern because of the widespread and severe impact that cyber-attacks could have on the integrity of the capital markets infrastructure and on public companies and investors. The concern is not new. For example, in 2011, staff in the SEC’s Division of Corporation Finance issued guidance to public companies regarding their disclosure obligations with respect to cybersecurity risks and cyber-incidents. More recently, because of the escalation of cyber-attacks, I helped organize the Commission’s March 26, 2014 roundtable to discuss the cyber-risks facing public companies and critical market participants like exchanges, broker-dealers, and transfer agents.

Today, I would like to focus my remarks on what boards of directors can, and should, do to ensure that their organizations are appropriately considering and addressing cyber-risks. Effective board oversight of management’s efforts to address these issues is critical to preventing and effectively responding to successful cyber-attacks and, ultimately, to protecting companies and their consumers, as well as protecting investors and the integrity of the capital markets.