Les établissements assujettis mettent en place un dispositif d'analyse, de mesure et de gestion du risque opérationnel qui respecte les critères suivants :
a) Le système d'analyse, de mesure et de gestion du risque opérationnel est étroitement intégré au dispositif de gestion quotidienne des risques de l'établissement assujetti ;
b) La gestion du risque opérationnel fait l'objet d'une fonction dédiée et indépendante au sein de l'établissement assujetti ;
c) Les établissements assujettis mettent en place un système de déclaration périodique de leurs expositions au risque opérationnel et de leurs pertes. Ce système de déclaration permet une communication de façon régulière et au moins une fois par an à l'organe exécutif. Les établissements assujettis définissent des procédures leur permettant de prendre les mesures correctrices appropriées ;
d) Le système de gestion des risques de l'établissement assujetti est dûment documenté. L'établissement met en place des procédures permettant d'assurer la conformité et de traiter les cas de non-conformité ;
e) Les procédures de gestion et les systèmes d'analyse et de mesure du risque opérationnel font l'objet de contrôles périodiques.