國泰金控董事會為風險管理組織之最高決策單位，負責監督、核定風險管理政策及重要風險管理制度。本公司設置風險管理委員會及獨立風險管理單位，風控長為風險管理單位最高主管，每月召開風險管理委員會。
國泰金控訂定風險管理政策，並針對主要風險進行管控，分別訂定管理準則。2021 年本公司訂定營運持續管理委員會組織辦法，並修訂營運持續管理準則。
為監督風險管理之執行，本公司及主要子公司定期提報風險管理執行報告至風險管理委員會及董事會，管理集團風險曝險程度。

風險管理措施

針對主要風險類別各設有風險衡量指標，皆經過董事會審核通過，並定期評估與監控，以辨識該風險是否超出願意承受程度，並進行管理。此外，依經營環境之變化，進行壓力測試，以檢視風險胃納之機制。

風險通報機制

為增進風險管理效能，本公司設有集團「作業風險事件通報辦法」、「信用風險緊急事件通報辦法」及「重大事件處理辦法」，並建置對應之通報系統。如遇風險事件發生，各單位或子公司應立即通報本公司風險管理處設案管理，每月檢視風險事件進展及改善方案落實情形，並將進度通報本公司風險管理處。

營運持續管理

為強化企業風險應變能力及經營韌性，金控暨子公司已訂定「營運持續管理準則」，並設置營運持續管理委員會，藉由每年定期會議召開，審議營運持續管理制度之執行情形，同時依不同風險情境訂定營運持續計畫（Business Continuity Plan, BCP），以確保當公司面臨重大災難，如傳染疫情、天災、資訊服務中斷或其他事件導致「營運中斷」時，能儘速恢復提供服務，並將損失控制於最小程度，以維護客戶權益及維持企業營運。此外，亦定期規劃情境演練，以檢測 BCP 之有效性及完整性，以確保本公司面對重大緊急事件之緊急應變能力。
2021 年本公司與子公司國泰人壽為全台首家金控、保險業取得 ISO 22301 營運持續管理標準認證，與國際標準接軌。同時亦規畫集團其他子公司，如銀行、產險、證券及投信等，以取得國際認證為目標，持續完善集團營運持續管理機制。

面對全球金融經營環境漸趨複雜，且科技發展、極端氣候、人口結構等各議題所帶來之影響逐漸提升，國泰每年編製集團風險地圖，參酌外部專家意見及國內外機構發布之風險相關研究報告，例如：世界經濟論壇全球風險報告書（World Economic Forum Global Risk Report）、顧問公司趨勢報告及保險公司報告，作為新興風險辨識依據。透過風險地圖鑑別集團應關注的新興風險議題，進一步研擬因應措施，並提報風險管理委員會與董事會，說明風險承受情形及現行風險管理制度。2021 年已鑑別之新興風險包含金融科技、資訊安全、傳染病蔓延、政經等多項目，亦評估該風險對於公司營運之衝擊，並建立對應的因應措施。

新興風險鑑別流程及因應措施

以下列舉兩項新興風險之營運衝擊評估及其因應措施：

為落實風險管理及內部控制，本公司採內部控制三道防線機制，並持續強化其機制成效。 2021 年本公司稽核單位持續檢視三道防線強化方案之執行成果，偕同本公司三道防線權責單位督促各子公司，將第一道防線（自行查核）、第二道防線（風險管理 / 法令遵循 /資訊安全）、第三道防線（稽核管理）依據目標進行優化調整。此外，本公司第二、三道防線之單位持續強化內部之風險控管，除了每月發佈法風稽月刊，分享法令遵循、風險管理、資訊安全及稽核之相關議題及實際案例，各單位每半年需進行一次法令遵循及內部控制之自評自查作業，以辨識各單位面臨之潛在風險，並確認各項業務皆遵循相關制度。

為提升全體人員之風險意識，國泰金控董事會及經營階層須參加公司治理或風險管理相關課程，並要求集團全體同仁進行風險管理通識課程，2021 年完訓率達 100%，更依據子公司之業務性質差異，針對不同對象進行多元風險之教育訓練或課程，以確保同仁有效控管風險。

為提升董事會之風險管理職責，本公司將「風險管理」指標納入董事會暨功能性委員會之績效評估。同時，國泰將「內部控制執行成效」及「法令遵循執行成效」納入經理人及全體員工之績效考評項目，以確保風險管理制度有效運作。