Diariamente acontecem, nos mais diversos segmentos de mercado e países, muitas fusões e aquisições de empresas.
Também ocorrem processos públicos de concessões de ativos governamentais, em que a gestão fica sob responsabilidade da iniciativa privada, ou ainda em modelos de parceria público-privada (PPP).
Advogados das principais bancas, auditores qualificados e demais equipes financeiras visitam salas de documentos (conhecidas como war rooms), nos quais o vendedor coloca à disposição dos interessados pilhas de relatórios contábeis e projeções de crescimento do ativo em questão.
Em recentes reuniões sobre esse tema, fui questionado sobre como poderia ajudar a quantificar os riscos cibernéticos.
Ao estudar o assunto com mais detalhe, percebi, por um lado, como esses procedimentos são sofisticados e custosos às partes e, por outro, como são basicamente ignorados riscos inerentes à segurança cibernética.
Seguindo a dinâmica atual, posso visualizar que ao redor do mundo, bem como aqui no Brasil, compradores no dia seguinte a negociação, quando se tornam gestores, deparam-se com uma incógnita sobre essa questão.
Transformação digital
Não ha qualquer dúvida de que todas empresas, bem como ativos públicos, estão num processo que as consultorias gostam de chamar de transformação digital.
Algumas empresas optam por manter marcas independentes do mundo físico para seus negócios puramente digitais, enquanto outras estão migrando 100% das atividades apenas para o digital.
Torna-se portanto redundante descrever quão crescentemente crítica é a gestão de riscos também para ativos digitais (ou seja, o próprio negocio ou parte significativa dele).
Todas empresas, em seus conselhos, definem para temas de negócios e finanças o chamado apetite para riscos.
Em outras palavras, quanto o conselho está disposto a alocar recursos financeiros da empresa em aplicações mais seguras, como CDB, ou mais arriscadas, como bolsa de valores, num exemplo ilustrativo simples.
Nas questões trabalhistas e áreas como marketing e recursos humanos, esse mesmo conceito norteia as decisões do conselho e, em consequência, gera terceirização total ou parcial dos riscos residuais para seguradoras especializadas.
Estimativas genéricas
Por mais óbvio que pareça, nada é feito no tocante a riscos cibernéticos. Compradores e suas equipes basicamente fazem apostas ou estimativas genéricas e apenas verificam o maior ou menor grau de acertos das estimativas no momento posterior, já na condição de gestores.
Significa dizer com que apenas depois de algum tempo é possível entender mais adequadamente qual o grau de exposição a riscos envolvido.
Esse balizamento pode tanto ser muito positivo ao comprador quanto altamente negativo, se o ativo adquirido estiver contaminado por ameaças críticas, vulnerabilidades expostas e controles ineficazes ou mesmo inexistentes, que foram ignorados nos demonstrativos financeiros que sustentaram o valor da transação.
- Leonardo Scudere é diretor para as Américas da Secure Systems Innovation Corporation