Across the Pond: How US Firms' Boards of Directors Adapted to the Passage of the General Data Protection Regulation

• Published in: Contemporary accounting research Vol. 39; no. 1; pp. 199 - 233
• Main Authors: Klein, April, Manini, Raffaele, Shi, Yanting (Crystal)
• Format: Journal Article
• Language: English
• Published: Hoboken, USA John Wiley & Sons, Inc 01.04.2022; Canadian Academic Accounting Association
• Subjects: Attention; Averages; board of directors; Boards; Boards of directors; Breaches; Companies; conseil d'administration; corporate governance; cyber risk; cyberrisque; Data integrity; Efficacy; Experts; Flexibility; GDPR; General Data Protection Regulation; gouvernance d'entreprise; Governance; Internet; Management; Privacy; Regulation; RGPD; Risk assessment; règlement; Surveillance; Violations; United States > US
• ISSN: 0823-9150; 1911-3846
• DOI: 10.1111/1911-3846.12735

ABSTRACT One of the prime responsibilities of the board of directors is to understand and oversee its firm's risk profile. We exploit a recent European Union (EU) regulation, the General Data Protection Regulation (GDPR), as a quasi‐exogenous shock to the cyber risk landscape to assess whether boards of US firms changed their focus and governance structures to deal with this new challenge. The GDPR encompasses a sweeping set of regulations aimed at protecting EU citizens from unwanted uses of their personal Internet data. Although an EU regulation, the GDPR applies to all US public firms with at least one EU user. Adopting a difference‐in‐differences methodology, we use firms that already fall under a US data privacy regulation as a control group and find that boards of treated US firms, on average, increase their focus on cyber risk, add more directors with cyber/IT expertise, and more frequently assign cyber risk oversight to the board or to a board committee. In cross‐sectional tests, we show that these changes are positively associated with a firm's ex ante cyber risk, but are unrelated to whether a firm had a large EU presence, suggesting a more global reaction to the GDPR. In addition, we examine some of the consequences of these board changes. We find boards that promptly responded by changing their board focus, expertise, and monitoring assignment of cyber risk around the passage of GDPR had fewer future cyberattacks/data breaches and less related media attention. Our findings suggest that, on average, American corporate boards promptly responded to changes in the cyber risk environment in ways that reduced their firms' overall future cyber risk. Our results have implications for the efficacy and flexibility of US corporate boards to respond to unexpected changes in risk. RÉSUMÉ De l'autre côté de l'Atlantique : la manière dont les conseils d'administration des entreprises aux États‐Unis se sont adaptés à l'adoption du RGPD L'une des principales responsabilités du conseil d'administration est de comprendre et de superviser le profil de risque de son entreprise. Nous utilisons un règlement récent de l'Union européenne (UE), le Règlement général sur la protection des données (RGPD), comme un choc quasi exogène dans le contexte du cyberrisque pour évaluer si les conseils d'administration des entreprises aux États‐Unis ont modifié leur orientation et leurs structures de gouvernance pour faire face à ce nouveau défi. Le RGPD englobe un vaste ensemble de règlementations visant à protéger les citoyens de l'UE contre les utilisations non désirées de leurs données personnelles sur Internet. Bien qu'il s'agisse d'un règlement européen, le RGPD s'applique à toutes les entreprises publiques aux États‐Unis ayant au moins un utilisateur européen. En adoptant une méthode des doubles différences, nous utilisons un groupe de contrôle constitué d'entreprises qui étaient déjà soumises à un règlement des États‐Unis sur la protection des données, et constatons que les conseils d'administration des entreprises états‐uniennes traitées, en moyenne, examinent davantage le cyberrisque, recrutent plus de directeurs ayant une expertise en cybernétique / TI, et confient plus fréquemment la surveillance du cyberrisque au conseil d'administration ou à un comité du conseil. À l'aide d'analyses transversales, nous montrons que ces changements sont positivement associés au cyberrisque ex ante d'une entreprise, mais ne sont pas liés au fait que l'entreprise ait une présence importante dans l'UE, ce qui suggère une réaction plus globale au RGPD. En outre, nous examinons certaines des conséquences de ces changements apportés par les conseils d'administration. Nous constatons que les conseils d'administration qui ont réagi rapidement en modifiant leur objectif, leur expertise et la surveillance du cyberrisque aux environs de l'adoption du RGPD ont subi moins de futures cyberattaques / violations de données et ont attiré moins l'attention des médias. Nos résultats suggèrent qu'en moyenne, les conseils d'administration des entreprises aux États‐Unis ont réagi rapidement aux changements d'environnement du cyberrisque de manière à réduire le cyberrisque global futur de leurs entreprises. Nos résultats ont des implications sur l'efficacité et la flexibilité des conseils d'administration des entreprises aux États‐Unis pour répondre aux changements inattendus du risque.