Gestão de
Riscos Corporativos
Ao longo dos anos, reconhecemos em Natura &Co a importância de definir uma estrutura para a gestão de riscos corporativos, definindo aqueles que têm impactos capazes de afetar significativamente nosso valor e reputação e aqueles que podem acelerar oportunidades para o negócio.
Um dos desafios enfrentados pela gestão de riscos da empresa tem sido a necessidade de compatibilizar as boas práticas de gestão de riscos com as características de uma empresa geradora de resultados econômicos, sociais e ambientais positivos.
Diretrizes e metodologia para o gerenciamento de riscos
Seguimos diretrizes de instituições renomadas que orientam a gestão de riscos e adaptam a organização à luz dos nossos valores, sempre em sintonia com nossa estratégia e os avanços da sociedade. A Gestão de Riscos Corporativos de Natura &Co aplica as diretrizes do COSO (Committee of Sponsoring Organizations of the Treadway Commission), do Instituto Brasileiro de Governança Corporativa (IBGC) e da ISO 31000.
Nosso processo de adaptação garante a sincronicidade entre nossas estratégias, progresso social e espírito organizacional.
Internamente, possuímos uma Política Global de Gestão de Riscos (acesse Política de Gestão de Risco para mais detalhes) e um Procedimento de Gestão de Riscos Empresariais para cada unidade de negócios. Estas metodologias não representam um documento estático ou imutável, passando por atualizações e adaptações de forma contínua.
Em 2023, avançamos com um manual global abrangente denominado Fundamentos de Risco, que fornece uma visão detalhada da metodologia, garantindo transparência e alinhamento em todos os níveis de governança da organização.
Na América Latina, atualizamos nosso Procedimento de Gestão de Riscos Corporativos, enfatizando ajustes que visam aumentar a rastreabilidade dos riscos que podem gerar impactos materiais na organização a partir das unidades operacionais, gerando maior robustez em nossa gestão de riscos.
Nossa estrutura de gestão de riscos segue o Modelo de Três Linhas proposto pelo The Institute of Internal Auditors (IIA), amplamente reconhecido pelas organizações. Na Primeira Linha, as áreas de negócio, incluindo subsidiárias e controladas, estão diretamente envolvidas nas decisões de risco e na execução diária da gestão de riscos, implementando estratégias de negócio. A Segunda Linha atua como orientadora, oferecendo suporte às áreas de negócio por meio de funções como Gestão de Riscos e Controles Internos, Compliance, Regulatório e Segurança da Informação. Seu papel é fornecer ferramentas e diretrizes para que os gestores de Primeira Linha possam gerenciar riscos de forma eficaz e preventiva. Por fim, a Terceira Linha, formada pela Auditoria Interna, verifica de forma independente a eficácia do modelo de gestão, controle e governança de riscos da organização. Ela adota uma abordagem mais investigativa, identificando possíveis falhas ou áreas de melhoria no sistema de gestão de riscos.
Para simplificar o desenvolvimento e garantir a perfeita integração deste processo, a essência das atividades de gestão de riscos empresariais (Enterprise Risk Management) consiste em identificar os riscos que ameaçam o desempenho da organização, evitando que eventos com potencial de destruição do seu valor passem despercebidos. Portanto, monitoram e garantem que a empresa tenha as medidas e controles mitigadores adequados em vigor.
O Gerenciamento de Riscos Corporativos concentra-se na identificação de ameaças ao desempenho organizacional e na prevenção de que eventos destrutivos de valor passem despercebidos.
Essas atividades são supervisionadas em nível executivo operacional pela Liderança de Controles Internos, Gestão de Riscos e Auditoria Interna, que se reporta diretamente ao Comitê de Auditoria, Gestão de Riscos e Finanças. Suas responsabilidades incluem, além de supervisionar a adequação dos processos relacionados ao gerenciamento de riscos e controles internos, avaliar e monitorar nossa exposição ao risco, acompanhar os esforços de gestão e manter a alta administração devidamente informada sobre a eficácia dos processos de gerenciamento de riscos.
Além disso, a avaliação, o monitoramento e o gerenciamento dos riscos do negócio são orientados pelo Comitê de Auditoria, Gestão de Riscos e Finanças, órgão representativo do Conselho de Administração. (mais informações na sessão Governança Corporativa).
Nossa metodologia de avaliação de risco considera a avaliação de dois vetores relativos aos potenciais eventos adversos que podem impactar a nossa organização: a magnitude do seu impacto (nas perspectivas financeiras e reputacionais) e a probabilidade da sua ocorrência. A gestão e priorização de riscos estão vinculadas à exposição residual desses eventos adversos, ou seja, após consideração dos controles ou ações implementadas.
O relato de nossos riscos depende do nível de exposição dos negócios, conforme segue:
Nível de exposição ao risco | Fórum de Compartilhamento e Monitoramento |
---|---|
4 - Severo |
Conselho de Administração, Comitê de Auditoria, Gestão de Riscos, e Finanças, e Liderança Executiva |
3 - Alto |
Comitê de Auditoria, Gestão de Riscos, Finanças, Liderança Executiva, Vice-presidências responsáveis pelas Unidades de Negócio |
2 - Moderado |
Diretores responsáveis pelas Unidades de Negócio |
1 - Baixo |
Diretores responsáveis pelas Unidades de Negócio |
Risco e fatores de risco
A Natura & Co avalia riscos e os fatores associados a partir de quatro princípios. Não aceitamos riscos que possam comprometê-los:
- Sustentabilidade: Compromisso perene com sustentabilidade. Adotamos práticas de circularidade e regeneração para enfrentar a crise climática e proteger a Amazônia, visando reduzir emissões de GEE (Gases Efeito Estufa), consumo de água, poluição, resíduos sólidos, desmatamento, consumo excessivo e nossa pegada ambiental.
Adotamos práticas de circularidade e regeneração para enfrentar a crise climática e proteger a Amazônia...
- Direitos Humanos: Comprometemo-nos a defender continuamente os direitos humanos e promover a igualdade de gênero, incluindo a garantia de remuneração justa e equitativa, especialmente para nossa rede de relações essencial para o sucesso de nossos negócios.
- Crescimento: Manter, modernizar, revitalizar e melhorar nossas marcas é fundamental para expandir nossa base de consumidores, fornecedores e consultoras.
- Conformidade: Conformidade com o Código de Conduta, bem como com as leis e regulamentos regionais e locais das jurisdições nas quais o Grupo tem operações e relações comerciais.
Como empresa de capital aberto listada na Bolsa de Valores Brasileira (B3) desde 2004, estamos sujeitos às regulamentações da Comissão de Valores Mobiliários (CVM) e até 2023 estávamos sujeitos às regulamentações da SEC (conforme anunciado no Fato Relevante de 18 de janeiro de 2024) que exige o envio anual do Formulário de Referência (FR).
Ambos os formulários incluem uma seção crucial conhecida como Fatores de Risco, que visa compilar informações que proporcionem uma compreensão abrangente e descritiva dos elementos que podem impactar nossa empresa. Esta prática não só promove a transparência, mas também salvaguarda os interesses das partes interessadas, permitindo uma avaliação mais informada e precisa da situação da organização. Este relatório também inclui uma seção sobre Controles Internos que apresenta os resultados do nosso ambiente de controles auditados por auditores externos independentesAbaixo destacamos alguns dos principais Fatores de Risco da nossa organização de acordo com a exposição residual ao risco. Para conhecer todos, acesse nosso Formulário de Referência.
As alterações climáticas também representam uma ameaça significativa, dando origem a riscos físicos e de transição que podem afetar negativamente as nossas operações. Isto exige uma monitorização diligente em alinhamento com o Grupo de Trabalho sobre Divulgações Financeiras Relacionadas ao Clima.
Cada Unidade de Negócios mantém um Conselho Cibernético dedicado, supervisionado por um Diretor Sênior de Segurança da Informação de Negócios.
1. Ameaças Cibernéticas
Empresas que atuam com uso intenso de tecnologias e ambientes virtuais enfrentam diversos riscos de segurança cibernética, como ataques de terceiros, infiltração de malware e acesso não autorizado a dados confidenciais. Essas ameaças podem resultar em perdas comerciais, roubo de informações e danos à reputação e exigem evolução contínua das técnicas de prevenção, detecção e resposta a ataques.
A Natura &Co adota uma série de medidas de mitigação, tendo o Diretor de Segurança da Informação (CISO) como líder do Cyber Hub. Durante 2023, a equipe continuou fornecendo direção estratégica, asseguração, serviços operacionais e melhorias em todas as nossas unidades de negócio. Nossa governança continuou progredindo, com frequentes relatos de nosso CISO ao Conselho de Administração, diretamente ou via Subcomitê de Segurança Cibernética que se reporta ao Comitê de Auditoria, Gestão de Riscos, e Finanças.
As reuniões são presididas por Andrew McMaster, conselheiro independente e membro do Comitê de Auditoria, Gestão de Riscos e Finanças, que tem ampla experiência em tecnologia de ponta e programas de melhoria organizacional.
Além disso, cada Unidade de Negócio mantém um Conselho Cibernético exclusivo supervisionado por um Diretor de Segurança da Informação Empresarial. Esses conselhos recebem o suporte de uma estrutura de gestão de riscos madura vinculada ao Enterprise Risk Management.
Adotamos um Programa Global de Segurança Cibernéticae, nos últimos dois anos, desde a implementação dessa estrutura global, várias iniciativas foram executadas, inclusive a adoção de soluções referência de mercado, revisão e criação de novos processos, além da estruturação de equipes com responsabilidades definidas e modelos operacionais claros. Essas ações têm elevado nosso nível de segurança no ambiente de controle baseado nos padrões do National Institute of Standards & Technology - NIST CSF. Em 2023, atualizamos nossa Política sobre Segurança da Informação e publicamos novas normas técnicas sobre segurança.
Além disso, concluímos treinamento obrigatório atualizado para toda equipe, inclusive teste periódico de phishing. Nossos avanços em maturidade de segurança cibernética têm sido avaliados de forma independente utilizando a Estrutura de Segurança Cibernética do NIST.
Em 2023, nossos avanços na maturidade cibernética foram mais uma vez impulsionados por investimentos estratégicos em novas tecnologias e processos. Destacamos a realização de exercícios de Incidente Cibernético até o nível do Conselho de Administração, fortalecendo nossa capacidade de resposta a ameaças críticas e testes de nossos Planos de Continuidade. Além disso, integrações e automações na gestão de identidade e acessos garantiu ainda mais eficiência neste processo. A expansão do Centro de Operações de Segurança e do Serviço de Gestão de Vulnerabilidade resultando em reduções no número de vulnerabilidades e na melhoria geral na postura de segurança da empresa. Também reforçamos a proteção em diversas tecnologias proporcionando um ambiente mais seguro e confiável para todas as operações da empresa.
2. Carga tributária
Nossas principais atividades econômicas hoje se originam do Brasil, onde se aplica um sistema tributário complexo e que se encontra em fase de alteração. Recentemente, tivemos a aprovação da reforma tributária brasileira. O impacto total desta reforma sobre nossa organização ainda é incerto e depende da definição de sua regulamentação. Estamos fazendo acompanhando de forma diligente para mensurar eventual aumento de carga tributária em nosso negócio, sempre visando a justiça tributária. A transição para o novo sistema tributário brasileiro será gradual, com implementação entre 2026 e 2033.
Avaliamos detalhadamente os possíveis impactos financeiros e consideramos medidas estratégicas para posicionar o negócio da melhor forma diante de novos contextos regulatórios e legislativos. Para assegurarmos o cumprimento de todas as obrigações fiscais, mantemos uma equipe especializada em questões tributárias para monitorar e interpretar novas regulamentações e garantir sua implementação e conformidade.
3. Condições Macroeconômicas e Geopolíticas
As incertezas das condições macroeconômicas juntamente com as incertezas geopolíticas, as pressões inflacionárias prolongadas e acentuadas; aumento do desemprego, queda do poder aquisitivo podem afetar a demanda dos consumidores pelos nossos produtos, impactar nossas vendas e/ou afetar a rentabilidade das nossas operações.
Acreditamos que muitos anos lidando com condições de mercados com instabilidades econômicas e políticas nos capacitaram para operar e desenvolver o nosso negócio com sucesso.
Monitoramos constantemente a conjuntura político-econômica em todos os países onde operamos, levando em consideração todos os riscos atrelados e os benefícios esperados em cada localidade. Mantemos uma conexão contínua com a estratégia comercial de nossa atuação, considerando as particularidades de cada mercado. Para melhorar a resiliência, implementamos várias medidas visando a diversificação de nossos investimentos e operações, reduzindo a exposição a eventos adversos em mercados específicos. Implementamos práticas de gestão de riscos sólidas, monitorando continuamente eventos externos ligados ao tema.
Monitoramos constantemente a conjuntura político-econômica em todos os países onde operamos...
4. Litígios
Estamos envolvidos e poderemos nos envolver em processos legais de diversas naturezas nas geografias que atuamos. Empresas que atuam em nosso segmento estão sujeitas a riscos advindos de processos de natureza cível, administrativa, ambiental, trabalhista, tributária, sanções comerciais, conformidade sanitária, entre outros. A alta litigiosidade e a incerteza e volatilidade no ambiente regulatório de países em que atuamos podem afetar a favorabilidade desses processos e gerar impacto em nossos resultados econômicos, em virtude de eventual ajuste de provisões. De forma diligente, frequentemente, revisitamos e atualizamos estas provisões s para refletir as decisões judiciais proferidas, contando com a atuação e análise de escritórios de primeira linha na defesa dos direitos da empresa.
Temos áreas legais especializadas por temas os quais tem, entre outras responsabilidades, promover orientações sobre os padrões detalhados das regulamentações, leis específicas e relevantes para o cumprimento de suas funções. Além disso, nossas equipes jurídicas e regulatórias estão envolvidas no monitoramento e na revisão de nossas práticas para garantir, de forma preventiva, que estamos alinhados com as leis aplicáveis à nossa organização.
Realizamos, também, de forma proativa, avaliações das causas raiz das principais disputas legais e implementamos planos de ação para mitigar riscos e reduzir os passivos existente, com analise casuística dos casos, política de acordos, mediação e outras medidas visando evitar e diminuir nosso índice de litigiosidade.
5. Privacidade de dados
A operação da empresa está cada vez mais dependente de sistemas informáticos e da gestão da informação, especialmente com o avanço da digitalização e a crescente adoção da inteligência artificial (IA), a coleta e o processamento de dados pessoais em larga escala, característicos de modelos de negócios como o nosso, podem expor a organização a vários riscos, como violações de dados pessoais e informações sensíveis, bem como o possível uso indevido por parte de terceiros mal intencionados.
A privacidade e a segurança atuam juntas para demonstrar nosso compromisso com a coleta responsável, uso, cuidado, e proteção dos dados pessoais de acordo com a legislação aplicável e nossos valores éticos. A privacidade e a proteção de dados se entrelaçam como facilitadores fundamentais para o crescimento futuro do negócio.
Iniciamos um Programa Global de Privacidade e Proteção de Dados unificado a partir de 2022, segundo o GDPR (General Data Protection Regulation) da União Europeia. Este programa vai além de cumprir com os requisitos regulamentares, pois incorpora as ferramentas de medição para demonstrar a conformidade de forma eficaz para todas as operações da empresa, incluindo os fornecedores. Privacidade de Dados de Natura &Co liverada pela Chief Privacy Officer and Group Data Protection Officer responsável por definir e gerenciar a abordagem estratégica de privacidade de dados, que incorpora os princípios de legalidade, justiça e transparência, limitação de propósito, minimização e precisão de dados, integridade, confidencialidade e limitação de armazenamento, e responsabilidade a ser adotada por toda a empresa. Além disso, o Programa, Política e Norma de Privacidade de Natura & Co, obteve a pontuação mais alta possível dentro de sua subcategoria no setor de Produtos Domésticos e Pessoais segundo a Avaliação Global de Sustentabilidade Corporativa da S&P em 2023. Várias iniciativas estão em andamento para apoiar nossa visão estratégica, juntamente com o monitoramento contínuo do cenário regulatório, em particular no que diz respeito às estruturas legais e tendências de aplicação relativas à privacidade e inteligência artificial. Existem programas de auditoria e monitorização para garantir que cumprimos os requisitos regulamentares aplicáveis, tais como ferramentas automatizadas e manuais, terceiros e funções de controle interno, incluindo auditoria interna.