Ved opfyldelse af § 3, stk. 1, nr. 3, skal bestyrelsen løbende vurdere, om virksomhedens politikker, jf. § 4, samt retningslinjerne til direktionen, jf. §§ 6 og 7, er betryggende i forhold til virksomhedens forretningsmæssige aktiviteter, organisation og ressourcer samt de markedsforhold, som virksomhedens aktiviteter drives under.
Stk. 2 Vurderingen efter stk. 1 skal foretages i forhold til
-
1) hvilke risici virksomheden er udsat for, herunder forretningsmodellens indflydelse på risici og risikoniveauer,
-
2) hvilke aktiviteter de pågældende risici er tilknyttet,
-
3) omfanget af de enkelte risici, og
-
4) hvordan risikotyperne påvirker hinanden, hvis dette er relevant.
Stk. 3 Vurderingen efter stk. 1 skal i fornødent omfang desuden indeholde en stillingtagen til
-
1) om virksomheden har et betryggende antal medarbejdere og kompetencer på risikobehæftede aktiviteter,
-
2) om virksomheden har betryggende it-systemer, og
-
3) om virksomheden har betryggende procedurer for hurtig og effektiv kommunikation på tværs af virksomheden og koncernen.
Stk. 4 Den risikoansvarliges rapport, jf. bilag 7, skal indgå i bestyrelsens samlede vurderingsgrundlag, jf. stk. 1.