Jej celem jest usystematyzowanie i upowszechnienie dobrych praktyk w zarządzaniu ryzykiem operacyjnym we wszystkich bankach. Do najistotniejszych zmian należy uspójnienie terminologii stosowanej w zarządzaniu ryzykiem operacyjnym, a także m.in. doprecyzowanie roli zarządu i rady nadzorczej banku w zakresie strategii zarządzania ryzykiem operacyjnym.
Rekomendacja podkreśla konieczność posiadania przez bank struktury, procesów i zasobów odpowiednich do skali i złożoności prowadzonej działalności, pozwalających na sprawne zarządzanie ryzykiem operacyjnym. Zalecenie określa oczekiwania nadzoru związane z ryzykiem braku zgodności w zakresie rozwijania nowych modeli biznesowych lub tworzenia nowych produktów i zwraca uwagę, aby tworzone produkty nie miały na celu obchodzenia powszechnie obowiązujących przepisów.
Zawiera również doprecyzowanie zaleceń mających na celu ograniczenie asymetrii informacji pomiędzy bankiem a jego otoczeniem w zakresie ryzyka operacyjnego – wzmocnienie dyscypliny rynkowej poprzez wymaganie ujawniania w corocznych publikacjach banków dotyczących adekwatności kapitałowej informacji o stratach operacyjnych danej kategorii i podejmowanych działaniach naprawczych. KNF oczekuje, że zalecenia zostaną wprowadzone nie później niż do dnia 30 czerwca 2013 r.
Komisja wydała także znowelizowaną Rekomendację D dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach.
Ma poprawić jakość zarządzania i poziom bezpieczeństwa IT oraz pozwolić na usprawnienie nadzoru nad tymi obszarami. W stosunku do poprzedniej wersji Rekomendacji D wprowadzono zapisy dotyczące m.in. zarządzania danymi (w tym ich jakością), zasad współpracy pomiędzy obszarami biznesowymi i technicznymi, systemu informacji zarządczej obszarów technologii informacyjnej i bezpieczeństwa teleinformatycznego oraz tzw. „przetwarzania w chmurze" (ang. cloud computing).
