A Stripe Brasil Soluções de Pagamento Ltda. ("Stripe Brasil") é uma sociedade limitada constituída em 2015, que atua na área de meios de pagamento. A sociedade é uma subsidiária integral e indireta da Stripe, Inc. (“Stripe”), uma plataforma de tecnologia fundada nos Estados Unidos em 2011. A Stripe oferece ferramentas de software que auxiliam empreendedores a iniciar, gerenciar e aumentar seus negócios online.
Alinhada com as normas aplicáveis e com as melhores práticas de mercado, a Stripe Brasil mantém uma Estrutura de Gerenciamento de Riscos ("EGR"), pela qual estabeleceu sua abordagem para identificar, mensurar, monitorar, o controlar, mitigar e gerenciar de forma continuada e integrada os riscos operacional, de liquidez e de crédito.
A Stripe Brasil adota uma abordagem abrangente para o gerenciamento de riscos, compreendendo quatro componentes do processo: (i) identificação de riscos; (ii) avaliação; (iii) mitigação; (iv) monitoramento e comunicação.
A EGR leva em conta a natureza, o volume e a complexidade das ações e negócios da Stripe Brasil, sendo atualizada anualmente e/ou em menor prazo se necessário, a fim de determinar sua compatibilidade com os objetivos da instituição e com as condições de mercado. São priorizados riscos que possam causar impactos materiais negativos em seus compromissos e projetos.
A Stripe Brasil emprega um modelo de "Três Linhas de Defesa" ao organizar as funções e responsabilidades e o gerenciamento de seus riscos, com base nos seguintes princípios: (i) grupos que exerçam atividades e realizem negócios que criem riscos em nome da Stripe Brasil são os principais responsáveis pelas respectivas atividades de gerenciamento de riscos (Primeira Linha); (ii) funções de gerenciamento de riscos e compliance específicos são necessários para supervisionar a primeira linha (Segunda Linha); e (iii) a avaliação de aderência às regras aplicáveis é melhor oferecida por funções independentes (Terceira Linha).
As Três Linhas de defesa são supervisionadas pelo Diretor de Risco e Compliance (“CRCO”) da Stripe Brasil, que supervisiona em última instância a observância de todas as leis, regulamentos e políticas pela Stripe Brasil.
2.1. Primeira linha de defesa
A primeira linha de defesa da Stripe Brasil é composta por funções que gerenciam riscos, incluindo funções de negócios e relativas a produtos e operações. Esses Responsáveis pelos Riscos (Risk Owners), ou os indivíduos por eles designados, são responsáveis pelo ciclo de gerenciamento de riscos, incluindo a identificação, a avaliação, a mitigação, o monitoramento e a comunicação de riscos. Eles são responsáveis, em última instância, por operacionalizar controles, realizar o eventual monitoramento da eficácia dos controles, e encaminhar quaisquer questões que eles próprios identifiquem à Segunda Linha e/ou ao Diretor de Risco e Compliance da Stripe Brasil. Os Responsáveis pelos Riscos são também responsáveis pelo desenvolvimento de planos de ação e por assegurar remediações quando uma questão for identificada por eles próprios ou pelas funções de compliance, auditoria ou um banco parceiro.
2.2. Segunda linha de defesa
As funções de compliance e gerenciamento de riscos compõem a Segunda Linha de Defesa e servem para facilitar e monitorar a implementação de uma Primeira Linha de defesa eficaz. A Segunda Linha de defesa assegura que a Primeira Linha tenha conhecimento e entendimento adequados dos riscos relevantes, e fornece assessoria à Primeira Linha de defesa na identificação de riscos de compliance e no desenvolvimento de controles para gerenciar esses riscos. A Segunda Linha também é responsável por testar os controles e o cumprimento de obrigações de parceiros e regulatórias pela Primeira Linha, embora em alguns casos a própria Segunda Linha realize os controles (por exemplo, o monitoramento de operações de prevenção à lavagem de dinheiro - PLD).
2.3. Terceira linha de defesa
A Terceira Linha de Defesa consiste na Auditoria Interna, ou quando aplicável, um terceiro auditor responsável por fornecer uma avaliação de aderência às regras aplicáveis independente e objetiva. Em especial, a Auditoria Interna avalia a eficácia dos controles internos, do apetite de riscos e da governança de riscos com foco nos resultados, não meramente no processo. A Terceira Linha assegura a eficácia das atividades de gestão de riscos da Primeira e Segunda Linhas à Diretoria da Stripe Brasil, incluindo ao Diretor de Risco e Compliance da Stripe Brasil.
A abordagem coberta pela EGR inclui: (i) a existência das Três Linhas de Defesa, com suas respectivas funções e responsabilidades (tópico 3 abaixo), (ii) descrições dos processos utilizados para a identificação, avaliação, mitigação, monitoramento e comunicação de riscos (tópico 4 abaixo); (iii) as principais ferramentas para documentar riscos (tópico 5 abaixo).
O gerenciamento de riscos envolve todos os elementos do negócio e todos os níveis da Stripe Brasil. A EGR se aplica à Stripe Brasil, incluindo seus Diretores e empregados, bem como a terceiros contratados para auxiliar na realização de seus negócios.
Tendo em vista que a Stripe Brasil é uma subsidiária integral indireta da Stripe, a administração da Stripe Brasil poderá contratar a Stripe para prestar serviços auxiliares referentes a seu gerenciamento de riscos e/ou operações de risco. Independentemente disto, a administração da Stripe Brasil, incluindo o seu Diretor de Risco e Compliance, é responsável em última instância pelos riscos e pelo gerenciamento de riscos da Stripe Brasil.
O gráfico e os sub-tópicos abaixo descrevem os participantes da EGR na Stripe Brasil. Comitês e fóruns técnicos podem ser constituídos, com estes e/ou outros profissionais com capacidade técnica adequada, para discutir e encaminhar temas específicos.
3.1. Funções da Diretoria da Stripe Brasil
Diretoria (em geral)
As principais funções da Diretoria da Stripe Brasil quanto à EGR incluem, sem limitação:
revisar, questionar e aprovar a EGR;
em última instância, definir a Declaração de Apetite de Riscos - RAS (com a contribuição de outras funções conforme descritas abaixo);
revisar, questionar e aprovar os Registros de Risco da Stripe Brasil;
supervisionar a implementação da EGR; revisar o perfil de risco da Stripe Brasil em comparação à RAS para a gestão de riscos e identificação de tendências; e
estabelecer o tom a partir da alta direção.
Diretor de Risco e Compliance
As principais funções do Diretor de Risco e Compliance da Stripe Brasil incluem, sem limitação:
ser o responsável pela EGR da Stripe Brasil, promovendo uma cultura de gestão de riscos sólida em conformidade com as exigências regulatórias brasileiras;
Supervisionar e monitorar a eficácia dos sistemas de gerenciamento de riscos, incluindo processos de encaminhamento a instâncias superiores e comunicação;
Fornecer atualizações de riscos periódicas à Diretoria da Stripe Brasil;
Supervisionar todos os processos de gerenciamento de riscos terceirizados e relacionamentos com terceiros prestadores de serviços;
Implementar a EGR; e
Analisar e avaliar tendências e riscos novos e emergentes e aumentos de risco.
3.2. Funções das Linhas de Defesa
Primeira Linha de defesa: suas responsabilidades incluem, sem limitação:
Identificação de Riscos (identificar, monitorar, analisar, mensurar, rastrear riscos de maneira individual e consolidada);
Avaliação de Riscos (realizada periodicamente em razão de novos produtos, mercados, geografias, formas de entrega ou tipos de cliente para antecipar e planejar adequadamente os novos riscos correlatos); e
Mitigação de Riscos (desenvolvimento e implementação de planos de ação para riscos);
Monitoramento e Comunicação de Riscos (monitorar e comunicar a eficácia contínua dos controles internos relevantes e aplicáveis; assegurar que as atividades comerciais estejam de acordo com a RAS e a EGR da Stripe Brasil; elaboração de relatórios periódicos; e encaminhamento a instâncias superiores se necessário).
Segunda Linha de defesa: suas responsabilidades incluem, sem limitação:
Gerenciamento e supervisão de riscos dentro de suas áreas;
Comunicar à Diretoria da Stripe Brasil, conforme aplicável, sobre eventuais descumprimentos de regras aplicáveis;
Revisar planos de ação para riscos e supervisionar sua implementação; e
Conceber políticas e procedimentos para assegurar que os riscos de compliance sejam devidamente mitigados.
Terceira Linha de defesa: suas responsabilidades incluem, sem limitação:
Verificação independente sobre se a EGR, a RAS, os sistemas e os processos da Stripe Brasil estão operando de maneira eficaz;
Validar a observância da EGR da Stripe Brasil; e
Revisar a eficácia dos controles internos existentes.
Para mitigar riscos operacionais, de crédito e de liquidez, processos e políticas são formulados, monitorados e atualizados pela administração local, a partir de alinhamentos com a alta administração da a Stripe.
Os processos e políticas são amplamente divulgados para os integrantes da instituição e, conforme adequado e/ou necessário, para terceirizados. O esforço de divulgação inclui conscientização e capacitação, com particular foco em prevenção.
4.1. Risco Operacional
Os esforços incluem testes recorrentes bem como um plano de continuidade de negócios, visando assegurar que todos os processos críticos da instituição sejam restaurados assim que possível – no caso da continuidade de um incidente -, com práticas consistentes de segurança da informação e contando com instrumentos eficientes para a detecção e prevenção de fraudes.
4.2. Risco de Crédito
A Stripe Brasil está exposta a risco de crédito na condição de credenciadora, e busca mitigá-lo com diversas ferramentas, incluindo: a exigência de garantias de pagamento, o estabelecimento de limites de exposição por contraparte, bem como com uma articulação detalhista de fluxos de pagamento.
4.3. Risco de Liquidez
O Risco de Liquidez é um dos pontos naturalmente mitigados pelo próprio modelo de negócio da Stripe Brasil, tendo em vista que todas as liquidações das transações de pagamento entre as partes envolvidas (emissor, credenciadora, subcredenciadora e usuário final) ocorrem através de uma grade única orquestrada pela CIP, com bancos de liquidação e as instituições de domicílio competentes. Obrigações de caixa mínimo são também um pilar de proteção. Um plano de contingência de liquidez eficaz foi implementado e será periodicamente revisado pela Stripe Brasil, necessariamente contemplando a contínua administração e o monitoramento das fontes de recursos, incluindo controles de limites para cada fonte.
Todas as ações sobre políticas e estratégias de gerenciamento de riscos e governança são documentadas e mantidas à disposição do Banco Central do Brasil. As principais ferramentas de documentação são descritas a seguir.
5.1. Declaração de Apetite de Riscos
A Declaração de Apetite de Riscos (Risk Appetite Statement - “RAS”) da Stripe Brasil é principal documento de estratégia que identifica os riscos que a Stripe Brasil pode e deveria aceitar, aqueles que não fazem sentido do ponto de vista estratégico para a Stripe Brasil, e as diretrizes quantitativas e qualitativas para a gestão tática dos riscos aceitáveis (tolerâncias e limites máximos dos riscos). Foi elaborado de forma consistente com a visão estratégica de negócios da instituição.
É reparada e aprovada pela Diretoria da Stripe Brasil em conjunto com os respectivos responsáveis pelos riscos. A RAS da Stripe Brasil é estabelecida pela Diretoria da Stripe Brasil, com a recomendação do Diretor de Risco e Compliance da Stripe Brasil. A RAS é comunicada a todos os funcionários da Stripe Brasil pelo menos anualmente, após a sua aprovação pela Diretoria.
5.2. Documentação de registro de riscos
A Documentação de Registro de Riscos complementa a Declaração de Apetite de Riscos da Stripe Brasil. É aprovada pela Diretoria da Stripe Brasil e atualizada anualmente, com a sua recomendação pelo Diretor de Risco e Compliance. Contém atualização contínua sobre os controles, avaliações de riscos inerentes/residuais, métricas de riscos/principais Indicadores de Risco, categorizações ou outras funções administrativas, na medida em que os processos que produzem essas informações sejam concluídos.
5.3. Prazo de manutenção de documentação
Todos os documentos envolvendo políticas, estratégias de gerenciamento de riscos e governança são mantidos à disposição do Banco Central do Brasil. Apesar de não se tratar de lista exaustiva, os registros a seguir serão mantidos de acordo com os termos abaixo, por no mínimo cinco anos:
O departamento Jurídico manterá todas as aprovações da EGR pela Diretoria (i.e. através de atas da Diretoria);
O Diretor de Risco e Compliance da Stripe Brasil manterá cópias sequenciais dos documentos aprovados pela Diretoria (e.g., a Documentação de Registro de Riscos e Declaração de Apetite de Riscos);
O Diretor de Risco e Compliance da Stripe Brasil manterá quaisquer artefatos de comunicação externa em conformidade com os requisitos de retenção de registros regulatórios ou contratuais.