Os riscos são categorizados – estratégicos, operacionais, financeiros, regulatórios e legais, e reputacionais – e priorizados a partir de uma matriz com nove quadrantes, norteados pelos eixos de intensidade de impacto e de probabilidade de ocorrência.
Essa matriz de riscos é revisada anualmente e alinhada ao nosso plano de negócios de cinco anos. Com essa definição, são elaborados planos de ações e destinados recursos para controle e mitigação.
PROCESSO PERIÓDICO DE REVISÃO DA MATRIZ DE RISCO
Especificamente no aspecto comercial, nosso Comitê de Riscos de Mercado analisa constantemente o comportamento dos mercados de commodities e de câmbio para nos orientar sobre as posições de cobertura e a estratégia de fixação de preços de exportações ou importações de produtos. Também estuda riscos ligados à comercialização de etanol e derivados para definirmos limites nas políticas de risco instituídas.
Já na operação, riscos de parada em casos de contingências são evitados por meio do Plano de Continuidade dos Processos de Negócios Críticos, documento revisado anualmente pelos gestores para previsão de cenários e planos de trabalhos, simulados periodicamente com resultados reportados para a Alta Liderança.
Desde 2017, mapeamos os principais riscos e oportunidades decorrentes de mudanças climáticas. Os resultados são agregados ao processo de gestão de riscos e ao planejamento estratégico da empresa.
Em relação aos riscos, são registrados aqueles referentes à mudança na dinâmica hídrica e à maior incidência de eventos climáticos extremos. Por outro lado, no campo das oportunidades, abre-se espaço para políticas públicas e linhas de financiamento diferenciadas – com crescentes incentivos à produção e comercialização de soluções energéticas de baixo carbono, como biocombustíveis e eletricidade de fontes alternativas, produtos que fazem parte do portfólio da empresa.
Pela relevância das questões ESG, os riscos e oportunidades relacionados às temáticas socioambientais seguem a mesma governança de qualquer outro risco relevante, sendo tratados no mesmo nível de discussão dos demais e destacados na matriz de riscos consolidada.
O Comitê de Auditoria discute anualmente os riscos de alta classificação de todas as categorias. A instância também é responsável por elaborar e acompanhar planos de ação desenvolvidos para cada risco considerado relevante, incluindo a definição de responsáveis e prazos.
A Diretoria de Auditoria Interna e Controles Internos, subordinada ao Comitê de Auditoria, tem, entre outras funções, o papel de gerenciar os riscos do negócio, por meio do mapeamento dos riscos e planos de ação para mitigá-los. Já a execução dos controles internos e demais mecanismos de proteção é de responsabilidade das áreas de negócios (1ª linha de defesa), observando as diretrizes internas.
A gerência de sustentabilidade fornece suporte técnico, sendo responsável por mapear os riscos e oportunidades relacionados aos temas ESG, sobretudo os contidos no Plano Estratégico de Sustentabilidade (saiba mais aqui). Demais áreas como Meio Ambiente, Saúde e Segurança e Operação também são consultadas ao longo do período de revisão da matriz para garantir o mapeamento e gestão de todos os riscos relevantes.
Outro comitê envolvido é o Comitê de Responsabilidade Social Corporativa (composto pelo presidente, vice-presidentes e acionistas), que apoia diretamente o Conselho da Administração na avaliação e direcionamento dos temas relacionados à sustentabilidade.
Contamos ainda com: o SIGO, sistema que difunde a Política de SSMA e procedimentos de gestão de efluentes, de resíduos, de emissões atmosféricas e de licenças; uma ferramenta que monitora e atualiza os requisitos legais aplicáveis; um Plano de Gestão Ambiental; um Plano de Gerenciamento de Resíduos Sólidos; e um Plano de Monitoramento de Qualidade de Águas Superficiais e Efluentes Líquidos; além de monitorarmos o Indicador de Desenvolvimento Ambiental e o atendimento às condicionantes legais. |GRI 102-11; SASB EM-MD-160.a.1|
Mais informações sobre riscos e oportunidades apresentadas pelas mudanças climáticas estão descritas aqui. |SASB FB-AG-440a.1.|
Segurança das informações
Em março de 2020, alguns de nossos sistemas sofreram interrupção momentânea em virtude de ato criminoso de hackers. As operações, no entanto, foram integralmente normalizadas poucos dias após o ataque, com impacto limitado nos resultados. As ações foram orientadas por planos de contingência, o que permitiu a continuidade de nossas atividades, mesmo que parcialmente, no próprio dia do ataque.
Aceleramos a atualização de nossas aplicações para versões mais modernas e, complementarmente, seguimos evoluindo em melhorias na detecção de ameaças e ataques e na velocidade de resposta e correção de vulnerabilidades. Entretanto, o episódio estimulou que adotássemos medidas ainda mais rígidas para a segurança das informações e proteção dos dados. Aumentamos os investimos nos três pilares que sustentam nossa estratégia de Segurança da Informação: Processos, Pessoas e Tecnologia, seguindo frameworks de mercado, aquisição de novos produtos de segurança de última geração, bem como criação de estrutura dedicada para defesa cibernética e contratação de parceiros líderes de mercado no segmento.
Expandimos a cobertura de nossa Política de Segurança da Informação e adicionamos controles mais restritos no procedimento de utilização dos recursos de Tecnologia da Informação (TI), que devem ser observados na utilização de todos os equipamentos de TI e meios de comunicação, sendo aplicado a funcionários e funcionárias, bem como terceiros. Essas diretrizes também garantem que todo o time atue em linha com as regras referentes ao tratamento e proteção das informações e ativos.
Respeitamos ainda as diretrizes do Marco Civil da Internet e estamos evoluindo com as adequações de sistemas e processos em conformidade com as legislações relacionadas ao tema, como a Lei Geral de Proteção de Dados (LGPD) brasileira e a General Data Protection Regulation (GDPR), da União Europeia.
Também investimos em treinamentos e educação sobre comportamento seguro. Destacam-se, nesse sentido, o lançamento de treinamento on-line na Universidade Raízen sobre a LGPD, obrigatório a todos os funcionários e funcionárias; além do engajamento de fornecedores que executam atividades em processos críticos que envolvem serviços de processamento e armazenamento de dados. Esse trabalho abrange coleta de informações, por meio de questionários, auditorias (dependendo da classificação do fornecedor), definição de planos de ação e monitoramento para avaliação da melhoria contínua.