Publicado el lunes 12 de agosto de 2024
XBRL US comentó sobre la solicitud de la Comisión de Bolsa y Valores (SEC) en relación con el borrador de la taxonomía de divulgación de ciberseguridad (CYD) que se desarrolló para respaldar la norma final, Gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes. Los archivos de la taxonomía se incluyen aquí.
La carta de XBRL US señaló las discrepancias entre el borrador de la taxonomía y la Guía, y solicitó aclaraciones sobre los puntos de entrada de la taxonomía, las dimensiones, el etiquetado detallado de las divulgaciones narrativas y los períodos de tiempo utilizados para los bloques de texto. La carta también señaló algunos de los desafíos que los emisores encontrarán al etiquetar las divulgaciones narrativas debido a la superposición de contenido en los bloques de texto.
Leer: Guía de la taxonomía CYD del borrador 2024 de XBRL US RE y del borrador de la taxonomía CYD
Publicado el lunes 12 de agosto de 2024
XBRL US comentó sobre la solicitud de la Comisión de Bolsa y Valores (SEC) en relación con el borrador de la taxonomía de divulgación de ciberseguridad (CYD) que se desarrolló para respaldar la norma final, Gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes. Los archivos de la taxonomía se incluyen aquí.
La carta de XBRL US señaló las discrepancias entre el borrador de la taxonomía y la Guía, y solicitó aclaraciones sobre los puntos de entrada de la taxonomía, las dimensiones, el etiquetado detallado de las divulgaciones narrativas y los períodos de tiempo utilizados para los bloques de texto. La carta también señaló algunos de los desafíos que los emisores encontrarán al etiquetar las divulgaciones narrativas debido a la superposición de contenido en los bloques de texto.
Leer: Guía de la taxonomía CYD del borrador 2024 de XBRL US RE y del borrador de la taxonomía CYD
A quien corresponda:
RE: Borrador de la Taxonomía CYD 2024 y Borrador de la Guía de Taxonomía CYD
Gracias por la oportunidad de aportar información al Borrador de la Taxonomía CYD 2024 y a la Guía de Taxonomía CYD. XBRL US es una organización de estándares sin ánimo de lucro, con la misión de mejorar la eficiencia y la calidad de los informes en los EE. UU. mediante la promoción de la adopción de estándares de informes empresariales. XBRL US es una jurisdicción de XBRL International, el consorcio sin ánimo de lucro responsable de desarrollar y mantener las especificaciones técnicas de XBRL (eXtensible Business Reporting Language).
XBRL es un estándar de datos libre y abierto ampliamente utilizado en los Estados Unidos, y en más de 200 implementaciones en todo el mundo, para la presentación de informes por parte de empresas públicas y privadas, así como de agencias gubernamentales. Los miembros de XBRL US y otros organismos revisaron la taxonomía y la guía de CYD para evaluar los aspectos técnicos de la taxonomía y la facilidad con la que las entidades informantes podrían utilizarla para preparar y presentar sus presentaciones al sistema EDGAR. Esta carta proporciona nuestras observaciones y recomendaciones.
Discrepancias entre la taxonomía y la guía
Una revisión de la Taxonomía CYD en comparación con la Guía CYD identificó inconsistencias en elementos y etiquetas que deben resolverse en las versiones finales.
Elementos que se incluyen en la Guía, pero no en la Taxonomía:
● ManagementPositionorCommitteeForCybersecurityRiskReportstoBoardFlag
● CybersecurityRiskManagementStrategyAndGovernanceTextBlock
● CybersecurityManagementExpertiseTextBlock
● ProcessforInformingCommitteeorSubcomitteeAboutCybersecurityRisksTextBlock
● MaterialCybersecurityIncidentMaterialImpactOnFinancialConditionFlag
● MaterialCybersecurityIncidentMaterialImpactOnResultsOfOperationsFlag
Elementos con discrepancia de ID en comparación con la Guía:
● CybersecurityRiskBoardOversightResponsiblePartyTextBlock (in Taxonomy) vs
CybersecurityRiskBoardOversightResponsibleCommitteeOrSubcommitteeTextBlock (in Guide)
● CybersecurityRiskManagementPositionOrCommitteeResponsibleFlag (in Guide) vs
CybersecurityRiskManagementResponsiblePartyFlag (in Taxonomy)
● CybersecurityRiskResponsiblePartyTextBlock (in Taxonomy) vs
CybersecurityRiskManagementPositionOrCommitteeResponsibleTextBlock (in Guide)
Elementos con discordancia de etiqueta concisa en comparación con la Guía:
● CybersecurityRiskMateriallyAffectedOrReasonablyLikelyToAffectRegistrantFlag (etiqueta concisa en la Guía: ¿Han afectado materialmente los riesgos o es razonablemente probable que afecten materialmente al registrante? etiqueta concisa en la Taxonomía: ¿El registrante se vio materialmente afectado por los riesgos?)
● CybersecurityRiskBoardOversightResponsiblePartyTextBlock (etiqueta concisa en Guía: Comité o subcomité responsable de la supervisión del riesgo por parte de la junta directiva; etiqueta concisa en Taxonomía: Parte responsable de la supervisión del riesgo por parte de la junta)
● CybersecurityRiskManagementResponsiblePartyFlag (etiqueta concisa en la Guía: ¿Es el puesto de dirección o el comité responsable de la evaluación y gestión de riesgos? etiqueta concisa en la Taxonomía: ¿Es una parte de la dirección responsable del riesgo?)
● CybersecurityRiskResponsiblePartyTextBlock (etiqueta concisa en Guía: Posición de gestión o comité responsable de la evaluación de riesgos; etiqueta concisa en Taxonomía: Parte de la administración responsable del riesgo)
● CybersecurityIncidentMonitorAndReportToManagementProcessTextBlock (etiqueta concisa en Guide: Proceso para monitorear e informar a la gestión de incidentes; etiqueta concisa en Taxonomy: Proceso para monitorear e informar la gestión de incidentes (también tenga en cuenta el error tipográfico))
Problemas de ortografía
También se observaron los siguientes errores ortográficos:
● ID de rol: CiberseguridadGestión de riesgos y estrategiaCierre
● Etiqueta concisa de CybersecurityIncidentMonitorAndReportToManagementProcessTextBlock – «Proceso para monitorear e informar sobre incidentes»
Hay puntos de entrada separados disponibles para los informes actuales, pero no para los anuales
La taxonomía contiene puntos de entrada para 6-K y 8-K, pero no para 20-F o 10-K. Los puntos de entrada 6-K y 8-K son idénticos y traen automáticamente los puntos de entrada anuales. La aclaración en torno a esta opción en la Guía ayudaría a los emisores y a los agentes de presentación a comprender la mejor manera de trabajar con la Taxonomía.
Sugerencias sobre las dimensiones en la taxonomía
La taxonomía tiene una dimensión y el valor predeterminado de la dimensión solo está disponible en el punto de entrada Completo. Sería útil entender por qué no está disponible en los otros puntos de sub entrada. ¿Agregar la dimensión predeterminada al punto de entrada Todo la convierte en global para los subpuntos de entrada? ¿Espera la SEC que el proceso de etiquetado sea diferente si se utilizan puntos de entrada secundarios en comparación con el punto de entrada completo? Sería útil obtener más orientación sobre este asunto.
También pedimos a la Comisión que considere la posibilidad de cambiar la dimensión de explícita a dimensión tipificada. Una dimensión con tipo que requiere un miembro de cadena sería más adecuada para representar incidentes que pueden ser eventos aleatorios y que no se pueden volver a producir. Recomendamos que la Comisión incluya en la Guía consejos sobre cómo debe crearse el miembro. Por ejemplo, instamos a la Comisión a que indique que el miembro debe ser descriptivo y que los emisores no deben utilizar un número entero como miembro. Este enfoque hará que la información resultante sea más transparente.
Se necesita una aclaración en la guía relacionada con el etiquetado detallado en las divulgaciones de texto
En la página 132 de la norma final para la Gestión de Riesgos de Ciberseguridad, se indica en la nota a pie de página 487:
Los requisitos de divulgación de ciberseguridad no exigen expresamente la divulgación de ningún valor cuantitativo; Si una empresa incluye cualquier valor cuantitativo que esté anidado dentro de la discusión requerida (por ejemplo, revelar el número de días hasta la contención de un incidente de ciberseguridad), esos valores se etiquetarán individualmente en detalle, además del etiquetado de texto en bloque de las divulgaciones narrativas.
Este requisito de etiquetado detallado de los hechos dentro de las divulgaciones de ciberseguridad no se explica en la Guía y podría pasarse por alto fácilmente en la regla final. Sugerimos que la Comisión incluya explícitamente este requisito en la Guía y proporcione documentos de muestra para ilustrar a los emisores cómo se crearían y colocarían las etiquetas. Presumiblemente, muchos de estos hechos incrustados tendrían que crearse como elementos de extensión. Sería útil obtener más orientación sobre el enfoque, que se detalla en la Guía CYD.
Además, es posible que la Comisión desee añadir algunos elementos propuestos en la taxonomía que un emisor puede optar por incluir en sus divulgaciones y que tal vez deban etiquetarse detalladamente. Podría añadirse el ejemplo proporcionado en la nota a pie de página, el número de días hasta la contención de un incidente de ciberseguridad. La adición de estos elementos a la taxonomía mejoraría la coherencia de los datos notificados y reduciría la carga para las entidades declarantes que decidan utilizarlos.
Aclaración necesaria sobre los puntos utilizados para los bloques de texto
Los bloques de texto en la taxonomía están asociados con un día como período de tiempo, sin embargo, no está claro qué representa el día. Podría representar el día en que ocurrió el incidente o la fecha del informe en sí.
Por ejemplo, la fecha de informe en el formulario 8-K parece estar generalmente asociada con la fecha en que ocurrió el evento de ciberseguridad. Sin embargo, podría haber confusión si se reportan múltiples incidentes que no ocurren en la misma fecha; o si el 8-K incluye otro evento anterior para que la Fecha de Reporte no sea la misma fecha en que ocurrió el incidente de ciberseguridad; o si se emite un Formulario 8-K para dar seguimiento a un incidente de ciberseguridad reportado anteriormente. Es necesario aclarar para garantizar que los datos se comprendan y sean comparables entre las entidades.
Desafíos en el etiquetado de divulgaciones
Varios proveedores de servicios que contribuyeron a esta carta señalaron que han etiquetado múltiples informes de ciberseguridad para evaluar la facilidad del etiquetado. Uno de los desafíos encontró una superposición significativa en las narrativas de los elementos de la taxonomía. Por ejemplo, un solo párrafo puede contener información que se usaría para más de una etiqueta de bloque de texto. Una sola sección de texto puede contener información parcial que podría ser representada por un elemento que luego se explica más adelante en el texto. XBRL tiene la capacidad de permitir «continuaciones» para que se puedan unir secciones separadas de texto para un solo elemento que probablemente sea necesario para etiquetar estas divulgaciones.
Dicho esto, la gran superposición de información puede dar lugar a que un solo bloque de información se etiquete varias veces con diferentes elementos, y/o a un uso extensivo de continuaciones que pueden ser difíciles de preparar y dar lugar a datos difíciles de extraer y utilizar.
Pedimos a la Comisión que proporcione orientación en este ámbito para ayudar a los emisores y proveedores de servicios, y para garantizar que los datos comunicados sean útiles.
Gracias de nuevo por la oportunidad de aportar información a la Taxonomía CYD. Estoy disponible para discutir nuestras observaciones más a fondo o para responder cualquier pregunta que pueda tener.
Sinceramente
Campbell Pryde
President and CEO, XBRL US
Publicado originalmente: https://xbrl.us/news/xbrlus-comment-cyd-taxonomy/