Stripe Brasil Soluções de Pagamento Ltda. (”Stripe Brazil”) är ett aktiebolag som grundades 2015 och som bedriver verksamhet inom betalningsmetoder. Företaget är ett helägt och indirekt dotterbolag till Stripe, Inc. (”Stripe”), en teknikplattform som grundades i USA 2011. Stripe erbjuder programvaruverktyg som hjälper entreprenörer att starta och driva sin verksamhet på nätet och få den att växa.
I enlighet med gällande regelverk och bästa praxis på marknaden upprätthåller Stripe Brazil ett ERMF (”Enterprise Risk Management Framework”), varigenom man fastställer sin strategi för att kontinuerligt och integrerat identifiera, mäta, övervaka, kontrollera, minska och hantera operativa risker samt likviditets- och kreditrisker.
Stripe Brazil har en bred strategi för riskhantering, som utgörs av fyra processkomponenter: (i) riskidentifiering, (ii) bedömning, (iii) minskning, (iv) övervakning och rapportering.
ERMF tar hänsyn till arten, volymen och komplexiteten hos Stripe Brazils åtgärder och verksamhet och uppdateras årligen och/eller vid behov inom en kortare tidsperiod för att det ska vara kompatibelt med institutionens mål och med marknadsförhållandena. Risker som kan ge upphov till negativa materiella effekter på Stripes åtaganden och projekt prioriteras.
Stripe Brazil använder en modell med ”Tre försvarslinjer”, när man organiserar funktionerna och ansvarsområdena för riskerna baserat på följande principer: (i) grupper som ägnar sig åt aktiviteter och bedriver verksamhet som skapar risker för Stripe Brazil är främst ansvariga för respektive riskhanteringsaktiviteter (första linjen), (ii) specifika riskhanterings- och efterlevnadsfunktioner krävs för att övervaka första linjen (andra linjen) och (iii) bedömning av efterlevnaden av gällande regler genomförs bäst av oberoende funktioner (tredje linjen).
De tre försvarslinjerna övervakas av Stripe Brazils Chief Risk and Compliance Officer (”CRCO”), som ytterst övervakar att Stripe Brazil följer alla lagar, regelverk och policyer.
2.1. Första försvarslinjen
Stripe Brazils första försvarslinje består av riskhanteringsfunktioner, inklusive affärs-, produkt- och verksamhetsrelaterade funktioner. De här riskägarna, eller deras utsedda företrädare, ansvarar för riskhanteringscykeln, inklusive identifiering, bedömning, minskning, övervakning och rapportering av risker. De ansvarar ytterst för att operationalisera kontroller, utföra den slutliga övervakningen av kontrollernas effektivitet och vidarebefordra problem de själva identifierar till andra linjen och/eller Stripe Brazils Chief Risk and Compliance Officer. Riskansvariga har också ansvaret för att ta fram handlingsplaner och säkerställa att åtgärder vidtas när de själva, efterlevnadsfunktionen, revisionen eller en partnerbank identifierar ett problem.
2.2 Andra försvarslinjen
Efterlevnads- och riskhanteringsfunktionerna utgör andra försvarslinjen och har som uppgift att underlätta för och övervaka implementeringen av en effektiv första försvarslinje. Andra försvarslinjen säkerställer att första linjen har tillräckliga kunskaper och förståelse för de relevanta riskerna och ger första försvarslinjen råd om hur man identifierar efterlevnadsrisker och utvecklar kontroller för att hantera dessa risker. Andra linjen ansvarar också för att testa första linjens kontroller och efterlevnad av partner- och regelåtaganden, även om andra linjen i vissa fall utför kontrollerna själv (t.ex. övervakning av åtgärder för att förebygga penningtvätt – AML).
2.3. Tredje försvarslinjen
Tredje försvarslinjen består av internrevision, eller när så är tillämpligt, av en tredjepartsrevisor som ansvarar för att tillhandahålla en oberoende och objektiv bedömning av om gällande regler följs. Internrevisionen bedömer framför allt de interna kontrollernas effektivitet, riskvillighet och riskstyrning med fokus på resultat och inte bara process. Tredje linjen intygar gentemot Stripe Brazils styrelse, inklusive Stripe Brazils Chief Risk and Compliance Officer, att första och andra linjens riskhanteringsaktiviteter är effektiva.
Den strategi som omfattas av ERMF inkluderar: (i) att det finns tre försvarslinjer, med deras respektive roller och ansvarsområden (ämne 3 nedan), (ii) beskrivningar av de processer som används för att identifiera, bedöma, minska, övervaka och rapportera risker (ämne 4 nedan), (iii) de huvudsakliga verktygen för att dokumentera risker (ämne 5 nedan).
riskhanteringen ingår alla delar av verksamheten och alla nivåer inom Stripe Brazil. ERMF gäller för Stripe Brazil, inklusive företagets tjänstemän och anställda samt tredje parter som anlitats i arbetet med att bedriva verksamheten.
Mot bakgrund av att Stripe Brazil är ett indirekt helägt dotterbolag till Stripe kan Stripe Brazils ledning använda Stripe Brazil för att tillhandahålla stödjande tjänster i samband med riskhantering och/eller riskverksamhet. Stripe Brazils ledning, inklusive dess Chief Risk and Compliance Officer, har dock det yttersta ansvaret för Stripe Brazils risker och riskhantering.
Diagrammet och delämnena nedan beskriver ERMF-deltagarna hos Stripe Brazil. Utskott och tekniska forum kan bildas, med dessa och/eller andra specialister med lämplig teknisk kompetens, för att diskutera och söka lösningar på specifika frågor.
3.1. Styrelsen för Stripe Brazils funktioner
Styrelsen (generellt)
Huvudfunktionerna för styrelsen för Stripe Brazil när det gäller ERMF inkluderar utan begränsningar:
granska, ifrågasätta och godkänna ERMF
slutgiltigt dokumentera riskvilligheten
RAS (med synpunkter från andra funktioner, som beskrivs nedan) – granska, ifrågasätta och godkänna Stripe Brazils riskregister
övervaka implementeringen av ERMF granska Stripe Brazils riskprofil jämfört med RAS för riskhantering och trendidentifiering och
ange tonen från högsta ledningen.
Chief Risk and Compliance Officer
De främsta uppgifterna för Stripe Brazils Chief Risk and Compliance Officer inkluderar utan begränsning:
ansvara för Stripe Brazils ERMF, främja en god riskhanteringskultur i enlighet med regelkraven i Brasilien
Ha tillsyn över och övervaka riskhanteringssystemens effektivitet, inklusive eskaleringsprocesser och kommunikation
Tillhandahålla regelbundna riskuppdateringar för styrelsen för Stripe Brazil
Ha tillsyn över alla riskhanteringsprocesser som sköts på entreprenad och relationer med tredjepartsleverantörer
Implementera ERMF och
Analysera och bedöma nya och kommande trender och risker samt ökade risker.
3.2. Försvarslinjernas funktioner
Första försvarslinjen: ansvarsområdena inkluderar men är inte begränsade till:
Riskidentifiering (identifiera, övervaka, analysera, mäta, spåra risker på en individuell och konsoliderad basis)
Riskbedömning (utförs regelbundet mot bakgrund av nya produkter, marknader, geografiska områden, leveranssätt eller kundtyper för att förutse och tillräckligt planera för relaterade nya risker) och
Riskminskning (utveckling och implementering av handlingsplaner för risker)
– Riskövervakning och -rapportering (övervakning och rapportering av den löpande effektiviteten av relevanta och tillämpliga interna kontroller, säkerställa att affärsaktiviteter stämmer överens med Stripe Brazils RAS och ERMF, regelbunden rapportering och eskalering till högre instanser vid behov).
Andra försvarslinjen: ansvarsområdena inkluderar men är inte begränsade till:
Riskhantering och översyn inom deras områden – När så är tillämpligt kommunicera till styrelsen för Stripe Brazil om gällande regler inte följs
Granska handlingsplaner för risker och tillse att de implementeras och
Utforma policyer och procedurer för att säkerställa att efterlevnadsrisker minskas på rätt sätt.
Tredje försvarslinjen: ansvarsområdena inkluderar men är inte begränsade till:
Oberoende verifieringar av om Stripe Brazils ERMF, RAS, system och processer fungerar på ett effektivt sätt
Validera Stripe Brazils ERMF-efterlevnad och
Granska effektiviteten hos befintliga interna kontroller.
Att minska operativa risker samt kredit- och likviditetsrisker, processer och policyer formuleras. Övervakas och uppdateras av den lokala ledningen efter avstämning med Stripes högsta ledning.
Processerna och policyerna distribueras brett till medlemmar av institutionen och, när så är tillämpligt och/eller nödvändigt, till tredje part. Distributionsinsatserna inkluderar att öka medvetenheten och utbilda, med särskilt fokus på förebyggande.
4.1. Operativ risk
Bland insatserna ingår återkommande tester samt en kontinuitetsplan för verksamheten, med målet att säkerställa att alla kritiska processer inom institutionen återställs så snart som möjligt – vid händelse av en pågående incident – med enhetlig praxis för informationssäkerhet och med stöd av ändamålsenliga instrument för upptäckt och förebyggande av bedrägerier.
4.2. Kreditrisk
Stripe Brazil är exponerat för kreditrisk som kreditgivare och försöker minska den med olika verktyg, inklusive: kravet på betalningsgarantier, inrättandet av exponeringsgränser per motpart samt en detaljerad beskrivning av betalningsflöden.
4.3 Likviditetsrisk
Likviditetsrisk är en av de punkter som naturligt minskas av Stripe Brazils affärsmodell i sig, med tanke på att alla avräkningar av betalningstransaktioner mellan de berörda parterna (utfärdare, inlösare, underinlösare och slutanvändare) genomförs via ett enda nät organiserat av CIP (Câmara Interbancária de Pagamentos, Interbank Payments Chamber), med likvidbank och behöriga inhemska institutioner. Kassakravet är också en grundpelare i skyddet. En effektiv beredskapsplan för likviditet har implementerats och kommer att granskas regelbundet av Stripe Brazil, med nödvändig bedömning av den löpande hanteringen och övervakningen av finansieringskällor, inklusive gränskontroller för varje källa.
Alla åtgärder vad gäller riskhantering och styrningspolicyer samt strategier dokumenteras och hålls tillgängliga för Brasiliens centralbank. De huvudsakliga dokumentationsverktygen beskrivs nedan.
5.1. Dokumentation av riskvillighet
Stripe Brazils dokumentation av riskvillighet (RAS) är det huvudsakliga strategidokument som identifierar de risker som Stripe Brazil kan och bör acceptera, de risker som inte är strategiskt rimliga för Stripe Brazil och de kvantitativa och kvalitativa riktlinjerna för den taktiska hanteringen av acceptabla risker (risktoleranser och risktak). Dokumentation har tagits fram på ett sätt som överensstämmer med institutionens strategiska affärsvision.
Den granskas och godkänns av styrelsen för Stripe Brazil tillsammans med respektive riskansvarig. Stripe Brazils RAS är fastställd av styrelsen för Stripe Brazil, på rekommendation av Stripe Brazils Chief Risk and Compliance Officer. RAS kommuniceras till alla anställda minst en gång om året, efter att den godkänts av styrelsen.
5.2. Riskregisterdokumentation
Riskregisterdokumentationen kompletterar Stripe Brazils dokumentation av riskvillighet. Den är godkänd av styrelsen för Stripe Brazil och uppdateras årligen, på rekommendation av Chief Risk and Compliance Officer. Den innehåller löpande uppdateringar om kontroller, bedömningar av inbyggda/kvarstående risker, riskmått/huvudsakliga riskindikatorer, kategoriseringar eller andra administrativa funktioner när processerna som tar fram denna information genomförs.
5.3. Villkor för dokumentunderhåll
Alla dokument som rör policyer, riskhanteringsstrategier och styrning hålls tillgängliga för Brasiliens centralbank. Även om detta inte är någon uttömmande lista kommer följande dokumentation att sparas i enlighet med villkoren nedan under minst fem år:
Den juridiska avdelningen kommer att spara alla ERMF-godkännanden av styrelsen (dvs. genom styrelseprotokollen)
Stripe Brazils Chief Risk and Compliance Officer kommer att spara sekventiella kopior av dokumenten som är godkända av styrelsen (t.ex. riskregisterdokumentation och dokumentation av riskvillighet)
Stripe Brazils Chief Risk and Compliance Officer kommer att spara eventuella externa kommunikationsunderlag i enlighet med krav på lagring av dokumentation i lagar eller avtal.