A definição de Risco Operacional, conforme o artigo 2º da Resolução 3.380, é a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos, incluindo o risco legal associado à inadequação ou deficiência em contratos firmados pela instituição, bem como a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição.
A Resolução 3.380 também lista os eventos considerados como incluídos na definição de Risco Operacional:
I - fraudes internas;
II - fraudes externas;
III - demandas trabalhistas e segurança deficiente do local de trabalho;
IV - práticas inadequadas relativas a clientes, produtos e serviços;
V - danos a ativos físicos próprios ou em uso pela instituição;
VI - aqueles que acarretem a interrupção das atividades da instituição;
VII - falhas em sistemas de tecnologia da informação;
VIII - falhas na execução, cumprimento de prazos e gerenciamento das atividades na instituição.