Governança

Gestão de riscos

GRI 102-15, 102-20, 102-30, 103-1, 103-2, 103-3

A Gerência de Riscos e Controles Internos da Klabin, criada em 2018, busca as melhores práticas para apoiar as unidades de negócio na análise de seus processos, com foco em controles e avaliação de riscos. Com isso, a companhia espera fortalecer a atuação preventiva e a segurança nos processos decisórios, tendo em vista o princípio da transparência e o crescimento sustentável da Klabin.

Os riscos são avaliados conforme critérios de impacto e vulnerabilidade, obedecendo à classificação da área de Gestão de Riscos e Controles Internos. Após esse processo, passam a ser gerenciados de acordo com sua criticidade. Metodologicamente, as tratativas para os riscos poderão ser: reduzir, transferir, aceitar ou explorar. Conforme a Política de Gestão de Riscos, eles são classificados em cinco categorias: estratégico, financeiro, operacional, regulatório e socioambiental.

Clique aqui e conheça a Política de Riscos na íntegra e o detalhamento da gestão de riscos na Companhia.

Principais riscos monitorados (de médio e longo prazos: 3 a 5 anos) Ações e procedimentos para controle e mitigação
  • Execução da estratégia de negócios
  • Manutenção da atividade operacional
  • Cobertura de seguros dos ativos
  • Decisões de processos judiciais
  • Preços de insumos
  • Cumprimento da legislação ambiental
  • Novas tecnologias
  • Aprovação junto à Administração do Plano Orçamentário com acompanhamento, quando oportuno;
  • Procedimentos de manutenção contínua e preventiva dos ativos, incluindo Paradas Gerais das fábricas e desenvolvimento constante dos colaboradores;
  • Apólices de seguros ativas para os ativos e lucros cessantes (parcial);
  • Procedimento formal de atualização de contingências junto aos assessores jurídicos;
  • Desenvolvimento de fornecedores, sem haver concentração, em processo formal de cotação e alçadas de aprovação;
  • Área de Planejamento & Desenvolvimento para acompanhamento das estratégias e do mercado em que a Companhia atua;
  • Auditoria Interna para revisão e acompanhamento dos processos da Companhia, em conjunto com a área de Integridade;
  • Conselho Fiscal instaurado, eleito por assembleia, para defesa dos direitos dos acionistas.

Além disso, o mapeamento de risco identificou dois riscos relacionados a temas de Direitos Humanos (trabalho decente na cadeia de fornecimento e discriminação). Esses riscos possuem as devidas ações de monitoramento e mitigação, sendo geridos pelas áreas diretamente relacionadas.

MONITORAMENTO CONSTANTE

Alguns riscos estão permanentemente no radar de monitoramento da Companhia devido à sua estrutura vertical de negócios, a exemplo dos riscos operacionais no processo produtivo e dos riscos cibernéticos.

Riscos operacionais no processo produtivo
Associados a Medidas de mitigação
  • Utilização de químicos na produção;
  • Armazenamento e descarte de resíduos químicos;
  • Explosões, incêndios, desgastes decorrentes do tempo e da exposição às intempéries e desastres naturais;
  • Potenciais falhas mecânicas, tempo necessário para manutenção ou reparos não programados, interrupções no transporte, correções, vazamento de produtos químicos e outros riscos ambientais.
  • Monitoramento das atividades críticas como protocolos de saúde, segurança e ambiental, monitoramento da rede elétrica e respectivas cargas de tensão, tratamento de efluentes;
  • Definição de planos de ação e controles, quando aplicáveis, além do monitoramento periódico da Gerência de Riscos e Controle Internos e da Auditoria Interna;
  • Procedimentos de manutenção contínua e preventiva dos ativos, incluindo paradas anuais das fábricas e desenvolvimento constante dos colaboradores;
  • Apólices de seguros ativas para os ativos e lucros cessantes (parcial);
  • Área de Planejamento & Desenvolvimento para acompanhamento das estratégias e do mercado em que a Klabin atua.
Riscos cibernéticos
Associados a Medidas de mitigação
O modelo de proteção adotado pela Klabin leva em consideração os potenciais ofensores à ocorrência de ataques cibernéticos:

  • Insiders (colaboradores, prestadores de serviço etc.), seja por uso indevido acidental ou deliberado (por exemplo, quando ameaçado por terroristas ou criminosos);
  • Terroristas que estão interessados ​​em obter e usar informações sensíveis para promover um ataque convencional;
  • Concorrentes desleais de negócios e serviços de inteligência, interessados ​​em obter uma vantagem econômica para suas empresas ou países;
  • Cyber criminosos interessados ​​em ganhar dinheiro com fraudes ou com a venda de informações valiosas;
  • Hackers de vírus que consideram interferir nos sistemas das empresas, apenas por um desafio pessoal ou coletivo;
  • Cybewar: hackers que têm grande quantidade de recursos à sua disposição, devido ao apoio estatal e são qualificados;
  • Hacktivistas que têm uma causa para lutar (como motivos políticos ou ideológicos);
  • Crime organizado que está buscando obter resgate (ramsonware).
Como mitigação, a Segurança da Informação da Klabin utiliza-se de padrões como ISO 270001 e a IEC 62.443 e atua nas seguintes frentes:

  • Segurança de perímetro: tecnologia para reforçar as soluções de segurança de borda (primeira proteção do mundo externo) e segregação da infraestrutura.
  • Segurança de rede: soluções para monitoração e gerenciamento de rede contemplando a proteção contra ameaças, acesso seguro e controlado, filtro de conteúdo e segregação do ambiente.
  • Segurança de ponto final (endpoint): proteção dos servidores, estações de trabalho, smartphones e tablets contra  ameaças avançadas.
  • Segurança de aplicação: proteção das aplicações críticas.
  • Segurança de dados: tecnologia para proteção das informações críticas durante todo o ciclo de vida, bem como no local onde elas se encontram.
  • Monitoramento e resposta: processo responsável pela monitoração das tecnologias e processo de segurança da informação através da gestão de incidentes, indicadores de desempenho e análise forense.
  • Prevenção e gerenciamento: baseado na gestão de riscos, governança, arquitetura, treinamento, conscientização e compliance.
  • Gestão de patch, ameaças avançadas e prevenção e resposta a incidentes com atuação em cybersegurança e Hardening.
  • Segurança de acesso: responsável pelo ciclo de vida dos acessos dos usuários, contas de serviços, administrativas e cofre de senhas.

Veja mais em Segurança da informação, neste capítulo.

PRINCIPAIS AVANÇOS EM 2019

GRI 103-1, 103-2, 103-3

Ao longo de 2019, a atuação da área de Gestão de Riscos e Controles Internos foi marcada pelo avanço do modelo de gestão de riscos na Klabin, fundamentado em cinco pilares – Identificação, Análise, Tratamento, Monitoramento e Plano de Contingência – e orientado pela Política de Gestão de Riscos. Destacam-se ainda:

  • Aprovação da avaliação de riscos feita em 2018, pela Diretoria Executiva e pelo Conselho de Administração.
  • Aprovação de dez riscos de grande magnitude prioritários para monitoramento da Diretoria Executiva e do Conselho de Administração. 
  • Criação e aprovação da Política de Gestão de Crises junto à Diretoria Executiva.
  • Sistematização do processo de gestão de riscos em plataforma online (fase de testes).

COMO É FEITO O MAPEAMENTO DE RISCOS

GRI 102-15, 103-1, 103-2, 103-3

O mapeamento de riscos, na Klabin, tem como direcionadores: prevenir perdas, antecipar eventos e evitar surpresas.

A identificação de riscos segue procedimento específico e é feita pela Gerência de Riscos e Controles Internos, em conjunto com as Diretorias, os gestores dos negócios e as áreas corporativas. Também são feitas entrevistas e/ou aplicados questionários junto aos colaboradores que possuam amplo conhecimento das respectivas áreas de atuação, para definição dos aspectos principais a serem monitorados. 

Os riscos identificados são avaliados em relação à sua criticidade, que depende do grau de impacto e de vulnerabilidade definidos no procedimento interno da Gestão de Riscos. Após a determinação desses aspectos, o risco é inserido em um “mapa de calor”, com intuito de determinar sua criticidade e priorização de tratamento. O grau de criticidade pode ser baixo, médio, alto e crítico. A partir dessa etapa, o mapeamento é apresentado na Comissão de Riscos, a fim de ratificar e evidenciar os riscos prioritários para tratamento.

A Comissão de Riscos, composta por membros da Diretoria, é responsável pelo acompanhamento, avaliação e comunicação dos riscos e respectivos planos de ações, juntamente com a Gerência de Riscos e Controles Internos, em reuniões periódicas, bem como pelo encaminhamento de informações de riscos para apreciação das demais áreas da Companhia.

 

 

 

  • Identificação: identificar os riscos e compreender as suas características.
  • Análise: avaliar a criticidade dos riscos, com base no respectivo grau de Impacto e Vulnerabilidade.
  • Tratamento: decidir como lidar com cada risco de forma a estruturar planos de ação.
  • Monitoramento: acompanhamento e revisão dos riscos e planos de ação. Definição de indicadores.
  • Plano de contingência: Planos de Contingência e Gestão de Crise.

SEGURANÇA DA INFORMAÇÃO

GRI 103-1, 103-2, 103-3, 418-1

Dentro do conceito da Indústria 4.0, a Klabin promoveu o desenho de arquitetura de tecnologia para segurança da fábrica, com foco no trânsito de informações das unidades industriais para ambiente externo com segurança. O trabalho resultou na criação do Padrão de Segurança Cibernética, que já está em testes na Unidade Monte Alegre. O recurso está previsto na concepção do projeto Puma II e em novas linhas que exigem interação com ambiente externo. 

Para se adequar à Lei Geral de Proteção de Dados (Lei 13.709/2018), que entra em vigor em agosto de 2021, a Klabin realizou mapeamento de riscos relacionados a informações de colaboradores, terceiros e clientes finais que possuem dados pessoais custodiados na Klabin, a fim de garantir o sigilo desses dados. A empresa já está atuando nas implementações de controles necessários, com apoio de um escritório jurídico especializado em privacidade, para adequação à nova legislação.

Em 2019, não foram identificados e/ou registrados vazamentos ou perdas de dados de clientes da Companhia. 

TREINAMENTOS SOBRE CYBERSEGURANÇA

Entendemos que o engajamento interno é fundamental para o processo de cybersegurança na Klabin. Por isso, promovemos várias iniciativas para o comprometimento dos nossos profissionais, que são acompanhadas mensalmente em reunião de indicadores. Em 2019, realizamos diversas iniciativas de treinamento e conscientização entre nossos colaboradores, com base na Política de Segurança da Informação da Companhia e na Lei Geral de Proteção de Dados (LGPD).

Um dos temas que envolveu grande parte dos colaboradores em treinamentos foi o Pishing, uma forma de fraude em que o atacante tenta extrair informações, como credenciais de login ou informações financeiras, se passando por uma entidade respeitável ou outra pessoa, seja via e-mail, mensagens instantâneas ou websites. Em 2019, contratamos uma plataforma que imitava o envio de Phishing e direcionava o usuário que era “fisgado” pela fraude simulada para um treinamento rápido sobre como identificar um e-mail de Phishing. Mais de 6 mil colaboradores foram treinados pela plataforma.

Mais de

350

colaboradores da área corporativa, incluindo unidades de negócio, participaram de treinamentos presenciais sobre cybersegurança.

Mais de

50

pessoas do corporativo foram capacitadas em tópicos referentes à Lei Geral de Proteção de Dados.

12

temas

de cybersegurança foram foco de uma campanha de conscientização destinada a todos os colaboradores.