§ 24
(1) Řídicí a kontrolní systém je nastaven tak, aby umožňoval soustavné řízení rizik.
(2) Povinná osoba zavede a udržuje systém řízení rizik, který odpovídá povaze, rozsahu a složitosti činností a s nimi spjatých rizik, a tak, aby poskytoval nezkreslený obraz o míře podstupovaných rizik.
(3) Proces rozpoznávání rizik je zajištěn u všech činností a na všech řídicích a organizačních úrovních a umožňuje odhalování nových, dosud neidentifikovaných rizik.
(4) Povinná osoba při řízení rizik zohledňuje všechna významná rizika a rizikové faktory, kterým je nebo může být vystavena s přihlédnutím k povaze, rozsahu a složitosti činností. Řízení rizik zohledňuje vnitřní a vnější faktory včetně zohledňování budoucí strategie podnikání povinné osoby, vlivů ekonomického prostředí a cyklu a vlivů regulatorního prostředí. Řízení rizik zohledňuje kvantitativní a kvalitativní aspekty rizik, reálné možnosti jejich řízení a náklady a výnosy vyplývající z řízení rizik.