§ 26
(1) Povinná osoba musí mít strategii řízení rizik, která je přiměřená povaze, rozsahu a složitosti jejích činností. Povinná osoba vypracuje konkrétní postupy pro naplňování této strategie.
(2) Povinná osoba zajistí, aby strategie řízení rizik a veškeré postupy a limity týkající se řízení rizik byly pravidelně vyhodnocovány a případně upravovány.
(3) Povinná osoba zajistí, aby všichni zaměstnanci, jejichž činnost má vliv na řízení rizik, byli se schválenou strategií seznámeni v potřebném rozsahu a postupovali v souladu s touto strategií a z ní vyplývajícími postupy a limity.
(4) Strategie řízení rizik stanoví zejména
a) vnitřní definice (vymezení) rizik, kterým je nebo může být povinná osoba vystavena,
b) zásady pro určování (posuzování) významnosti při řízení rizik,
c) zásady řízení jednotlivých rizik, v tom vždy rizika úvěrového, tržního, operačního, likvidity a koncentrace,
d) metody pro řízení rizik, včetně stresového testování, v tom vždy rizika úvěrového, tržního, operačního, likvidity a koncentrace,
e) akceptovanou míru rizika, v tom vždy rizika úvěrového, tržního, operačního a koncentrace,
f) zásady pro sestavení a úpravy pohotovostního plánu pro případ krize likvidity a
g) zásady pro vymezení povolených produktů, měn, států, zeměpisných oblastí, trhů a protistran.