风险和资本管理政策

1.简介

Stripe Brasil Soluções de Pagamento Ltda.(“Stripe 巴西”)是一家成立于 2015 年的有限责任公司,从事支付方式领域的业务。该公司是 Stripe,Inc.(简称“Stripe”)的全资和间接子公司,Stripe 是一家于 2011 年在美国成立的技术平台。Stripe 提供软件工具,帮助企业家启动、管理和发展他们的线上业务。

根据适用的法规和市场最佳实践,Stripe 巴西负责维护一个企业风险管理框架 (Enterprise Risk Management Framework, "ERMF"),通过该框架,巴西公司建立了以一种持续一贯的识别、衡量、监控、控制、缓解和管理运营、流动性和信贷风险的方法。

2.风险管理模式

Stripe 巴西采用了全面的风险管理方法,包括四个流程组成部分:(i) 风险识别;(ii)评估;(iii)缓解;(iv) 监测和报告。

ERMF 中考虑到了 Stripe 巴西的行动和业务的性质、规模及复杂性,并且每年和/或在必要时短时间内进行更新,以确定其与机构目标和市场条件相吻合。优先考虑可能对其承诺和项目造成重大负面影响的风险。

Stripe 巴西在组织职能和职责以及风险管理时采用了“三道防线”模式,基于以下原则:(i) 代表 Stripe 巴西从事产生风险的活动和业务的集团主要负责各自的风险管理活动(第一道防线);(ii) 需要特定的风险管理和合规职能部门来监督第一道防线(第二道防线);以及 (iii) 对适用规则的遵从性评估最好由独立的职能部门(第三道防线)提供。

这三道防线由 Stripe 巴西的首席风险和合规官 ("CRCO") 监管,他负责最终监管 Stripe 巴西对所有法律、法规和政策的遵从情况。

2.1.第一道防线

Stripe 巴西的第一道防线由风险管理职能组成,包括业务、产品和运营相关职能。这些风险所有人或其指定人员负责风险管理周期,包括风险识别、评估、缓解、监控和报告。他们最终负责实施控制,对控制的有效性进行最终监控,并将他们自己发现的任何问题提交给第二道防线和/或 Stripe 巴西首席风险和合规官。风险官还负责制定行动计划,确保在他们自己或合规职能部门、审计部门或合作银行发现问题时予以补救。

2.2 第二道防线

合规和风险管理职能构成了第二道防线,用于促进和监控第一道防线的有效实施。第二道防线的作用是确保第一道防线对相关风险有足够的认识和理解,并就识别合规风险并制定针对这些风险的控制措施向第一道防线提供建议。第二道防线还负责测试第一道防线的控制措施以及对合作伙伴和监管义务的遵守情况,尽管在某些情况下,第二道防线也许自行执行控制措施(例如,监控反洗钱操作)。

2.3.第三道防线

第三道防线包括内部审计,或在适用的情况下,由第三方审计员负责对适用规则的遵守情况进行独立客观的评估。特别是,内部审计评估内部控制、风险偏好和风险治理的有效性,重点是结果,而不仅仅是过程。第三道防线负责向 Stripe 巴西董事会(包括 Stripe 巴西的首席风险和合规官)保证第一道防线和第二道防线风险管理活动的有效性。

ERMF 涵盖的方法包括:(i) 三道防线的存在及各自的作用和责任(下文专题 3),(ii) 对用于识别、评估、缓解、监测和报告风险的流程的描述(下文专题 4),(iii) 记录风险的主要工具(下文专题 5)。

3.风险管理角色和职责

风险管理涉及 Stripe 巴西的所有业务要素和级别。ERMF 适用于 Stripe 巴西,包括其管理人员和员工,以及受雇协助开展业务的第三方。

鉴于 Stripe 巴西是 Stripe 的间接全资子公司,Stripe 巴西的管理层可能会聘请 Stripe 巴西提供与其风险管理和/或风险运营相关的辅助服务。但是,Stripe 巴西的管理层,包括其首席风险和合规官,最终负责 Stripe 巴西的风险和风险管理工作。

下图及子主题描述了 Stripe 巴西的 ERMF 参与者。可以成立委员会和技术论坛,由具备适当技术能力的这些和/或其他专业人员来讨论和解决具体问题。

Brazil > Risk Management Roles Eng > image

3.1.巴西董事会的职能

董事会(常务)

Stripe 巴西董事会在 ERMF 方面的主要职能包括但不限于:

  • 审查、质疑和批准 ERMF;

  • 最终设定风险偏好声明- RAS(来自如下其他职能部门的意见);

  • 审查、质疑和批准 Stripe 巴西的风险风险登记簿;

  • 监督 ERMF 的执行情况;对照风险管理和趋势识别的 RAS 审查 Stripe 巴西的风险状况;以及

  • 从高级管理层设定基调。

首席风险和合规官

Stripe 巴西首席风险和合规官的主要职责包括但不限于:

  • 负责 Stripe 巴西的 ERMF,按照巴西的监管要求推广健全的风险管理文化;

  • 监督和监控风险管理系统的有效性,包括上报流程与沟通;

  • 向 Stripe 巴西董事会提供定期风险更新;

  • 监督所有外包风险管理流程以及与第三方服务提供商的关系;

  • 执行 ERMF;以及

  • 分析和评估新的及正在出现的趋势和风险,以及风险增加情况。

3.2.防线的功能

第一道防线:职责包括但不限于:

  • 风险识别(在单独、综合的基础上识别、监控、分析、测量、跟踪风险);

  • 风险评估(根据新产品、市场、地理位置、交付模式或客户类型定期执行,以预测并充分规划相关的新风险);以及

  • 风险缓解(制定和实施风险行动计划);

  • 风险监控和报告(监控并报告相关和适用的内部控制的持续有效性;确保业务活动符合 Stripe 巴西的 RAS 和 ERMF 标准;定期报告;并且必要时转到更高部门)。

第二道防线:职责包括但不限于:

  • 其领域内的风险管理和监督;

  • 向 Stripe 巴西董事会传达任何不符合适用规则的情况(如适用);

  • 审查风险行动计划并监督其实施;以及

  • 设计政策和程序,确保合规风险得到适当缓解。

第三道防线:职责包括但不限于:

  • 独立核实 Stripe 巴西的 ERMF、RAS、系统和流程是否有效运行;

  • 验证 Stripe 巴西的 ERMF 合规性;以及

  • 审查现有内部控制的有效性。

4.风险管理流程

为了降低运营、信贷和流动性风险,本地管理层根据与 Stripe 高级管理层的一致意见制定、监控并更新流程和政策。

这些程序和政策广泛传播给机构成员,并在适当和/或必要时传播给第三方。传播工作包括提高认识和培训,重在预防。

4.1.操作风险

这些努力包括反复测试和指定业务连续性计划,旨在确保机构的所有关键流程在持续发生事故的情况下以一致的信息安全做法尽快恢复,并依靠高效的工具来检测和预防欺诈。

4.2.信用风险

Stripe 巴西作为认证机构面临着信用风险,并寻求通过各种工具来降低风险,包括:支付担保要求、为每个交易对手设定风险阈值,以及详细阐述支付流程。

4.3 流动性风险

鉴于相关方(发卡行、收单行、子收单行和最终用户)之间的所有支付交易结算都是通过 CIP(Câmara Interbancária de Pagamentos,银行间支付商会)与结算银行和本地主管机构协调的单一网格进行的,流动性风险是 Stripe 巴西的业务模式本身可以自然缓解的要点之一。最低现金债务也是一个保护支柱。有效的流动性应急计划已经实施,将由 Stripe 巴西定期审查,必须考虑对资金来源的持续管理和监控,包括对每个来源的限额控制。

5.风险登记簿文件

关于风险管理和治理政策和战略的所有行动都记录在案,并由巴西中央银行处置。主要的文档工具描述如下。

5.1.风险偏好声明

Stripe 巴西的风险偏好声明 (RAS) 是主要的战略文件,它确定了 Stripe 巴西能够并且应该接受的风险,那些对 Stripe 巴西没有战略意义的风险,以及可接受风险(风险容忍度和上限)战术管理的定量和定性指南。该报告的编写方式符合该机构的战略商业愿景。

它由 Stripe 巴西董事会与各自的风险经理一起审查和批准。Stripe 巴西的 RAS 由 Stripe 巴西董事会根据 Stripe 巴西首席风险和合规官的建议确立。在董事会批准后,至少每年向 Stripe 巴西的所有员工传达 RAS。

5.2.风险登记簿文件

风险登记簿文件对 Stripe 巴西的风险偏好声明进行补充。它由 Stripe 巴西董事会批准,每年更新一次,由首席风险和合规官推荐。它包含对控制、固有/剩余风险评估、风险指标/主要风险指标、分类或其他管理功能的持续更新,因为产生这些信息的流程已经确立。

5.3.文件维护期限

所有涉及政策、风险管理战略和治理的文件都保存在巴西中央银行。虽然这不是一份详尽的清单,但以下记录将根据以下条款保存至少五年:

  • 法务部将保留董事会的所有 ERMF 批文(即,通过董事会会议纪要);

  • Stripe 巴西的首席风险和合规官将保留董事会批准的文件的连续副本(如风险登记簿文件和风险偏好声明);

  • Stripe 巴西的首席风险和合规官将根据监管或合同记录保留要求维护任何外部通信工件。