§ 28
Povinná osoba zavede a udržuje
a) strategii a postupy pro rozpoznávání, vyhodnocování, měření, sledování, ohlašování a omezování výskytu nebo dopadů výskytu rizik,
b) soustavu limitů používanou při řízení rizik, včetně postupů a informačních toků při překročení dílčích limitů nebo akceptované míry rizika nebo při poklesu případných obezřetnostních rezerv nebo přirážek pod jejich vnitřně stanovenou úroveň nebo regulatorní limity,
c) zásady kontrolních mechanismů a činností při řízení rizik, včetně kontroly dodržování stanovených postupů a limitů pro řízení rizik, interních validací a přezkumů modelů používaných při řízení rizik, ověřování výstupů hodnocení a měření rizik a ověřování účinnosti opatření přijatých povinnou osobou k omezování výskytu nebo dopadů výskytu rizik, a
d) funkci řízení rizik.