A SEC acaba de divulgar novas regras para relatar violações de segurança cibernética – aqui está o que isso significa para os CFOs
A SEC divulgou novas regras para relatar violações de segurança cibernética - isso afeta os CFOs.
Quatro dias úteis. É o tempo que as empresas públicas têm para relatar à Comissão de Valores Mobiliários dos Estados Unidos (SEC) uma violação de segurança cibernética que possa afetar a linha de fundo de uma organização.
A SEC anunciou a adoção de novas regras em 26 de julho que exigem a divulgação no novo Item 1.05 do Formulário 8-K de qualquer incidente de segurança cibernética que a empresa determine ser “material”, juntamente com uma descrição que inclua a “natureza, escopo e timing”, e provável impacto.
As novas regras também adicionam o Item 106 do Regulamento S-K, que exigirá que as empresas descrevam seus processos de avaliação, identificação e gerenciamento de riscos materiais de ameaças cibernéticas, e a supervisão do conselho de administração de riscos de ameaças cibernéticas. Essas divulgações também serão exigidas no relatório anual do registrante no Formulário 10-K.
As novas regras entrarão em vigor em dezembro ou 30 dias após a publicação no Federal Register. A divulgação do Formulário 10-K e do Formulário 20-F será devida a partir dos relatórios anuais para exercícios fiscais encerrados em ou após 15 de dezembro, anunciou a SEC.
- A rival da Bud Light, a Heineken, diz que as empresas precisam defe...
- Elon Musk recusa ceder o controle sobre a equipe de moderação de co...
- Líderes de RH afirmam que a inteligência artificial terá um impacto...
Muitas empresas já estão compartilhando informações sobre incidentes cibernéticos em formulários 8-K, mas agora há um padrão. E os CFOs estão cada vez mais encarregados pelas empresas de terem um papel maior na apresentação de relatórios regulatórios. Na Pesquisa de Sinais do CFO da Deloitte para o segundo trimestre de 2023, os diretores financeiros citaram o aumento das regulamentações e o trabalho com reguladores como um dos principais desafios relacionados à gestão de riscos empresariais (43%). E a implementação de processos para identificar, monitorar e abordar riscos também foi listada como uma preocupação (27%).
Tempo de decisão… para alguns
Desde março de 2022, houve indicação de que a SEC tomaria alguma ação em relação à divulgação de segurança cibernética, e as empresas públicas deveriam ter se preparado, de acordo com Courtney Adante, presidente do departamento de consultoria de riscos de segurança na Teneo, uma empresa global de consultoria para CEOs. Além de gerenciar a divisão, Adante apoia clientes ANBLE 500 no projeto e entrega de programas de estratégia de segurança corporativa, incluindo gerenciamento de risco cibernético.
“Minha perspectiva é que a SEC realmente buscava mais transparência para a comunidade de investimentos”, diz Adante. “O que tenho visto é que empresas, especialmente em setores altamente regulamentados como serviços financeiros ou mesmo defesa, estavam em grande parte à frente do jogo porque tiveram que aderir à regulamentação há algum tempo. Para outras indústrias e outros setores que podem não ter dedicado tempo aqui, é hora de decisão. Acredito que eles têm um prazo de cerca de seis meses para se organizarem antes que essas regras entrem em vigor.”
Qual papel Adante acredita que os CFOs desempenharão na apresentação de relatórios à SEC? “A avaliação de materialidade em termos de interrupção dos negócios e impacto nos resultados financeiros, obviamente, cabe ao CFO”, diz ela. “Mas o CFO precisará tomar essa decisão informado por uma série de partes interessadas dentro da empresa e colegas na alta administração, e abaixo, nos dias e semanas seguintes a uma violação, a fim de tomar essa decisão sobre materialidade.”
Se for uma violação material, e digna de ser relatada à SEC, como uma empresa consegue cumprir a regra de quatro dias? Prepare-se para a gestão de crises para ter a “capacidade de mobilizar rapidamente como uma equipe executiva de liderança para compartilhar informações e fazer isso de maneira contínua”, explica Adante. “E não apenas garantir que tenham essas estruturas de resposta a incidentes e gestão de crises em vigor, mas testá-las agora.”
Guy Melamed, CFO e COO da Varonis Systems Inc. (Nasdaq: VRNS), uma empresa de software que oferece segurança de dados e análises, compartilha sua perspectiva. “Os CFOs geralmente são responsáveis por muitas coisas, mas as regras da SEC significam que agora eles têm que adquirir conhecimento sobre mais um assunto que nunca foi ensinado em nenhuma aula de contabilidade: segurança cibernética”, diz Melamed. “A responsabilidade por manter as empresas seguras ainda está sob a equipe de segurança, mas os CFOs devem começar a se destacar e fazer perguntas sobre a segurança de sua organização, e as perguntas certas. Com muita frequência, o risco começa quando informações críticas são expostas demais.”
Qual é uma boa pergunta de segurança? “Pergunte ao seu [diretor de segurança da informação] quem pode ou quem acessou suas demonstrações financeiras nos últimos 30 dias. Se eles não puderem responder em cinco minutos, você está exposto”, diz Melamed.
Sheryl Estrada [email protected]
Grande negócio
Um relatório da S&P Global Market Intelligence constata que empresas de mídia e telecomunicações de capital aberto na América do Norte levantaram coletivamente US$ 868 milhões por meio de ofertas de capital em junho. O total representa uma “queda significativa” em relação aos US$ 26,51 bilhões revisados arrecadados em maio de 2023 e aos US$ 1,33 bilhão arrecadados em junho de 2022, de acordo com o relatório.
Aprofundando
A Pesquisa de Opinião dos Oficiais Sêniores de Empréstimos do Federal Reserve de julho de 2023 sobre as Práticas de Empréstimos Bancários, divulgada na segunda-feira, constatou que, no segundo trimestre de 2023, um número crescente de bancos endureceu os padrões de empréstimo. “Em relação aos empréstimos para empresas, os entrevistados da pesquisa relataram, em geral, padrões mais rigorosos e demanda mais fraca por empréstimos comerciais e industriais para empresas de todos os tamanhos”, segundo o relatório. “Enquanto isso, os bancos relataram padrões mais rigorosos e demanda mais fraca para todas as categorias de empréstimos imobiliários comerciais.”
Quadro de líderes
Jami Rubin foi nomeada CFO da Boundless Bio, uma empresa de oncologia em estágio clínico. Rubin possui mais de 30 anos de experiência na área. Rubin foi CFO da EQRx. Ela passou a maior parte de sua carreira como analista de patrimônio de biotecnologia, incluindo como sócia do Goldman Sachs. Rubin também foi sócia da PJT Partners, um banco de investimento global focado em consultoria.
Monica Vinay foi nomeada CFO da Visual Edge IT, Inc., especializada em serviços gerenciados de TI, segurança e computação em nuvem. A experiência de Vinay tem sido focada em finanças e análises. Mais recentemente, ela atuou como CFO interina e vice-presidente de relações com investidores e tesoureiro na Myers Industries, Inc. Antes disso, Vinay foi diretora financeira na Barnes Group, Inc.
Ouvido por aí
“Prevemos que os preços das casas em 2023 terminem o ano estáveis em relação a 2022 antes de caírem 2% em 2024, à medida que a acessibilidade continua a se ajustar lentamente às médias de longo prazo e os estoques começam a subir lentamente a partir das mínimas em décadas.”
—Analistas imobiliários do Morgan Stanley escreveram em uma nota de pesquisa que esperam que os preços das casas se mantenham estáveis ano após ano em 2023, antes de cair em 2024, segundo o Yahoo Finance.
