リスク管理および資本管理ポリシー
1. はじめに
Stripe Brasil Soluções de Pagamento Ltda. (以下、「Stripe Brazil」と呼びます) は 2015 年に設立された有限責任会社で、支払い方法に関する分野で事業を展開しています。同社は 2011 年にアメリカ合衆国で創業したテクノロジープラットフォームである Stripe, Inc. (以下、「Stripe」と呼びます) の完全所有間接子会社です。Stripe は起業家がオンラインビジネスを開始し、管理して成長させることができるよう支援するソフトウェアツールを提供しています。
適用される規制と市場のベストプラクティスに従い、Stripe Brazil はエンタープレイズリスク管理フレームワーク (以下、「ERMF」と呼びます) を設け、オペレーショナルリスク、流動性リスク、クレジットリスクの特定、測定、モニタリング、統制、軽減、管理を継続的かつ総合的に行うためのアプローチを確立しました。
2. リスク管理モデル
Stripe Brazil はリスク管理に対する総合的なアプローチを採用しており、そのアプローチは (i) リスクの特定、(ii) 評価、(iii) 軽減、(iv) モニタリングおよび報告という 4 つのプロセス要素で構成されています。
ERMF は Stripe Brazil の活動とビジネスの性質、量、複雑さを考慮するとともに、同社の目標および市場の状況に対する適合性を判断するために、年に一度または必要に応じてそれより短い期間で改定されます。同社の取り込みやプロジェクトに深刻な悪影響を及ぼすおそれがあるリスクが優先されます。
Stripe Brazil では、役割と責任、リスク管理を整理する際に「3 つのディフェンスライン」モデルを採用しています。これは次の原則に基づいています。(i) リスクが生じる活動やビジネスに関与し、Stripe Brazil の代表としてそうした活動を実施するグループが主に、各リスク管理活動の責任を負う (第 1 のライン)。(ii) 第 1 のラインを監視するための特定のリスク管理・コンプライアンス管理部門が必要 (第 2 のライン)。(iii) 適用されるルールの遵守状況の評価が独立した部門によって最適に実施される (第 3 のライン)。
3 つのディフェンスラインは、Stripe Brazil の最高リスク管理コンプライアンス責任者 (以下、「CRCO」と呼びます) が監督します。CRCO は最終的に、すべての法律、規制、ポリシーに対する Stripe Brazil のコンプライアンスを監督します。
2.1. 第 1 のディフェンスライン
Stripe Brazil の第 1 のディフェンスラインは、ビジネス部門、製品部門、オペレーション関連部門を含む、リスク管理部門で構成されます。これらのリスクオーナー、またはリスクオーナーが指定した人物は、リスクの特定、評価、軽減、モニタリング、報告を含むリスク管理サイクルの責任を負います。最終的に、これらの人は統制の運用化、統制の有効性の最終的なモニタリングを行う責任と、自身が特定した問題を第 2 のラインや Stripe Brazil の最高リスク管理コンプライアンス責任者に報告する責任を負います。リスク責任者はアクションプランを策定し、自身またはコンプライアンス部門、監査、パートナー銀行によって問題が特定された時点で確実に改善が行われるようにする責任を負います。
2.2. 第 2 のディフェンスライン
コンプライアンスリスク管理部門は第 2 のディフェンスラインになり、第 1 のディフェンスラインが効果的に実施されるよう支援してモニタリングする役割を負います。第 2 のディフェンスラインは、第 1 のラインが関連するリスクについての適切な知識を持ち理解していることを確認し、コンプライアンスリスクの特定とそれらのリスクを管理するための統制の策定に関して、第 1 のラインにアドバイスします。第 2 のラインは、第 1 のラインの統制と、パートナーおよび規制による義務に対するコンプライアンスを調査する責任も負います。ただし、場合によっては第 2 のラインが統制自体 (マネーロンダリング防止対策 (AML) など) を行うこともあります。
2.3. 第 3 のディフェンスライン
第 3 のディフェンスラインは内部監査または第三者監査人 (該当する場合) によって構成され、適用されるルールの遵守状況を独立的な立場で客観的に評価する責任を負います。特に、内部監査では内部統制、リスク選好、リスクガバナンスの有効性を、単にプロセスだけでなく結果にも注目して評価します。第 3 のラインは、第 1 のラインと第 2 のラインによるリスク管理活動の有効性を Stripe Brazil の最高リスク管理コンプライアンス責任者を含む Stripe Brazil の取締役会に保証します。
ERMF の対象となるアプローチは次のとおりです。(i) 3 つのディフェンスラインが存在すること、およびそれぞれの役割と責任 (以下のトピック 3)、(ii) リスクの特定、評価、軽減、モニタリング、報告に使用するプロセスの説明 (以下のトピック 4)、(iii) リスクを文書化するための主要なツール (以下のトピック 5)。
3. リスク管理の役割と責任
リスク管理には、Stripe Brazil のビジネスのあらゆる要素と Stripe Brazil のあらゆるレベルが関与します。ERMF は責任者と従業員を含む Stripe Brazil 全体と、Stripe Brazil のビジネス活動を支援する第三者に適用されます。
Stripe Brazil は Stripe の完全所有間接子会社であるため、リスク管理およびリスクオペレーションに関連する付帯サービスを提供するために、Stripe Brazil の経営幹部が Stripe Brazil に関与する場合があります。ただし、最高リスク管理コンプライアンス責任者を含む Stripe Brazil の経営幹部は、最終的に Stripe Brazil のリスクとリスク管理に対する責任を負います。
以下の図とサブトピックでは、Stripe Brazil における ERMF の参加者について説明します。具体的な問題について話し合い対処するために、これらの人や適切な技術的能力を持つ他の専門家で構成される委員会と技術フォーラムが設置される場合があります。
3.1. Stripe Brazil の取締役会の役割
取締役会 (全般)
ERMF に関連する Stripe Brazil の取締役会の主な役割には次のものが含まれますが、これらに限定されません。
ERMF をレビュー、問題提起、承認する
最終的にリスクアペタイトステートメント (RAS) を設定する (以下に示すように、他の部門からの情報に基づいて行う)
Stripe Brazil のリスク登録簿をレビュー、問題提起、承認する
ERMF の実施を監督する、およびリスク管理と傾向の特定の RAS に照らして Stripe Brazil のリスク特性をレビューする
上級経営幹部の基調を定める
最高リスク管理コンプライアンス責任者
Stripe Brazil の最高リスク管理コンプライアンス責任者の職務には次のものが含まれますが、これらに限定されません。
Stripe Brazil の ERMF について責任を負い、ブラジルの規制要件に従った健全なリスク管理文化を奨励する
エスカレーションプロセスやコミュニケーションを含めたリスク管理体制を監督して有効性をモニタリングする
Stripe Brazil の役員会にリスクに関する最新情報を定期的に報告する
アウトソーシングしたすべてのリスク管理プロセスと、サードパーティのサービスプロバイダーとの関係を監督する
ERMF を実施する
新たに出現している傾向とリスク、リスクの増大を分析して評価する
3.2. ディフェンスラインの役割
第 1 のディフェンスライン: 責任には次のものが含まれますが、これらに限定されません。
リスクの特定 (個別または総合的にリスクを特定、モニタリング、分析、測定、追跡する)
リスクの評価 (新しい商品、市場、地域、提供モード、顧客タイプでは関連する新しいリスクが予想され、それに適切に備えるために、評価を定期的に実施する)
リスクの軽減 (リスクに対するアクションプランの策定と実施)
リスクのモニタリングと報告 (適用される該当の内部統制の継続的な有効性をモニタリングして報告する。事業活動が Stripe Brazil の RAS と ERMF に従っていることを確認する。定期的に報告する。必要に応じて上級職に報告する)
第 2 のディフェンスライン: 責任には次のものが含まれますが、これらに限定されません。
自分の担当領域内でのリスク管理と監督
適用されるルールに準拠していないものがある場合、必要に応じて Stripe Brazil の取締役会に報告する
リスクに対するアクションプランをレビューし、実施を監督する
コンプライアンスリスクが適切に軽減されるようにポリシーと手続きを設計する
第 3 のディフェンスライン: 責任には次のものが含まれますが、これらに限定されません。
Stripe Brazil の ERMF、RAS、体制、プロセスが効果的に運用されているかどうかを独立した立場で検証する
Stripe Brazil の ERMF の遵守状況を検証する
既存の内部統制の有効性を審査する
4. リスク管理プロセス
オペレーショナルリスク、クレジットリスク、流動性リスクを軽減するために、現地の経営幹部が Stripe の上級経営幹部と連携してプロセスとポリシーを策定し、モニタリングして改定します。
プロセスとポリシーは同社の構成員に広く周知し、該当する場合または必要な場合は第三者にも周知します。周知活動には、防止対策に特に焦点を当てた啓蒙やトレーニングが含まれます。
4.1. オペレーショナルリスク
活動には、統一された情報セキュリティプラスクティスを用いて、持続するインシデントが発生した場合に可能な限りすみやかに同社の重要なすべてのプロセスを復旧させることと、不正使用を検出して防止するための効率的な手段を利用することを目的とした、反復テストや事業継続計画が含まれます。
4.2. クレジットリスク
Stripe Brazil は認定者であるためクレジットリスクにさらされます。そのリスクを軽減するために、支払い保証の要件、契約相手ごとの与信限度額の設定、支払いフローの詳細な説明などのさまざまな手段を使います。
4.3. 流動性リスク
流動性リスクは、Stripe Brazil のビジネスモデル自体によって自然と軽減されるポイントの 1 つです。関係者 (カード発行会社、アクワイアラー、サブサブアクワイアラー、エンドユーザー) 間の支払い取引のすべての売上処理は、CIP (Câmara Interbancária de Pagamentos (銀行間決済会議所)) が編成する単一のグリッドを通して、決済銀行と条件を満たした国内機関に対して行われるためです。必要最低現預金の義務も保護の柱の 1 つです。流動性の緊急時対応計画がすでに実施されており、その計画を今後 Stripe Brazil が定期的にレビューして、継続的な管理についての必要な検討を行い、資金供給元をそれぞれの限度額も含めてモニタリングします。
5. リスク登録簿
リスク管理とガバナンスのポリシーと戦略に対するすべてのアクションは文書化され、ブラジル中央銀行が自由に閲覧できるように保管されます。主な文書化ツールを以下に示します。
5.1. リスクアペタイトステートメント
Stripe Brazil のリスクアペタイトステートメント (RAS) は、Stripe Brazil が許容可能で許容するべきリスク、Stripe Brazil にとって戦略的な意義のないリスクと、許容可能なリスクの戦術的管理 (リスク許容度と上限) についての定量的および定性的なガイドラインを特定する、主要な戦略文書です。RAS は同社の戦略的ビジネスビジョンに沿った形で用意されます。
Stripe Brazil の取締役会がそれぞれのリスクマネージャーと協力して RAS をレビューします。Stripe Brazil の RAS は、Stripe Brazil の最高リスク管理コンプライアンス責任者からの推奨事項に基づいて、Stripe Brazil の取締役会が策定します。取締役会の承認を受けた後、RAS は少なくとも年に一度 Stripe Brazil の全従業員に周知されます。
5.2. リスク登録簿
リスク登録簿は Stripe Brazil のリスクアペタイトステートメントを補完するものです。Stripe Brazil の取締役会が承認し、最高リスク管理コンプライアンス責任者からの推奨事項に基づいて年に一度更新されます。リスク登録簿には、統制、特有のリスク/残存リスクの評価、リスクメトリクス/主要リスク指標、分類、およびこの情報を作成するプロセスが完了した時点でのその他の管理機能についての、最新情報が含まれています。
5.3. 文書メンテナンスチーム
ポリシー、リスク管理戦略、ガバナンスに関するすべての文書は、ブラジル中央銀行が利用できるように保管されます。以下はすべてを網羅したリストではありませんが、次の記録が下記の条件に従って少なくとも 5 年間保管されます。
取締役会による ERMF のすべての承認の記録は法務部門がメンテナンスする (取締役会の議事録を使用)
取締役会によって承認された文書 (リスク登録簿やリスク選好ステートメントなど) の一連の写しは Stripe Brazil の最高リスク管理コンプライアンス責任者がメンテンナンスする
外部とのやり取りの記録は規制または契約に基づいた記録保存要件に従って Stripe Brazil の最高リスク管理コンプライアンス責任者がメンテナンスする