Equifax präsentiert eine vorsichtsorientierte Governance-Geschichte für CEOs und für diejenigen, die in Boards arbeiten.
Equifax wurde 1899 gegründet und ist eine in Atlanta ansässige Aktiengesellschaft mit einer Marktkapitalisierung von 14 Milliarden US-Dollar. Es beschäftigt 9.500.
In fünfzehn Jahren wird der Fall Equifax angehenden Wirtschaftsführern als gutes Beispiel dafür beigebracht werden, was in einer Krise NICHT zu tun ist. Der Zweck dieses Artikels ist es, den Schwerpunkt auf Governance-Lektionen zu legen.
Während Equifax eine Aktiengesellschaft ist, gelten die Lektionen für Vorstandsmitglieder von privaten Unternehmen und gemeinnützigen Organisationen.
Es "trifft den Fan" bei Equifax.
Im September 2017 enthüllte Equifax einen Cybersicherheitsdiebstahl der Aufzeichnungen von 143 Millionen Menschen, die in den Vereinigten Staaten und Kanada leben. Diebe stahlen Namen, Sozialversicherungsnummern, Geburtsdaten, Adressen und Führerscheinnummern. Die Hacker sicherten außerdem 209.000 Kreditkartennummern und 182.000 Dokumente, die personenbezogene Daten enthielten.
Es wird geschätzt, dass Hacker diese Informationen für bis zu 30 Dollar pro Identität auf dem Schwarzmarkt verkaufen können. In den nächsten Jahren können diejenigen, die mit diesen Informationen bewaffnet sind, Bankkonten in Ihrem Namen eröffnen, Kreditlinien einrichten, neue Kreditkarten erhalten und Ihre Steuerrückerstattung stehlen. (Goldman, 2017).
Die Qualität der gestohlenen Daten und das Ausmaß des Diebstahls machen dies zu einer besonderen Bedrohung für die Verbraucher in den USA und Kanada.
Anlageberater sagen ihren Kunden, dass ihre Daten gestohlen wurden, auch wenn Equifax dies nicht meldet. Sie können im Internet nach Artikeln zu Aktionen suchen, die Sie ergreifen können, um sich selbst zu schützen.
Antwort von Equifax auf die Datenverletzung.
Betrachtet man die einzelnen Biografien des Top-Managements, kann man nur beeindruckt sein. Diese Leute müssen sehr intelligent sein und ihr Geschäft kennen.
Als Kollektiv haben sie jedoch Entscheidungen getroffen, an denen ich nicht zweifle, ob sie eine Person einzeln getan hätten:
Den Datendiebstahl sechs Wochen nach der Entdeckung vor der Öffentlichkeit geheim halten und damit den Hackern einen sechswöchigen Sprung auf die Verbraucher ermöglichen.
Einige Equipax-Mitarbeiter verkauften Aktien ihrer Equifax-Aktie während der Zeit, in der Equifax die Datenverletzung geheim hielt. Diese Verkäufe werden wahrscheinlich von den Gerichten als Verstoß gegen Insiderhandelsgesetze beurteilt.
Ursprünglich wurde vorgeschlagen, dass Personen, deren Daten von Equifax kompromittiert wurden, nur ein Jahr lang kostenlose Kreditüberwachungsdienste erhalten – als Gegenleistung für das Versprechen, Equifax nicht zu verklagen.
Wo war der Vorstand?
Es liegt in der Natur der Vorstandstätigkeit, mit Operationen operativ zu sein. Das Klischee in Vorstandskreisen ist "Nose In Fingers Out". In der Equifax-Situation hatten Mitglieder des Board of Directors keine direkte praktische Erfahrung mit der Datenverletzung bei Equifax. Sie waren sich wahrscheinlich der unangemessenen und rechtswidrigen Entscheidungen, die das Management nach der Entdeckung des Datenmissbrauchs getroffen hat, nicht vollständig bewusst.
Und doch werden sie in die rechtlichen Turbulenzen hineingezogen:
Es ist Aufgabe des Verwaltungsrats, im Interesse der Anleger eine Governance zu etablieren. Und die Anleger wurden durch das Versagen des Board, Equifax angemessen zu regieren, geschädigt.
Unternehmenskultur steht an der Spitze. Und die Spitze ist der Verwaltungsrat. Es muss etwas an der Kultur des Equifax-Boards gegeben haben, das den CEO davon überzeugt hat, dass seine Entscheidungen als Reaktion auf die Krise vom Verwaltungsrat genehmigt werden.
Die Director and Officer Liability Insurance (D & O) wird wahrscheinlich die Kosten für Rechtskosten und eventuelle Schadenregulierungen abdecken.
Aber die Versicherung wird niemals die Kosten der ruinierten Reputation der Vorstandsmitglieder decken.
"Es ist kein guter Tag, um auf dem Equifax Board zu sein", sagt David Finke. Er leitet globale Technologie bei der Executive Search-Firma Russell Reynolds Associates. (Keitz, 2017)
Es geht um Governance:
Die Merriam Webster Dictionary Definition von Governance ist "einen bestimmenden oder leitenden Einfluss auszuüben." Mit anderen Worten, CEOs, die unkontrolliert bleiben, können ein Unternehmen so führen, dass es sich darauf konzentriert, maximalen kurzfristigen Nutzen für das persönliche Vermögen des CEO zu bieten, während die Interessen belassen werden der langfristigen Aktionäre benachteiligt.
Ein solches Verhalten des CEO ist zu erwarten:
Die Vorstände stellen selbstbewusste Führungskräfte und nicht unparteiische Philosophen ein.
Es ist die Aufgabe des Boards, den CEO auf Kurs zu halten, damit das Unternehmen im besten Interesse der Aktionäre verwaltet wird, die der Board am meisten unterstützen möchte:
Die Interessen von Spekulanten und kurzfristigen Investoren können den Interessen langfristiger Investoren widersprechen. Die Rolle des Vorstands muss klar sein, in wessen Interesse der Vorstand regiert.
Die Art und Weise, in der unser Governance-System für öffentliche Unternehmen funktioniert, besteht darin, dass die Boardmitglieder besiegt werden können, wenn die Aktionäre den neuen Board wählen, wenn die Aktionäre die Art und Weise, wie der Board ihnen dient, nicht mögen.
Der Nominierungs- und Governanceausschuss des Verwaltungsrats:
Da die Mitglieder des Verwaltungsrats der Wahl durch ein Stimmrecht der Aktionäre unterliegen, hat jeder Verwaltungsrat einen Nominierungs- und Governance-Ausschuss.
Es ist die Aufgabe dieses Ausschusses, sicherzustellen, dass das richtige Talent im Board ist und dass der Board dazu ausgebildet ist, seine Verantwortlichkeiten zu erfüllen.
Auf der Website von Equifax gibt es ein Dokument, das zwölf Aufgaben des Governance-Ausschusses beschreibt. Von Bedeutung für den Fall Equifax:
Es besteht keine besondere Anforderung, dass der Governance-Ausschuss den Mitgliedern des Verwaltungsrats die Informationen / Informationen zur Verfügung stellen wird, die für die Ausübung ihrer Tätigkeit erforderlich sind.
Wenn es dem Nominierungs- und Governance-Ausschuss nicht gelingt, die Initiative zur Bildung von Board-Mitgliedern explizit zu ergreifen, wer hat dann diese Verantwortung?
Wenn der Governance-Ausschuss eine Bildungslücke schafft, wird diese vom CEO ausgefüllt. Die Standardposition lautet: "Der CEO wird uns sagen, was wir wissen müssen, wenn wir es wissen müssen."
Wir haben keinen direkten Zugang zu Board-Mitgliedern bei Equifax, aber die veröffentlichten Dokumente des Boards legen nahe, dass dies der Rahmen war.
Es gibt ein großes Problem mit diesem Framework:
Es besteht ein inhärenter Konflikt zwischen der Verpflichtung des CEO zum Chief Education Officer des Board und der Verantwortung des Board, die Leistung des CEO zu bewerten.
Equifax Board of Directors: ungenügend neugierig.
Wir unterstellen, dass der Equifax-Vorstand nicht genügend neugierig war. Das Fehlen einer klaren Aufgabe für das Governance-Komitee, einen gebildeten Vorstand zu versichern, legte nahe, dass der Ausschuss vom CEO abhängig war, um ihnen die Bildung zu geben, die sie brauchen. Und eines der Dinge, die sie brauchten, waren Best Practices im Krisenmanagement.
Ein weiteres diagnostisches Zeichen mangelnder Neugier kommt von den Institutional Shareholder Services (ISS).
Die Institutional Shareholder Services (ISS) bewerten die Qualität der Verwaltungsratsführung, so dass institutionelle Anleger das Risiko von Sammelklagen in Aktionärsrechtsstreitigkeiten beurteilen können. ISS wird ihren Kunden auch empfehlen, für bestimmte Boardmitglieder oder ganze Boardkandidaten, die zur Wahl vorgeschlagen werden, zu stimmen.
ISS bewertet die Qualität von Verwaltungsräten seit über dreißig Jahren. Es umfasst 20.000 öffentliche Unternehmen auf der ganzen Welt.
Die ISS-Ratings sind ein nützlicher, unparteiischer Hinweis auf die Qualität der Unternehmensführung in einem öffentlichen Unternehmen.
Für eine eingehende Diskussion über den ISS Governance Quality Score:
https://www.issgovernance.com/solutions/iss-analytics/qualityscore/
Während Institutionen ISS-Dienste erwerben, sind die ISS-Punkte für Einzelpersonen kostenlos verfügbar, indem Sie zu Ihrer bevorzugten Suchmaschine gehen und "yahoo finance profile (Name des Unternehmens) eingeben.
Wenn Sie beispielsweise den ISS-Score für Equifax erhalten möchten:
https://finance.yahoo.com/quote/EFX/profile?p=EFX
Verstehen der ISS-Punkte
ISS-Governance-Qualitätsfaktoren reichen von 1-10. Je höher die Zahl ist, desto höher ist die Wahrscheinlichkeit, dass das Unternehmen von Aktionärsklassenklagen betroffen sein wird. Daher ist eine hohe Punktzahl nicht gut.
Am 1. September 2017 war die ISS-Gesamtwertung für Equifax "5".
In Übereinstimmung mit unserer These von "ungenügend neugierig", ist eine 5 wie ein "Gentleman's C:" Es läutet keine Alarmglocken und ist auch kein Grund zu feiern.
Ein ungenügend neugieriges Board hätte 5 als "gut genug" angesehen.
Wenn Sie darüber nachdenken, dem Board einer Aktiengesellschaft beizutreten, in eine Aktiengesellschaft zu investieren oder bei einer Aktiengesellschaft angestellt zu sein, achten Sie auf ISS-Ratings von 5 oder weniger. Man kann ein Unternehmen haben, das einen exzellenten Return on Investment mit einem ISS-Score von 5 oder weniger erzielt. Aber es gibt ein diagnostisches Signal über die Unternehmenskultur an der Spitze.
Zusammenfassung und Fazit:
Der Einbruch von Equifax im September 2017 ist das finanzielle Äquivalent zu einem Hurrikan der Klasse Fünf. Ihre Wirkung wird sich über Jahre bemerkbar machen. Die Reaktion des Managements auf die Katastrophe wird Generationen von Geschäftsführern darüber informieren, wie sie nicht reagieren können, wenn eine Krise eintritt.
Wir schlagen auch vor, dass Lehren aus dem Fall Equifax gezogen werden.
Alle Verwaltungsräte haben Nominierungs- und Governance-Ausschüsse. Dazu gehören Profit, Non-Profit, öffentlich und privat.
Die Aufgabe des Governance Committees besteht darin, sicherzustellen, dass die richtigen Talente im Board und die richtige Ausbildung der Boardmitglieder vorhanden sind. Wenn es nicht an der Spitze der Board-Ausbildung steht, dann sagt es implizit, dass der "CEO uns sagen wird, was wir wissen müssen, damit wir die Leistung des CEO angemessen bewerten können."
Wir empfehlen folgendes:
Einmal im Jahr sollten sich die Mitglieder des Nominating & Governance Committee mit dem CEO und einer dritten Partei treffen, um Fragen zu den Bereichen Industrie, Regulierung und Governance zu diskutieren, die das Unternehmen in den nächsten zwölf Monaten beeinflussen werden. Basierend auf dieser Diskussion sollte eine Liste von 24 Themen erstellt werden. Jemand, der vom Nominating & Governance Committee angestellt wird, sollte beauftragt werden, für jedes Thema "Best-in-Class" -Artikel, Webinare und Podcasts zu finden. Die Vorstandsmitglieder erhalten zwei Online-Informationsveranstaltungen pro Monat. Zwei Artikel pro Monat respektieren die Grenzen der Zeit der Vorstandsmitglieder, aber sie setzen die Messlatte für Exzellenz höher.
Der ISS-Score ist ein Diagnosewerkzeug, um die Dynamik des Boards zu verstehen. Zahlen reichen von 1-10. Wenn Sie Werte im Bereich von 8-10 Punkten sehen, sollten Sie sich Gedanken über Klagen wegen Aktionärsklassen machen und darüber, ob der Verwaltungsrat stark genug ist, um den CEO zu leiten. Wenn Sie Zahlen im Bereich 5-6 sehen, sollten Sie sich sorgen, dass dieses Board nicht sonderlich neugierig ist.
Kein Vorstand würde sich jemals als "ungenügend neugierig" bezeichnen. Viele Gremien beschreiben sich selbst als "kollegial".
Kollegialität kann eine dunkle Seite haben.
Verweise:
D. Goldman. "Equifax Hack: Was ist das Schlimmste, was passieren kann?" Money.cnn.com 11. September 2017
A. Keitz. "Das Equifax-Board steht vor einer genauen Untersuchung, da Sonden nach einem Cyberangriff angebracht werden." News.thestreet.com/story/14299086/1/Equifax-board-faces-scrutiny. 13. September 2017
