Politica di gestione dei rischi e del capitale
1. Introduzione
Stripe Brasil Soluções de Pagamento Ltda. ("Stripe Brasile") è una società a responsabilità limitata costituita nel 2015, che opera nel settore delle modalità di pagamento. La società è una controllata indiretta interamente di proprietà di Stripe, Inc. ("Stripe"), una piattaforma tecnologica fondata negli Stati Uniti nel 2011. Stripe offre strumenti software che aiutano gli imprenditori ad avviare, gestire e far crescere la propria attività online.
In linea con le normative applicabili e le migliori prassi di mercato, Stripe Brasile mantiene un Quadro di gestione dei rischi aziendali (Enterprise Risk Management Framework, di seguito "ERMF"), nel quale ha stabilito il proprio approccio per individuare, misurare, monitorare, controllare, mitigare e gestire i rischi operativi, di liquidità e di credito su base continuativa e integrata.
2. Modello di gestione dei rischi
Stripe Brasile adotta un approccio globale alla gestione dei rischi, che comprende quattro componenti: i) identificazione dei rischi; ii) valutazione; iii) mitigazione; iv) monitoraggio e segnalazione.
L'ERMF tiene conto della natura, del volume e della complessità delle azioni e delle attività di Stripe Brasile e viene aggiornato annualmente e/o più di frequente se necessario, al fine di determinarne la compatibilità con gli obiettivi aziendali e con le condizioni di mercato. Viene data priorità ai rischi che potrebbero avere impatti negativi rilevanti sui suoi impegni e progetti.
Stripe Brasile utilizza un modello a tre linee di difesa nell'organizzare le funzioni e le responsabilità, nonché la gestione dei rischi, sulla base dei seguenti principi: i) i gruppi che svolgono funzioni e conducono attività che creano rischi per conto di Stripe Brasile sono i principali responsabili delle rispettive attività di gestione del rischio (prima linea); ii) funzioni specifiche di gestione dei rischi e di conformità sono preposte alla supervisione della prima linea (seconda linea); e iii) la valutazione del rispetto delle norme applicabili è svolta al meglio da funzioni indipendenti (terza linea).
Le tre linee di difesa sono sottoposte alla supervisione del Chief Risk and Compliance Officer ("CRCO") di Stripe Brasile, responsabile di vigilare sulla conformità di Stripe Brasile a tutte le leggi, norme e politiche.
2.1. Prima linea di difesa
La prima linea di difesa di Stripe Brasile è composta dalle funzioni di gestione dei rischi, tra cui funzioni legate agli aspetti commerciali, operativi e di prodotto. Questi Responsabili del rischio, o i loro incaricati, hanno competenza per il ciclo di gestione dei rischi, comprendente l'identificazione, la valutazione, la mitigazione, il monitoraggio e la segnalazione dei rischi. Essi sono in ultima analisi responsabili di rendere operativi i controlli, effettuando l'eventuale monitoraggio dell'efficacia dei controlli e segnalando i problemi identificati alla seconda linea di difesa e/o al Chief Risk and Compliance Officer di Stripe Brasile. I Responsabili del rischio sono inoltre incaricati di elaborare piani di azione e di assicurare che venga posto rimedio quando un problema è individuato da essi stessi o dalle funzioni di conformità, di audit o da una banca partner.
2.2. Seconda linea di difesa
Le funzioni di conformità e di gestione dei rischi costituiscono la seconda linea di difesa e servono a facilitare e monitorare l'attuazione di una prima linea di difesa efficace. La seconda linea di difesa assicura che la prima linea abbia una conoscenza e una comprensione adeguate dei rischi rilevanti e fornisce consulenza alla prima linea di difesa sull'individuazione dei rischi di conformità e sullo sviluppo di controlli per la gestione di tali rischi. La seconda linea è anche responsabile della verifica dei controlli effettuati dalla prima linea e del rispetto degli obblighi normativi e dei partner, anche se in alcuni casi la seconda linea esegue essa stessa i controlli (ad esempio, monitoraggio delle operazioni di prevenzione del riciclaggio di denaro, AML).
2.3. Terza linea di difesa
La terza linea di difesa è costituita dall'audit interno o, eventualmente, da un revisore esterno incaricato di fornire una valutazione indipendente e obiettiva dell'osservanza delle norme applicabili. In particolare, l'audit interno valuta l'efficacia dei controlli interni, la propensione al rischio e la governance del rischio con particolare attenzione ai risultati, non soltanto alla procedura. La terza linea assicura l'efficacia delle attività di gestione dei rischi della prima e della seconda linea di difesa dinanzi al Consiglio di amministrazione di Stripe Brasile, nonché al Chief Risk and Compliance Officer di Stripe Brasile.
L'approccio contemplato dall'ERMF comprende: i) l'esistenza delle tre linee di difesa, con i rispettivi ruoli e responsabilità (cfr. il seguente punto 3); ii) la descrizione delle procedure utilizzate per individuare, valutare, mitigare, monitorare e segnalare eventuali rischi (cfr. il punto 4); iii) i principali strumenti per documentare i rischi (cfr. il punto 5).
3. Ruoli e responsabilità in materia di gestione dei rischi
La gestione dei rischi coinvolge tutti gli elementi dell'attività e tutti i livelli di Stripe Brasile. L'ERMF si applica a Stripe Brasile, compresi i suoi dirigenti e dipendenti, nonché ai terzi ingaggiati per assistere nella conduzione della sua attività.
Dato che Stripe Brasile è una controllata indiretta interamente di proprietà di Stripe, la direzione di Stripe Brasile può incaricare Stripe Brasile di fornire servizi accessori per la sua gestione dei rischi e/o le sue operazioni di rischio. Tuttavia, la direzione di Stripe Brasile, compreso il suo Chief Risk and Compliance Officer, è in ultima analisi responsabile dei rischi e della gestione dei rischi di Stripe Brasile.
Il grafico e le tematiche riportati di seguito descrivono i partecipanti all'ERMF presso Stripe Brasile. Possono essere costituiti comitati e forum tecnici, con questi e/o altri professionisti dotati di adeguate capacità tecniche, per discutere e affrontare questioni specifiche.
3.1. Funzioni del Consiglio di amministrazione di Stripe Brasile
Consiglio di amministrazione (in generale)
Le principali funzioni del Consiglio di amministrazione di Stripe Brasile per quanto riguarda l'ERMF includono, senza limitazioni:
esaminare, discutere criticamente e approvare l'ERMF;
dare l'impostazione finale alla Dichiarazione sulla propensione al rischio (Risk Appetite Statement, RAS) (con l'input di altre funzioni come descritto di seguito);
esaminare, discutere in modo obiettivo e approvare i Registri dei rischi di Stripe Brasile;
vigilare sull'attuazione dell'ERMF; rivedere il profilo di rischio di Stripe Brasile a fronte della RAS per la gestione del rischio e l'individuazione delle tendenze;
dare l'esempio dall'alta dirigenza.
Chief Risk and Compliance Officer
I compiti principali del Chief Risk and Compliance Officer di Stripe Brasile includono, a titolo esemplificativo:
essere responsabile dell'ERMF di Stripe Brasile, promuovendo una solida cultura della gestione dei rischi nel rispetto dei requisiti normativi brasiliani;
supervisionare e monitorare l'efficacia dei sistemi di gestione dei rischi, compresi i processi di segnalazione alla gerarchia superiore e le comunicazioni;
fornire aggiornamenti periodici sui rischi al Consiglio di amministrazione di Stripe Brasile;
supervisionare tutti i processi di gestione dei rischi esternalizzati e le relazioni con fornitori di servizi terzi;
attuare l'ERMF;
analizzare e valutare le tendenze e i rischi nuovi ed emergenti, nonché l'aumento dei rischi.
3.2. Funzioni delle linee di difesa
Prima linea di difesa: le responsabilità includono, a titolo esemplificativo:
identificazione dei rischi (identificare, monitorare, analizzare, misurare, tracciare i rischi su base individuale e consolidata);
valutazione dei rischi (eseguita periodicamente a causa di nuovi prodotti, mercati, aree geografiche, modalità di consegna o tipologie di clienti per anticipare e pianificare adeguatamente i nuovi rischi connessi); e
mitigazione dei rischi (elaborare e attuare i piani d'azione per i rischi);
monitoraggio e reporting dei rischi (monitorare e rendere conto dell'efficacia continua dei controlli interni pertinenti e applicabili; assicurare che le attività aziendali siano conformi alla RAS e all'ERMF di Stripe Brasile; rendere conto periodicamente; segnalare alle gerarchie superiori, se necessario).
Seconda linea di difesa: le responsabilità includono, a titolo esemplificativo:
gestione e sorveglianza dei rischi all'interno dei rispettivi ambiti di competenza;
comunicazione al Consiglio di amministrazione di Stripe Brasile di eventuali inosservanze delle norme applicabili;
riesame dei piani di azione per i rischi e supervisione della loro attuazione;
definizione delle politiche e procedure per assicurare che i rischi di conformità siano adeguatamente mitigati.
Terza linea di difesa: le responsabilità includono, a titolo esemplificativo:
verifica indipendente del funzionamento efficace dell'ERMF, della RAS, dei sistemi e delle procedure di Stripe Brasile;
convalida della conformità dell'ERMF di Stripe Brasile;
verifica dell'efficacia dei controlli interni esistenti.
4. Procedura di gestione dei rischi
Per mitigare i rischi operativi, di credito e di liquidità, i processi e le politiche sono formulati, monitorati e aggiornati dalla direzione locale di concerto con l'alta dirigenza di Stripe.
Le procedure e le politiche sono condivisi con tutti i membri dell'istituzione e, ove opportuno e/o necessario, di terzi. Lo sforzo di divulgazione comprende attività di sensibilizzazione e formazione, con particolare enfasi sulla prevenzione.
4.1. Rischio operativo
Le operazioni comprendono test ricorrenti e un piano di continuità operativa, volto ad assicurare che tutti i processi critici dell'istituzione siano ripristinati il prima possibile (in caso di incidente protratto) con pratiche coerenti in materia di sicurezza delle informazioni e facendo affidamento su strumenti efficienti per l'individuazione e la prevenzione delle frodi.
4.2. Rischio di credito
Stripe Brasile è esposta al rischio di credito come accreditatore e cerca di attenuarlo con vari strumenti, tra cui: il requisito delle garanzie di pagamento, l'implementazione di limiti di esposizione per controparte, nonché un'articolazione dettagliata dei flussi di pagamento.
4.3. Rischio di liquidità
Il rischio di liquidità è uno dei fattori mitigati naturalmente dal modello aziendale di Stripe Brasile, poiché tutti i regolamenti delle operazioni di pagamento tra le parti coinvolte (emittente, acquirente, subacquirente e utente finale) avvengono attraverso un'unica rete coordinata da CIP (Câmara Interbancária de Pagamentos, Interbank Payments Chamber), con le banche di regolamento e le istituzioni domiciliari competenti. Anche le obbligazioni minime in denaro costituiscono un pilastro della protezione. È stato attuato un efficace piano di emergenza in materia di liquidità che verrà rivisto periodicamente da Stripe Brasile, prevedendo necessariamente la gestione e il monitoraggio continui delle fonti di finanziamento, compresi i controlli dei limiti per ciascuna fonte.
5. Documentazione del Registro dei rischi
Tutte le azioni in materia di politiche e strategie di gestione dei rischi e di governance sono documentate e tenute a disposizione della Banca centrale del Brasile. Di seguito sono descritti i principali strumenti di documentazione.
5.1. Dichiarazione sulla propensione al rischio
La Dichiarazione sulla propensione al rischio (Risk Appetite Statement, RAS) di Stripe Brasile è il principale documento strategico che identifica i rischi che Stripe Brasile può e dovrebbe accettare, quelli che non hanno senso da un punto di vista strategico per Stripe Brasile e le linee guida quantitative e qualitative per la gestione tattica dei rischi accettabili (tolleranze e massimali di rischio). È stata preparata in linea con la visione strategica aziendale dell'istituzione.
È riesaminata e approvata dal Consiglio di amministrazione di Stripe Brasile in collaborazione con i rispettivi responsabili dei rischi. La RAS di Stripe Brasile è stabilita dal Consiglio di amministrazione di Stripe Brasile dietro raccomandazione del Chief Risk and Compliance Officer di Stripe Brasile. La RAS viene comunicata a tutti i dipendenti di Stripe Brasile almeno una volta l'anno, previa approvazione da parte del Consiglio di amministrazione.
5.2. Documentazione del Registro dei rischi
La Documentazione del Registro dei rischi integra la Dichiarazione sulla propensione al rischio di Stripe Brasile. È approvata dal Consiglio di amministrazione di Stripe Brasile e aggiornata annualmente, su raccomandazione del Chief Risk and Compliance Officer. Contiene aggiornamenti continui a livello di controlli, valutazioni dei rischi intrinseci/residui, metriche di rischio/principali indicatori di rischio, categorizzazioni o altre funzioni amministrative, man mano che i processi che producono tali informazioni sono completati.
5.3. Termine di conservazione dei documenti
Tutti i documenti che coinvolgono politiche, strategie di gestione del rischio e governance sono tenuti a disposizione della Banca centrale del Brasile. Sebbene non si tratti di un elenco esaustivo, la seguente documentazione sarà conservata come indicato di seguito per almeno cinque anni:
il dipartimento Legale conserva tutte le approvazioni dell'ERMF da parte del Consiglio di amministrazione (ossia i verbali delle riunioni);
il Chief Risk and Compliance Officer di Stripe Brasile conserva copie sequenziali dei documenti approvati dal Consiglio di amministrazione (ad esempio, la Documentazione del Registro dei rischi e la Dichiarazione sulla propensione al rischio);
il Chief Risk and Compliance Officer di Stripe Brasile conserva tutte le comunicazioni esterne in conformità con i requisiti normativi o contrattuali di conservazione dei documenti.