Sua empresa está gerenciando os riscos nas redes?

As plataformas de mídia social são inestimáveis para conectar empresas com seus clientes, a comunidade financeira e a mídia. O compartilhamento de informações nas mídias sociais pode reduzir a assimetria de informações entre as empresas e seus stakeholders em tempo hábil. No entanto, vários fatores, incluindo falta de planejamento, controles e treinamento, combinados com a imprevisibilidade do comportamento online, podem expor as empresas a riscos consideráveis. Nossa pesquisa descobriu que os gestores da empresa e os auditores internos não têm conhecimento suficiente desses riscos e devem ter um papel mais ativo na regulação e monitoramento da atividade de mídia social.

Postagens imprudentes e supervisão negligente da mídia social podem causar sérios danos à reputação de uma empresa, desencadear investigações por reguladores, prejudicar relacionamentos de longo prazo e introduzir ameaças à segurança cibernética. É claro que empresas e indivíduos podem tentar ser seletivos sobre as divulgações que fazem nas mídias sociais e evitar twittar informações negativas. A questão é que mesmo postagens positivas e bem-intencionadas podem levar a resultados negativos.

Em 2012, por exemplo, a Comissão de Valores Mobiliários dos EUA (SEC) derrubou o CEO da Netflix, Reed Hastings, por postar informações em sua conta pessoal do Facebook sobre os impressionantes números de streaming de vídeo da empresa. No dia seguinte ao post de Hastings, a Netflix viu um aumento de 700% no volume de negócios e um salto de 20% no preço de suas ações. Embora as informações que Reed postou no Facebook tenham se mostrado corretas, os investidores que não o seguiram ficaram de fora. Em resposta, a SEC (CVM americana) emitiu novas diretrizes para o uso de mídia social: as empresas agora são obrigadas a notificar os investidores com antecedência sobre quais canais de informação planejam usar para distribuir informações importantes.

Apesar do maior escrutínio, o comportamento de risco online ontinua a ser um grande problema. Em 2018, por exemplo, o CEO da Tesla, Elon Musk, tuitou que a empresa de carros elétricos (cujas ações estavam tendo um desempenho ruim) estava em negociações para fechar capit. A resposta do mercado foi rápida: no dia seguinte, o preço das ações da Tesla disparou 11%. A SEC passou a acusar Musk de fazer declarações falsas e enganosas, o que resultou em uma queda de 14% no preço das ações. Vários acionistas processaram a Tesla e Musk por manipulação intencional do preço das ações.

Dados os riscos inerentes, as empresas precisam se tornar mais disciplinadas sobre suas atividades de mídia social e monitorá-las mais de perto. Em uma pesquisa que realizamos por meio de capítulos regionais de uma organização profissional para auditores internos nos Estados Unidos, descobrimos que muitas organizações não estão totalmente cientes dos riscos ou não estão adequadamente preparadas para gerenciá-los.

Neste artigo, examinamos as práticas atuais de auditoria interna na avaliação e monitoramento de risco de mídia social, prestando atenção especial aos desafios que os auditores enfrentam no monitoramento de mídia social e como eles podem se adaptar e assumir mais responsabilidade.

Quase dois terços dos 103 entrevistados de nossa pesquisa tinham mais de dez anos de experiência em auditoria interna e 72% trabalhavam em nível de supervisor ou superior. No entanto, apesar dos apelos para que as empresas estejam mais atentas à forma como usam as mídias sociais 9 e para que os auditores internos se envolvam mais, 10 descobrimos que as empresas e os auditores internos têm um longo caminho a percorrer para entender os vários riscos.

Criar regras para divulgações em mídia social

Desde 2013, a SEC exige que as empresas notifiquem os investidores sobre quais meios de comunicação e meios de comunicação (incluindo sites de mídia social) eles usarão para publicar informações. A SEC não autoriza o uso de contas pessoais de mídia social para divulgar informações da empresa.

Dos auditores internos que pesquisamos, apenas 56% sabiam que a SEC agora considera os sites de mídia social corporativa um canal de informação reconhecido; 46% sabiam que sites pessoais de mídia social estão fora dos limites para a distribuição de informações de investidores. No entanto, apenas 24% indicaram que sua empresa teve discussões políticas internas sobre mídia social e o Regulamento FD, a regra da SEC que exige divulgação justa por empresas de capital aberto.

Quase todos os entrevistados disseram que sua empresa divulga informações financeiras e não financeiras importantes em seu site. Menos de 10% disseram que sua empresa usa as mídias sociais para divulgar informações financeiras, enquanto 30% a 40% divulgam informações não financeiras nas mídias sociais. Quase um terço (27%) dos entrevistados indicaram que sua empresa notificou os investidores de que as informações da empresa são divulgadas nas mídias sociais; 47% não sabiam se os investidores são notificados.

Proteger-se contra risco reputacional

Além de garantir a divulgação justa de informações importantes, as práticas de gerenciamento de risco também podem proteger as empresas dos riscos reputacionais que surgem nas mídias sociais de eventos como comentários críticos de clientes e publicidade negativa. Os riscos de reputação podem prejudicar a competitividade de uma empresa, a atratividade para os investidores, o relacionamento com clientes e outras partes interessadas e a legitimidade percebida.

Dos auditores pesquisados, 67% expressaram preocupação de que sua empresa possa algum dia sofrer danos à reputação devido ao uso de mídia social, mas apenas 42% indicaram que sua empresa tem iniciativas de monitoramento de mídias sociais em busca de ameaças à reputação.

Gerenciar riscos cibernéticos

Os fatores que geram maiores preocupações com a segurança cibernética são bem conhecidos. O aumento dramático no volume de dados, expansão de tecnologia, novos modelos de negócios e um número crescente de invasores motivados aumentaram a necessidade de as empresas monitorarem mais de perto os pontos de acesso digitais dos negócios. A gerência precisa esclarecer as funções e responsabilidades dos departamentos de tecnologia da informação (TI), marketing e auditoria interna para lidar com essas vulnerabilidades.

Limitar o número de contas de mídia social corporativas e individuais oferece aos criminosos em potencial menos pontos de acesso aos sistemas da empresa. Cerca de 46% dos entrevistados da nossa pesquisa disseram que sua empresa aconselha os funcionários a buscarem autorização de seu departamento antes de se envolverem com determinados sites de mídia social; 55% disseram saber quais departamentos se envolvem nas mídias sociais em nome da empresa, mas apenas 37% conseguiram identificar funcionários específicos com acesso a essas contas. Fechar o gap de conhecimento facilita a avaliação dos riscos de segurança.

Outra maneira de gerenciar riscos cibernéticos é bloquear o acesso a sites de mídia social como Facebook, Twitter, Instagram e LinkedIn. Uma parcela relativamente pequena dos entrevistados (18%) disse que trabalha em uma organização que limita o acesso dos funcionários às mídias sociais em seus computadores de trabalho. Os auditores internos precisam estar cientes dos possíveis pontos de entrada e de quaisquer listas de bloqueio usadas pela empresa para avaliar adequadamente os riscos de segurança cibernética.

Estabelecer políticas e procedimentos

Em 2010, a Isaca (anteriormente conhecida como Information Systems Audit and Control Association), uma associação profissional internacional focada em governança de TI, instou os membros a desenvolver políticas sobre como organizações e funcionários devem se comportar online. 15 A Isaca, a SEC e os reguladores do setor, como a Financial Industry Regulatory Authority (Finra), dizem que as empresas devem desenvolver estratégias de mídia social com informações de partes interessadas relevantes, incluindo liderança, marketing, recursos humanos, tecnologia da informação e jurídico. Essa estratégia deve informar as políticas e procedimentos destinados a regular e monitorar o uso das mídias sociais pelos funcionários, especialmente quando falam pela empresa.

Entre os pesquisados, 70% relataram que sua empresa possui um conjunto formal de políticas e procedimentos para como usar as mídias sociais. No entanto, menos de um quarto das organizações incluiu auditores internos no processo de criação de políticas. E nas empresas em que uma política está em vigor, apenas 75% dos entrevistados disseram que a gestão aplica a política declarada.

Auditar as mídias sociais

A Isaca, a SEC e os reguladores do setor indicam que é fundamental que a política de mídia social de uma organização inclua diretrizes sobre auditoria proativa do uso de mídia social para identificar os riscos e desenvolver controles para mitigá-los. Para fazer isso, os auditores devem estar cientes das contas de mídia social ativas, quem mantém as contas e quais funcionários têm autorização para fazer divulgações financeiras ou não financeiras em nome da empresa. Os auditores precisam de treinamento sobre como monitorar a atividade de mídia social e avaliar os riscos em um sentido amplo (identificando ameaças de nível macro ao negócio ou marca) e mais restrito (identificando ameaças de nível micro relacionadas ao comportamento de postagem de funcionários).

Conversas públicas de mídia social nos canais da empresa e tópicos de tendências vinculados à marca podem prejudicar a empresa em um sentido amplo. No entanto, o comportamento de postagem de funcionários ou mesmo do CEO pode apresentar problemas mais específicos que podem ser evitados com treinamento adequado.

Embora metade dos entrevistados tenha indicado que eles e seus colegas de departamento são capazes de avaliar os riscos gerais das mídias sociais, poucos o fazem com frequência. A maioria das empresas faz isso trimestralmente ou semestralmente e inclui isso em suas auditorias gerais de marketing.Avaliar os riscos relacionados ao comportamento de mídia social dos funcionários requer o monitoramento de várias contas corporativas e individuais e/ou o uso de análises avançadas de mídia social. A maioria dos auditores disse que acha importante monitorar as mídias sociais, mas não acredita que outros na empresa considerem isso tão importante quanto eles.

Na verdade, 65% dos entrevistados relataram que sua empresa não está auditando postagens de mídia social no momento; 27% indicaram que sua empresa ainda não está realizando auditorias, mas discutiu em reuniões; e 34% relataram que sua empresa não realizou auditorias de mídia social nem discutiu isso em reuniões. Das empresas que auditam mídias sociais, apenas 4% o fazem como parte de sua auditoria interna.

A maioria dos auditores internos que pesquisamos relatou estar confiante na capacidade deles e de seus colegas de auditar a atividade de mídia social. Eles concordaram que auditar mídias sociais requer treinamento considerável. No entanto, eles questionaram se as empresas estariam dispostas a pagar por treinamento adicional ou contratar um terceiro para monitorar as mídias sociais.

Dadas essas preocupações, os auditores internos podem precisar comunicar os riscos associados às mídias sociais ao comitê de auditoria e à alta administração. Vinte e três por cento dos entrevistados da pesquisa indicaram que fizeram alterações em seus planos de auditoria devido a preocupações com as mídias sociais, mas 67% ainda não o fizeram. Sessenta e cinco por cento indicaram que informaram o comitê de auditoria sobre os riscos; 19% discutiram o assunto com a diretoria da empresa; e 60% passaram o relatório para algum outro nível de gestão.

Passos que os gestores podem dar

À luz dos riscos que as mídias sociais apresentam, as empresas não podem se dar ao luxo de esperar pelo melhor. Gerentes e auditores responsáveis precisam ter certeza de que entendem os perigos e como se proteger. Aqui estão cinco maneiras de se preparar:

cenário regulatório em evolução. A mídia social é um novo terreno para os reguladores do governo. A administração deve estar ciente do impacto de incidentes passados na política de mídia social corporativa. Os auditores internos precisam antecipar possíveis mudanças regulatórias relacionadas à divulgação de informações financeiras e não financeiras nas mídias sociais, notificar os investidores sobre os canais oficiais de divulgação e não usar canais de mídia social para enganar intencionalmente o mercado.

1. Monitorar a reputação da empresa nas redes sociais.

A maioria dos auditores internos que pesquisamos estava preocupada com danos à reputação de suas organizações, mas poucos achavam que as empresas estavam tomando as devidas precauções. A reputação de uma empresa é tudo, e nada ameaça atrapalhar mais uma imagem bem trabalhada do que eventos e tendências imprevisíveis nas mídias sociais. As empresas precisam monitorar ativamente as mídias sociais em busca de ameaças à reputação, avaliar os riscos potenciais e ter um processo estabelecido para responder.

2. Restringir o acesso às redes sociais.

O acesso irrestrito a sites de mídia social pode criar vários pontos de entrada para os cibercriminosos acessarem os sistemas de uma empresa. Saber quais departamentos e indivíduos podem acessar as plataformas de mídia social da empresa ajudará a mitigar muitos dos riscos que identificamos. Além disso, as organizações devem treinar os funcionários para entender como o compartilhamento de informações pode facilitar o lançamento de ataques de phishing por agentes mal-intencionados.

3. Dar voz aos auditores internos na política de mídia social.

Na maioria das empresas, as mídias sociais tem sido amplamente da alçada dos departamentos de marketing e comunicação corporativa. Mas o foco desses departamentos tem sido ampliar o público e converter visitantes em clientes, não regulando ou gerenciando riscos. Os auditores internos precisam desempenhar um papel mais influente no desenvolvimento da política de mídia social.

4. Apoiar os auditores com treinamento e recursos.

A alta administração precisa reconhecer o papel crítico que os auditores internos desempenham e fornecer os recursos necessários. Isso inclui treinamento para avaliar e monitorar o risco de mídia social, software para analisar a atividade de mídia social e suporte para usar recursos externos ou consultores para monitorar o uso de mídia social.

N.do E. – No Brasil

Em 29 de janeiro de 2021, a Comissão de Valores Mobiliários (CVM) divulgou um alerta ao mercado de que a atuação nas mídias sociais com o objetivo deliberado de influir no regular funcionamento do mercado pode caracterizar ilícitos administrativos e penais. A autarquia informou estar monitorando os movimentos no mercado e as comunicações nas redes sociais, e que, na presença de indícios e conforme exige a lei, cuidará da instauração do competente processo administrativo sancionador para a apuração das responsabilidades, bem como comunicação ao Ministério Público para a devida atuação na esfera penal.O chamado “squeeze”, que pode se configurar em situações nas quais um ou mais investidores provocam artificialmente a alta do preço de valores mobiliários de maneira a causar prejuízos a terceiros ou auferir benefícios indevidos para si e outros, é uma das modalidades de manipulação à qual a CVM diz estar prestando atenção; tais estratégias podem ser tipificadas como “manipulação de preços” (inciso II, alínea “c” da Instrução CVM 8). Ela também alerta que a manipulação do mercado é passível de punição na esfera penal, conforme crime tipificado no art. 27-C da Lei 6.385/76.”