A Suzano utiliza o modelo de governança corporativa de riscos baseado nas três linhas do Institute of Internal Auditors (IIA) e nas melhores práticas de mercado. Esse modelo tem como principal objetivo garantir que o modelo de gerenciamento de riscos esteja devidamente permeado em todos os níveis da companhia e que as funções sejam devidamente segregadas, assegurando maior robustez no gerenciamento, na supervisão e na análise de riscos. As linhas de atuação são:

• 1ª linha – Áreas de Negócio: responsável pelo gerenciamento dos riscos dos processos, por ações corretivas e implementações de planos de ação;
• 2ª linha – Controles Internos, Riscos Corporativos e Compliance: tem um papel consultivo e de apoio no mapeamento, na identificação e no gerenciamento dos riscos do negócio, proporcionando o desenvolvimento de um ambiente de controle, monitoramento e reporte eficaz que apoie a continuidade da companhia;
• 3ª linha – Auditoria Interna: sua principal função é garantir uma avaliação independente do ambiente de riscos e controles da companhia e assegurar o devido reporte à alta administração, ao CAE e ao CA.

1ª linha de defesa - Gestão de riscos

Na Suzano, a gestão integrada de riscos é realizada pela área de Riscos Corporativos, que atua em conjunto com as demais áreas da empresa e tem por objetivo identificar, avaliar, priorizar, tratar, monitorar e reportar os principais riscos associados aos negócios da companhia, incluindo riscos e impactos relacionados a ESG, como clima, natureza e direitos humanos, atuando para a continuidade das nossas operações. Todo esse processo é regido pela Política de Gestão Integrada de Riscos.

De acordo com o processo de Enterprise Risk Management (ERM) da Suzano, os principais riscos da companhia são identificados através das nossas frentes de identificação estruturadas e avaliados conforme a sua probabilidade de ocorrência e os seus impactos quantitativos (financeiros) e qualitativos (saúde e segurança, meio ambiente, sociocultural, imagem e reputação, clima organizacional e legal), sendo que os diferentes aspectos de impactos possuem o mesmo peso na avaliação final do risco. Com base nessa avaliação, é formada a matriz de riscos (também conhecida como heatmap), que auxilia na priorização dos riscos e na definição dos planos de ação de mitigação (prevenção e contenção).

Vale reforçar que o processo de gestão de riscos é contínuo, e a matriz pode sofrer alterações conforme ocorram modificações nas condições internas e externas relacionadas aos negócios. Para garantir o olhar amplo para toda a companhia, o processo de gestão de riscos da Suzano conta com grupos multidisciplinares estruturados, que se reúnem periodicamente para discutir a temática de riscos e são responsáveis pela identificação, avaliação, tratamento e monitoramento dos riscos da sua respectiva unidade/área. Eles se dividem em três frentes:

1. Comissões Regionais de Riscos e Continuidade de Negócios (RCNs): Focada nas unidades industriais. Cada fábrica / unidade florestal possui a sua própria comissão, formada por um time multidisciplinar e liderada por um coordenador ou coordenadora designado para tal e da estrutura da própria unidade, para discutir os riscos aplicáveis à realidade da unidade. As reuniões das RCNs ocorrem, mensalmente ou bimestralmente;
2. Fóruns Técnicos de Riscos: Específicos para as áreas corporativas. Os fóruns são realizados de forma individual, para cada área corporativa e contam com a participação dos heads de cada área (diretores e diretoras funcionais e/ou gerentes-executivos) e de seus liderados diretos e/ ou indiretos, a depender do tema a ser discutido. Os encontros ocorrem, no mínimo, anualmente;
3. Risk Meetings: Específicos para as unidades internacionais. O conceito é similar ao das RCNs, reunindo gestores locais para discutir e gerenciar os riscos aplicáveis à realidade específica daquela operação. Os encontros ocorrem, no mínimo, trimestralmente.

Em relação aos reportes realizados pela área de Riscos Corporativos, os riscos considerados prioritários (com nível alto ou crítico) são apresentados trimestralmente ao Comitê Executivo (que abrange todas as vice-presidências da Suzano, incluindo o CEO) e ao Comitê de Auditoria Estatutário (CAE), bem como são apresentados anualmente ao Conselho de Administração (CA). Além disso, esses reportes têm o intuito de discutir as estratégias de mitigação dos riscos e debater outros assuntos relevantes ao processo de gestão de riscos.

Cabe destacar que o processo de gestão integrada de riscos da Suzano passa por auditorias de certificação anualmente.

A área de Riscos Corporativos é responsável, ainda, pelo processo de governança de crises, cujos principais pilares são:

• Definição dos níveis de crise (regional, corporativa e institucional), que determinam a instância a qual a crise será gerenciada;
• Definição de gatilhos para cada nível de crise, incluindo acionamento do CA e do CAE, que dão clareza para o enquadramento das crises em seus respecitvos níveis;
• Composição dos Comitês núcleos de Crise, com maior clareza dos papéis de cada membro;
• Regras de reporte.

Como parte do aculturamento nessa governança, são aplicados anualmente treinamentos e simulados de crise para os principais envolvidos nesse processo, como forma de prepará-los para eventuais situações de crise.

Gestão de riscos operacionais

A Suzano está sujeita a riscos operacionais que podem acarretar a paralisação de suas atividades, ainda que parcial ou temporariamente. Essas interrupções podem ser causadas por fatores associados à falha de equipamentos, a acidentes, incêndios, impactos climáticos, exposição a desastres naturais, ataques cibernéticos e pandemias, entre outros.

A ocorrência desses eventos pode resultar em danos sérios à nossa propriedade, diminuição significativa da produção, aumento nos custos de produção, possíveis acidentes com ou sem fatalidades com nossos colaboradores e colaboradoras e/ou prestadores e prestadoras de serviços, além de efeitos adversos em nossos resultados financeiros e operacionais.

Adicionalmente, dependemos da disponibilidade contínua de redes logísticas e de transporte, como estradas, ferrovias, terminais e portos, as quais podem ser interrompidas por fatores que estão fora do nosso controle, como manifestação de movimentos sociais, desastres naturais, paralisações e interrupções no fornecimento de insumos às nossas unidades industriais e florestais ou na entrega de nossos produtos aos clientes. Tudo isso pode afetar nossos resultados financeiros e operacionais e reforça a importância de fortalecer a resiliência das operações frente a riscos físicos e sistêmicos.

Princípio ou abordagem da precaução

Os processos de riscos passam por auditorias internas, que são avaliações da eficácia e da eficiência dos processos de governança, gerenciamento de riscos e de controles, e oferecem serviços objetivos e independentes de avaliação e consultoria para agregar valor e melhorar as operações. Também são realizadas auditorias externas, que consistem na avaliação da adequação do Sistema Integrado de Gestão conforme com os requisitos normativos (ISO 9001, ISO 14001, ISO 45001), incluindo a avaliação do atendimento legal dos itens relacionados aos produtos/serviços, a meio ambiente, saúde e segurança do trabalho.

Essas auditorias reforçam a aplicação do princípio da precaução, ao promoverem a identificação antecipada de riscos e a adoção de medidas preventivas para evitar impactos adversos. Eventuais desvios identificados são registrados, e ações corretivas e preventivas são definidas e implementadas.

2ª linha de defesa:

Controles Internos

A área de Controles Internos tem como missão disseminar a cultura de controles internos, bem como apoiar tecnicamente as diferentes áreas da Suzano, visando ao monitoramento dos processos críticos, à mitigação e remediação de riscos, à conformidade com as regras aplicáveis e ao assessoramento da alta administração na tomada de decisões, de modo a propiciar melhor sustentabilidade e perenidade aos negócios da companhia.

Conduta e gestão de ética

A Suzano dispõe de instrumentos que orientam a gestão ética de seu negócio. Entre eles há o Código de Ética e Conduta, a Política de Ouvidoria, a Política de Medidas Disciplinares, o Regimento do Comitê de Conduta e a Política de Compras Sustentáveis, que estabelecem as diretrizes para o processo de governança da companhia.

O nosso Código de Ética e Conduta foi inspirado nos Direcionadores de Cultura da empresa. O documento reúne os seis princípios éticos que orientam as nossas ações diárias, com foco na qualidade dos nossos relacionamentos, produtos e serviços. É uma ferramenta que orienta nossas ações e decisões no dia a dia, garantindo que nossas atividades realizadas com colaboradores e colaboradoras, acionistas, clientes, fornecedores, prestadores de serviços, agentes do poder público e comunidades estejam alinhadas com o comportamento ético e o respeito que cultivamos no relacionamento com os diversos públicos.

O Canal de Denúncias disponibilizado pela Suzano é confidencial e independente, sendo oferecido aos colaboradores e colaboradoras e ao público externo em geral para o encaminhamento de relatos e denúncias sobre questões que possam estar transgredindo o nosso Código de Ética e Conduta. A recepção dos relatos e das denúncias é realizada por uma empresa contratada e garante o anonimato caso isso seja solicitado pela pessoa denunciante. O trabalho de apuração é feito por profissionais e áreas competentes de forma autônoma e imparcial, para a identificação da veracidade e aplicação das providências necessárias, não sendo permitida nem tolerada qualquer forma de retaliação ao denunciante.

Compliance

Essenciais para as boas práticas de governança corporativa, as iniciativas de compliance constituem a base que garante ética, integridade e transparência em todos os negócios da Suzano e no relacionamento com seus stakeholders. Um programa de inteligência de prevenção, detecção e resposta dá origem a oito elementos essenciais de atuação do Programa de Compliance, sendo eles: Tone at the Top; Risk Assessment; Políticas e Procedimentos; Treinamento e Comunicação; Conflito de Interesses; Gestão de Terceiros; Controle e Monitoramento; e Governança e Reporte.

3ª linha de defesa

A Auditoria Interna, como 3ª linha de defesa, atua de forma independente e objetiva na avaliação da eficácia dos processos de governança, gerenciamento de riscos e controles internos da companhia, complementando a atuação das áreas de negócio e das funções de controles internos, riscos corporativos e compliance. No mínimo a cada cinco anos, revisa as operações correntes da Suzano e de seu grupo econômico para avaliar a aderência às políticas e aos procedimentos definidos pela administração, bem como a eficiência e a eficácia dos controles internos e o atendimento aos requisitos éticos. Os resultados dos trabalhos são apresentados às áreas pertinentes, com recomendações de aprimoramento, e suas atividades são reportadas periodicamente ao Comitê de Auditoria Estatutário (CAE) e ao Conselho de Administração (CA).