Stripe Brasil Soluções de Pagamento Ltda. ('Stripe Brazil') is een naamloze vennootschap die in 2015 is opgericht en actief is op het gebied van betaalmethoden. Het bedrijf is een volledige en indirecte dochteronderneming van Stripe, Inc. ('Stripe'), een technologisch platform dat in 2011 in de Verenigde Staten is opgericht. Stripe biedt ondernemers softwaretools waarmee ze hun online bedrijf kunnen opstarten, aansturen en uitbreiden.
Conform toepasselijke voorschriften en best practices in de markt werkt Stripe Brazil met een Enterprise Risk Management Framework ('ERMF', richtlijnen voor het beheer van ondernemingsrisico's). Met deze richtlijnen wil het op doorlopende en geïntegreerde basis operationele, liquiditeits- en kredietrisico's herkennen, meten, volgen, beperken, mitigeren en beheren.
Stripe Brazil heeft een uitgebreide aanpak ten aanzien van risicobeheer, een proces dat bestaat uit vier componenten: (i) risico vaststellen; (ii) beoordelen; (iii) mitigeren; (iv) volgen en rapporteren.
Het ERMF houdt rekening met de aard, het volume en de complexiteit van de acties en zakelijke activiteiten van Stripe Brazil. De richtlijnen worden elk jaar bijgewerkt en/of sneller als dat nodig is om na te gaan of ze aansluiten op de doelstellingen van het bedrijf en de marktomstandigheden. Er wordt voorrang gegeven aan risico's die een negatieve wezenlijke impact kunnen hebben op de toezeggingen en projecten van het bedrijf.
Stripe Brazil werkt met een beschermingsmodel van drie lagen bij het organiseren van de functies en verantwoordelijkheden en het beheer van de risico's. Hierbij wordt uitgegaan van de volgende beginselen: (i) groepen die zich bezighouden met activiteiten en zaken die risico's opleveren voor Stripe Brazil zijn voornamelijk verantwoordelijk voor de betreffende activiteiten om risico's te beheren (eerste laag); (ii) specifieke afdelingen voor risicobeheer en compliance dienen toezicht te houden op de eerste laag (tweede laag); en (iii) beoordeling van compliance met de toepasselijke regels kan het beste worden uitgevoerd door onafhankelijke partijen (derde laag).
De Chief Risk and Compliance Officer ('CRCO') van Stripe Brazil houdt toezicht op de drielagige bescherming, zodat Stripe Brazil alle wetten, regels en voorschriften naleeft.
2.1. Eerste beschermingslaag
De eerste beschermingslaag van Stripe Brazil bestaat uit afdelingen voor risicobeheer, waaronder zakelijke, product- en operationele onderdelen. Deze risico-eigenaren, of door hen aangewezen personen, zijn verantwoordelijk voor de risicobeheercyclus, oftewel het herkennen, beoordelen, mitigeren, volgen en rapporteren van risico's. Ze zijn uiteindelijk verantwoordelijk voor de uitvoering van de controlemaatregelen, de controle van de effectiviteit van de maatregelen en het doorgeven van de door hen vastgestelde problemen aan de tweede beschermingslaag en/of de Chief Risk and Compliance Officer van Stripe Brazil. De risicofunctionarissen zijn ook verantwoordelijk voor de ontwikkeling van actieplannen en herstelmaatregelen als problemen worden vastgesteld door hen of door complianceafdelingen, audits of een partnerbank.
2.2. Tweede beschermingslaag
De onderdelen voor compliance en risicobeheer vormen de tweede beschermingslaag. Ze implementeren de eerste beschermingslaag en controleren of die effectief is. De tweede beschermingslaag zorgt ervoor dat de eerste beschermingslaag over toereikende kennis en inzichten beschikt van de relevante risico's. Deze laag geeft de eerste beschermingslaag advies over het herkennen van compliancerisico's en de ontwikkeling van controlemaatregelen om die risico's te beheren. De tweede laag is ook verantwoordelijk voor het testen van de controlemaatregelen en compliance met de partner- en wettelijke verplichtingen door de eerste laag, hoewel in enkele gevallen de tweede laag deze controles zelf uitvoert (bijv. toezicht op de activiteiten ter voorkoming van witwassen).
2.3. Derde beschermingslaag
De derde beschermingslaag bestaat uit interne audits of, indien van toepassing, een externe auditor die verantwoordelijk is voor een onafhankelijke en objectieve beoordeling van compliance met de toepasselijke regels. Bij interne audits wordt met name de effectiviteit van interne controlemaatregelen, de risicobereidheid en de risicogovernance in kaart gebracht, met een focus op resultaten en niet alleen het proces. De derde laag waarborgt de effectiviteit van de activiteiten voor risicobeheer van de eerste en tweede laag voor de Raad van Bestuur van Stripe Brazil, waaronder de Chief Risk and Compliance Officer.
De aanpak van het ERMF bestaat uit: (i) het bestaan van de drie beschermingslagen met hun respectievelijke rollen en verantwoordelijkheden (onderwerp 3 hieronder); (ii) beschrijvingen van de processen die worden ingezet voor het herkennen, beoordelen, mitigeren, volgen en rapporteren van risico's (onderwerp 4 hieronder); (iii) de belangrijkste tools voor de documentatie van risico's (onderwerp 5 hieronder).
Alle onderdelen van het bedrijf en alle niveaus van Stripe Brazil spelen een rol bij risicobeheer. Het ERMF is van toepassing op Stripe Brazil, waaronder diens directieleden en werknemers, en op derden die worden ingehuurd voor het uitvoeren van Stripe's zakelijke activiteiten.
Omdat Stripe Brazil een indirecte volledige dochteronderneming is van Stripe, kan het management van Stripe Brazil hulp vragen aan Stripe bij risicobeheer en/of risicoactiviteiten. Het management van Stripe Brazil, waaronder de Chief Risk and Compliance Officer, is echter uiteindelijk verantwoordelijk voor de risico's en het risicobeheer van Stripe Brazil.
De grafiek en subonderwerpen hieronder beschrijven de ERMF-partijen bij Stripe Brazil. Het bedrijf kan commissies en technische forums opstellen met deze en/of andere professionals met geschikte technische capaciteiten om specifieke kwesties te bespreken en af te handelen.
3.1. Taken van de Raad van Bestuur van Stripe Brazil
Raad van Bestuur (in het algemeen)
De belangrijkste taken van de Raad van Bestuur van Stripe Brazil ten aanzien van het ERMF zijn onder meer:
het beoordelen, bevragen en goedkeuren van het ERMF;
de uiteindelijke opstelling van de verklaring rondom de risicobereidheid (RAS, Risk Appetite Statement) (met input van de andere hieronder beschreven partijen);
het bekijken, bevragen en goedkeuren van de risicoregisters van Stripe Brazil;
toezicht op de implementatie van het ERMF; beoordelen van het risicoprofiel van Stripe Brazil in vergelijking tot de RAS om risico's te beheren en trends te vinden; en
de lijnen uitzetten voor het senior management.
Chief Risk and Compliance Officer
De belangrijkste taken van de Chief Risk and Compliance Officer van Stripe Brazil zijn onder meer:
verantwoordelijk voor het ERMF van Stripe Brazil, promoten van een gedegen cultuur voor risicobeheer conform de wetgeving van Brazilië;
toezicht op en controle van de effectiviteit van het systemen voor risicobeheer, waaronder escalatieprocessen en communicatie;
regelmatige risico-updates doorgeven aan de Raad van Bestuur van Stripe Brazil;
toezicht op alle uitbestede processen voor risicobeheer en relaties met externe dienstverleners;
implementatie van het ERMF; en
analyse en beoordeling van nieuwe en opkomende trends, risico's en risicotoenames.
3.2. Taken van de beschermingslagen
De eerste beschermingslaag heeft onder meer als verantwoordelijkheden:
risico's herkennen (herkennen, controleren, analyseren, meten, risico's bijhouden op individuele en geconsolideerde basis);
risico's beoordelen (van tijd tot tijd uitgevoerd bij nieuwe producten, markten, regio's, leveringsmethoden of klanttypen om in te spelen op bijbehorende nieuwe risico's); en
risico's mitigeren (ontwikkeling en implementatie van actieplannen voor risico's);
risico's volgen en rapporteren (controle en rapportage van de doorlopende effectiviteit van relevante en toepasselijke interne controlemaatregelen; ervoor zorgen dat de activiteiten van het bedrijf in overeenstemming zijn met de RAS en het ERMF van Stripe Brazil; regelmatige rapportage; en doorverwijzen naar hogere niveaus als dat nodig is).
De tweede beschermingslaag heeft onder meer als verantwoordelijkheden:
beheer van en toezicht op risico's binnen hun deelgebied;
problemen met compliance van toepasselijke regels doorgeven aan de Raad van Bestuur van Stripe Brazil;
actieplannen beoordelen voor risico's en toezicht om hun uitvoering; en
beleid en procedures opstellen voor een passende mitigatie van compliancerisico's.
De derde beschermingslaag heeft onder meer als verantwoordelijkheden:
onafhankelijke verificatie of het ERMF, de RAS, de systemen en de processen van Stripe Brazil effectief werken;
validatie van de compliance van het ERMF van Stripe Brazil; en
evaluatie van de effectiviteit van bestaande interne controlemaatregelen.
Voor de mitigatie van operationele, krediet- en liquiditeitsrisico's worden processen en beleidsregels opgesteld, gevolgd en bijgewerkt door het plaatselijke management in overeenstemming met beslissingen van het senior management van Stripe.
De processen en beleidsregels worden verspreid onder de werknemers van het bedrijf en, in zoverre dit relevant en/of vereist is, aan derden. Onder deze verspreiding vallen ook bewustmaking en training, waarbij de nadruk vooral op preventie komt te liggen.
4.1. Operationeel risico
Het werk bestaat uit terugkerende tests en een bedrijfscontinuïteitsplan om ervoor te zorgen dat alle kritieke processen van het bedrijf zo snel mogelijk worden hersteld (in het geval van een doorlopend incident) met consequente praktijken voor informatiebeveiliging en gebruik van efficiënte hulpmiddelen voor detectie en preventie van fraude.
4.2. Kredietrisico
Stripe Brazil wordt als accrediteur blootgesteld aan kredietrisico's en probeert die op verschillende manieren tot een minimum te beperken, onder andere door betalingsgaranties te vereisen, blootstellingslimieten te hanteren voor andere partijen en te werken met een gedetailleerd overzicht van betalingsstromen.
4.3. Liquiditeitsrisico
Het liquiditeitsrisico is een van de problemen die door het bedrijfsmodel van Stripe Brazil van nature wordt gemitigeerd. De vereffening van betaaltransacties tussen de betrokken partijen (afzender, ontvanger, subontvanger en eindgebruiker) vindt plaats binnen een enkel raster dat is opgesteld door CIP (Câmara Interbancária de Pagamentos) met de vereffende banken en de bevoegde binnenlandse instellingen. Ook de verplichte contante minimumsaldo's dragen bij aan de bescherming. Een effectief noodplan voor de liquiditeit is geïmplementeerd en wordt van tijd tot tijd beoordeeld door Stripe Brazil, waarbij het doorlopende beheer van en toezicht op financieringsbronnen noodzakelijkerwijs worden geëvalueerd, waaronder limieten voor deze bronnen.
Alle aan risicobeheer, -beleid en -strategieën gerelateerde activiteiten worden bijgehouden en kunnen worden ingezien door de Centrale Bank van Brazilië. De belangrijkste hulpmiddelen voor documentatie staan hieronder.
5.1. Verklaring rondom risicobereidheid
De verklaring rondom risicobereidheid (RAS) van Stripe Brazil is het voornaamste strategiedocument dat de risico's beschrijft die Stripe Brazil kan en moet accepteren, de risico's die in strategisch opzicht niet verstandig zijn voor Stripe Brazil, en de kwantitatieve en kwalitatieve richtlijnen voor de tactische benadering van acceptabele risico's (risicotoleranties en -limieten). De verklaring is opgesteld in overeenstemming met de strategische zakelijke visie van het bedrijf.
De verklaring wordt beoordeeld en goedgekeurd door de Raad van Bestuur van Stripe Brazil samen met de betreffende risicomanagers. De RAS van Stripe Brazil wordt opgesteld door de Raad van Bestuur van Stripe Brazil, waarbij de Chief Risk and Compliance Officer van Stripe Brazil advies geeft. De RAS wordt ten minste jaarlijks doorgegeven aan alle werknemers van Stripe Brazil nadat de verklaring is goedgekeurd door de Raad van Bestuur.
5.2. Documentatie van risicoregisters
De documentatie van risicoregisters vormt een aanvulling op de verklaring rondom risicobereidheid van Stripe Brazil. Deze documentatie is goedgekeurd door de Raad van Bestuur van Stripe Brazil en wordt jaarlijks bijgewerkt, waarbij de Chief Risk and Compliance Officer een adviserende rol speelt. De documentatie bevat doorlopende updates over controlemaatregelen, beoordelingen van inherente/overblijvende risico's, risicostatistieken/voornaamste risico-indicatoren, categorieën of andere administratieve oplossingen voor de processen die deze informatie produceren.
5.3. Onderhoudstermijn voor de documenten
Alle documenten, waaronder beleidsdocumenten, strategieën voor risicobeheer en bestuurlijke informatie, worden beschikbaar gesteld aan de Centrale Bank van Brazilië. Hoewel dit geen complete lijst is, worden de volgende documenten conform de onderstaande voorwaarden minimaal vijf jaar bewaard:
de juridische afdeling onderhoudt alle ERMF-documenten die door de Raad van Bestuur zijn goedgekeurd (via de notulen van de Raad);
de Chief Risk and Compliance Officer van Stripe Brazil onderhoudt exemplaren op volgorde van de documenten die door de Raad zijn goedgekeurd (oftewel de documentatie van risicoregisters en de verklaring rondom risicobereidheid);
de Chief Risk and Compliance Officer van Stripe Brazil onderhoudt alle externe communicatie conform wettelijke of contractuele verplichtingen ten aanzien van het bewaren van documenten.