(1) Při hodnocení rizik instituce vždy zohlední

(2) Instituce při hodnocení rizik zohlední alespoň takový rozsah a druhy zdrojů informací, které zajistí, že hodnocení rizik skutečně vypovídá o reálných rizicích spojených s činností instituce.

a) národní hodnocení rizik vypracované v souladu s § 30a zákona,

b) evropské hodnocení rizik vypracované Evropskou komisí⁶),

c) metodické a výkladové materiály a rozhodnutí České národní banky a Finančního analytického úřadu,

d) informace poskytované Finančním analytickým úřadem a orgány činnými v trestním řízení a

e) informace získané při identifikaci a kontrole klientů.

(3) Instituce v hodnocení rizik vždy zohlední

a) povahu své obchodní činnosti,

b) produkty a služby, které nabízí a poskytuje, a možnosti jejich zneužití k legalizaci výnosů z trestné činnosti a financování terorismu,

c) rizika spojená s využitím nových technologií při své obchodní činnosti,

d) rizika spojená s distribučními kanály, které využívá k nabízení a poskytování svých produktů a služeb, a

e) opatření, která instituce přijala a aplikuje k řízení rizik.

(4) Instituce zohlední v hodnocení rizik i další opatření, zvláštní rizika a specifické faktory neuvedené v § 5 odst. 3, pokud vyplývají z konkrétní povahy její činnosti.

(5) Instituce zaznamená postupy, které využila k sestavení svého hodnocení rizik, a důvody, na jejichž základě učinila závěry obsažené v hodnocení rizik.