Equifax présente une histoire de gouvernance prudente à l'intention des chefs de la direction et des membres des conseils d'administration.
Fondée en 1899, Equifax est une société publique basée à Atlanta qui a une capitalisation boursière de 14 milliards de dollars américains. Il emploie 9 500 personnes.
Dans quinze ans, le cas d'Equifax sera enseigné aux futurs chefs d'entreprise comme un bon exemple de ce qu'il ne faut PAS faire en cas de crise. Le but de cet article est de se concentrer sur les leçons de gouvernance à apprendre.
Bien qu'Equifax soit une entreprise publique, les leçons s'appliquent aux membres du conseil d'administration d'entreprises privées et d'organismes sans but lucratif.
Il "Hits the Fan" à Equifax.
En septembre 2017, Equifax a révélé un vol de cybersécurité des dossiers de 143 millions de personnes vivant aux États-Unis et au Canada. Les voleurs ont volé des noms, des numéros de sécurité sociale, des dates de naissance, des adresses et des numéros de permis de conduire. Les hackers ont également obtenu 209 000 numéros de cartes de crédit et 182 000 documents contenant des informations d'identification personnelle.
On estime que les pirates peuvent vendre cette information jusqu'à 30 $ par identité sur le marché noir. Au cours des prochaines années, ceux qui sont armés de cette information peuvent ouvrir des comptes bancaires à votre nom, établir des lignes de crédit, obtenir de nouvelles cartes de crédit et voler votre remboursement d'impôt. (Goldman, 2017).
La qualité des données volées et l'ampleur du vol en font une menace pour les consommateurs américains et canadiens.
Les conseillers en placement disent à leurs clients de supposer que leurs données ont été volées, même si Equifax rapporte que ce n'était pas le cas. Vous pouvez rechercher sur le Web des articles sur les actions que vous pouvez prendre pour vous protéger.
Réponse d'Equifax à la violation de données.
En regardant les biographies individuelles de la haute direction, on ne peut qu'être impressionné. Ces personnes doivent être très intelligentes et connaître leurs affaires.
En tant que collectif, cependant, ils ont pris des décisions que je doute que quelqu'un aurait fait individuellement:
Gardé le vol de données du public pendant six semaines après la découverte, donnant ainsi aux pirates un saut de six semaines sur les consommateurs.
Certaines personnes de niveau VP chez Equifax ont vendu des actions de leurs actions Equifax pendant la période où Equifax gardait secrète la violation de données. Ces ventes seront probablement jugées par les tribunaux comme une violation des lois sur les délits d'initiés.
Initialement proposé que les personnes dont les données ont été compromises par Equifax être donné seulement une année de service de surveillance de crédit gratuit en échange d'une promesse de ne pas poursuivre Equifax.
Où était le conseil?
C'est la nature du travail du Conseil d'être mains-libres avec les opérations. Le cliché dans les cercles du conseil d'administration est «nez dans les doigts». Dans la situation d'Equifax, les membres du conseil d'administration n'avaient aucune expérience pratique directe de la violation de données à Equifax. Ils n'étaient probablement pas tout à fait au courant des décisions inappropriées et illégales prises par la direction après la découverte de la violation de données.
Et pourtant ils seront entraînés dans la tourmente juridique:
C'est le rôle du conseil d'administration d'établir la gouvernance dans l'intérêt des investisseurs. Et les investisseurs ont été lésés par l'incapacité du conseil à gouverner Equifax de façon appropriée.
La culture d'entreprise est définie au sommet. Et le sommet est le conseil d'administration. La culture du conseil d'administration d'Equifax a dû faire croire au PDG que ses décisions en réponse à la crise recevraient l'approbation du conseil.
L'assurance responsabilité des administrateurs et des dirigeants couvrira probablement les frais juridiques et le règlement éventuel des sinistres.
Mais l'assurance ne couvrira jamais les coûts de la réputation ruinée des membres du Conseil.
"Ce n'est pas une bonne journée pour siéger au conseil d'Equifax", a déclaré David Finke. Il dirige la technologie mondiale à la firme de recherche de cadres Russell Reynolds Associates. (Keitz, 2017)
C'est sur la gouvernance:
En d'autres termes, les PDG laissés incontrôlés peuvent diriger une entreprise afin qu'elle se concentre à fournir un maximum d'avantages à court terme pour la richesse personnelle du PDG, tout en laissant les intérêts d'actionnaires à long terme désavantagés.
Un tel comportement de chef de la direction devrait être prévu:
Les conseils embauchent des chefs d'entreprise confiants et non des philosophes impartiaux.
C'est le rôle du conseil d'administration de garder le PDG sur la bonne voie afin que la société soit gérée dans le meilleur intérêt des actionnaires que le conseil souhaite le plus aider:
Les intérêts des spéculateurs et des investisseurs à court terme peuvent être en contradiction avec les intérêts des investisseurs à long terme. Le rôle du conseil d'administration doit être clair dans l'intérêt du conseil d'administration.
La façon dont fonctionne notre système de gouvernance d'entreprise publique est que si les actionnaires n'aiment pas la façon dont le Conseil fonctionne pour les servir, les membres du Conseil peuvent être défaits lorsque les actionnaires élisent le nouveau Conseil.
Le comité de mise en candidature et de gouvernance du conseil d'administration:
Étant donné que les membres du conseil sont sujets à l'élection par un vote des actionnaires, chaque conseil d'administration a un comité de nomination et de gouvernance.
C'est le travail du comité de s'assurer que les bons talents siègent au conseil et que le conseil est formé pour s'acquitter de ses responsabilités.
Sur le site Web d'Equifax, il y a un document décrivant les 12 fonctions du comité de gouvernance. D'importance pour l'affaire Equifax:
Il n'y a pas d'exigence particulière que le comité de gouvernance fournisse aux membres du conseil les informations et les informations nécessaires pour que les membres du conseil puissent faire leur travail.
Si le comité de nomination et de gouvernance ne prend pas explicitement l'initiative d'éduquer les membres du conseil, alors qui a cette responsabilité?
Si le comité de gouvernance crée un vide éducatif, il sera rempli par le chef de la direction. La position par défaut est: "Le PDG nous dira ce que nous devons savoir quand nous avons besoin de le savoir."
Nous n'avons pas directement accès aux membres du Conseil d'administration d'Equifax, mais les documents publiés par le Conseil laissent entendre que c'était le cadre.
Il y a un gros problème avec ce framework:
Il y a un conflit inhérent entre le fait que le chef de la direction soit le chef de la direction du conseil et la responsabilité du conseil d'évaluer le rendement du chef de la direction.
Conseil d'administration d'Equifax: insuffisamment curieux.
Nous estimons que le conseil d'administration d'Equifax n'était pas suffisamment curieux. L'absence d'une mission claire pour le comité de gouvernance visant à assurer un conseil formé a suggéré que le comité dépendait du chef de la direction pour lui fournir l'éducation dont il avait besoin. Et l'une des choses dont ils avaient besoin était les meilleures pratiques en gestion de crise.
Un autre signe diagnostique de curiosité insuffisante vient de l'Institutional Shareholder Services (ISS).
L'Institutional Shareholder Services (ISS) évalue la qualité de la gouvernance du conseil d'administration afin que les investisseurs institutionnels puissent évaluer le risque de recours collectifs en droit des actionnaires. ISS conseillera également à ses clients de voter pour ou contre des membres spécifiques du Conseil d'administration ou des candidats proposés au Conseil dans leur ensemble.
ISS évalue la qualité des conseils d'administration depuis plus de trente ans. Il couvre 20 000 entreprises publiques dans le monde entier.
Les notes ISS sont un indice utile et impartial sur la qualité de la gouvernance dans une entreprise publique.
Pour une discussion approfondie sur ce qui se rapporte au niveau de qualité de la gouvernance de l'ISS:
https://www.issgovernance.com/solutions/iss-analytics/qualityscore/
Alors que les établissements achètent des services ISS, les scores ISS sont mis gratuitement à la disposition des particuliers en accédant à votre moteur de recherche préféré et en tapant «profil financier yahoo (nom de l'entreprise)».
Par exemple, si vous souhaitez obtenir le score ISS pour Equifax:
https://finance.yahoo.com/quote/EFX/profile?p=EFX
Comprendre les scores ISS
Les scores de qualité de la gouvernance de l'ISS vont de 1 à 10. Plus le nombre est élevé, plus la probabilité que l'entreprise soit frappée par des actions en recours collectif est élevée. Ainsi, un score élevé n'est pas bon.
Le 1er septembre 2017, le classement général ISS pour Equifax était «5».
Conformément à notre thèse de "insuffisamment curieux", un 5 est comme un "Gentleman's C:" il ne sonne pas les cloches d'alarme et il est une raison de célébrer.
Un Conseil insuffisamment curieux aurait considéré 5 comme "assez bon".
Lorsque vous envisagez de rejoindre le conseil d'administration d'une entreprise publique, d'investir dans une entreprise publique ou d'être employé dans une entreprise publique, méfiez-vous des évaluations ISS de 5 ou moins. On peut avoir une entreprise produisant un excellent retour sur investissement avec un score ISS de 5 ou moins. Mais il donne un signal de diagnostic sur la culture d'entreprise au sommet.
Résumé et conclusions:
La rupture d'Equifax en septembre 2017 est l'équivalent financier d'un ouragan de classe cinq. Son impact se fera sentir pendant des années. La réponse de la direction à la catastrophe éduquera des générations de chefs d'entreprise sur la façon de ne pas réagir en cas de crise.
Nous suggérons également qu'il y a des leçons de gouvernance à tirer de l'affaire Equifax.
Tous les conseils d'administration ont des comités de nomination et de gouvernance. Cela comprend le profit, sans but lucratif, public et privé.
Le rôle du comité de gouvernance est d'assurer qu'il y a les bons talents au sein du conseil et la bonne formation des membres du conseil. S'il ne prend pas la tête de la formation du Conseil, cela signifie implicitement que le «chef de la direction nous dira ce que nous devons savoir pour que nous puissions évaluer adéquatement la performance du chef de la direction».
Nous recommandons ce qui suit:
Une fois par année, les membres du comité de nomination et de gouvernance devraient s'asseoir avec le chef de la direction et un tiers pour discuter des questions liées à l'industrie, à la réglementation et à la gouvernance qui auront une incidence sur la société au cours des douze prochains mois. Sur la base de cette discussion, une liste de vingt-quatre sujets devrait être créée. Quelqu'un embauché par le comité de nomination et de gouvernance devrait être chargé de trouver des articles, des webinaires et des podcasts «meilleurs de sa catégorie» pour chaque sujet. Les membres du Conseil recevront deux séances d'information en ligne par mois. Deux articles par mois respectent les limites du temps des commissaires, mais ils placent la barre plus haut en matière d'excellence.
Le score ISS est un outil de diagnostic pour comprendre la dynamique du Conseil. Les nombres vont de 1-10. Lorsque vous constatez des scores compris entre 8 et 10, vous devriez vous inquiéter des actions en recours collectif intentées par des actionnaires et si le conseil est suffisamment puissant pour gérer le chef de la direction. Quand vous voyez des nombres dans la gamme 5-6, vous devriez vous inquiéter que ce conseil ne soit pas assez curieux.
Aucun conseil ne se décrirait jamais comme «insuffisamment curieux». De nombreux conseils se décrivent eux-mêmes comme «collégiaux».
Il peut y avoir un côté obscur à la collégialité.
Les références:
D. Goldman. "Equifax hack: quel est le pire qui puisse arriver?" Money.cnn.com 11 septembre 2017
A. Keitz. "Le conseil d'administration d'Equifax doit faire face à un examen minutieux alors que les sondes se multiplient après la cyberattaque." News.thestreet.com/story/14299086/1/Equifax-board-faces-scrutiny. 13 septembre 2017
