(3) Tuzemská pojišťovna a tuzemská zajišťovna musí mít svým statutárním orgánem schválenou písemnou koncepci, pokud jde alespoň o řízení rizik, vnitřní kontrolu, vnitřní audit, případně též, pokud jde o externí zajištění činností, a zajistí, aby byla tato koncepce naplňována; jde-li o monistický systém vnitřní struktury pojišťovny nebo zajišťovny, rozumí se pro účely tohoto zákona statutárním orgánem správní rada. Pravidelně, nejméně však jednou ročně, přezkoumává její funkčnost. Její úpravu je povinna provést v souvislosti s jakoukoli významnou změnou ve svém řídicím a kontrolním systému nebo v některé oblasti své činnosti.