1. Les entitats operatives del sistema financer han de tenir una funció de gestió de riscos que desenvolupi les tasques següents:
a) Assessorar l’alta direcció en relació amb l’establiment de polítiques de gestió del risc i en la determinació del nivell de tolerància de l’entitat al risc.abi.
s) Informar directament el consell d’administració, amb independència de la direcció general, i exposar els seus motius de preocupació i advertir aquest òrgan, quan sigui procedent, en cas d’evolucions específiques del risc que afectin o puguin afectar l’entitat operativa del sistema financer, sense perjudici de les responsabilitats del consell d’administració, de conformitat amb aquesta Llei.
b) Establir, aplicar i mantenir procediments de gestió del risc adequats que permetin identificar, avaluar, gestionar, controlar i elaborar informes de gestió dels riscos derivats de les activitats de l’entitat; en fer-ho, les entitats operatives del sistema financer han de tenir en compte els riscos de sostenibilitat.
c) Adoptar mesures, processos i mecanismes eficaços per gestionar els riscos associats a les activitats, els processos i els sistemes de l’entitat en funció del nivell de tolerància al risc aprovat pel consell d’administració.
d) Supervisar:
i) Que les polítiques i els procediments de gestió dels riscos de l’entitat són adequats i eficaços.i.
i) El nivell de compliment, per l’entitat i per les persones competents, de les polítiques, els processos, els procediments i els mecanismes definits i establerts per vetllar per una adequada gestió del risc a què es refereixen les lletres b) i c) anteriors.ii.
i) Que les mesures adoptades per fer front a qualsevol deficiència en el disseny o en l’aplicació de les polítiques, els procediments, les mesures, els processos i els mecanismes són adequades i eficaces, i indiquen els casos en què el personal de l’entitat no compleixi aquestes mesures, aquests processos i aquests mecanismes, o no apliqui les polítiques i els procediments.
2. Les entitats operatives del sistema financer han de tenir, quan resulti proporcionat d’acord amb la naturalesa, l’escala i la complexitat de la seva activitat, dels riscos als quals està exposada i de la naturalesa i la tipologia dels productes i serveis prestats, un òrgan que, actuant de forma adequada i independent, compleixi les condicions següents:
a) Estar dotat dels recursos tècnics necessaris i de recursos humans amb l’experiència i els coneixements adequats per vetllar pel correcte desenvolupament de les seves funcions.
b) Nomenar un responsable de l’òrgan de gestió de risc, el qual ha d’actuar de manera independent i no pot ser revocat del seu càrrec sense l’aprovació prèvia del consell d’administració.
c) La funció de gestió de riscos ha de reportar directament a l’òrgan d’administració i ha d’elaborar informes periòdics sobre gestió de riscos per, entre altres coses, facilitar l’avaluació i la supervisió de l’adequat compliment de les polítiques, els procediments i els mecanismes de gestió del risc de l’entitat i assessorar l’òrgan d’administració.
d) Les persones encarregades d’aquesta funció no poden participar en la realització dels serveis o les activitats que controlen.
3. En el cas d’entitats pertanyents a un grup, el compliment de l’obligació continguda en aquest article es pot assolir en l’àmbit del grup prèvia autorització de l’AFA.
4. En qualsevol cas, amb independència de l’existència, o no, d’un òrgan de gestió de riscos, totes les entitats operatives del sistema financer han de poder demostrar que donen compliment a les polítiques i els procediments adoptats i que la funció de gestió del risc exercida és eficaç.