บริษัทกำหนดนโยบายการประกอบธุรกิจ และมีคณะกรรมการย่อยที่ได้รับมอบหมายจากคณะกรรมการบริษัทให้ติดตามการดำเนินการในเรื่องต่าง ๆ เช่น คณะกรรมการพิจารณาการลงทุน (“IC”) คณะกรรมการบริหารความเสี่ยง (“RMC”) คณะ
กำหนด พร้อมทั้งให้คำปรึกษา ติดตามความเสี่ยง และทบทวนการควบคุมความเสี่ยงด้าน IT ให้อยู่ในระดับ ความเสี่ยงที่ยอมรับได้ โดยมีการรวบรวมและเชื่อมโยงความเสี่ยงด้าน IT กับความเสี่ยงด้านอื่น และนำเสนอผลการบริหาร