國泰金控董事會為風險管理組織之最高決策單位，負責監督、核定風險管理政策及重要風險管理制度。本公司設置風險管理委員會及獨立風險管理單位，風控長為風險管理單位最高主管，每月召開風險管理委員會。

國泰金控訂定風險管理政策，並針對主要風險進行管控，個別訂定管理準則。2020年本公司將ESG風險(含氣候風險)納入風險管理政策，並訂定ESG風險管理準則。為監督風險管理之執行，本公司及主要子公司定期提報風險管理執行報告至風險管理委員會及董事會，以揭露集團風險曝險程度。

風險管理措施

針對主要風險類別各設有風險衡量指標，皆經過董事會審核通過，並定期評估與監控，以辨識該風險是否超出願意承受程度，並進行管理。此外，依經營環境之變化，進行壓力測試，以檢視風險胃納之機制。

風險通報機制

為增進風險管理效能，本公司設有集團「作業風險事件通報辦法」、「信用風險緊急事件通報辦法」及「重大事件處理辦法」，並建置對應之通報系統。如遇風險事件發生，各單位或子公司應立即通報本公司風險管理處設案管理，每月檢視風險事件進展及改善方案落實情形，並將進度通報本公司風險管理處。

營運持續管理

國泰金控暨子公司訂有「營運持續管理準則」，落實營運持續管理機制，並依不同風險情境訂定營運持續計畫(Business Continuity Plan, BCP)，以確保當公司面臨因各類災難、重大疫情、資訊服務中斷、資金流動性不足或其他事件導致「營運中斷」時，能儘速恢復提供服務，並將損失控制於最小程度，以維護客戶權益及持續營運。此外，亦定期規劃演練情境，以檢測BCP之有效性及完整性，強化本公司面對重大緊急事件之緊急應變能力。

面對全球金融經營環境漸趨複雜，且科技發展、極端氣候、人口結構等各議題所帶來之影響逐漸提升，本公司每年檢視新興議題風險，提出年度新興風險報告，呈風險管理委員會審議，並提報董事會，說明風險承受情形及現行風險管理制度。 2020年集團新興風險包含金融科技、資訊安全、法令變動等多項風險，並評估風險對於公司營運之衝擊，建立因應措施。

新興風險鑑別流程及因應措施

以下列舉兩項新興風險之營運衝擊評估及其因應措施：

為落實風險管理及內部控制，本公司採內部控制三道防線機制，並持續強化其機制成效。2020年稽核主導三道防線強化方案為集團未來優化方向，分別針對業務單位、管理單位及稽核單位提出強化建議，將第一道防線(自行查核)、第二道防線(風險管理/法令遵循)、第三道防線(稽核管理)依據目標進行優化調整外，未來將完善三道防線模式。此外，本公司第二、三道防線之單位持續強化內部之風險控管，除了每月發佈法風稽月刊，分享法令遵循、風險管理及稽核之相關議題及實際案例，各單位每半年進行一次法令遵循及內部控制之自評自查作業，以辨識各單位面臨之潛在風險，確認各項業務皆遵循相關制度。

為提升全體人員之風險意識，國泰金控董事會及經營階層須參加公司治理或風險管理相關課程，並要求集團全體同仁進行風險管理通識課程，2020年完訓率達100%，更依據子公司之業務性質差異，針對不同對象進行多元風險之教育訓練或課程，以確保同仁有效控管風險。

為提升董事會之風險管理職責，本公司將「風險管理」指標納入董事會暨功能性委員會之績效評估。同時，國泰金控將「內部控制執行成效」及「法令遵循執行成效」納入經理人及全體員工之績效考評項目，以確保風險管理制度有效運作。