Omezování operačního rizika
7. Povinná osoba upravuje míru podstupovaného operačního rizika uplatňováním vhodných postupů omezování výskytu či nepříznivých dopadů výskytu událostí operačního rizika.
8. Povinná osoba posoudí jak rizika ovlivnitelná, tak rizika stojící mimo její přímý vliv, a rozhodne, zda rizika přijme, omezí jejich případné dopady, či zda omezí nebo zcela ukončí příslušnou činnost.
9. Pro omezování operačního rizika povinná osoba zavede a udržuje také postupy pro
a) řízení přístupů pracovníků, klientů a dalších oprávněných osob k hmotnému a nehmotnému majetku povinné osoby,
b) řešení odezvy na případný výskyt bezpečnostních incidentů a
c) řešení operačního rizika, včetně rizika modelů, rizika právního a compliance, při zajišťování dodávek zboží a služeb a při outsourcingu, pokud je povinnou osobou uplatňován či zvažován, ledaže je riziko outsourcingu interně definováno a řízeno jako samostatná riziková kategorie.