1 - O intermediário financeiro deve adoptar políticas e procedimentos para identificar e gerir os riscos relacionados com as suas actividades, procedimentos e sistemas, considerando o nível de risco tolerado.
2 - O intermediário financeiro deve acompanhar a adequação e a eficácia das políticas e procedimentos adoptados nos termos do n.º 1, o cumprimento destes por parte das pessoas referidas no n.º 5 do artigo 304.º e a adequação e a eficácia das medidas tomadas para corrigir eventuais deficiências naqueles.
3 - O intermediário financeiro deve estabelecer um serviço de gestão de risco independente e responsável por:
a) Assegurar a aplicação da política e dos procedimentos referidos no n.º 1; e
b) Prestar aconselhamento ao órgão de administração e elaborar e apresentar a este e ao órgão de fiscalização um relatório, de periodicidade pelo menos anual, relativo à gestão de riscos, indicando se foram tomadas as medidas adequadas para corrigir eventuais deficiências.
4 - O dever previsto no número anterior é aplicável em termos adequados e proporcionais, tendo em conta a natureza, a dimensão e a complexidade das actividades, bem como o tipo de actividades de intermediação financeira prestadas.
5 - O intermediário financeiro que, em função dos critérios previstos no número anterior, não adopte um serviço de gestão de riscos independente deve garantir que as políticas e os procedimentos adoptados satisfazem os requisitos constantes dos n.os 1 e 2.