Die Institute sollten eine Risikomanagementfunktion für das gesamte Institut einrichten. Die Risikomanagementfunktion sollte unter Berücksichtigung der in Titel I aufgeführten Kriterien für die Verhältnismäßigkeit über ausreichende Befugnisse, Gewicht und Ressourcen verfügen, um die Risikorichtlinien und das Rahmenwerk für das Risikomanagement entsprechend Abschnitt 17 umzusetzen.
Die Risikomanagementfunktion sollte gegebenenfalls über direkten Zugang zum Leitungsorgan in seiner Aufsichtsfunktion und dessen Ausschüssen, sofern eingerichtet, insbesondere zum Risikoausschuss, verfügen.
Die Risikomanagementfunktion sollte Zugang zu allen Geschäftsbereichen und sonstigen internen Einheiten, die das Potenzial zur Erzeugung von Risiken aufweisen, sowie zu relevanten Tochtergesellschaften und verbundenen Unternehmen haben.
Die Mitarbeiter innerhalb der Risikomanagementfunktion sollten über ausreichende Kenntnisse, Fähigkeiten und Erfahrungen mit Blick auf die Techniken und Verfahren des Risikomanagements sowie Märkte und Produkte besitzen und Zugang zu regelmäßigen Weiterbildungen haben.
Die Risikomanagementfunktion sollte von den Geschäftsbereichen und Organisationseinheiten, deren Risiken sie kontrolliert, unabhängig sein, sie sollte jedoch nicht an einem Zusammenwirken mit ihnen gehindert sein. Das Zusammenwirken zwischen den operativen Funktionen und der Risikomanagementfunktion sollte zur Verwirklichung des Ziels beitragen, dass alle Mitarbeiter des Instituts Verantwortung für den Umgang mit Risiken übernehmen.
Die Risikomanagementfunktion sollte ein zentraler organisatorischer Bestandteil des Instituts und so strukturiert sein, dass sie die Risikorichtlinienumsetzen und das Rahmenwerk für das Risikomanagement kontrollieren kann. Die Risikomanagementfunktion sollte eine Schlüsselrolle bei der Sicherstellung wirksamer Risikomanagementprozesse eines Institutes spielen. Die Risikomanagementfunktion sollte in alle wichtigen Entscheidungen im Bereich des Risikomanagements aktiv eingebunden sein.
Institute von erheblicher Bedeutung können auch die Einrichtung von fest zugeordneten Risikomanagementfunktionen für jeden wesentlichen Geschäftsbereich in Erwägung ziehen. Allerdings sollte eine zentrale Risikomanagementfunktion, einschließlich einer gruppenweiten Risikomanagementfunktion im konsolidierenden Institut, eingerichtet sein, um über eine instituts- und gruppenweite ganzheitliche Übersicht über alle Risiken zu verfügen und sicherzustellen, dass die Risikostrategie eingehalten wird.
Die Risikomanagementfunktion sollte unabhängige einschlägige Informationen, Analysen und Expertenmeinungen über Risikopositionen bereitstellen und die Geschäftsbereiche oder internen Einheiten in allen risikopolitischen Fragestellungen beraten; zudem sollte sie das Leitungsorgan darüber informieren, ob diese mit dem Risikoappetit und der Risikostrategie in Einklang stehen. Die Risikomanagementfunktion kann Verbesserungen des Rahmenwerks für das Risikomanagement und Abhilfemaßnahmen empfehlen, um Verletzungen der Risikorichtlinien, -prozesse und -limite zu beheben.