§ 27
(1) Povinná osoba zajistí, že řídicí a kontrolní systém je nastaven tak, že umožňuje soustavné řízení rizik.
(2) Povinná osoba zavede a udržuje systém řízení rizik tak, že poskytuje nezkreslený obraz o míře podstupovaných rizik.
(3) Povinná osoba zajistí, že proces rozpoznávání rizik je zajištěn u všech činností a na všech řídicích a organizačních úrovních a umožňuje odhalování nových, dosud neidentifikovaných rizik.
(4) Povinná osoba při řízení rizik zohledňuje všechna významná rizika a rizikové faktory, kterým je nebo může být vystavena s přihlédnutím k povaze, rozsahu a složitosti činností. Řízení rizik v jeho celku i částech zohledňuje vnitřní a vnější faktory včetně zohledňování budoucí strategie podnikání povinné osoby, vlivů ekonomického prostředí a cyklu a vlivů regulatorního prostředí. Řízení rizik zohledňuje kvantitativní a kvalitativní aspekty rizik, reálné možnosti jejich řízení a náklady a výnosy vyplývající z řízení rizik.