Gestión de riesgos
Desempeño y operaciones responsables, con individuos de todos los niveles comprometidos y capaces de actuar de manera receptiva y participativa en los procesos de toma de decisión.
  • 102-30
  • 103-1
  • 103-2
  • 103-3

Gestión de Riesgos

La Gestión de Riesgos y Controles Internos de Klabin, creada en 2018, cuenta con el apoyo y el soporte de la Alta Administración (Consejo de Administración y Dirección) en la aprobación de su presupuesto, así como de su agenda de trabajo. Esta área busca las mejores prácticas para apoyar a las unidades de negocio en el análisis de sus procesos, centrándose en controles, planes de continuidad de negocio y operativo y evaluación de riesgos. Con esto, la empresa espera fortalecer la actuación preventiva y la seguridad en los procesos de toma de decisiones, teniendo en cuenta el principio de transparencia y crecimiento sostenible de Klabin.

El Comité de Riesgos, compuesto por miembros de la Dirección y Gerencias, es responsable del seguimiento, evaluación y comunicación de los riesgos y los respectivos planes de acción, junto con la Gestión de Riesgos y Controles Internos, en reuniones periódicas, así como de remitir información de riesgos para evaluación de las otras áreas de la Compañía.

En 2020, a pesar de las dificultades de la pandemia Covid – 19 y sus impactos, fue un año de varios logros en el área de Gestión de Riesgos, implementación de varios proyectos para un mejor seguimiento y tratamiento de los riesgos, se destacan los siguientes:

– Implementación del software de gestión de riesgos con el fin de mejorar la difusión y el conocimiento de las áreas de riesgo y los planes de acción;

– Implementación del plan de continuidad del negocio en varias unidades de fabricación;

– Definición de Riesgos Prioritarios para una profundización del seguimiento;

– Inicio del desarrollo de indicadores de Key Risk Indicators (KRI) para riesgos prioritarios.

Estructura de gestión de riesgos con las respectivas responsabilidades:

Consejo de Administración:

  • Aprobar la Política de Gestión de Riesgos;
  • Definir, apoyar y difundir la cultura de la gestión de riesgos; y
  • Deliberar sobre cualquier asunto que se le presente o, si lo considera necesario, sobre los riesgos y posibles planes de acción.

Dirección:
• Difundir y promover la cultura de la gestión de riesgos;
• Monitorear, sobre la base de la información reportada periódicamente por la Comisión de Riesgos, la Gestión de Riesgos de la Compañía y sus Subsidiarias, garantizando su buen funcionamiento y tomando las eventuales medidas necesarias para su mejora.
• Validar los riesgos notificados a la Gerencia de Riesgos y Controles Internos por sus respectivas áreas de negocios;
• Garantizar la existencia de recursos materiales y humanos a los niveles adecuados, que permitan el efectivo cumplimiento de esta Política y de los procedimientos de gestión de riesgos en su conjunto en sus respectivas áreas de negocios;
• Ayudar a la Comisión de Riesgos en el tratamiento de riesgos; y
• Ayudar a las respectivas áreas de negocios en la ejecución de planes de acción, así como en la implementación de cualquier recomendación o medidas relacionadas con la gestión de riesgos.

Comisión de Riesgos:

• Recomendar al Consejo de Administración la Política de Gestión de Riesgos y, en este contexto, establecer los procedimientos internos usados por la Compañía y sus Subsidiarias en la gestión de riesgos;
• Evaluar y monitorear los riesgos más relevantes reportados por la Gerencia de Riesgos y Controles Internos, así como sus respectivos planes de acción;
• Validar los planes de acción propuestos por las áreas de negocios y por la Dirección, previa validación por parte de la Gerencia de Riesgos y Controles Internos; y
• Informar periódicamente, o cuando se considere necesario, a la Dirección y al Consejo de Administración la información pertinente relacionada con la gestión de riesgos de la Compañía y sus Subsidiarias.

Gerencia de Riesgos y Controles Internos:

• Proponer la Política de Gestión de Riesgos y sus actualizaciones;
• Identificar, monitorear y controlar periódicamente los riesgos, incluso con respecto a la ejecución de los planes de acción;
• Informar los riesgos y sus respectivos planes de acción a la Comisión de Riesgos;
• Ayudar a las Áreas de Negocios y a la Dirección en el diseño e implementación de controles internos o indicadores para la gestión de riesgos;
• Hacer un análisis crítico de los planes de acción definidos por las áreas de negocio para la mitigación de riesgos; y
• Proporcionar capacitaciones y plan de comunicación relacionado con la Gestión de Riesgos.

Gerencia de Integridad:

• Prevención, detección y reparación de violaciones del Código de Conducta y otras políticas cuyo incumplimiento pueda contradecir los principios y valores de Integridad de Klabin; y
• Gestión del Programa de Integridad de la Empresa, estructurado en varios pilares que contribuyen al fortalecimiento de la conducta ética en la Compañía. Los pilares son: Compromiso y apoyo a la Alta Administración; Capacitación en Integridad; Evaluación reputacional de terceros; Evaluación del riesgo de integridad; Comunicación; Código de Conducta, Políticas y Procedimientos de Integridad; Canal de integridad y Defensoría; Comisión de Integridad; y Monitoreo continuo.

  • 102-11

Principio de la Precaución en Klabin

Además de componer el nivel 2 de gobernanza corporativa de B3 e integrar la cartera del Índice de Sostenibilidad Empresarial (ISE) basada en la eficiencia económica, el equilibrio ambiental, la justicia social y la gobernanza corporativa, la evaluación del ambiente de controles internos tiene como objetivo realizar las principales prácticas de controles internos, evaluar el grado de eficiencia de dichos controles, indicando imperfecciones y las medidas adoptadas para corregirlos.

  • 102-15

Proceso de identificación, análisis, tratamiento, monitoreo y plan de contingencia de los riesgos e impactos asociados con los negocios de Klabin

Los riesgos se evalúan de acuerdo con criterios de impacto y vulnerabilidad, según la clasificación del área de Gestión de Riesgos y Controles Internos. Después de este proceso, pasan a gestionarse de acuerdo con su criticidad. Metodológicamente, el tratamiento de los riesgos puede ser: reducir, transferir, aceptar o explorar. De acuerdo con la Política de Gestión de Riesgos, se clasifican en cinco categorías: estratégica, financiera, operativa, regulatoria y socioambiental.

Sin compromiso con los trabajos operativos existente en las unidades de negocio (fábricas y bosques) que, en el desempeño de sus funciones, están relacionados con los principales acontecimientos que pueden causar adversidad al negocio, en 2020, por recomendación de la Dirección y aprobación del Consejo de Administración, se definió una lista de 11 macro riesgos considerados prioritarios para el monitoreo continuo y desarrollo del Key Risk Indicator (KRI) como una forma de anticipar los eventos que puedan desencadenar una posible materialización del riesgo.

La metodología de mapeo de riesgos, en Klabin, tiene como directrices: prevenir pérdidas, anticipar eventos y evitar sorpresas.

La identificación de riesgos sigue un procedimiento específico y lo realiza la Gerencia de Riesgos y Controles Internos, junto con la Dirección, los gerentes de negocios y las áreas corporativas. Inicialmente, se realizan entrevistas y se aplican cuestionarios a los colaboradores que tienen un amplio conocimiento de las respectivas áreas de actuación, para definir los principales aspectos que se deben monitorear, además de la evaluación de la documentación interna y las evaluaciones de terceros. A continuación, los principales factores de riesgo se evalúan de acuerdo con su impacto y vulnerabilidad (aquí teniendo en cuenta la estructura de controles e indicadores).

Los riesgos identificados son evaluados en relación con su criticidad, que depende del grado de impacto y vulnerabilidad definido en el procedimiento interno de Gestión de riesgos. Después de la determinación de estos aspectos, el riesgo se inserta en un “mapa de calor”, con el fin de determinar su criticidad y priorización del tratamiento. El grado de criticidad puede ser bajo, medio, alto y crítico. A partir de esta etapa, el mapeo se presenta en la Comisión de Riesgos, con el fin de ratificar y destacar los riesgos prioritarios para el tratamiento.


Aspectos asociados con la gestión integrada de riesgos:

  • – Identificación: identificar los riesgos y comprender sus características.
  • – Análisis: evaluar la criticidad de los riesgos, en función del grado respectivo de Impacto y Vulnerabilidad.
  • – Tratamiento: decidir cómo hacer frente a cada riesgo con el fin de estructurar los planes de acción.
  • – Gobernanza del seguimiento: seguimiento y revisión de los riesgos y planes de acción. Definición de indicadores.
  • – Plan de contingencia: Planes de contingencia y gestión de crisis.

Con el objetivo de un oportuno monitoreo, se implementó, en 2020, un sistema informatizado e integrado con la metodología utilizada para la clasificación de los riesgos.

Principales riesgos, medidas de control y mitigación

Principales riesgos monitoreados (de medio y de largo plazo: 3 a 5 años):

  • – Ejecución de la estrategia de negocios;
  • – Mantenimiento de la actividad operativa;
  • – Cobertura de seguros de activos;
  • – Decisiones de procedimientos judiciales;
  • – Precios de insumos;
  • – Cumplimiento de la legislación ambiental; y
  • – Nuevas tecnologías.

Acciones y procedimientos para control y mitigación:

  • – Aprobación en la Administración del Plan Presupuestario con seguimiento, cuando procede;
  • – Procedimientos de mantenimiento continuo y preventivo de los activos, incluyendo paradas generales de las fábricas y desarrollo constante de los colaboradores;
  • – Pólizas de seguros activas para los activos y lucros cesantes (parcial);
  • – Procedimiento formal de actualización de contingencias con los asesores legales;
  • – Desarrollo de proveedores, sin concentración, en proceso formal de cotización y liberación de aprobación;
  • – Área de Planificación y Desarrollo para el seguimiento de las estrategias y del mercado en el que la Compañía se desempeña;
  • – Auditoría Interna para revisar y monitorear los procesos de la Compañía en conjunto con el área de Integridad;
  • – Consejo Fiscal establecido, elegido por asamblea para defender los derechos de los accionistas; y
  • – Comisión de Riesgos y el recién creado Comité de Auditoría y Partes Relacionadas.

Riesgos operativos en el proceso productivo:

  • – Uso de químicos en la producción;
  • – Almacenamiento y eliminación de residuos químicos;
  • – Explosiones, incendios, desgaste derivados del clima y de la exposición a la intemperie y desastres naturales; y
  • – Posibles fallas mecánicas, tiempo necesario para el mantenimiento o las reparaciones no programadas, interrupciones de transporte, correcciones, fugas de productos químicos y otros riesgos ambientales.

Medidas de mitigación:

  • – Seguimiento de las actividades críticas como protocolos de salud, seguridad y medio ambiente, monitoreo de la red eléctrica y respectivas cargas de tensión, tratamiento de efluentes;
  • – Definición de planes de acción y controles cuando proceda, además del monitoreo periódico de la Gestión de Riesgos y Control Interno y de la Auditoría Interna;
  • – Procedimientos de mantenimiento continuo y preventivo de los activos, incluyendo paradas anuales de las fábricas y desarrollo constante de los colaboradores;
  • – Pólizas de seguros activas para los activos y lucros cesantes (parcial); y
  • – Área de Planificación y Desarrollo para el seguimiento de las estrategias y del mercado en el que Klabin actúa.

Además, el mapeo de riesgo identificó dos riesgos relacionados con cuestiones de Derechos Humanos (trabajo decente en la cadena de suministro y discriminación). Estos riesgos tienen las acciones adecuadas de monitoreo y mitigación, siendo administrados por las áreas directamente relacionadas.

Riesgos cibernéticos:


El modelo de protección adoptado por Klabin tiene en cuenta a los posibles ofensores a la ocurrencia de ataques cibernéticos:

  • – Insiders (colaboradores, proveedores de servicios, etc.), ya sea por uso indebido accidental o deliberado (por ejemplo, cuando son amenazados por terroristas o criminales);
  • – Terroristas que están interesadosen obtener y utilizar información sensible para promover un ataque convencional;
  • – Competidores desleales de negocios y servicios de inteligencia, interesados​en obtener una ventaja económica para sus empresas o países;
  • – Ciberdelincuentes interesadosen ganar dinero con fraude o mediante la venta de información valiosa;
  • – Hackers de virus que consideran interferir en los sistemas de las empresas, solo por un desafío personal o colectivo;
  • – Cybewar: hackers que tienen una gran cantidad de recursos a su disposición, debido al apoyo estatal y son calificados;
  • – Hacktivistas que tienen una causa para luchar (como motivos políticos o ideológicos); y
  • – Crimen organizado que está buscando obtener un rescate (ramsonware).

Medidas de mitigación:


Como mitigación, la Seguridad de la Información de Klabin utiliza normas como ISO 270001 e IEC 62.443 y actúa en los siguientes frentes:

  • Seguridad de perímetro: tecnología para fortalecer las soluciones de seguridad de borde (primera protección del mundo exterior) y la segregación de la infraestructura.
  • Seguridad de red: soluciones para el monitoreo y la gestión de redes que cubren la protección contra amenazas, el acceso seguro y controlado, el filtro de contenido y la segregación del entorno.
  • Seguridad de punto final (endpoint): protección de los servidores, estaciones de trabajo, smartphones y tabletas contra amenazas avanzadas.
  • Seguridad de aplicación: protección de las aplicaciones críticas.
  • Seguridad de datos: tecnología para proteger la información crítica durante todo el ciclo de vida, así como el lugar dónde esta se encuentra.
  • Monitoreo y respuesta: proceso responsable del monitoreo de las tecnologías y procesos de seguridad de la información a través de la gestión de incidentes, indicadores de rendimiento y análisis forense.
  • Prevención y gestión: basada en la gestión de riesgos, gobernanza, arquitectura, capacitación, sensibilización y compliance.
  • Gestión de parch, amenazas avanzadas y prevención y respuesta a incidentes que actúan en ciberseguridad y hardening.
  • Seguridad de acceso: responsable del ciclo de vida del acceso de los usuarios, cuentas de servicio, administrativas y cofre de contraseñas.