Operationelle Risiken sind als Risiken von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen, Systemen oder in Folge externer Ereignisse eintreten, definiert. Damit waren sie schon immer wichtige Bestandteile von Prüfungsaktivitäten der Internen Revision. Wegen ihrer hohen materiellen Bedeutung werden operationelle Risiken bei Banken als eigene, mit Eigenkapital zu unterlegende, Risikokategorie aufgegriffen. Auch Versicherer müssen sich gemäß den Mindestanforderungen an die Governance-Organisation (MaGo) intensiv mit operationellen Risiken befassen. Operationelle Risiken wurden seitens der BaFin als wesentliche Risikoart verankert und sind daher im aufsichtlichen Fokus. Zu den Anforderungen hinsichtlich operationeller Risiken gehören weit reichende Aktivitäten der Internen Revision. In den letzten Jahren stellen operationelle Risiken einen Prüfungsschwerpunkt der Aufsicht dar. Ein aktueller Fokus sind dabei die stark gewachsenen Risiken aus dem IT-Bereich. So gab es z.B. in den letzten Jahren oftmals Schwachpunkte bei Berechtigungskonzepten oder selbst entwickelten EDV Lösungen. Aber auch Cyber-Attacken stellen heute eine Bedrohung dar. Die früheren aufsichtlichen Anforderungen wurden daher durch die BaFin durch Bankenaufsichtliche bzw. Versicherungsaufsichtliche Anforderungen an die IT (BAIT/VAIT) konkretisiert.