1. L’òrgan d’administració ha d’aprovar i revisar periòdicament les estratègies i polítiques d’assumpció, gestió, supervisió i mitigació dels riscos a què l’entitat està o pot estar exposada, incloent-hi aquells plantejats per la conjuntura macroeconòmica en la qual opera en relació amb la situació del cicle econòmic.
2. L’òrgan d’administració ha de dedicar temps suficient a la consideració de les qüestions relacionades amb els riscos. L’òrgan d’administració ha de participar activament en la gestió de tots els riscos substancials recollits en aquesta Llei i en el reglament d’aplicació, ha de vetllar perquè s’hi assignin els recursos adequats, i ha de participar així mateix en la valoració dels actius i en l’ús de qualificacions creditícies externes. L’entitat ha d’establir canals d’informació a l’òrgan d’administració sobre tots els riscos importants als quals s’enfronta i sobre polítiques de gestió de riscos i les seves modificacions.