É hora de identificar melhor o custo dos riscos de segurança cibernética em negociações de M&A
Na última década, uma série de questões de cibersegurança de alto perfil surgiram durante os mega-fusões e aquisições, aumentando as preocupações entre os executivos corporativos.
Em 2017, Yahoodivulgou três violações de dados durante sua negociação para vender seu negócio na Internet para a Verizon [Divulgação: VerizonMedia é a empresa-mãe da TechCrunch]. Como resultado das divulgações, a Verizon subsequentemente reduziu seu preço de compra em $ 350 milhões, aproximadamente 7% do preço de compra, com os vendedores assumindo 50% de qualquer responsabilidade futura decorrente das violações de dados.
Embora as consequências das ameaças cibernéticas tenham sido sentidas profundamente pelos acionistas do Yahoo e amplamente cobertas pelas notícias, foi um evento extraordinário que causou espanto entre os praticantes de fusões e aquisições, mas não transformou fundamentalmente as práticas padrão de fusões e aquisições. No entanto, devido ao alto custo potencial das ameaças cibernéticas e à alta frequência de incidentes, os adquirentes precisam encontrar métodos mais abrangentes e convenientes para lidar com esses riscos.
Hoje, à medida que as conversas sobre questões de segurança cibernética aceleram durante um processo de M&A, os executivos corporativos e profissionais de M&A apontam para processos aprimorados e serviços terceirizados para identificar e prevenir problemas de segurança. Apesar da maior conscientização entre os executivos financeiros e de uma gama maior de soluções terceirizadas para lidar com ameaças de segurança cibernética, os adquirentes continuam a relatar um número crescente de incidentes de segurança cibernética em alvos adquiridos, muitas vezes depois que o alvo já foi adquirido. Apesar disso, os adquirentes continuam a se concentrar nas atividades de devida diligência em finanças, jurídico, vendas e operações e normalmente veem a segurança cibernética como uma área auxiliar.
Embora ameaças cibernéticas passadas ou potenciais não sejam mais ignoradas no processo de devida diligência, o fato de que as violações de dados ainda estão aumentando e podem causar um impacto financeiro negativo que será sentido muito depois do fechamento do negócio destaca uma maior necessidade de os adquirentes continuarem a melhorar sua abordagem e lidar com ameaças cibernéticas.
A atual falta de foco nas questões de cibersegurança pode ser parcialmente atribuída à dinâmica do mercado de M&A. A maioria das empresas de médio porte (que constituem a maioria nominal das transações de F&A) normalmente será vendida em um processo de leilão em que um banco de investimento é contratado pelo vendedor para maximizar o valor, promovendo uma dinâmica competitiva entre licitantes interessados. Para aumentar a competitividade, os banqueiros normalmente conduzem um processo de negociação o mais rápido possível. Sob restrições de tempo apertadas, os compradores são forçados a priorizar suas atividades de due diligence ou correr o risco de ficar para trás em um processo de negócio.
Um processo de negociação típico para uma empresa privada se moverá da seguinte forma:
- Os banqueiros de investimento da empresa vendedora entram em contato com compradores em potencial, fornecendo um memorando de informações confidenciais (CIM), que contém informações resumidas sobre o histórico, as operações e o desempenho financeiro histórico e projetado de uma empresa. Os compradores em potencial normalmente recebem de três a seis semanas para revisar os materiais antes de decidirem seguir em frente. A menos que haja um problema de segurança cibernética conhecido anteriormente, um CIM normalmente não abordará problemas de segurança cibernética atuais ou potenciais.
- Após o período de revisão inicial, são devidas indicações de interesse (IOI) de todos os licitantes interessados, que serão solicitados a indicar a avaliação e a estrutura do negócio (dinheiro, estoque, etc.).
- Depois que os IOIs forem enviados, o banqueiro de investimento trabalhará com os vendedores para selecionar os melhores licitantes. Os principais critérios avaliados incluem avaliação, bem como outras considerações, como tempo, certeza de fechamento e credibilidade do comprador para concluir a transação.
- Os licitantes selecionados para seguir em frente normalmente recebem quatro a seis semanas após a data de IOI para se aprofundar em questões-chave de diligência, revisar informações na sala de dados do vendedor, conduzir uma apresentação de gerenciamento ou perguntas e respostas com o gerenciamento do alvo e realizar visitas ao local. Este é o primeiro estágio em que os problemas de segurança cibernética podem ser resolvidos de forma mais eficiente.
- A Carta de Intenções é devida, quando os licitantes reafirmam a avaliação e propõem períodos de exclusividade em que um licitante é selecionado em regime de exclusividade para concluir sua diligência devida e fechar o negócio.
- Uma vez que a LOI é assinada, os licitantes normalmente têm 30-60 dias para concluir a negociação dos contratos definitivos que descreverão em detalhes todos os termos de uma aquisição. Nesse estágio, os adquirentes têm outra oportunidade de abordar questões de cibersegurança, muitas vezes usando recursos de terceiros, com o benefício de investir despesas significativas com a maior certeza proporcionada pelo período de exclusividade. O grau em que os recursos de terceiros são direcionados à segurança cibernética em relação a outras prioridades varia muito, mas, de modo geral, a segurança cibernética não é um item de alta prioridade.
- O fechamento ocorre simultaneamente com a assinatura de contratos definitivos ou, em outros casos, o fechamento ocorre após a assinatura, muitas vezes devido a aprovações regulatórias. Em ambos os casos, uma vez que um acordo é assinado e todos os termos-chave são determinados, os compradores não podem mais desistir unilateralmente de um acordo.
Nesse processo, os adquirentes devem equilibrar os recursos internos para avaliar completamente uma meta com rapidez suficiente para se manterem competitivos. Ao mesmo tempo, os principais tomadores de decisão em uma transação de M&A tenderão a vir das áreas financeira, jurídica, estratégica ou operacional e raramente terão experiência significativa em TI ou cibersegurança. Com tempo limitado e pouca experiência em segurança cibernética, as equipes de M&A tendem a se concentrar em áreas transacionais mais urgentes do processo de negociação, incluindo a negociação dos principais termos de negócios, análise de tendências de mercado e negócios, contabilidade, financiamento de dívidas e aprovações internas. Com apenas 2 a 3 meses para avaliar uma transação antes de assiná-la, a segurança cibernética normalmente recebe apenas uma quantidade limitada de foco.
Quando as questões de segurança cibernética são avaliadas, elas dependem fortemente de divulgações do fornecedor sobre questões anteriores e controles internos em vigor. Obviamente, os vendedores não podem divulgar o que não sabem, e a maioria das organizações ignora os invasores que podem já estar em suas redes ou vulnerabilidades significativas que desconhecem. Infelizmente, essa avaliação é uma conversa unilateral que depende de divulgações verdadeiras e abrangentes dos vendedores, emprestando um novo significado à frase caveat emptor . Por esse motivo, não é por acaso que uma pesquisa recente com profissionais de TI da Forescout mostrou que 65% dos entrevistados expressaram remorso do comprador devido a questões de cibersegurança. Apenas 36% dos entrevistados acharam que tinham tempo adequado para avaliar as ameaças à segurança cibernética.
Embora a maioria dos processos de M&A não priorize a segurança cibernética, os processos de M&A geralmente se concentram diretamente nos problemas de segurança cibernética quando ocorrem problemas conhecidos durante ou antes de um processo de M&A. No caso da aquisição do Yahoo pela Verizon, a divulgação de três grandes violações de dados levou a uma redução significativa do preço de compra, bem como mudanças em termos-chave, incluindo estipulações de que o vendedor arcaria com metade dos custos de quaisquer responsabilidades futuras decorrentes desses violações de dados. Em abril de 2019, a Verizon e a parte do Yahoo que não foi adquirida acabariam dividindo um acordo de US $ 117 milhões pela violação de dados. Em um exemplo mais recente, a aquisição da Asco pela Spirit AeroSystems está pendente desde 2018, com um fechamento atrasado em grande parte devido a um ataque de ransomware à Asco. Em junho de 2019,
Tanto no caso da Spirit quanto nas aquisições da Verizon, as questões de segurança cibernética foram amplamente tratadas por meio de avaliação e estrutura de negócios, o que limita as perdas financeiras, mas faz pouco para evitar problemas futuros para um comprador, incluindo perda de confiança entre clientes e investidores. Semelhante às aquisições da Spirit e da Verizon, os adquirentes normalmente utilizam elementos estruturais de um negócio para limitar as perdas econômicas. Vários mecanismos e estruturas – incluindo representações, garantias, indenizações e compras de ativos – podem ser utilizados para transferir efetivamente os passivos econômicos diretos de uma questão identificável de cibersegurança. No entanto, eles não podem compensar a perda maior que ocorreria por risco de reputação ou perda de segredos comerciais importantes.
O que os exemplos do Spirit e da Verizon demonstram é que há um valor quantificável associado ao risco de segurança cibernética. Os adquirentes que não avaliam ativamente suas metas de M&A estão potencialmente introduzindo um risco em suas transações sem uma mitigação. Dado um cronograma limitado e a natureza inerentemente opaca dos problemas de segurança cibernética de um alvo, os adquirentes se beneficiariam muito com soluções terceirizadas que não exigiriam nenhuma dependência ou contribuição de um alvo.
Idealmente, o escopo de tal avaliação revela deficiências até então desconhecidas na segurança do alvo e na exposição de sistemas de negócios e ativos essenciais, incluindo dados e segredos da empresa ou propriedade intelectual. Sem esse conhecimento, os adquirentes entram em negócios parcialmente cegos. Obviamente, a prática recomendada do setor é reduzir o risco. Adicionar essa medida de avaliação de segurança cibernética é uma prática excelente hoje e provavelmente um requisito obrigatório no futuro.
