GOBERNANZA

Gestión de riesgos

GRI 102-15, 102-20, 102-30, 103-1, 103-2, 103-3

La Gerencia de Riesgos y Controles Internos de Klabin, creada en 2018, busca mejores prácticas para apoyar a las unidades de negocio en el análisis de sus procesos con un enfoque en los controles y la evaluación de riesgos. Con esto, la Compañía espera fortalecer la actuación preventiva y la seguridad en los procesos de toma de decisiones, teniendo en cuenta el principio de transparencia y crecimiento sostenible de Klabin.

Los riesgos se evalúan de acuerdo con criterios de impacto y vulnerabilidad, según la clasificación del área de Gestión de riesgos y controles internos. Después de este proceso, pasan a gestionarse de acuerdo con su criticidad. Metodológicamente, el tratamiento de los riesgos puede ser: reducir, transferir, aceptar o explorar. De acuerdo con la Política de gestión de riesgos, se clasifican en cinco categorías: estratégica, financiera, operativa, regulatoria y socioambiental.

Haga clic aquí y conozca la Política de riesgos en su totalidad y los detalles de la gestión de riesgos en la Compañía

Principales riesgos monitoreados (de medio y de largo plazo: 3 a 5 años) Acciones y procedimientos para control y mitigación
  • Ejecución de la estrategia de negocios
  • Mantenimiento de la actividad operativa
  • Cobertura de seguros de activos
  • Decisiones de procedimientos judiciales
  • Precios de insumos
  • Cumplimiento de la legislación ambiental
  • Nuevas tecnologías
  • Aprobación con la Administración del Plan Presupuestario con seguimiento, cuando procede;
  • Procedimientos de mantenimiento continuo y preventivo de los activos, incluyendo paradas generales de plantas y desarrollo constante de los empleados;
  • Políticas activas de seguros para los activos y pérdida de beneficios (parcial);
  • Procedimiento formal de actualización de contingencias con asesores legales;
  • Desarrollo de proveedores, sin concentración, en proceso formal de cotización y liberación de aprobación;
  • Área de Planificación y Desarrollo para el seguimiento de las estrategias y del mercado en el que la Compañía se desempeña;
  • Auditoría Interna para revisar y monitorear los procesos de la Compañía en conjunto con el área de Integridad;
  • Consejo Fiscal establecido, elegido por asamblea para defender los derechos de los accionistas.

Además, el mapeo de riesgo identificó dos riesgos relacionados con cuestiones de Derechos Humanos (trabajo decente en la cadena de suministro y discriminación). Estos riesgos tienen acciones adecuadas de monitoreo y mitigación debidas que están siendo administradas por las áreas directamente relacionadas.

Monitoreo constante

Algunos riesgos están permanentemente en el radar de monitoreo de la Compañía debido a su estructura vertical de negocios, como de los riesgos operativos en el proceso de producción y de los riesgos cibernéticos.

Riesgos operativos en el proceso productivo
asociados con medidas de mitigación
  • Uso en la producción de químicos;
  • Almacenamiento y eliminación de residuos químicos;
  • Explosiones, incendios, desgaste derivados del clima y de la exposición a la intemperie y desastres naturales;
  • Posibles fallas mecánicas, tiempo necesario para el mantenimiento o las reparaciones no programadas, interrupciones de transporte, correcciones, fugas de productos químicos y otros peligros ambientales.
  • Seguimiento de las actividades críticas como protocolos de salud, seguridad y medio ambiente, monitoreo de la red eléctrica y respectivas cargas de tensión, tratamiento de efluentes;
  • Definición de planes de acción y controles cuando proceda, además del monitoreo periódico de la Gestión de riesgos y Control interno y de la Auditoría interna;
  • Procedimientos de mantenimiento continuo y preventivo de los activos, incluyendo paradas anuales de las fábricas y desarrollo constante de los empleados;
  • Políticas activas de seguros para los activos y pérdida de beneficios (parcial);
  • Área de Planificación y Desarrollo para el seguimiento de las estrategias y del mercado en el que Klabin actúa.
Riesgos cibernéticos
asociados con medidas de mitigación
El modelo de protección adoptado por Klabin tiene en cuenta a los posibles ofensores a la ocurrencia de ataques cibernéticos:

  • Insiders (empleados, proveedores de servicios, etc.), ya sea por uso indebido accidental o deliberado (por ejemplo, cuando son amenazados por terroristas o criminales);
  • Terroristas que están interesados ​en obtener y utilizar información sensible para promover un ataque convencional;
  • Competidores desleales de negocios y servicios de inteligencia, interesados​en obtener una ventaja económica para sus empresas o países;
  • Ciberdelincuentes interesadosen ganar dinero con fraude o mediante la venta de información valiosa;
  • Hackers de virus que consideran interferir en los sistemas de las empresas, solo por un desafío personal o colectivo;
  • Cybewar: hackers que tienen una gran cantidad de recursos a su disposición debido al apoyo estatal y son calificados;
  • Hacktivistas que tienen una causa para luchar (como motivos políticos o ideológicos);
  • Crimen organizado que está buscando obtener un rescate (ramsonware).
Como mitigación, la Seguridad de la Información de Klabin utiliza normas como ISO 270001 e IEC 62.443 y actúa en los siguientes frentes:

  • Seguridad de perímetro: tecnología para fortalecer las soluciones de seguridad de borde (primera protección del mundo exterior) y la segregación de la infraestructura.
  • Seguridad de red: soluciones para el monitoreo y la gestión de redes que cubren la protección contra amenazas, el acceso seguro y controlado, el filtro de contenido y la segregación del entorno.
  • Seguridad de punto final (endpoint): protección de los servidores, estaciones de trabajo, smartphones y tabletas contra amenazas avanzadas. 
  • Seguridad de aplicación: protección de las aplicaciones críticas.
  • Seguridad de datos: tecnología para proteger la información crítica durante todo el ciclo de vida, así como el lugar dónde esta se encuentra.
  • Monitoreo y respuesta: proceso responsable del monitoreo de las tecnologías y procesos de seguridad de la información a través de la gestión de incidentes, indicadores de rendimiento y análisis forense.
  • Prevención y gestión: basada en la gestión de riesgos, gobernanza, arquitectura, capacitación, sensibilización y compliance.
  • Gestión de parch, amenazas avanzadas y prevención y respuesta a incidentes que actúan en ciberseguridad y hardening.
  • Seguridad de acceso: responsable del ciclo de vida del acceso de los usuarios, cuentas de servicio, administrativas y cofre de contraseñas.

Conozca más en Seguridad de la información en este capítulo.

Principales avances en 2019

GRI 103-1, 103-2, 103-3

A lo largo de 2019, el desempeño del área de Gestión de riesgos y Controles internos estuvo marcado por el avance del modelo de gestión de riesgos de Klabin, basado en cinco pilares –Identificación, Análisis, Tratamiento, Seguimiento y Plan de Contingencia– y guiado por la Política de Gestión de riesgos. También cabe destacar:

  • Aprobación de la evaluación de riesgos realizada en 2018 por el Directorio Ejecutivo y por el Consejo de Administración.
  • Aprobación de diez riesgos prioritarios de gran magnitud para el seguimiento del Directorio Ejecutivo y del Consejo de Administración. 
  • Creación y aprobación de la Política de Gestión de Crisis con el Directorio Ejecutivo.
  • Sistematización del proceso de gestión de riesgos en plataforma online (fase de pruebas).

¿Cómo se hace el mapeo de riesgos?

GRI 102-15, 103-1, 103-2, 103-3

En Klabin, el mapeo de riesgos tiene los siguientes principios rectores: prevenir pérdidas, anticipar eventos y evitar sorpresas.

La identificación de riesgos sigue un procedimiento específico y lo realiza la Gestión de riesgos y controles internos, junto con el Directorio, los gerentes de negocios y las áreas corporativas. También se realizan entrevistas y/o se aplican cuestionarios a los empleados que tienen un amplio conocimiento de las respectivas áreas de actividad para definir los aspectos principales para monitorear. 

Los riesgos identificados son evaluados en relación con su criticidad, que depende del grado de impacto y vulnerabilidad definido en el procedimiento interno de Gestión de riesgos. Después de la determinación de estos aspectos, el riesgo se inserta en un “mapa de calor”, con el fin de determinar su criticidad y priorización del tratamiento. El grado de criticidad puede ser bajo, medio, alto y crítico. A partir de esta etapa, el mapeo se presenta en la Comisión de Riesgos, con el fin de ratificar y destacar los riesgos prioritarios para el tratamiento.

El Comité de Riesgos, compuesto por miembros del Directorio, es responsable del seguimiento, evaluación y comunicación de riesgos y los respectivos planes de acción, junto con la Gestión de riesgos y controles internos, en reuniones periódicas, así como de remitir información de riesgos para evaluación de las otras áreas de la Compañía.

 

 

 

 

  • Identificación: identificar los riesgos y comprender sus características.
  • Análisis: evaluar la criticidad de los riesgos, en función del grado respectivo de Impacto y Vulnerabilidad.
  • Tratamiento: decidir cómo hacer frente a cada riesgo con el fin de estructurar los planes de acción.
  • Monitoreo: seguimiento y revisión de riesgos y planes de acción. Definición de indicadores.
  • Plan de contingencia: Planes de contingencia y gestión de crisis.

Seguridad de la información

Dentro del concepto de Industria 4.0, Klabin promovió el diseño de la arquitectura tecnológica para la seguridad de la fábrica, centrándose en el tránsito de la información de las unidades industriales al ambiente externo de forma segura. El trabajo dio lugar a la creación del Estándar de Seguridad Cibernética, que ya se está probando en la Unidad Monte Alegre. El recurso está previsto en el diseño del proyecto Puma II y en nuevas líneas que requieren interacción con el ambiente externo. 

Para cumplir con la Ley General de Protección de Datos (Ley 13.709/2018), que entra en vigencia en agosto de 2021, Klabin ha mapeado los riesgos relacionados con la información de empleados, terceros y clientes finales que poseen datos personales bajo custodia en Klabin, para garantizar la confidencialidad de estos datos. La empresa ya está trabajando en la implementación de los controles necesarios con el apoyo de una oficina legal especializada en privacidad para adecuarse a la nueva legislación.

En 2019, no se identificaron ni registraron fugas ni pérdidas de datos de clientes de la Compañía

Capacitación sobre ciberseguridad

Entendemos que la participación interna es fundamental para el proceso de ciberseguridad en Klabin. Por lo tanto, promovemos varias iniciativas para el compromiso de nuestros profesionales, que son monitoreadas mensualmente en una reunión de indicadores. En 2019, llevamos a cabo varias iniciativas de capacitación y concientización entre nuestros empleados, basadas en la Política de Seguridad de la Información de la Compañía y en la Ley General de Protección de Datos (LGPD).

Uno de los temas que involucró a la mayoría de los empleados en la capacitación fue el Phishing, una forma de fraude en la que el atacante intenta extraer información, como credenciales de inicio de sesión o información financiera, haciéndose pasar por una entidad de buena reputación u otra persona, ya sea por correo electrónico, mensajería instantánea o sitios web. En 2019, contratamos una plataforma que imitaba el envío de Phishing y dirigimos al usuario que fue “engañado” por el fraude simulado para una capacitación rápida sobre cómo identificar un correo electrónico de Phishing. Más de 6 mil empleados fueron capacitados por la plataforma.

Más de

350

empleados del área corporativa, incluidas las unidades de negocio, participaron en las capacitaciones presenciales sobre ciberseguridad.

Más de

50

personas del corporativo recibieron capacitación en temas relacionados con la Ley General de Protección de Datos.

12

problemas

de ciberseguridad fueron el foco de una campaña de concientización dirigida a todos los empleados.