นโยบายการจัดการเงินทุนและความเสี่ยง
1. บทนำ
Stripe Brasil Soluções de Pagamento Ltda. ("Stripe บราซิล") เป็นบริษัทจำกัดที่ก่อตั้งในปี 2015 ซึ่งดำเนินธุรกิจในด้านวิธีการชำระเงิน บริษัทเป็นของ Stripe, Inc. ("Stripe") โดยสมบูรณ์และเป็นบริษัทในเครือโดยอ้อมของ Stripe ซึ่งเป็นแพลตฟอร์มเทคโนโลยีที่ก่อตั้งในสหรัฐอเมริกาเมื่อปี 2011 และให้บริการเครื่องมือซอฟต์แวร์ที่ช่วยผู้ประกอบการในการเริ่มต้น จัดการ รวมทั้งขยายธุรกิจออนไลน์
นอกเหนือจากแนวทางปฏิบัติที่แนะนำในตลาดและกฎระเบียบที่มีผลบังคับใช้แล้ว Stripe บราซิลยังดูแลรักษาเฟรมเวิร์กการจัดการความเสี่ยงระดับองค์กร ("ERMF") ที่บริษัทได้จัดตั้งแนวทางในการระบุ วัด ติดตามตรวจสอบ ควบคุม บรรเทา และจัดการความเสี่ยงด้านเครดิต ด้านการดำเนินงาน และด้านสภาพคล่องอย่างต่อเนื่องด้วยวิธีการที่ผสานรวมไว้ด้วยกันอีกด้วย
2. โมเดลการจัดการความเสี่ยง
Stripe บราซิลใช้แนวทางที่ครอบคลุมในการจัดการความเสี่ยงอันประกอบด้วย 4 กระบวนการ ได้แก่ (1) การระบุความเสี่ยง (2) การประเมิน (3) การบรรเทา (4) การติดตามตรวจสอบและการรายงาน
ERMF พิจารณาทั้งลักษณะโดยพื้นฐาน ปริมาณ และความซับซ้อนของธุรกิจและการดำเนินการของ Stripe บราซิลเพื่อพิจารณาความสอดคล้องเหมาะสมกับจุดประสงค์ของสถาบันและสภาวะของตลาด เฟรมเวิร์กนี้ได้รับการอัปเดตเป็นรายปีและ/หรือบ่อยกว่านั้นหากจำเป็น โดยจะให้ความสำคัญกับความเสี่ยงที่อาจส่งผลกระทบทางลบต่อเป้าหมายและโครงการของบริษัทอย่างมีนัยสำคัญ
Stripe ใช้โมเดล "การป้องกันสามด่าน" ในการจัดแบ่งหน้าที่และความรับผิดชอบ ตลอดจนการจัดการความเสี่ยง โดยจะพิจารณาจากหลักการต่อไปนี้ (1) กลุ่มที่มีส่วนเกี่ยวข้องกับกิจกรรมและการดำเนินการทางธุรกิจที่ก่อให้เกิดความเสี่ยงในนามของ Stripe บราซิลจะเป็นผู้รับผิดชอบหลักในกิจกรรมการจัดการความเสี่ยงนั้นๆ (ด่านแรก) (2) หน่วยงานด้านการปฏิบัติตามข้อกำหนดและการจัดการความเสี่ยงเฉพาะเจาะจงจะต้องคอยดูแลด่านแรก (ด่านที่สอง) (3) การประเมินด้านการปฏิบัติตามกฎที่บังคับใช้ควรดำเนินการโดยหน่วยงานอิสระ (ด่านที่สาม)
การป้องกัน 3 ด่านนี้จะอยู่ภายใต้การดูแลของหัวหน้าเจ้าหน้าที่ระดับสูงด้านการปฏิบัติตามข้อกำหนดและความเสี่ยง ("CRCO") ผู้มีหน้าที่สูงสุดในการดูแลการปฏิบัติตามกฎหมาย ข้อบังคับ และนโยบายทั้งหมดของ Stripe บราซิล
2.1. การป้องกันด่านแรก
การป้องกันด่านแรกของ Stripe บราซิลประกอบด้วยฝ่ายงานด้านการจัดการความเสี่ยง ซึ่งประกอบด้วยฝ่ายงานด้านธุรกิจและผลิตภัณฑ์ และฝ่ายงานที่เกี่ยวข้องกับการปฏิบัติงาน เจ้าของความเสี่ยงเหล่านี้หรือผู้ได้รับมอบหมายจะเป็นผู้รับผิดชอบวงจรการจัดการความเสี่ยง ซึ่งประกอบด้วยการระบุความเสี่ยง การประเมิน การบรรเทา การติดตามตรวจสอบ และการรายงาน โดยท้ายที่สุดแล้วจะเป็นผู้รับผิดชอบสำหรับการดำเนินการควบคุม การเฝ้าติดตามประสิทธิภาพของการควบคุมในตอนท้าย และการอ้างอิงปัญหาใดๆ ที่ตนพบไปยังด่านที่สองและ/หรือเจ้าหน้าที่ระดับสูงด้านการปฏิบัติตามกฎและความเสี่ยงของ Stripe บราซิล นอกจากนี้เจ้าหน้าที่ด้านความเสี่ยงยังมีหน้าที่ในการพัฒนาแผนและหาแนวทางแก้ไขเมื่อตนหรือหน่วยงานด้านการปฏิบัติตามกฎ ฝ่ายตรวจสอบ หรือธนาคารพาร์ทเนอร์ระบุปัญหาได้
2.2. การป้องกันด่านที่สอง
การป้องกันด่านที่สองประกอบด้วยฝ่ายงานด้านการจัดการความเสี่ยงและการปฏิบัติตามกฎระเบียบซึ่งจะช่วยอำนวยความสะดวกและติดตามดูการนำวิธีป้องกันด่านแรกไปใช้งานให้ได้ผล การป้องกันด่านที่สองจะช่วยให้แน่ใจว่าด่านแรกมีความรู้ความเข้าใจที่เพียงพอเกี่ยวกับความเสี่ยงแต่ละอย่าง และให้คำแนะนำแก่ด่านแรกในการระบุความเสี่ยงด้านการปฏิบัติตามกฎข้อบังคับและการพัฒนาแผนควบคุมเพื่อจัดการความเสี่ยงเหล่านั้น นอกจากนี้ด่านที่สองยังรับผิดชอบการควบคุมและการปฏิบัติตามกฎของด่านแรกกับพาร์ทเนอร์และภาระผูกพันทางกฎหมายด้วย อย่างไรก็ตามในบางกรณีด่านที่สองอาจเป็นผู้ดำเนินการควบคุมด้วยตนเอง (เช่น การตรวจสอบการดำเนินงานเพื่อป้องกันการฟอกเงิน - AML)
2.3. การป้องกันด่านที่สาม
การป้องกันด่านที่สามประกอบด้วยฝ่ายตรวจสอบภายใน หรือในกรณีที่เหมาะสมอาจเป็นผู้ตรวจสอบที่เป็นบุคคลที่สามซึ่งมีหน้าที่ประเมินการปฏิบัติตามกฎระเบียบด้วยความเป็นกลางและอิสระ ฝ่ายตรวจสอบภายในจะประเมินประสิทธิภาพของมาตรการควบคุมภายใน ระดับความเสี่ยงที่ยอมรับได้ และการควบคุมดูแลความเสี่ยงโดยมุ่งเป้าไปที่ผลลัพธ์ ไม่ใช่เพียงกระบวนการ การป้องกันด่านที่สามจะรายงานผลประสิทธิภาพกิจกรรมการจัดการความเสี่ยงของด่านแรกและด่านที่สองให้คณะกรรมของ Stripe บราซิล รวมถึงหัวหน้าเจ้าหน้าที่ระดับสูงด้านการปฏิบัติตามกฎและความเสี่ยงของ Stripe บราซิลรับทราบ
แนวทางที่ ERMF ครอบคลุมได้แก่ (1) การจัดเตรียมการป้องกันสามด่าน พร้อมทั้งบทบาทและความรับผิดชอบของแต่ละด่าน (หัวข้อที่ 3 ด้านล่าง) (2) คำอธิบายกระบวนที่ใช้ในการระบุ ประเมิน บรรเทา ติดตามตรวจสอบ และรายงานความเสี่ยง (หัวข้อที่ 4 ด้านล่าง) (3) เครื่องมือหลักสำหรับการบันทึกความเสี่ยงเป็นลายลักษณ์อักษร (หัวข้อที่ 5 ด้านล่าง)
3. บทบาทและความรับผิดชอบในการจัดการความเสี่ยง
การจัดการความเสี่ยงมีความเกี่ยวข้องกับทุกๆ องค์ประกอบของธุรกิจและ Stripe บราซิลทุกระดับ ERMF มีผลบังคับใช้กับ Stripe บราซิลซึ่งประกอบไปด้วยเจ้าหน้าที่ระดับสูงและพนักงาน รวมทั้งบุคคลภายนอกที่ได้รับการว่าจ้างให้มาช่วยเหลือในการดำเนินธุรกิจ
เนื่องจาก Stripe บราซิลเป็นบริษัทในเครือ Stripe ทางอ้อมและเป็นของ Stripe อย่างสมบูรณ์ ฝ่ายบริการของ Stripe บราซิลจึงขอบริการช่วยเหลือจาก Stripe บราซิลในส่วนที่เกี่ยวข้องกับการจัดการความเสี่ยงและ/หรือการดำเนินงานด้านความเสี่ยง อย่างไรก็ตามในท้ายที่สุดแล้ว ฝ่ายบริหารของ Stripe บราซิล ซึ่งรวมถึงหัวหน้าเจ้าหน้าที่ระดับสูงด้านการปฏิบัติตามกฎและความเสี่ยงจะต้องเป็นผู้รับผิดชอบด้านความเสี่ยงและการจัดการความเสี่ยงของ Stripe บราซิล
แผนภูมิและหัวข้อย่อยด้านล่างจะอธิบายเกี่ยวกับผู้มีส่วนร่วมใน ERMF ที่ Stripe บราซิล อาจมีการจัดตั้งคณะกรรมและการประชุมในเชิงเทคนิคโดยให้บุคคลเหล่านี้และ/หรือมืออาชีพคนอื่นๆ ที่มีความสามารถทางเทคนิคที่เหมาะสมเข้าร่วมเพื่อพูดคุยและหาทางแก้ไขปัญหาที่เฉพาะเจาะจง
3.1. หน้าที่ของคณะกรรมการบริษัท Stripe บราซิล
คณะกรรมการบริษัท (โดยทั่วไป)
คณะกรรมการบริษัท Stripe บราซิลมีหน้าที่หลักเกี่ยวกับ ERMF ดังต่อไปนี้ แต่ไม่จำกัดเพียง
ตรวจสอบ ตั้งคำถาม และอนุมัติ ERMF
จัดทำประกาศความเสี่ยงที่ยอมรับได้ (RAS) ในขั้นตอนสุดท้าย (โดยรับฟังข้อมูลจากส่วนงานอื่นๆ ตามที่อธิบายด้านล่าง)
ตรวจสอบ ตั้งคำถาม และอนุมัติทะเบียนข้อมูลความเสี่ยงของ Stripe บราซิล
ดูแลตรวจสอบการนำ ERMF มาใช้ ตรวจสอบโปรไฟล์ความเสี่ยงของ Stripe บราซิลเทียบกับ RAS เพื่อการจัดการความเสี่ยงและการระบุแนวโน้ม และ
กำหนดท่าทีจากฝ่ายบริหารระดับอาวุโส
หัวหน้าเจ้าหน้าที่ระดับสูงด้านการปฏิบัติตามกฎและความเสี่ยง
หัวหน้าเจ้าหน้าที่ระดับสูงด้านการปฏิบัติตามกฎและความเสี่ยงของ Stripe บราซิลมีหน้าที่หลักดังต่อไปนี้ แต่ไม่จำกัดเพียง
รับผิดชอบ ERMF ของ Stripe บราซิล โดยสนับสนุนวัฒนธรรมการจัดการความเสี่ยงที่สมเหตุสมผลซึ่งสอดคล้องกับข้อกำหนดทางกฎหมายของบราซิล
ดูแลตรวจสอบประสิทธิภาพความได้ผลของระบบการจัดการความเสี่ยง รวมถึงกระบวนการส่งเรื่องต่อและการสื่อสาร
นำเสนอข้อมูลอัปเดตเกี่ยวกับความเสี่ยงเป็นระยะๆ ให้คณะกรรมการของ Stripe บราซิลรับทราบ
ดูแลความเรียบร้อยของกระบวนการจัดการความเสี่ยงที่จัดจ้างคนภายนอกทั้งหมด รวมถึงความสัมพันธ์กับผู้ให้บริการที่เป็นบุคคลภายนอก
นำ ERMF มาใช้งาน และ
วิเคราะห์และประเมินแนวโน้มและความเสี่ยงใหม่และที่กำลังปรากฏให้เห็น รวมถึงการเพิ่มขึ้นของความเสี่ยง
3.2. หน้าที่ของการป้องกันด่านต่างๆ
การป้องกันด่านแรก: มีความรับผิดชอบดังต่อไปนี้ แต่ไม่จำกัดเพียง
การระบุความเสี่ยง (ระบุ ติดตามตรวจสอบ วิเคราะห์ วัด ติดตามความเสี่ยงแต่ละเหตุการณ์และแบบรวม
ประเมินความเสี่ยง (ดำเนินการเป็นระยะๆ หากมีผลิตภัณฑ์ ตลาด พื้นที่ทางภูมิศาสตร์ วิธีการจัดส่ง หรือประเภทลูกค้าใหม่ๆ เพื่อรอรับมือและวางแผนสำหรับความเสี่ยงใหม่ที่เกี่ยวข้องอย่างเหมาะสม) และ
การบรรเทาความเสี่ยง (การพัฒนาแผนดำเนินการสำหรับความเสี่ยงและการนำไปใช้)
การติดตามตรวจสอบและการรายงานความเสี่ยง (การติดตามตรวจสอบและการรายงานประสิทธิภาพของการควบคุมภายในที่เกี่ยวข้องและที่มีผลบังคับใช้อย่างต่อเนื่อง การตรวจสอบให้มั่นใจว่ากิจกรรมทางธุรกิจสอดคล้องกับ RAS ของ Stripe บราซิลและ ERMF การรายงานเป็นระยะๆ และการส่งเรื่องต่อไปยังระดับที่สูงขึ้น หากจำเป็น)
การป้องกันด่านที่สอง: มีความรับผิดชอบดังต่อไปนี้ แต่ไม่จำกัดเพียง
การจัดการความเสี่ยงและควบคุมดูแลภายในพื้นที่ของตัวเอง
การสื่อสารกับคณะกรรมการ Stripe บราซิลเกี่ยวกับการไม่ปฏิบัติตามกฎที่บังคับใช้ ตามความเหมาะสม
การตรวจสอบแผนการดำเนินการสำหรับความเสี่ยงตลอดจนควบคุมดูแลการนำไปใช้ และ
การออกแบบนโยบายและระเบียบการเพื่อให้ช่วยบรรเทาความเสี่ยงของการไม่ปฏิบัติตามกฎได้อย่างเหมาะสม
การป้องกันด่านที่สาม: มีความรับผิดชอบดังต่อไปนี้ แต่ไม่จำกัดเพียง
การตรวจสอบยืนยันอย่างอิสระว่า ERMF, RAS, ระบบ และกระบวนการของ Stripe บราซิลทำงานอย่างมีประสิทธิภาพ
การตรวจสอบความถูกต้องด้านการปฏิบัติตาม ERMF ของ Stripe บราซิล และ
การตรวจสอบประสิทธิภาพความได้ผลของการควบคุมภายในที่ใช้อยู่
4. กระบวนการจัดการความเสี่ยง
ฝ่ายบริหารในท้องถิ่นได้มีการจัดทำนโยบายและกระบวนการที่ได้รับการติดตามตรวจสอบและอัปเดตตามความเห็นชอบจากฝ่ายบริหารระดับอาวุโสของ Stripe เพื่อบรรเทาความเสี่ยงด้านการปฏิบัติงาน เครดิต และสภาพคล่อง
กระบวนการและนโยบายได้รับการเผยแพร่ไปยังสมาชิกขององค์กรในวงกว้าง และในกรณีที่เหมาะสมและ/หรือจำเป็น ก็จะเผยแพร่ไปยังบุคคลภายนอกด้วย ความพยายามด้านการเผยแพร่นี้ประกอบด้วยการเพิ่มความตระหนักรู้และการฝึกอบรมโดยมุ่งเน้นไปที่การป้องกันเป็นพิเศษ
_4.1. ความเสี่ยงด้านการปฏิบัติงาน _
ความพยายามประกอบไปด้วยการทดสอบเป็นระยะๆ และแผนความต่อเนื่องของธุรกิจซึ่งมุ่งเน้นไปที่การตรวจสอบว่ากระบวนที่สำคัญทั้งหมดของสถาบันจะกลับมาทำงานได้โดยเร็วที่สุดในกรณีที่เกิดเหตุการณ์ที่ส่งผลต่อความต่อเนื่อง โดยใช้แนวทางการรักษาความปลอดภัยข้อมูลที่สอดคล้องกันและใช้เครื่องมืออันมีประสิทธิภาพสำหรับการตรวจหาและป้องกันการฉ้อโกง
4.2. ความเสี่ยงด้านเครดิต
Stripe บราซิลมีโอกาสตกอยู่ในความเสี่ยงด้านเครดิตในฐานะที่เป็นผู้รับรองและจะต้องบรรเทาความเสี่ยงดังกล่าวโดยใช้เครื่องมือต่างๆ รวมถึงข้อกำหนดการรับประกันการชำระเงิน การกำหนดขีดจำกัดการทำธุรกิจกับคู่ค้าแต่ละราย รวมถึงการแสดงขั้นตอนการชำระเงินอย่างละเอียด
4.3. ความเสี่ยงด้านสภาพคล่อง
ความเสี่ยงด้านสภาพคล่องเป็นหนึ่งในจุดที่ได้รับการบรรเทาโดยอัตโนมัติจากโมเดลธุรกิจของ Stripe บราซิล โดยพิจารณาจากการที่ข้อตกลงธุรกรรมการชำระเงินทั้งหมดระหว่างทุกฝ่ายที่เกี่ยวข้อง (ผู้ออกการชำระเงิน ผู้ประมวลผลการชำระเงิน ผู้ประมวลผลต่อ และผู้ใช้ปลายทาง) เกิดขึ้นผ่านกริดเดียวซึ่งดูแลจัดการโดย CIP (Câmara Interbancária de Pagamentos - หน่วยงานด้านการชำระเงินผ่านหลายธนาคาร) โดยมีธนาคารพาณิชย์และหน่วยงานดูแลที่มีประสิทธิภาพ ข้อกำหนดเงินสดขั้นต่ำก็เป็นการปกป้องสำคัญอีกอย่างหนึ่ง มีการใช้แผนความต่อเนื่องของสภาพคล่องที่มีประสิทธิภาพซึ่งจะได้รับการตรวจสอบเป็นระยะๆ โดย Stripe บราซิล การพิจารณาการบริหารและการตรวจสอบดูแลแหล่งที่มาของเงินอย่างต่อเนื่องตามความจำเป็น รวมถึงการควบคุมโดยการจำกัดแหล่งที่มาแต่ละแหล่ง
5. การจัดทำเอกสารทะเบียนข้อมูลความเสี่ยง
การดำเนินการทั้งหมดในด้านการจัดการความเสี่ยง ตลอดจนกลยุทธ์และนโยบายควบคุมจะได้รับการจัดทำเป็นลายลักษณ์อักษรซึ่งธนาคารกลางแห่งบราซิลสามารถเรียกดูได้ ด้านล่างนี้เป็นการอธิบายเครื่องมือด้านการจัดทำเอกสารหลัก
5.1. ประกาศความเสี่ยงที่ยอมรับได้
ประกาศความเสี่ยงที่ยอมรับได้ (RAS) ของ Stripe บราซิลเป็นเอกสารกลยุทธ์หลักที่ระบุความเสี่ยงที่ Stripe บราซิลสามารถรับและควรรับได้ ความเสี่ยงที่ไม่เหมาะกับ Stripe บราซิล ในเชิงกลยุทธ์ ตลอดจนแนวทางในเชิงปริมาณและคุณภาพของการจัดการความเสี่ยงที่ยอมรับได้ในเชิงกลวิธี (ระดับการทนต่อความเสี่ยงและขีดจำกัด) เอกสารนี้ได้รับการจัดทำให้สอดคล้องกับวิสัยทัศน์ทางธุรกิจเชิงกลยุทธ์ขององค์กร
เอกสารจะได้รับการตรวจสอบและอนุมัติโดยคณะกรรมการของ Stripe บราซิลร่วมกับผู้จัดการความเสี่ยงที่เกี่ยวข้อง RAS ของ Stripe บราซิลได้รับการจัดทำโดยคณะกรรมการของ Stripe บราซิลโดยได้รับคำแนะนำจากหัวหน้าเจ้าหน้าที่ระดับสูงด้านการปฏิบัติตามกฎและความเสี่ยงของ Stripe บราซิล หลังจากผ่านการอนุมัติแล้ว พนักงานทั้งหมดของ Stripe บราซิลจะได้รับการสื่อสารเกี่ยวกับ RAS อย่างน้อยปีละครั้ง
5.2. เอกสารทะเบียนข้อมูลความเสี่ยง
เอกสารทะเบียนข้อมูลความเสี่ยงเป็นเอกสารเสริมจากประกาศความเสี่ยงที่ยอมรับได้ของ Stripe บราซิล เอกสารนี้ได้รับการอนุมัติโดยคณะกรรมการของ Stripe บราซิลและมีการอัปเดตทุกปีโดยได้รับคำแนะนำจากหัวหน้าเจ้าหน้าที่ระดับสูงด้านการปฏิบัติตามกฎและความเสี่ยง เอกสารนี้จะแสดงการอัปเดตอย่างต่อเนื่องในเรื่องของการควบคุม การประเมินความเสี่ยงที่มีอยู่โดยเลี่ยงไม่ได้/ที่หลงเหลืออยู่ ตัวระบุความเสี่ยงหลัก/เมตริกความเสี่ยง การแยกประเภท หรือหน่วยงานธุรการอื่นๆ ในระหว่างกระบวนการจัดทำข้อมูลนี้
5.3. ข้อกำหนดการเก็บรักษาเอกสาร
เอกสารทั้งหมดที่เกี่ยวข้องกับนโยบาย กลยุทธ์การจัดการความเสี่ยง และการควบคุมดูแลจะเปิดให้ธนาคารกลางแห่งบราซิลเข้าถึงได้ บันทึกต่อไปนี้จะได้รับการเก็บรักษาตามข้อกำหนดด้านล่างเป็นเวลาอย่างน้อย 5 ปี อย่างไรก็ตามนี่เป็นเพียงส่วนหนึ่งของเอกสารที่จะได้รับการเก็บรักษา
ฝ่ายกฎหมายจะเก็บรักษาการอนุมัติ ERMF ทั้งหมดของคณะกรรมการ (ผ่านบันทึกการประชุมคณะกรรมการ)
หัวหน้าเจ้าหน้าที่ระดับสูงด้านการปฏิบัติตามกฎและความเสี่ยงของ Stripe บราซิลจะเก็บรักษาสำเนาเอกสารที่คณะกรรมอนุมัติหลังจากนั้น (เช่น เอกสารทะเบียนข้อมูลความเสี่ยงและประกาศความเสี่ยงที่ยอมรับได้)
หัวหน้าเจ้าหน้าที่ระดับสูงด้านการปฏิบัติตามกฎและความเสี่ยงของ Stripe บราซิลจะเก็บรักษาเอกสารการสื่อสารภายนอกให้เป็นไปตามข้อกำหนดการเก็บรักษาบันทึกตามสัญญาหรือตามกฎหมาย