Rozporządzenie określa sposób organizacji systemu zarządzania ryzykiem, o którym mowa w art. 17 ust. 1 pkt 1 ustawy z dnia 20 grudnia 2024 r. o podmiotach obsługujących kredyty i nabywcach kredytów, zwanego dalej „systemem zarządzania ryzykiem”, w tym rodzaje procedur go tworzących.
System zarządzania ryzykiem jest zorganizowany proporcjonalnie do:
1) złożoności działalności podmiotu obsługującego kredyty;
2) skali i struktury ekspozycji na ryzyko, stopnia narażenia podmiotu obsługującego kredyty na dane ryzyko wyrażonego w ustalonej przez ten podmiot formie i skali;
3) zakresu działalności podmiotu obsługującego kredyty.
1. System zarządzania ryzykiem tworzy:
1) procedura identyfikacji ryzyka;
2) procedura pomiaru lub szacowania ryzyka;
3) procedura monitorowania, raportowania i kontroli oraz ograniczania ryzyka. 2. Procedura, o której mowa w ust. 1 pkt 1, obejmuje:
1) identyfikację źródeł i potencjalnych skutków ryzyka;
2) definicję ryzyka operacyjnego i jego zdarzeń;
3) listę rodzajów ryzyk, które potencjalnie mogą wystąpić w działalności podmiotu obsługującego kredyty i spowodować znaczne straty dla podmiotu obsługującego kredyty;
4) sposób dokonywania analiz, czy którekolwiek ze zidentyfikowanych źródeł ryzyka może spowodować materializację co najmniej jednego z ryzyk, o których mowa w pkt 3. 3. Procedura, o której mowa w ust. 1 pkt 2, obejmuje zasady ustalające sposób określania poziomu ryzyka. 4. Procedura, o której mowa w ust. 1 pkt 3, obejmuje:
1) zasady monitorowania ryzyka;
2) zasady raportowania ryzyka, obejmujące przekazywanie informacji dotyczących zidentyfikowanego ryzyka i jego poziomu, wyników monitorowania oraz podjętych działań;
1) Minister Finansów kieruje działem administracji rządowej – instytucje finansowe, na podstawie § 1 ust. 2 pkt 3 rozporządzenia Prezesa Rady Ministrów z dnia 18 grudnia 2023 r. w sprawie szczegółowego zakresu działania Ministra Finansów (Dz. U. poz. 2710). Dziennik Ustaw –2– Poz. 208
3) zasady kontroli oraz ograniczania ryzyka, obejmujące:
a) weryfikację, czy poziom ryzyka nie narusza przyjętych zasad,
b) eliminację przyczyn występowania ryzyka,
c) ograniczenie skutków ewentualnej materializacji ryzyka,
d) przeniesienie ryzyka na podmiot zewnętrzny,
e) akceptację ryzyka bez podejmowania działań, o których mowa w lit. b–d;
4) w przypadku ryzyka operacyjnego:
a) tryb i sposób monitorowania strat z tytułu materializacji tego ryzyka,
b) powierzenie wykonywania czynności podmiotom zewnętrznym,
c) sposób organizacji bezpieczeństwa sieci i systemów informacyjnych w celu zapewnienia poufności, integralności i dostępności procesów oraz danych i aktywów podmiotu obsługującego kredyty. 5. Procedury tworzące system zarządzania ryzykiem zatwierdza zarząd albo rada dyrektorów.