Governança
Gestão de riscos


GRI 102-15, 102-20, 102-30, 103-1, 103-2, 103-3
A Gerência de Riscos e Controles Internos da Klabin, criada em 2018, busca as melhores práticas para apoiar as unidades de negócio na análise de seus processos, com foco em controles e avaliação de riscos. Com isso, a companhia espera fortalecer a atuação preventiva e a segurança nos processos decisórios, tendo em vista o princípio da transparência e o crescimento sustentável da Klabin.
Os riscos são avaliados conforme critérios de impacto e vulnerabilidade, obedecendo à classificação da área de Gestão de Riscos e Controles Internos. Após esse processo, passam a ser gerenciados de acordo com sua criticidade. Metodologicamente, as tratativas para os riscos poderão ser: reduzir, transferir, aceitar ou explorar. Conforme a Política de Gestão de Riscos, eles são classificados em cinco categorias: estratégico, financeiro, operacional, regulatório e socioambiental.
Clique aqui e conheça a Política de Riscos na íntegra e o detalhamento da gestão de riscos na Companhia.
Principais riscos monitorados (de médio e longo prazos: 3 a 5 anos) | Ações e procedimentos para controle e mitigação |
---|---|
|
|
Além disso, o mapeamento de risco identificou dois riscos relacionados a temas de Direitos Humanos (trabalho decente na cadeia de fornecimento e discriminação). Esses riscos possuem as devidas ações de monitoramento e mitigação, sendo geridos pelas áreas diretamente relacionadas.
MONITORAMENTO CONSTANTE
Alguns riscos estão permanentemente no radar de monitoramento da Companhia devido à sua estrutura vertical de negócios, a exemplo dos riscos operacionais no processo produtivo e dos riscos cibernéticos.
Riscos operacionais no processo produtivo | |
---|---|
Associados a | Medidas de mitigação |
|
|
Riscos cibernéticos | |
Associados a | Medidas de mitigação |
O modelo de proteção adotado pela Klabin leva em consideração os potenciais ofensores à ocorrência de ataques cibernéticos:
|
Como mitigação, a Segurança da Informação da Klabin utiliza-se de padrões como ISO 270001 e a IEC 62.443 e atua nas seguintes frentes:
|
PRINCIPAIS AVANÇOS EM 2019
GRI 103-1, 103-2, 103-3
Ao longo de 2019, a atuação da área de Gestão de Riscos e Controles Internos foi marcada pelo avanço do modelo de gestão de riscos na Klabin, fundamentado em cinco pilares – Identificação, Análise, Tratamento, Monitoramento e Plano de Contingência – e orientado pela Política de Gestão de Riscos. Destacam-se ainda:
- Aprovação da avaliação de riscos feita em 2018, pela Diretoria Executiva e pelo Conselho de Administração.
- Aprovação de dez riscos de grande magnitude prioritários para monitoramento da Diretoria Executiva e do Conselho de Administração.
- Criação e aprovação da Política de Gestão de Crises junto à Diretoria Executiva.
- Sistematização do processo de gestão de riscos em plataforma online (fase de testes).
COMO É FEITO O MAPEAMENTO DE RISCOS
GRI 102-15, 103-1, 103-2, 103-3
O mapeamento de riscos, na Klabin, tem como direcionadores: prevenir perdas, antecipar eventos e evitar surpresas.
A identificação de riscos segue procedimento específico e é feita pela Gerência de Riscos e Controles Internos, em conjunto com as Diretorias, os gestores dos negócios e as áreas corporativas. Também são feitas entrevistas e/ou aplicados questionários junto aos colaboradores que possuam amplo conhecimento das respectivas áreas de atuação, para definição dos aspectos principais a serem monitorados.
Os riscos identificados são avaliados em relação à sua criticidade, que depende do grau de impacto e de vulnerabilidade definidos no procedimento interno da Gestão de Riscos. Após a determinação desses aspectos, o risco é inserido em um “mapa de calor”, com intuito de determinar sua criticidade e priorização de tratamento. O grau de criticidade pode ser baixo, médio, alto e crítico. A partir dessa etapa, o mapeamento é apresentado na Comissão de Riscos, a fim de ratificar e evidenciar os riscos prioritários para tratamento.
A Comissão de Riscos, composta por membros da Diretoria, é responsável pelo acompanhamento, avaliação e comunicação dos riscos e respectivos planos de ações, juntamente com a Gerência de Riscos e Controles Internos, em reuniões periódicas, bem como pelo encaminhamento de informações de riscos para apreciação das demais áreas da Companhia.
- Identificação: identificar os riscos e compreender as suas características.
- Análise: avaliar a criticidade dos riscos, com base no respectivo grau de Impacto e Vulnerabilidade.
- Tratamento: decidir como lidar com cada risco de forma a estruturar planos de ação.
- Monitoramento: acompanhamento e revisão dos riscos e planos de ação. Definição de indicadores.
- Plano de contingência: Planos de Contingência e Gestão de Crise.
SEGURANÇA DA INFORMAÇÃO
GRI 103-1, 103-2, 103-3, 418-1
Dentro do conceito da Indústria 4.0, a Klabin promoveu o desenho de arquitetura de tecnologia para segurança da fábrica, com foco no trânsito de informações das unidades industriais para ambiente externo com segurança. O trabalho resultou na criação do Padrão de Segurança Cibernética, que já está em testes na Unidade Monte Alegre. O recurso está previsto na concepção do projeto Puma II e em novas linhas que exigem interação com ambiente externo.
Para se adequar à Lei Geral de Proteção de Dados (Lei 13.709/2018), que entra em vigor em agosto de 2021, a Klabin realizou mapeamento de riscos relacionados a informações de colaboradores, terceiros e clientes finais que possuem dados pessoais custodiados na Klabin, a fim de garantir o sigilo desses dados. A empresa já está atuando nas implementações de controles necessários, com apoio de um escritório jurídico especializado em privacidade, para adequação à nova legislação.
Em 2019, não foram identificados e/ou registrados vazamentos ou perdas de dados de clientes da Companhia.
TREINAMENTOS SOBRE CYBERSEGURANÇA
Entendemos que o engajamento interno é fundamental para o processo de cybersegurança na Klabin. Por isso, promovemos várias iniciativas para o comprometimento dos nossos profissionais, que são acompanhadas mensalmente em reunião de indicadores. Em 2019, realizamos diversas iniciativas de treinamento e conscientização entre nossos colaboradores, com base na Política de Segurança da Informação da Companhia e na Lei Geral de Proteção de Dados (LGPD).
Um dos temas que envolveu grande parte dos colaboradores em treinamentos foi o Pishing, uma forma de fraude em que o atacante tenta extrair informações, como credenciais de login ou informações financeiras, se passando por uma entidade respeitável ou outra pessoa, seja via e-mail, mensagens instantâneas ou websites. Em 2019, contratamos uma plataforma que imitava o envio de Phishing e direcionava o usuário que era “fisgado” pela fraude simulada para um treinamento rápido sobre como identificar um e-mail de Phishing. Mais de 6 mil colaboradores foram treinados pela plataforma.
Mais de350colaboradores da área corporativa, incluindo unidades de negócio, participaram de treinamentos presenciais sobre cybersegurança. |
Mais de50pessoas do corporativo foram capacitadas em tópicos referentes à Lei Geral de Proteção de Dados. |
12temasde cybersegurança foram foco de uma campanha de conscientização destinada a todos os colaboradores. |