A Comissão de Valores Mobiliários (SEC) adotou em julho de 2023 um conjunto de normas que obrigam as empresas públicas a revelar incidentes de cibersegurança relevantes, suas estratégias de gestão de riscos climáticos e os mecanismos de supervisão que seus conselhos possuem sobre ambas as variáveis. O pacote não é novo em seu espírito, mas sim em sua profundidade: pela primeira vez, o regulador não apenas pergunta o que aconteceu, mas também como o conselho está organizado para evitar que isso ocorra.
Isso não é uma atualização administrativa. É uma mudança na gramática da governança corporativa.
Da Divulgação Voluntária ao Registro Obrigatório
Durante anos, a divulgação de riscos não financeiros era um exercício de relações públicas disfarçado de governança. As empresas publicavam suas políticas de cibersegurança em relatórios de sustentabilidade que ninguém auditava rigorosamente, e os conselhos podiam se gabar de "supervisão estratégica" sem existir um mecanismo formal que o verificasse. A SEC fechou esse gap.
O novo arcabouço regulatório opera sob uma lógica que os advogados corporativos chamam de disclose or explain: ou você divulga a prática, ou explica publicamente por que não a possui. Essa mecânica é mais coercitiva do que parece. Em teoria, qualquer empresa pode optar pela via da explicação. Na prática, fazer isso expõe ao escrutínio de firmas assessorando a votação, como ISS ou Glass Lewis, que penalizam a ausência de controles formais recomendando votar contra diretores. O resultado é uma pressão de mercado que atua como um mandato implícito.
A norma de cibersegurança — codificada no Item 106 do Regulation S-K — exige que as companhias descrevam seus processos para identificar e gerenciar riscos materiais, os efeitos potenciais sobre o negócio e, de forma específica, o papel do conselho na supervisão de ameaças cibernéticas. Não basta ter um comitê de auditoria que revise incidentes a posteriori. O regulador quer saber quão preparado está o conselho para antecipá-los.
Paralelo a isso, as regras de divulgação climática estabelecem um cronograma escalonado: as empresas de maior capitalização (Large Accelerated Filers) devem começar com divulgações de risco financeiro em 2025 e com emissões de gases de efeito estufa em 2026. As empresas de médio porte seguem em 2026 e 2028, respectivamente. Esse cronograma não é generoso: para muitas organizações, construir a infraestrutura de dados necessária para atender a essas exigências leva entre 18 e 36 meses.
A Pressão Recaí Direto sobre a Composição do Conselho
Aqui está o ponto que a maioria das análises sobre este tema ignora: as novas regras não apenas mudam o que é relatado, mas quem deve estar sentado à mesa para poder relatar com credibilidade.
Um conselho composto exclusivamente por executivos com perfis financeiros e operacionais tradicionais não tem a capacidade técnica de supervisionar uma estratégia de cibersegurança com o nível de detalhe que a SEC agora exige. O mesmo vale para o risco climático: um diretor que não entende a diferença entre emissões de escopo 1, 2 e 3 não pode certificar com confiança que a empresa está gerenciando adequadamente sua exposição regulatória nesse sentido.
Isso está gerando uma demanda acelerada de diretores com perfis técnicos especializados: ex-diretores de segurança da informação (CISOs), especialistas em infraestrutura energética, engenheiros com experiência em descarbonização industrial. O problema é que esse mercado de talento é estreito e caro. Recrutar um diretor com credenciais reais em cibersegurança ou risco climático tem um custo de oportunidade significativo, tanto em compensação quanto no tempo que leva para integrá-lo ao funcionamento do conselho.
As empresas que tentam resolver isso com capacitações rápidas para seus diretores atuais estão apostando que o conhecimento superficial satisfaz o padrão regulatório. É uma aposta que provavelmente não resistirá ao primeiro incidente material sob as novas regras.
A reforma também pressiona a estrutura dos comitês. Historicamente, o comitê de auditoria absorvia quase todos os temas de risco. Hoje, muitos conselhos estão criando comitês específicos de cibersegurança e de sustentabilidade, o que multiplica a carga sobre os diretores independentes e eleva os custos de funcionamento do conselho. Para uma empresa com receitas anuais abaixo de 500 milhões de dólares, esse custo estrutural pode representar entre 0,3% e 0,8% de seus gastos gerais e administrativos, segundo projeções do setor jurídico.
O Custo de Confundir Cumprimento com Estratégia
O maior risco operacional que vejo na forma como as empresas estão respondendo a essas regras é a confusão entre preencher o formulário e gerenciar o risco. Ambos os objetivos não são os mesmos, e otimizar para um pode prejudicar o outro.
Uma empresa que constrói sua divulgação de cibersegurança para satisfazer o Item 106 sem redesenhar seus processos internos de gestão de incidentes criou um passivo legal de primeira ordem: se ocorrer uma brecha, o regulador terá em mãos um documento certificado onde a empresa afirmou ter controles robustos. O dano reputacional e legal dessa brecha se multiplica pela distância entre o que foi declarado e o que existia.
O mesmo vale para o risco climático. A divulgação de emissões sem um plano de gestão crível por trás é, paradoxalmente, mais custosa do que não divulgar nada, porque transforma um risco regulatório em um risco de litígios. Os investidores institucionais com mandatos ESG já estão usando as divulgações climáticas para construir casos de negligência fiduciária contra diretores que aprovaram estratégias inconsistentes com suas próprias declarações públicas.
O presidente da SEC, Gary Gensler, articulou o objetivo do regulador com precisão: que as divulgações sejam "consistentes, comparáveis e úteis para a tomada de decisões". Essa linguagem técnica tem uma implicação direta para os conselhos: o padrão não é divulgar mais, mas divulgar com precisão suficiente para que um investidor externo possa fazer uma avaliação independente do risco. As divulgações genéricas que caracterizam boa parte das divulgações atuais não sobrevivem a esse padrão.
O Conselho como Ativo Estratégico, Não Apenas como Estrutura de Cumprimento
As empresas que estão saindo melhor posicionadas neste ambiente são aquelas que trataram as novas exigências como uma oportunidade para recalibrar a arquitetura de seus conselhos, não aquelas que contrataram um escritório externo para redigir as divulgações mínimas exigidas.
Isso implica decisões concretas: mapear as lacunas de competência técnica na junta atual, desenhar um processo de incorporação de diretores com critérios atualizados e construir um mecanismo de reporte interno que gere os dados que o conselho precisa para supervisionar cibersegurança e risco climático com frequência trimestral, não anual. O processo de divulgação à SEC deve ser o último passo desse sistema, não o primeiro.
As companhias que investirem nessa infraestrutura de governança antes que os prazos de cumprimento as obriguem terão uma vantagem estrutural: seus conselhos estarão melhor equipados para detectar riscos antes que se tornem materiais, o que reduz a probabilidade de incidentes e, com isso, os custos de litígios, resposta e danos reputacionais associados. O arcabouço regulatório da SEC, com todas as suas fricções de implementação, está acelerando uma diferenciação entre empresas que governam com dados e empresas que governam com documentos.
