1. Les entitats han d’aplicar polítiques i procediments per avaluar i gestionar l’exposició al risc operacional, incloent-hi, si escau, el risc de model i el risc provinent de les externalitzacions, i per cobrir el risc d’esdeveniments poc freqüents generadors de pèrdues molt elevades. Les entitats han d’especificar el que constitueix un risc operacional als efectes d’aquestes polítiques i procediments.
2. Les entitats han d’establir plans de contingència i continuïtat del negoci que els permetin mantenir la seva activitat i limitar les pèrdues en cas d’interrupcions greus en el negoci.