Constituée en 2015, Stripe Brasil Soluções de Pagamento Ltda. (« Stripe Brésil ») est une entreprise à responsabilité limitée spécialisée dans les moyens de paiement. Il s'agit d'une filiale indirecte en propriété exclusive de Stripe, Inc. (« Stripe »), une plateforme technologique fondée aux États-Unis en 2011. Stripe propose des outils logiciels qui aident les entrepreneurs à démarrer, gérer et développer leur entreprise en ligne.
Conformément à la réglementation en vigueur et aux bonnes pratiques du marché, Stripe Brésil a mis en place un cadre de gestion des risques d'entreprise (« ERMF ») qui définit l'approche selon laquelle elle identifie, mesure, surveille, contrôle, limite et gère de manière systématique et intégrée les risques liés aux opérations, aux liquidités et au crédit.
En matière de gestion des risques, Stripe Brésil adopte une approche exhaustive axée autour de quatre processus : (i) l'identification des risques; (ii) l'analyse; (iii) l'atténuation des risques; (iv) la surveillance et la déclaration.
L'ERMF, qui tient compte de la nature, du volume et de la complexité des actions et des activités de Stripe Brésil, est mis à jour tous les ans, voire plus souvent si nécessaire, dans le but de vérifier sa compatibilité avec les objectifs de l'entreprise et les conditions du marché. Les risques susceptibles d'avoir d'importants effets défavorables sur ses engagements et ses projets sont traités en priorité.
Pour organiser la gestion de ses risques ainsi que les fonctions et responsabilités connexes, Stripe Brésil adopte un modèle dit « à trois lignes de défense » basé sur les principes suivants : (i) les groupes pratiquant des activités ou exécutant des opérations source de risques pour le compte de Stripe Brésil sont les principaux responsables des opérations de gestion des risques associées (première ligne); (ii) les fonctions chargées de la gestion des risques et de la conformité sont tenues de superviser la première ligne (deuxième ligne); et (iii) le respect des règles applicables est, de préférence, évalué par des fonctions indépendantes (troisième ligne).
Les trois lignes de défense sont supervisées par le Chief Risk and Compliance Officer (« CRCO ») de Stripe Brésil, qui s'assure de la conformité de Stripe Brésil aux lois, réglementations et politiques en vigueur.
2.1. Première ligne de défense
La première ligne de défense de Stripe Brésil est constituée des fonctions de gestion des risques, y compris celles liées aux activités, aux produits et aux opérations. Ces responsables des risques, ou leurs délégués, sont tenus de gérer le cycle de gestion des risques, qui comprend l'identification, l'analyse, l'atténuation, la surveillance et la déclaration des risques. Ils sont enfin tenus de mettre concrètement en place les contrôles, d'en surveiller l'efficacité et de signaler à la deuxième ligne de défense ou au Chief Risk and Compliance Officer de Stripe Brésil tout problème qu'ils auraient identifié. Ils ont également pour mission d'élaborer des plans d'action et d'atténuer tout risque identifié par leurs soins, par le service conformité, d'audit ou une banque partenaire.
2.2. Deuxième ligne de défense
Les fonctions chargées de la conformité et de la gestion des risques, qui constituent la deuxième ligne de défense, ont pour mission de faciliter et de surveiller la mise en place d'une première de ligne de défense efficace. La deuxième ligne de défense veille à ce que la première ligne dispose des connaissances nécessaires pour bien saisir les risques en question et l'aide à identifier les risques liés à la conformité et à élaborer des mesures de contrôles pour les gérer. La deuxième ligne est également chargée de tester les contrôles mis en place par la première ligne et de s'assurer que les obligations réglementaires et à l'égard des partenaires sont respectées, voire, dans certains cas, de mettre en place les contrôles elle-même (p. ex. la surveillance des opérations de lutte contre le blanchiment de capitaux).
2.3. Troisième ligne de défense
La troisième ligne de défense est constituée du service d'audit interne, ou, le cas échéant, d'un auditeur tiers chargé de procéder à une analyse indépendante et objective du respect des règles en vigueur. Le service d'audit interne évalue avant tout l'efficacité des contrôles internes, la tolérance au risque et la gouvernance des risques en mettant non seulement l'accent sur les processus, mais aussi sur les résultats. La troisième ligne confirme l'efficacité des opérations de gestion des risques accomplies par les première et deuxième lignes au conseil d'administration de Stripe Brésil, ainsi qu'au Chief Risk and Compliance Officer.
L'approche définie par le cadre ERMF comprend : (i) l'existence des trois lignes de défense, avec leurs fonctions et responsabilités respectives (voir la section 3 ci-dessous), (ii) les descriptions des processus d'identification, d'analyse, de limitation, de surveillance et de déclaration des risques (section 4 ci-dessous) et (iii) les principaux outils de documentation des risques (section 5 ci-dessous).
La gestion des risques concerne tous les aspects des activités et toutes les composantes de Stripe Brésil. Le cadre ERMF s'applique à Stripe Brésil, y compris à ses dirigeants et à ses employés, ainsi qu'aux tiers qui contribuent à l'exercice de ses activités.
Stripe Brésil étant une filiale indirecte en propriété exclusive de Stripe, sa direction peut faire appel à Stripe Brésil pour fournir des services auxiliaires liés à la gestion des risques et/ou au traitement des risques. C'est cependant la direction de Stripe Brésil, y compris son Chief Risk and Compliance Officer, qui assume les risques et la gestion des risques de Stripe Brésil.
Le tableau et les sous-thématiques ci-dessous présentent les membres de Stripe Brésil qui participent à l'ERMF. Il est possible de former des comités et des forums techniques avec ces personnes et/ou d'autres professionnels dotés des qualifications techniques nécessaires, dans le but de gérer des enjeux spécifiques.
3.1. Fonctions du conseil d'administration de Stripe Brésil
Conseil d'administration (en général)
Voici quelques-unes des principales fonctions du conseil d'administration de Stripe Brésil concernant l'ERMF :
réviser, analyser et valider l'ERMF;
définir la déclaration relative à la tolérance au risque (Risk Appetite Statement, ou RAS), qui fixe les limites internes propres à chaque risque (avec la contribution d'autres fonctions, comme indiqué ci-dessous);
réviser, analyser et valider les registres des risques (Risk Registers) de Stripe Brésil;
superviser l'application du ERMF; examiner le profil de risque de Stripe Brésil par rapport au RAS afin de gérer les risques et d'identifier des tendances; et
donner le ton de la haute direction.
Chief Risk and Compliance Officer
Voici quelques-unes des principales missions du Chief Risk and Compliance Officer de Stripe Brésil :
assumer la responsabilité de l'ERMF de Stripe Brésil, en prônant une culture saine en matière de gestion des risques, conformément aux dispositions réglementaires brésiliennes;
superviser et surveiller l'efficacité des systèmes de gestion des risques, y compris les processus de remontée des informations et la communication;
faire des points réguliers sur les risques au conseil d'administration de Stripe Brésil;
surveiller l'ensemble des processus de gestion des risques sous-traités et les relations avec les prestataires de services tiers;
mettre en œuvre le ERMF; et
analyser et évaluer les tendances et les risques nouveaux et notables, ainsi que les augmentations de risques.
3.2. Fonctions des lignes de défense
Première ligne de défense : voici quelques-unes de ses responsabilités :
Identification des risques (identifier, surveiller, analyser, mesurer et suivre les risques à l'échelle individuelle et globale);
Analyse des risques (réalisée régulièrement à l'occasion de l'apparition de nouveaux produits, marchés, régions, modes de livraison ou types de clients afin de bien anticiper les nouveaux risques connexes et de planifier leur gestion en conséquence); et
Atténuation des risques (élaboration et mise en œuvre de plans d'action liés aux risques);
Surveillance et déclaration des risques (surveiller l'efficacité des contrôles internes mis en place et communiquer à ce sujet; s'assurer que les activités de l'entreprise sont conformes au RAS et au ERMF de Stripe Brésil; déclarations régulières; et consultation de la hiérarchie si nécessaire).
Deuxième ligne de défense : voici quelques-unes de ses responsabilités :
Gestion et surveillance des risques dans ses domaines;
Signalement de tout manquement aux règles en vigueur au conseil d'administration de Stripe Brésil, le cas échéant;
Vérification des plans d'action liés aux risques et surveillance de leur mise en œuvre; et
Élaboration de politiques et de procédures visant à limiter efficacement les risques liés à la conformité.
Troisième ligne de défense : voici quelques-unes de ses responsabilités :
Vérification indépendante visant à confirmer le bon fonctionnement de l'ERMF, du RAS, des systèmes et des processus de Stripe Brésil;
Validation du respect de l'ERMF de Stripe Brésil; et
Analyse de l'efficacité des contrôles internes actuels.
Pour atténuer les risques liés aux opérations, au crédit et aux liquidités, des processus et politiques sont élaborés, surveillés et mis à jour par la direction locale à partir des consignes de la direction principale de Stripe.
Ces processus et politiques sont largement diffusés au personnel de l'entreprise et, s'il y a lieu et/ou si nécessaire, à des tiers. Des formations et cours de sensibilisation axés sur la prévention sont notamment organisés à cet effet.
4.1. Risque opérationnel
Stripe effectue des tests récurrents et a mis en place un plan de continuité des activités qui vise à garantir, en cas d'incident, la reprise de tous les processus critiques de l'entreprise dans les meilleurs délais, ainsi que la mise en œuvre de pratiques de sécurité de l'information cohérentes et l'utilisation d'instruments efficaces pour détecter et prévenir la fraude.
4.2. Risque de crédit
En tant qu'accréditeur, Stripe Brésil s'expose à des risques de crédit qu'elle s'efforce de limiter à l'aide d'un ensemble d'outils, dont : l'exigence de garanties de paiements, la définition de limites d'exposition par contrepartie et l'articulation minutieuse des tunnels de paiement.
4.3. Risque de liquidité
Le risque de liquidité est l'un des aspects que le modèle économique de Stripe Brésil limite par essence, en partant du principe que tous les règlements de transactions de paiement entre les parties concernées (émetteur, acquéreur, sous-acquéreur et utilisateur final) s'effectuent par le biais d'une seule grille orchestrée par la CIP (Câmara Interbancária de Pagamentos, chambre des paiements interbancaires), aux côtés des banques de règlement et des établissements nationaux compétents. Les obligations de trésorerie minimale constituent également un pilier de la protection. Un plan d'urgence concret lié aux liquidités a été mis en place et sera régulièrement révisé par Stripe Brésil, qui envisage de gérer et de surveiller en permanence les sources de financements, y compris les limites de contrôles propres à chaque source.
Toutes les actions s'inscrivant dans les politiques et stratégies en matière de gestion et de gouvernance des risques sont documentées et mises à la disposition de la banque centrale du Brésil. Les principaux outils de documentation sont décrits ci-après.
5.1. Déclaration de tolérance au risque (Risk Appetite Statement)
La déclaration de tolérance au risque (Risk Appetite Statement, ou RAS) de Stripe Brésil est le principal document stratégique identifiant les risques que Stripe Brésil peut et à tout intérêt à accepter, ceux qui n'ont aucune utilité stratégique pour Stripe Brésil, ainsi que les instructions quantitatives et qualitatives concernant la gestion tactique des risques acceptables (tolérances et plafonds de risques). Il a été conçu en accord avec la vision stratégie de l'entreprise.
Il est révisé et approuvé par le conseil d'administration de Stripe Brésil et les gestionnaires des risques concernés. Le RAS de Stripe Brésil est élaboré par le conseil d'administration de Stripe Brésil, sur recommandation du Chief Risk and Compliance Officer. Une fois approuvé par le conseil d'administration, le RAS est communiqué annuellement à l'ensemble des employés de Stripe Brésil.
5.2. Documentation du registre des risques
La documentation du registre des risques vient compléter la déclaration de tolérance au risque de Stripe Brésil. Elle est validée par le conseil d'administration de Stripe Brésil et mise à jour tous les ans, sur recommandation du Chief Risk and Compliance Officer. Elle contient des informations sur les contrôles, les analyses des risques inhérents/résiduels, les mesures ou principaux indicateurs de risques, les catégorisations ou autres fonctions administratives qui sont systématiquement mises à jour à mesure que les processus qui produisent ces informations sont menés à bien.
5.3. Durée de conservation des documents
L'ensemble des documents ayant trait à des politiques, des stratégies de gestion des risques et la gouvernance des risques sont mis à la disposition de la banque centrale du Brésil. Les documents suivants (liste non exhaustive) seront conservés pendant cinq ans aux conditions indiquées ci-dessous :
Le service juridique conservera l'ensemble des validations d'ERMF effectuées par le conseil d'administration (autrement dit, sous la forme de procès-verbaux de réunions);
Le Chief Risk and Compliance Officer de Stripe Brésil conservera des copies successives des documents validés par le conseil (p. ex. la documentation du registre des risques et la déclaration de tolérance au risque);
Le Chief Risk and Compliance Officer de Stripe Brésil conservera toutes formes de communication externe, conformément aux exigences réglementaires ou contractuelles en matière de conservation des documents.