Direktionen skal sikre, at virksomheden har en risikostyringsfunktion og en risikoansvarlig, jf. bilag 7. Direktionen skal sikre, at risikostyringsfunktionen i nødvendigt omfang kan rette henvendelse og rapportere direkte til bestyrelsen uafhængigt af direktionen, og at risikostyringsfunktionen kan give udtryk for betænkeligheder og advare bestyrelsen i de tilfælde, hvor specifikke risikoudviklinger påvirker eller kan påvirke virksomheden, uden at dette berører det ansvar, som bestyrelsen har.
Stk. 2 Afskedigelse af den risikoansvarlige kræver bestyrelsens forudgående godkendelse.
Stk. 3 Direktionen skal følge op på den risikoansvarliges konklusioner og anbefalinger samt i relevant omfang gennemføre korrigerende foranstaltninger. Virksomheden skal have retningslinjer for opfølgning på den risikoansvarliges konklusioner.
Stk. 4 Advarsler og betænkeligheder afgivet af risikostyringsfunktionen skal dokumenteres, og virksomheden skal have procedurer til at sikre dette.