Stripe Brasil Soluções de Pagamento Ltda. („Stripe Brazil“) ist eine im Jahr 2015 gegründete Gesellschaft mit beschränkter Haftung, die im Bereich der Zahlungsmethoden tätig ist. Das Unternehmen ist eine hundertprozentige indirekte Tochtergesellschaft von Stripe, Inc. („Stripe“), einer in den USA im Jahr 2011 gegründeten Technologieplattform. Stripe bietet Softwaretools an, mit denen Unternehmen ihr Onlinegeschäft aufbauen, führen und ausbauen können.
Im Einklang mit einschlägigen Vorschriften und Branchengepflogenheiten unterhält Stripe Brazil ein Enterprise Risk Management Framework („ERMF“). Dieses regelt unsere Herangehensweise an die Erkennung, Messung, Überwachung, Kontrolle, Eingrenzung und Steuerung von Betriebs-, Liquiditäts- und Ausfallrisiken auf eine kontinuierliche, ganzheitliche Art und Weise.
Stripe Brazil verfolgt einen ganzheitlichen Ansatz an das Risikomanagement. Dieser beinhaltet die vier Prozessbestandteile (i) Risikoerkennung, (ii) Risikobewertung, (iii) Risikominderung und (iv) Überwachung und Berichterstattung.
Das ERMF berücksichtigt Art, Umfang und Komplexität der Geschäftstätigkeit von Stripe Brazil und wird mindestens einmal jährlich sowie bei Bedarf aktualisiert. So wollen wir die Eignung unseres Rahmenprogramms mit Blick auf unsere Ziele und das Marktumfeld sicherstellen. Risiken, die sich stark negativ auf unsere Verpflichtungen und Projekte auswirken könnten, haben dabei oberste Priorität.
Stripe Brazil hat drei „Verteidigungslinien“ aufgestellt, mit denen wir Funktionen und Aufgaben sowie Risikomanagement organisieren. Diese beruhen auf (i) Gruppen, die sich an Tätigkeiten und Geschäften beteiligen, die Risiken für Stripe Brazil darstellen und die Hauptverantwortung für die jeweiligen Tätigkeiten im Risikomanagement tragen (erste Verteidigungslinie), (ii) gesonderten Konzernfunktionen für Risikomanagement und Compliance, die der Beaufsichtigung der ersten Verteidigungslinie dienen (zweite Verteidigungslinie) sowie (iii) der Kontrolle der Einhaltung verbindlicher Vorgaben durch unabhängige Konzernfunktionen (dritte Verteidigungslinie).
Die drei Verteidigungslinien unterstehen der Aufsicht durch den Chief Risk and Compliance Officer („CRCO“) von Stripe Brazil. Dieser trägt die übergeordnete Verantwortung für die Einhaltung sämtlicher Rechtsvorschriften, Regeln und Richtlinien durch Stripe Brazil.
2.1. Erste Verteidigungslinie
Die erste Verteidigungslinie von Stripe Brazil besteht aus Risikomanagementfunktionen in den Bereichen Unternehmen und Produkt sowie Betrieb. Diese Risikobeauftragten und ihre Bevollmächtigten tragen die Verantwortung für den gesamten Risikomanagement-Kreislauf einschließlich der Erkennung, Bewertung, Minderung und Überwachung von Risiken und ihrer Meldung. Sie sind für die Umsetzung von Kontrollmaßnahmen verantwortlich, stellen die Wirksamkeit dieser Kontrollmechanismen sicher und leiten ggf. festgestellte Mängel an die zweite Verteidigungslinie bzw. den Chief Risk and Compliance Officer von Stripe Brazil weiter. Außerdem erstellen die Risikobeauftragten Maßnahmenpläne und kümmern sich um die Beseitigung etwaiger Probleme, die sie selbst, andere Compliance-Funktionen, externe Prüfer oder Partnerbanken identifizieren.
2.2 Zweite Verteidigungslinie
Die zweite Verteidigungslinie setzt sich aus den Compliance- und Risikomanagementfunktionen zusammen und beaufsichtigt die erste Verteidigungslinie. Sie stellt sicher, dass diese über ausreichende Kenntnis und ein Verständnis der einschlägigen Risiken verfügt und steht ihr beratend zur Seite, wenn es um die Erkennung von Compliance-Risiken und die Aufstellung entsprechender Kontrollmechanismen geht. Darüber hinaus prüft die zweite Verteidigungslinie die von der ersten Verteidigungslinie verhängten Kontrollen sowie die Einhaltung der von Partnern und Aufsichtsbehörden aufgestellten Vorgaben. In einigen Fällen kann sie diese Kontrollen jedoch auch eigenständig durchführen (z. B. bei der Überwachung der Geldwäscheprävention – AML).
2.3. Dritte Verteidigungslinie
Die dritte Verteidigungslinie setzt sich aus internen oder externen Prüfern zusammen, die die Einhaltung der Vorgaben unabhängig und objektiv bewerten. Insbesondere prüft die interne Auditabteilung die Wirksamkeit der konzerneigenen Kontrollen sowie der Risikobereitschaft und der Risiko-Governance mit klarer Ergebnisorientierung und beschränkt sich dabei nicht nur auf die Prozesse. Die dritte Verteidigungslinie gewährleistet die Wirksamkeit der von der ersten und zweiten Linie aufgestellten Maßnahmen im Bereich des Risikomanagements gegenüber dem Vorstand und dem Chief Risk and Compliance Officer von Stripe Brazil.
Das ERMF umfasst (i) drei Verteidigungslinien mit jeweils eigenen Aufgaben und Verantwortungsbereichen (siehe Abs. 3 unten), (ii) Prozessbeschreibungen zur Erkennung, Bewertung, Minderung, Überwachung und Meldung von Risiken (siehe Abs. 4 unten) sowie (iii) die wichtigsten Verfahren der Risikodokumentation (siehe Abs. 5 unten).
Das Risikomanagement beinhaltet sämtliche Facetten und Hierarchieebenen von Stripe Brazil. Das ERMF gilt dabei sowohl für Stripe Brazil und dessen Führungskräfte und Mitarbeiter als auch für externe Auftragnehmer.
Da Stripe Brazil eine indirekte hundertprozentige Tochtergesellschaft von Stripe ist, kann seine Geschäftsführung Stripe Brazil mit der Erbringung von Nebenleistungen im Bereich des Risikomanagements und/oder risikobezogener Betriebsabläufe beauftragen. Dessen ungeachtet verbleibt die übergeordnete Verantwortung für das Risiko und Risikomanagement von Stripe Brazil stets bei dessen Unternehmensführung sowie dem Chief Risk and Compliance Officer.
In den nachstehenden Ausführungen und im Diagramm werden die verschiedenen Akteure innerhalb des ERMF von Stripe Brazil näher beschrieben. Ausschüsse und technische Gremien können dabei unter Beteiligung dieser und/oder anderer Fachkräfte mit entsprechender technischer Vorbildung einberufen werden, um konkrete Fragestellungen anzugehen.
3.1. Aufgaben des Vorstands von Stripe Brazil
Vorstand (Allgemein)
Zu den Hauptaufgaben des Vorstands von Stripe Brazil mit Blick auf das ERMF zählen insbesondere die folgenden:
Prüfung und Genehmigung des ERMF
Aufstellung des Risk Appetite Statement (RAS) unter Einbindung weiterer Konzernfunktionen (siehe unten)
Prüfung und Bewilligung des Risikokatasters von Stripe Brazil
Beaufsichtigung der ERMF-Umsetzung sowie Abgleich des Risikoprofils von Stripe Brazil mit dem RAS für die Zwecke von Risikomanagement und Trendermittlung
Aufstellung klarer Erwartungen der Geschäftsführung
Chief Risk and Compliance Officer
Zu den Hauptaufgaben des Chief Risk and Compliance Officers zählen insbesondere die folgenden:
Verantwortung für das ERMF von Stripe Brazil und Förderung einer gesunden Risikomanagementkultur in Einklang mit der brasilianischen Gesetzgebung
Beaufsichtigung und Kontrolle der Wirksamkeit von Risikomanagementsystemen einschließlich Eskalationsprozessen und Kommunikation
Vorlage regelmäßiger Risikoberichte für den Vorstand von Stripe Brazil
Beaufsichtigung aller ausgelagerten Risikomanagementprozesse und der Beziehungen zu externen Dienstleistern
Umsetzung des ERMF
Analyse und Beurteilung neuer und aufkommender Trends und Risiken sowie etwaiger Risikozunahmen
3.2. Aufgaben der drei Verteidigungslinien
Erste Verteidigungslinie: Zu den Aufgaben der ersten Verteidigungslinie zählen insbesondere die folgenden:
Risikoerfassung (Erkennung, Überwachung, Auswertung, Messung und Verfolgung von Risiken auf individueller und konsolidierter Basis)
Risikobeurteilung (in regelmäßigen Abständen anlässlich neuer Produkte, Märkte, Regionen, Lieferverfahren oder Kundenkategorien zur Vorwegnahme und angemessenen Vorausplanung daraus sich ergebender Risiken)
Risikominderung (Erstellung und Umsetzung von Maßnahmenplänen zu bestimmten Risiken)
Risikoüberwachung und Berichterstattung (Überwachung und Berichterstattung zur anhaltenden Wirksamkeit der einschlägigen internen Kontrollen, Ausrichtung der Geschäftstätigkeit an RAS und ERMF von Stripe Brazil, regelmäßige Berichterstattung sowie ggf. Weitergabe an übergeordnete Instanzen)
Zweite Verteidigungslinie: Zu den Aufgaben der zweiten Verteidigungslinie zählen insbesondere die folgenden:
Risikomanagement und Aufsichtsfunktion in ihrem konkreten Aufgabenbereich
Meldung etwaiger Verstöße gegen geltende Regeln an den Vorstand von Stripe Brazil
Prüfung der risikobezogenen Maßnahmenpläne und Beaufsichtigung ihrer Umsetzung
Aufstellung von Richtlinien und Verfahren zur sachgerechten Eingrenzung von Compliance-Risiken
Dritte Verteidigungslinie: Zu den Aufgaben der dritten Verteidigungslinie zählen insbesondere die folgenden:
Unabhängige Wirksamkeitsprüfung von ERMF, RAS, Systemen und Prozessen von Stripe Brazil
Sicherstellung der ERMF-Konformität
Überprüfung der Effektivität bestehender interner Kontrollmechanismen
Zur Minderung von Betriebs-, Ausfall- und Liquiditätsrisiken werden unter Beteiligung der obersten Stripe-Führungsebene Prozesse und Richtlinien durch die Geschäftsführung vor Ort aufgestellt, überwacht und aktualisiert.
Diese Prozesse und Richtlinien werden im gesamten Unternehmen kommuniziert und/oder ggf. auch an externe Dienstleister weitergegeben. Dies beinhaltet auch Sensibilisierungs- und Schulungsmaßnahmen mit einem besonderen Schwerpunkt auf dem Thema Prävention.
4.1. Operationelles Risiko
In diesem Bereich umfasst die Tätigkeit regelmäßige Überprüfungen und einen betrieblichen Kontinuitätsplan. So soll sichergestellt werden, dass im Falle länger anhaltender Zwischenfälle alle zentralen Prozesse schnellstmöglich wiederhergestellt werden. Dabei sollen einheitliche Verfahren der Informationssicherheit befolgt und wirksame Instrumente zur Betrugserkennung und -prävention angelegt werden.
4.2. Kreditrisiko
Stripe Brazil unterliegt in seiner Rolle als Akkreditierungsstelle einem Kreditrisiko, das durch mehrere Verfahren eingegrenzt werden soll. Hierzu zählen die Anforderung von Bürgschaften, die Aufstellung von Risikolimits für jeden einzelnen Geschäftspartner sowie eine genaue Darstellung der Zahlungsströme.
4.3. Liquiditätsrisiko
Das Liquiditätsrisiko wird bereits durch das Geschäftsmodell von Stripe Brazil eingegrenzt. Denn sämtliche Geldbewegungen zwischen den beteiligten Parteien (Ausgabebanken, Acquirer, nachgeordnete Acquirer und Endnutzer) erfolgen im Netz der CIP (Câmara Interbancária de Pagamentos, bras. Interbankenverband) unter Beteiligung von Verrechnungsbanken und zuständigen inländischen Stellen. Möglichst geringe Barmittelverpflichtungen bilden einen weiteren Eckpfeiler unseres Schutzschirms. Eine effektive Notfallplanung für Liquiditätsengpässe wurde bereits aufgestellt und wird in regelmäßigen Abständen von Stripe Brazil überprüft. Dabei wird stets auch die kontinuierliche Steuerung und Überwachung der Finanzierungsquellen berücksichtigt, für die jeweils eigene Kontrollen der Kreditlimits aufgestellt werden.
Sämtliche Maßnahmen in den Bereichen Risikomanagement sowie Governance-Richtlinien und -Strategien werden dokumentiert und der brasilianischen Zentralbank zugänglich gemacht. Nachstehend werden die wichtigsten Dokumentationsverfahren erläutert.
5.1. Dokumentation im Risk Appetite Statement
Das Risk Appetite Statement (RAS) von Stripe Brazil ist das zentrale Strategiedokument, das die von Stripe Brazil hinnehmbaren sowie strategisch unzweckmäßigen Risiken aufführt und quantitative wie auch qualitative Richtlinien für das taktische Management hinnehmbarer Risiken aufstellt (Risikotoleranz und Grenzwerte). Das RAS wurde in Einklang mit der Unternehmensstrategie formuliert.
Es wird vom Vorstand von Stripe Brazil und den jeweiligen Risikomanagern geprüft und freigegeben. Das RAS von Stripe Brazil wird vom Unternehmensvorstand unter Berücksichtigung der Empfehlungen des Chief Risk and Compliance Officer formuliert. Es wird mit Zustimmung des Vorstands mindestens einmal pro Jahr allen Angestellten von Stripe Brazil zugänglich gemacht.
5.2. Dokumentation zum Risikokataster
Die Dokumentation im Risikokataster ergänzt das Risk Appetite Statement von Stripe Brazil. Sie wird vom Unternehmensvorstand von Stripe Brazil genehmigt und einmal jährlich auf den neuesten Stand gebracht. Dabei werden die Empfehlungen des Chief Risk and Compliance Officers berücksichtigt. Es enthält laufende Aktualisierungen bezüglich Kontrollen, Beurteilungen inhärenter Restrisiken, Risikokennzahlen und -indikatoren, Kategorisierungen und anderen Verwaltungsfunktionen. Diese werden im laufenden Verfahren ergänzt.
5.3. Aufbewahrungszeitraum
Alle Unterlagen zu Richtlinien, Risikomanagementstrategien und Governance werden der brasilianischen Zentralbank zugänglich gemacht. Dabei werden die folgenden Aufzeichnungen mindestens fünf Jahre lang aufbewahrt. Die Aufstellung erhebt keinen Anspruch auf Vollständigkeit:
In der Rechtsabteilung werden die Zustimmungen zum ERMF durch den Vorstand (etwa in Form von Sitzungsprotokollen) verwahrt.
Der Chief Risk and Compliance Officer von Stripe Brazil führt fortlaufende Abschriften der vom Vorstand genehmigten Dokumente (z. B. Dokumentation zum Risikokataster und Risk Appetite Statement).
Der Chief Risk and Compliance Officer von Stripe Brazil verwahrt alle Unterlagen rund um die externe Kommunikation unter Einhaltung der aufsichtsrechtlichen bzw. vertraglichen Aufbewahrungspflichten.