La empresa Stripe Brasil Soluções de Pagamento Ltda. («Stripe Brasil») es una sociedad de responsabilidad limitada constituida en 2015, que opera en el sector de los métodos de pago. La empresa es una filial indirecta propiedad al cien por cien de Stripe, Inc. («Stripe»), una plataforma tecnológica creada en Estados Unidos en 2011. Stripe ofrece herramientas de software que ayudan a los empresarios a iniciar, gestionar y hacer crecer sus negocios en Internet.
En consonancia con la normativa aplicable y las mejores prácticas del mercado, Stripe Brasil mantiene un Marco de Gestión de Riesgos Empresariales («ERMF», por sus siglas en inglés), mediante el cual ha establecido su enfoque para identificar, medir, supervisar, controlar, mitigar y gestionar los riesgos operativos, de liquidez y de crédito de forma continua e integrada.
Stripe Brasil adopta un enfoque integral en la gestión del riesgo, que consta de cuatro componentes de proceso: (i) identificación del riesgo; (ii) evaluación; (iii) mitigación; (iv) seguimiento y notificación.
El ERMF tiene en cuenta la naturaleza, el volumen y la complejidad de la actividad comercial de Stripe Brasil para determinar su compatibilidad con los objetivos de la entidad y las condiciones del mercado, y se actualiza anualmente o en un período más corto si es necesario. Se da prioridad a los riesgos que puedan causar impactos materiales negativos en los compromisos y proyectos de Stripe Brasil.
A la hora de organizar las funciones y responsabilidades, así como la gestión de riesgos, Stripe Brasil emplea un modelo de «tres líneas de defensa», que se basa en los siguientes principios: (i) los grupos que participan en actividades y llevan a cabo operaciones que generan riesgos en nombre de Stripe Brasil son los principales responsables de realizar las acciones de gestión de riesgos correspondientes (Primera línea); (ii) deben existir funciones específicas de gestión de riesgos y de cumplimiento normativo que supervisen a la primera línea (Segunda línea); y (iii) la evaluación del cumplimiento de las normas aplicables es mejor que la realicen funciones independientes (Tercera línea).
El Director de Riesgos y Cumplimiento («CRCO», por sus siglas en inglés) de Stripe Brasil se encarga de vigilar las tres líneas de defensa pues es, en última instancia, la persona que supervisa que Stripe Brasil cumpla con todas las leyes, reglamentos y políticas.
2.1. Primera línea de defensa
La primera línea de defensa de Stripe Brasil está compuesta por las funciones de gestión de riesgos en las áreas de negocio, producto y relacionadas con operaciones. Estos propietarios de riesgos, o sus encargados, son responsables de todo el ciclo de gestión de riesgos, lo que incluye su identificación, evaluación, mitigación, control y notificación. En última instancia, son los responsables de aplicar las medidas de control, de hacer un seguimiento para garantizar su eficacia y de comunicar a la segunda línea o al Director de Riesgos y Cumplimiento de Stripe Brasil cualquier problema que observen. Los responsables de riesgos también deben elaborar planes de acción y asegurarse de solucionar cualquier problema que ellos mismos o las funciones de cumplimiento, auditoría o un banco asociado, identifiquen.
2.2 Segunda línea de defensa
La segunda línea de defensa está compuesta por las funciones de cumplimiento y gestión de riesgos, y tiene como finalidad facilitar y supervisar que la primera línea de defensa se implemente de forma eficaz. La segunda línea se asegura de que la primera conoce y entiende correctamente los riesgos pertinentes, y se encarga de asesorarla en la identificación de los riesgos de cumplimiento de la normativa y en el desarrollo de controles para gestionar dichos riesgos. La segunda línea también es responsable de comprobar los mecanismos de control de la primera línea, así como el cumplimiento de los requisitos establecidos por socios y reguladores. En algunos casos, la propia segunda línea realiza los controles (por ejemplo, al supervisar las operaciones de prevención de blanqueo de capitales).
2.3. Tercera línea de defensa
La tercera línea de defensa está formada por auditores internos, o externos cuando así se requiera, que se encargan de evaluar el cumplimiento de la normativa aplicable de una forma independiente y objetiva. En particular, la auditoría interna evalúa la eficacia de los controles internos, el apetito de riesgo y la gobernanza del riesgo, centrándose en los resultados, y no solo en el proceso. La tercera línea garantiza la eficacia de las medidas de gestión de riesgos establecidas por la primera y segunda línea al Consejo de Administración y al Director de Riesgos y Cumplimiento de Stripe Brasil.
El enfoque del ERMF incluye: (i) la existencia de tres líneas de defensa, con sus respectivas funciones y responsabilidades (véase el apartado 3 a continuación), (ii) las descripciones de los procesos utilizados para la identificación, evaluación, mitigación, supervisión y notificación de los riesgos (véase el apartado 4 a continuación); (iii) las principales herramientas para documentar los riesgos (véase el apartado 5 a continuación).
La gestión de riesgos abarca todas las facetas del negocio y todos los niveles de Stripe Brasil. El ERMF se aplica a Stripe Brasil, lo que incluye a sus directivos y empleados, así como a los servicios de terceros contratados para contribuir en el desarrollo de su actividad.
Dado que Stripe Brasil es una filial indirecta propiedad al cien por cien de Stripe, su dirección puede contratar a Stripe Brasil para que le preste servicios auxiliares relacionados con su gestión de riesgos o sus operaciones de riesgo. No obstante, la dirección de Stripe Brasil y su Director de Riesgos y Cumplimiento, son los responsables últimos de los riesgos que asuma Stripe Brasil y de su gestión de estos.
El gráfico y los subtemas siguientes describen a los integrantes del ERMF en Stripe Brasil. Pueden formarse comités y foros técnicos con estos y otros profesionales que tengan las capacidades técnicas adecuadas para debatir y abordar cuestiones específicas.
3.1. Funciones del Consejo de Administración de Stripe Brasil
Consejo de Administración (en general)
Las principales funciones del Consejo de Administración de Stripe Brasil en relación con el ERMF son, entre otras:
revisar, discutir y aprobar el ERMF;
establecer, en última instancia, la Declaración de apetito de riesgo (RAS, por sus siglas en inglés) con la información procedente de otras funciones que se describen a continuación;
revisar, discutir y aprobar los registros de riesgos de Stripe Brasil;
supervisar la implementación del ERMF; revisar el perfil de riesgo de Stripe Brasil de acuerdo al RAS para la gestión de riesgos y la identificación de tendencias; y
establecer el tono de la alta dirección.
Director de Riesgos y Cumplimiento
Las principales funciones del Director de Riesgos y Cumplimiento de Stripe Brasil son, entre otras:
ser el responsable del ERMF de Stripe Brasil y de promover una cultura de gestión de riesgos sólida en línea con la legislación brasileña;
supervisar y controlar la eficacia de los sistemas de gestión de riesgos, incluidos los procesos de escalada y la comunicación;
comunicar periódicamente al Consejo de Administración de Stripe Brasil actualizaciones sobre los riesgos;
supervisar todos los procesos de gestión de riesgos subcontratados y las relaciones con los proveedores de servicios de terceros;
implementar el ERMF; y
analizar y evaluar las tendencias y los riesgos nuevos y emergentes, así como los aumentos de riesgo.
3.2. Funciones de las líneas de defensa
Primera línea de defensa: Las responsabilidades de la primera línea de defensa incluyen, entre otras:
identificación de riesgos (identificar, supervisar, analizar, medir y hacer seguimiento de los riesgos de forma individual y consolidada);
evaluación de riesgos (se realiza de forma periódica por nuevos productos, mercados, territorios, modos de entrega o tipos de clientes para anticipar y planificar adecuadamente los nuevos riesgos);
mitigación de riesgos (desarrollo y aplicación de planes de acción para los riesgos); y
control y notificación de los riesgos (control y comunicación de la efectividad de los controles internos relevantes; asegurarse de que la actividad comercial se realice de conformidad con el RAS y el ERMF de Stripe Brasil; notificaciones periódicas; y comunicación a instancias superiores si es necesario).
Segunda línea de defensa: Las responsabilidades de la segunda línea de defensa incluyen, entre otras:
gestión y supervisión de riesgos dentro de sus áreas;
comunicar al Consejo de Administración de Stripe Brasil, cuando corresponda, cualquier incumplimiento de las normas aplicables;
revisar los planes de acción para los riesgos y supervisar su aplicación; y
diseñar políticas y procedimientos para garantizar que los riesgos de cumplimiento se mitigan de manera adecuada.
Tercera línea de defensa: Sus responsabilidades incluyen, entre otras:
verificación independiente de si el ERMF, el RAS, los sistemas y los procesos de Stripe Brasil están funcionando de forma eficaz;
validar el cumplimiento del ERMF de Stripe Brasil; y
revisar la eficacia de los controles internos existentes.
Para mitigar los riesgos operativos, de crédito y de liquidez, la dirección local, siguiendo las directrices de la alta dirección de Stripe, se encarga de formular, supervisar y actualizar los procesos y las políticas.
Los procesos y las políticas se distribuyen ampliamente entre los miembros de la entidad y, cuando corresponda o sea necesario, también a terceros. El esfuerzo de difusión incluye la concienciación y la formación, prestando especial atención a la prevención.
4.1. Riesgo operativo
Las medidas incluyen la realización de pruebas periódicas y un plan de continuidad operativa, con el objetivo de garantizar que todos los procesos críticos de la entidad se restablezcan lo antes posible en caso de incidentes que se repiten, llevando a cabo prácticas de seguridad de la información coherentes y estableciendo instrumentos eficaces para la detección y prevención del fraude.
__ 4.2. Riesgo de crédito__
Stripe Brasil se encuentra expuesta al riesgo de crédito como acreditador, y para mitigarlo recurre a diversas herramientas, entre ellas: la exigencia de garantías de pago, el establecimiento de límites de exposición de la contraparte y una representación detallada de los flujos de pago.
__ 4.3. Riesgo de liquidez__
El riesgo de liquidez es uno de los riesgos que el propio modelo de negocio de Stripe Brasil mitiga por sí mismo. Esto se debe a que todas las liquidaciones de las transacciones de pago entre las partes implicadas (emisor, adquirente, subadquirente y usuario final) se producen a través de la red única de la CIP (Câmara Interbancária de Pagamentos, Cámara de Pagos Interbancaria) con los bancos liquidadores y las instituciones domiciliarias competentes. Las obligaciones mínimas de tesorería actúan también como escudo de protección. Ya se ha establecido un plan de contingencia eficaz sobre la liquidez que Stripe Brasil revisará de forma periódica, y que incluye necesariamente la gestión y el seguimiento de las fuentes de financiación, para cada una de las cuales se establecen controles de límite de crédito.
Todas las acciones sobre estrategias y políticas de gobernanza y gestión de riesgos se documentan y se mantienen a disposición del Banco Central de Brasil. Los principales instrumentos de documentación se describen a continuación.
5.1. Declaración de apetito de riesgo
La Declaración de apetito de riesgo (RAS) de Stripe Brasil es el principal documento estratégico en el que se identifican los riesgos que Stripe Brasil puede y debería aceptar, los que carecen de sentido estratégico, y las directrices cuantitativas y cualitativas para la gestión estratégica de los riesgos aceptables (tolerancias y límites de riesgo). El RAS se ha elaborado en consonancia con la visión empresarial estratégica de la entidad.
El Consejo de Administración de Stripe Brasil se encarga de definir el RAS teniendo en cuenta las recomendaciones del Director de Riesgos y Cumplimiento. Además, también se encarga de revisar y aprobar el RAS junto con los respectivos gestores de riesgos. Se comunica a todos los empleados de Stripe Brasil al menos una vez al año, después de que haya sido aprobada por el Consejo de Administración.
5.2. Documentación del registro de riesgos
La documentación del registro de riesgos complementa la Declaración de apetito de riesgo de Stripe Brasil. El Consejo de Administración de Stripe Brasil se encarga de aprobar y actualizar anualmente la documentación teniendo en cuenta las recomendaciones del Director de Riesgos y Cumplimiento. Contiene actualizaciones continuas de los controles, las evaluaciones de riesgos inherentes/residuales, las métricas de riesgo/principales indicadores de riesgo, las categorizaciones u otras funciones administrativas a medida que se van completando los procesos que producen esta información.
5.3. Condiciones de conservación de los documentos
Todos los documentos relacionados con las políticas, la gobernanza y las estrategias de gestión de riesgos se ponen a disposición del Banco Central de Brasil. Aunque no se trata de una lista exhaustiva, los siguientes registros se conservarán, de acuerdo con las condiciones que se indican a continuación, durante un mínimo de cinco años:
las aprobaciones del Consejo de Administración del ERMF (como las actas de las reuniones) se conservan en el departamento jurídico;
el Director de Riesgos y Cumplimiento de Stripe Brasil conserva copias secuenciales de los documentos aprobados por la Junta Directiva (por ejemplo, la documentación del registro de riesgos y la Declaración de apetito de riesgo);
el Director de Riesgo y Cumplimiento de Stripe Brasil conserva todos los documentos relacionados con las comunicaciones externas en cumplimiento de los requisitos de retención de registros reglamentarios o contractuales.