Rozporządzenie określa sposób organizacji systemu zarządzania ryzykiem, o którym mowa w art. 17 ust. 1 pkt 1 ustawy z dnia 20 grudnia 2024 r. o podmiotach obsługujących kredyty i nabywcach kredytów, zwanego dalej „systemem zarządzania ryzykiem”, w tym rodzaje procedur go tworzących.

System zarządzania ryzykiem jest zorganizowany proporcjonalnie do:         1) złożoności działalności podmiotu obsługującego kredyty;         2) skali i struktury ekspozycji na ryzyko, stopnia narażenia podmiotu obsługującego kredyty na dane ryzyko wyrażonego w ustalonej przez ten podmiot formie i skali;         3) zakresu działalności podmiotu obsługującego kredyty.

    1. System zarządzania ryzykiem tworzy:         1) procedura identyfikacji ryzyka;         2) procedura pomiaru lub szacowania ryzyka;         3) procedura monitorowania, raportowania i kontroli oraz ograniczania ryzyka.     2. Procedura, o której mowa w ust. 1 pkt 1, obejmuje:         1) identyfikację źródeł i potencjalnych skutków ryzyka;         2) definicję ryzyka operacyjnego i jego zdarzeń;         3) listę rodzajów ryzyk, które potencjalnie mogą wystąpić w działalności podmiotu obsługującego kredyty i spowodować znaczne straty dla podmiotu obsługującego kredyty;         4) sposób dokonywania analiz, czy którekolwiek ze zidentyfikowanych źródeł ryzyka może spowodować materializację co najmniej jednego z ryzyk, o których mowa w pkt 3.     3. Procedura, o której mowa w ust. 1 pkt 2, obejmuje zasady ustalające sposób określania poziomu ryzyka.     4. Procedura, o której mowa w ust. 1 pkt 3, obejmuje:         1) zasady monitorowania ryzyka;         2) zasady raportowania ryzyka, obejmujące przekazywanie informacji dotyczących zidentyfikowanego ryzyka i jego poziomu, wyników monitorowania oraz podjętych działań;         1) Minister Finansów kieruje działem administracji rządowej – instytucje finansowe, na podstawie § 1 ust. 2 pkt 3 rozporządzenia Prezesa Rady Ministrów z dnia 18 grudnia 2023 r. w sprawie szczegółowego zakresu działania Ministra Finansów (Dz. U. poz. 2710).         3) zasady kontroli oraz ograniczania ryzyka, obejmujące:             a) weryfikację, czy poziom ryzyka nie narusza przyjętych zasad,             b) eliminację przyczyn występowania ryzyka,             c) ograniczenie skutków ewentualnej materializacji ryzyka,             d) przeniesienie ryzyka na podmiot zewnętrzny,             e) akceptację ryzyka bez podejmowania działań, o których mowa w lit. b–d;         4) w przypadku ryzyka operacyjnego:             a) tryb i sposób monitorowania strat z tytułu materializacji tego ryzyka,             b) powierzenie wykonywania czynności podmiotom zewnętrznym,             c) sposób organizacji bezpieczeństwa sieci i systemów informacyjnych w celu zapewnienia poufności, integralności i dostępności procesów oraz danych i aktywów podmiotu obsługującego kredyty.     5. Procedury tworzące system zarządzania ryzykiem zatwierdza zarząd albo rada dyrektorów.

Rozporządzenie wchodzi w życie z dniem 19 lutego 2025 r. Minister Finansów: A. Domański