Av. Pres Juscelino Kubitschek 1726, Cj. 151 São Paulo / Itaim bibi +55 11 3016-2121

O CFO e Cyber Security: Quando um incidente cibernético incide materialidade?

 

Por Debora Santille*, membro da Comissão de Controladoria e Contabilidade do IBEF SP

 

Líderes financeiros têm agora um importante papel de liderança a desempenhar na segurança e uso de dados. As falhas de segurança que geraram vazamento de informações tiveram resultados altamente prejudiciais, tanto financeiramente como em suas reputações.

O custo total médio da violação de dados foi de US $ 3,79 milhões em 2015, segundo estudo da IBM e do Instituto Ponemon. Ficou acima dos US $ 3,52 milhões registrados em 2014. Não é à toa que o CFO passa a ser a figura central para a estratégia de defesa cibernética de uma organização, pois, quando é caracterizada uma materialidade, há interferência direta nas atribuições dos executivos de finanças.

Analisando as divulgações de duas empresas que enfrentam situações semelhantes.

Em março de 2014, a Smucker experimentou um incidente cibernético em que 23 mil clientes tiveram suas informações financeiras roubadas. A violação não foi divulgada pela empresa em 2014 nos relatórios da SEC e nem no Relatório Anual. A segurança cibernética é abordada de uma maneira geral, na seção de fatores de risco, mas não há nenhuma menção de uma violação real.

A Sally Beauty também experimentou um incidente cibernético em março de 2014, em que as informações financeiras de 25 mil clientes foram afetadas. Em contraste com Smucker, no entanto, Sally Beauty revelou o incidente tanto na publicação do fato relevante como nos relatórios regulatórios.

Então, qual foi a diferença entre estas duas violações?  Poderia ser o tamanho das empresas?

Sally Beauty é significativamente menor do que Smucker. O incidente custou à Sally Beauty US $2,5 milhões apurado no fechamento do ano de 2014, ou menos de 1% dos lucros antes de impostos.

Uma empresa de recursos pode usar como referência para divulgação e publicação as orientações da SEC. Mas é provável que, neste caso, cada empresa avaliou fatores qualitativos para determinar se o incidente foi relevante para as demonstrações financeiras. Ou não? Ao olhar para os fatores de risco de cada empresa, podemos ver que as vendas eletrônicas são fator muito mais significativo para a Sally Beauty do que para a Smucker.

No caso da Smucker, o fator de risco de segurança cibernética da empresa nem sequer foi discutido com o mercado. O único contexto em que os clientes são mencionados é em marketing e nas comunicações eletrônicas. Se você vai para o site da Smucker, é difícil até mesmo encontrar sua loja online.

Já para a Sally Beauty, como empresa baseada na internet, uma falha de segurança significativa de dados, incluindo a apropriação indevida de informações confidenciais dos clientes ou funcionários, pode resultar em custos significativos para a companhia.  Que podem incluir, entre outros, passivos potenciais para redes de cartões de pagamento relativas a reembolsos de fraude de cartão de crédito e os custos de cartão de remissão, incluindo multas e penalidades, passivos potenciais por parte governamental ou de investigações por parte de terceiros, processo ou litígio, legal, judicial, bem como o impacto negativo sobre a reputação e perda de confiança dos clientes, fornecedores e outros. Ou seja, qualquer um que poderia ter um efeito material adverso sobre os negócios da companhia, condição financeira e resultados operacionais.

Aqui, a loja online da empresa (“redes de cartões de pagamento”) é um componente-chave do fator de risco de segurança cibernética. Além disso, Sally Beauty discute mercados eletrônicos junto de seus outros fatores de risco. A empresa discute a importância de desenvolver seu mercado eletrônico e destaca como um incidente cibernético pode ter um impacto negativo sobre a sua reputação.

Atualmente, pode ser muito difícil identificar quando uma empresa deve ou não divulgar um incidente cibernético.  Como os incidentes cibernéticos continuam a ocorrer e, como as comissões de auditoria e os reguladores de mercado de capitais continuam a evoluir em sua abordagem, o limiar para a divulgação deve tornar-se cada vez mais claro.

Dando um passo para trás por um momento, a questão da materialidade se estende muito além de apenas este caso.

Materialidade foi uma pedra angular de algumas ações regulatórias recentes e muito controversas. Por exemplo, a disposição claw-back, em que a SEC obriga as empresas a recuperar a compensação executiva, após uma correção material. A regra sugerida tem causado muitos debates entre apoiadores e opositores, mas é óbvio que, a partir de uma perspectiva prática, a aplicação da materialidade vai ser um componente-chave na aplicação da claw-back.

Há uma série de implicações para a empresa que não são diretamente financeiras, mas que vão afetar sua performance posteriormente, tais como danos à reputação e à perda de confiança dos consumidores.

No Brasil, em 2013, a Decolar.com a companhia aérea American Airlines (AA) decidiu retirar todos os voos dos sites da rede Decolar.com, especializada em reservas de passagens aéreas e hotéis em 21 países. O motivo apontado pela companhia foi que alguns sites da rede estariam lesando clientes ao cobrar taxas adicionais.

Segundo o comunicado emitido pela AA, a decisão de retirar os voos foi tomada após “descobrir que a Decolar.com estava adotando práticas desleais e duvidosas quanto às tarifas”. A AA não esclareceu exatamente quais práticas não considera leais, mas frisou que “os clientes devem receber informações completas e corretas sobre as tarifas para tomarem a melhor decisão ao reservar voos”.

No entanto, a Decolar.com se posicionou, declarando que todos os detalhes referentes às negociações com todos os parceiros, incluindo a própria AA, sempre foram apresentados de forma clara e transparente e que a decisão da retirada dos voos se deve ao fato de que a própria rede de e-commerce não concordou com uma solicitação da companhia aérea de publicar apenas o valor da tarifa, sem outras informações, como impostos e encargos.

Os bilhetes que já haviam sido comprados por intermédio de qualquer site associado continuaram válidos, de acordo com AA, e os clientes que desejarem alterar um bilhete nessa situação deveriam entrar em contato direto com a central de reservas ou ir até uma loja especializada no serviço.

Para averiguar a situação, ambas as empresas foram notificadas pelo Procon para que expliquem qual era a real situação. Em relação à Decolar.com, o Órgão quis saber exatamente quais eram os acréscimos descritos no valor das passagens, identificados como impostos e taxas. Para o Procon, já que a companhia aérea expôs a rede de sites, agora detalhes sobre o caso devem ser esclarecidos.

A crise que se instaurou entre as cias dá abertura para reflexões a respeito da confiabilidade, reputação e co-responsabilizações conforme o modelo de negócio não só de sites que intermediam compras de passagens aéreas e reserva em hotéis como também de todos os que possibilitam a compra on-line.

Então, podemos concluir que:

Em um mundo cada vez mais digital os riscos de guarda de informações e mesmo transacionais/operacionais tornam-se cada vez mais materiais. Em decorrência disso, é fundamental que o CFO se envolva diretamente, não relegando tal responsabilidade apenas ao CIO.  Sua atuação deve ser de protagonista.

É interessante que o diretor de segurança da informação tenha uma relação de subordinação direta ao CFO. Esse relacionamento estreito possibilitará uma maior visibilidade e transparência a respeito das vulnerabilidades da empresa.

O tema é muito relevante e deve estar inserido/pautado na matriz de riscos corporativos, bem como integrar o escopo das auditorias interna e externa. Além de estar na pauta do comitê de auditoria, é necessário dar visibilidade ao assunto perante o conselho de administração e as equipes gerenciais. Com esse maior envolvimento de todos, o CFO poderá atuar com mais agilidade e obter uma boa base de compreensão para tomar decisões.

Afinal, segurança da informação há muito tempo deixou de ser um problema do departamento de TI. Hoje é uma questão de negócios. Para continuar sendo um membro valioso para a organização, o CFO precisará ampliar seus horizontes sobre o tema, e dar maior abertura ao tópico no âmbito de suas funções e responsabilidades.

*Sobre Debora Santille: profissional de finanças com mais de 20 anos de experiência atuando como CFO, Controller e Diretora Geral em empresas como: Banco Itaú S/A; Excel Banco S/A; Seguradora Roma S/A, Fair CCVM S/A; Grupo Mesquita S/A e Grupo Thorey Finance e Soluções de Negócios S/A, Fernbach Software S/A.  Bacharel em Administração de Empresas, possui Master em Governança Corporativa e Mercado de Capitais pelo BI International, MBA em Controladoria e Finanças pelo Mackenzie, Transformação de Negócios & Restruturação de Empresas pela FGV/SP e Especialização em Controladoria Internacional.  Atua como Conselheira de Administração e Fiscal. É membro do Conselho Regional de Administração de São Paulo (CRA/SP) e da Comissão Técnica de Finanças e Controladoria do IBEF SP e é Diretora de Governança Corporativa na AAPSA.

Compartilhe: