#人身保险公司全面风险管理实施指引

1、人身保险公司全面风险管理实施指引第一章 总则第一条 为加强人身保险公司全面风险管理， 进一步落实 保险公司风险管理指引 （保 监发 2007 23 号），提升公司全面风险管理水平，保障人身保险行业和公司的健康发展， 根据保险法 、保险公司管理规定等相关法律法规和规章，制定本指引。第二条 本指引所称公司是指在中华人民共和国境内依法设立的人寿保险公司和健康保 险公司。第三条 本指引所指风险是指对公司实现经营目标可能产生不利影响的不确定因素。第四条 本指引所指全面风险管理是指从公司董事会、管理层到全体员工全员参和，在 战略制定和日常运营中， 识别潜在风险， 预测风险的影响程度， 并在公司风险偏好范围

2、内有 效管理公司各环节风险的持续过程。 在进行全面风险管理的同时， 公司应根据公司经营情况 重点监测、防范和化解对公司经营有重要影响的风险。第五条 公司全面风险管理应遵循的基本原则：（一）一致性原则。公司在建立全面风险管理体系时， 应确保风险管理目标和战略发展 目标的一致性。（二）匹配性原则。公司在全面风险管理过程中，应确保公司资本水平和所承担的风险 相匹配，所承担的风险和收益相匹配。（三）全面性原则。公司全面风险管理应渗透至公司各项业务环节，对每一类风险都应全面认识、分析和管理。（四）全员参和原则。 公司应建立全员参和的风险管理文化和相应机制，各级别员工都应按照其工作职责参和公司的风险管理工

3、作，承担日常风险管理职责。（五）定量和定性相结合原则。 公司应根据自身业务性质、规模和复杂程度开发相适应 的风险量化技术，推广使用先进成熟的风险管理经验，实现定量和定性方法的有机结合。（六）不断优化原则。 公司应不断地检查和评估内外部经营管理环境和竞争格局的变化 及其对公司全面风险管理所产生的实质影响，及时调整和优化风险管理政策、制度和流程。第六条 公司应按本指引中的相关要求，建立和自身业务性质、规模和复杂程度相适应 的全面风险管理体系，有效识别、评估、计量、应对和监控风险。全面风险管理的各项要求 应和公司管理和业务流程紧密结合。第七条 中国保监会对公司的全面风险管理进行监督管理， 督促公司有

4、效地识别、 评估、 计量、应对和监控各类风险。第二章风险管理环境第八条 公司应将风险管理文化建设融入企业文化建设的全过程，并在企业内部各个层 面营造风险管理文化氛围， 不断修订和完善风险管理制度、 流程， 持续强化风险管理组织建 设，研究建立风险管理系统，确保风险管理目标的实现。第九条 公司应增强全体员工的风险管理意识，将风险管理意识转化为员工的共同认识 和自觉行动，促进公司建立系统、规范、高效的风险管理机制。第十条 公司应大力加强对全体员工的风险管理宣导工作，建立完善员工岗前、岗中风 险管理培训教育制度。第十一条 公司应建立风险责任机制，由公司管理层负领导责任，对主要风险确定责任 人，具体风

5、险责任落实到各职能部门和业务单位。 对任何违反风险管理相关政策的组织和个 人，要给予追究和处罚。第十二条 公司应把风险管理效果和绩效考核制度相结合，增强各级管理人员特别是公 司管理层的风险意识和责任， 确保公司在经营过程中能够在收益和风险之间做出更好的把握和权衡。第十三条 公司应建立全面风险管理政策，明确公司的风险偏好、风险管理策略、方法 以及公司内部各个不同层级的风险管理职责和构架。第十四条 公司应根据不同的风险分类，分别建立相应的风险管理制度。制度应涵盖针 对不同风险的识别、 评估、计量方法， 风险指标的定性和定量标准， 以及相应的风险责任人。第十五条 公司应将信息技术使用于风险管理的各项

6、工作，包括信息的采集、存储、加 工、分析、测试、传递、报告、披露等，建立涵盖风险管理基本流程和内部控制各环节的风 险管理信息系统。第十六条 风险管理信息系统应能够实现信息在各职能部门和业务单位之间的集成和共 享，充分满足对风险进行分析评估、计量、报告管理、监控预警和信息披露的各项要求；既 能够符合单项业务风险管理的需要， 也能够符合公司整体和跨职能部门、 业务单位的风险管 理综合需要。第十七条 公司应建立风险信息传递和报告机制， 形成上下互动、 横向沟通的工作流程。第十八条 公司应对重大事件、重大风险和重要业务流程建立应急机制，保证公司的正 常运营。第三章风险管理组织第十九条 公司应建立由董事

7、会负最终责任、 管理层直接领导， 以风险管理机构为依托， 相关职能部门密切配合，覆盖所有业务单位的全面风险管理组织体系。第二十条 公司董事会是公司全面风险管理的最高决策机构，对全面风险管理工作的有 效性负责。 董事会主要职责包括审批公司风险管理总体目标、 风险偏好、 风险管理策略和重 大风险解决方案， 以及风险管理组织机构设置及其职责等。 董事会可将部分风险管理职责授 权给风险管理委员会。第二十一条 公司应在董事会下设立风险管理委员会，监督全面风险管理体系运行的有 效性，在董事会授权下履行如下职责：（一）审议公司风险管理的总体目标、基本政策和工作制度；（二）审议公司风险偏好和风险容忍度；（三）

8、审议公司风险管理机构设置及其职责；（四）审议公司重大决策的风险评估和重大风险的解决方案；（五）审议公司年度全面风险管理报告；（六）其他相关职责。 风险管理委员会应由具有丰富的金融风险管理经验， 熟悉人身保险业务， 并具备相关专 业能力的委员组成。第二十二条 公司管理层应根据董事会的授权，履行全面风险管理的具体责任，其主要 职责如下：（一）负责公司日常全面风险管理工作，确保公司风险在可接受范围之内；（二）执行经董事会审定的风险管理策略；（三）审批公司风险限额；（四）建立公司内部风险责任机制；（五）建立公司内部重大风险应急机制；（六）推动公司风险管理文化的建设。第二十三条 公司应任命首席风险官或指

9、定一名高管负责全面风险管理工作，首席风险 官或负责全面风险管理工作的高管不得同时负责销售和投资管理， 其主要职责包括制定风险 管理政策和制度， 协调公司层面全面风险管理等。 首席风险官有权了解公司重大决策、 重大 风险、重大事件、重要系统及重要业务流程，并参和相关决策的评估。第二十四条 公司应设立风险管理部门，在首席风险官的领导下开展风险管理的日常工 作。该部门应独立于销售、 财务、 投资、 精算等职能部门。 风险管理部门有权参和公司战略、 业务、投资等委员会的重大决策。其主要职责如下：（一）建立和维护公司全面风险管理体系，包括风险管理制度、风险偏好体系等；（二）协助和指导各职能部门和业务单位

10、制定风险控制措施和解决方案；（三）定期进行风险识别、 定性和定量风险评估， 并出具风险评估报告， 提出应对建议；（四）建立和维护风险管理技术和模型，不断改进风险管理方法；（五）协调组织资产负债管理工作并提出相应风险应对建议， 包括制定相关制度， 确定 技术方法，有效平衡资产方和负债方的风险和收益；（六）推动全面风险管理信息系统的建立；（七）其他相关职责。 公司的风险管理人员应该具备从事上述工作所需的职业和专业能力。第二十五条 公司各职能部门和业务单位应接受风险管理部门的组织、协调和监督，建 立健全相关风险管理流程， 定期对本职能部门或业务单位的风险进行评估， 将评估结果定期 和风险管理部门沟通

11、，并对其风险管理的有效性负责。第二十六条 通过对上述相关职能机构进行科学的设置，公司应该建立以风险管理为中 心的三道防线或三个层次的管理框架：（一）第一道防线由各职能部门和业务单位组成。在业务前端识别、评估、应对、监控 和报告风险；（二）第二道防线由风险管理委员会和风险管理部门组成。 综合协调制定各类风险制度、 标准和限额，提出应对建议；（三）第三道防线由审计委员会和内部审计部门组成。 针对公司已经建立的风险管理流 程和各项风险的控制程序和活动进行监督。第四章风险分类第二十七条 结合公司的业务特点，公司在经营过程中面临的风险主要有以下七类：（一）市场风险，是指由于利率、汇率、权益价格和商品价格

12、等的不利变动而使公司遭 受非预期损失的风险。（二）信用风险， 是指由于债务人或交易对手不能履行或不能按时履行其合同义务， 或 者信用状况的不利变动而导致的风险。（三）保险风险，是指由于死亡率、疾病率、赔付率、退保率等精算假设的实际经验和 预期发生偏离而造成损失的风险。（四）操作风险，是指由于不完善的内部操作流程、人员、系统或外部事件而导致直接 或间接损失的风险，包括法律及监管合规风险。（五）战略风险， 是指由于战略制定和实施的流程无效或经营环境的变化，而导致战略 和市场环境和公司能力不匹配的风险。（六）声誉风险，是指由于公司品牌及声誉出现负面事件，而使公司遭受损失的风险。（七）流动性风险，是指

13、在债务到期或发生给付义务时，由于没有资金来源或必须以较 高的成本融资而导致的风险。第二十八条 公司应在前条风险分类的基础上，结合自身业务特点，建立健全本公司的 风险分类体系，将各类风险进一步细化至次级分类及风险事件。第五章风险偏好体系第二十九条 风险偏好体系由上至下包括风险偏好、风险容忍度及风险限额三个组成部分。第三十条 风险偏好是指公司在实现其经营目标的过程中愿意承担的风险水平。风险偏 好是公司对风险的基本态度，为战略制定、经营计划实施以及资源分配提供指导。第三十一条 风险容忍度是指在公司经营目标实现的过程中针对既定风险水平出现的差 异的可接受程度。 风险容忍度是风险偏好的具体体现， 一般采

14、用定量和定性相结合的方式确 定，和风险偏好保持一致，并涵盖所有风险类别。第三十二条 风险限额是对风险容忍度的进一步量化和细化。公司应在风险容忍度范围 内，根据不同风险类别、业务单位、产品类型特征等，制定风险限额。第三十三条 公司应本着审慎负责的态度制定公司的风险偏好体系，并报董事会审批。 经批准的风险偏好体系应逐级分解至各职能部门和业务单位遵照执行。第三十四条 风险管理部门应监测和报告风险偏好体系的执行情况。风险偏好或风险容 忍度出现突破时， 管理层应及时向董事会报告， 采取应对措施降低风险水平， 同时审查既定 风险容忍度和风险限额的适当性。第三十五条 公司应至少每年对风险偏好体系进行有效性和

15、合理性审查，不断修订和完 善。当市场环境和经营状况发生重大变化时， 公司应考虑对各类风险水平的影响， 对风险容 忍度和风险限额进行调整，维持风险偏好的整体稳定性。第六章 风险识别和评估第三十六条风险识别是指公司认识和发现在经营活动中所面临的风险的过程。 公司应该 通过风险识别描述风险的特征，系统分析风险发生的原因、风险的驱动因素和条件等。第三十七条 公司应针对风险的特性，从多层次、多角度识别公司经营过程中面临的各 种风险。风险识别应考虑内外部因素。内部因素包括公司治理因素、组织因素、经营管理因 素和技术因素等；外部因素包括经济因素、自然因素、社会因素和政治因素等。第三十八条公司应对已识别风险进

16、行分析和评价， 评估风险对公司经营目标实现的影响 程度，形成风险管理的依据。第三十九条公司应从风险发生的可能性和影响程度两个维度对风险进行评估。 可能性是 指风险在指定时间内发生的概率。影响程度是指当风险发生后，对公司财务、声誉、监管和 运营等造成的影响的程度。第四十条风险评估应包括固有风险评估和剩余风险评估。 固有风险是指在没有采取任何 措施的情况下公司面临的风险； 剩余风险是指在公司采取风险应对和控制措施后公司所面临 的风险。第四十一条公司应收集和记录同业以及自身的历史损失数据， 分析造成损失的原因以及 如何规避损失，建立损失数据库。第四十二条公司风险管理部门应负责组织指导风险识别和评估工

17、作， 提供风险分类标准 和风险识别和评估方法， 整理汇总各职能部门和业务单位的识别和评估结果， 形成公司风险 库和公司全面风险轮廓。各职能部门和业务单位具体负责风险识别和评估工作。第四十三条公司应至少每年开展一次全面风险识别和评估。 当公司发生重大风险或者预 期要发生重大风险时，应及时对风险进行识别和评估。第七章 风险计量第四十四条 公司应根据自身的业务性质、规模和复杂程度，计量公司潜在的经济价值 损失， 直观反映公司的风险状况。 公司应运用经济资本方法计量公司所承受的风险， 并持续 改进计量方法，积极探索先进的风险计量实践，不断提高风险计量的科学性和准确性。第四十五条 经济资本方法应成为公司

18、内部使用的核心风险计量工具。所谓经济资本是 指在一定的置信度水平上， 在一定时间内， 公司为了弥补可能面临的非预期损失所需要的资 本。使用经济资本计量风险应根据公司风险环境及历史数据， 选取适当的假设和参数， 并参 照国际通行标准，合理选择模型技术，如方差-协方差、历史模拟法和蒙特卡洛法等。第四十六条 公司可采用敏感性分析、情景分析及压力测试等计量方法作为经济资本计 量的补充方法。第四十七条 公司应将模型的运用和日常风险管理相融合。风险计量模型应体现公司的 经营战略，反映公司风险管理实践，并使用于资本分配、风险偏好和容忍度的制定等方面。第四十八条 公司风险管理部门应负责风险计量模型的建立和维护

19、。在建立风险计量模 型时，应确保假设、 参数、 数据来源和计量程序的合理性和准确性。 公司应定期对模型的假 设和参数进行审核，制定修改假设和参数的内部流程。第八章风险应对和控制第四十九条 公司应围绕发展战略、风险偏好和风险容忍度，结合风险评估和计量结果 制定风险应对方案。 风险应对方案应主要包括解决该项风险所要达到的具体目标， 所涉及的 管理及业务流程，所需的条件和资源，所采取的具体措施及风险应对工具等内容。第五十条 公司应按照各职能部门和业务单位的职责分工，由风险管理部门提出风险应 对建议， 风险责任人提出风险应对方案， 相关职能部门和业务单位实施， 确保各项措施落实 到位。重大风险的解决方

20、案需经风险管理委员会审批。第五十一条 公司应平衡风险和收益，针对不同类型的风险，选择风险自留、规避、缓 释、转移等风险应对工具。（一）风险自留是指当固有风险在公司风险偏好之内时，公司不对风险发生的可能性或影响程度采取任何措施，而自我承担风险。（二）风险规避是指当固有风险超出公司风险偏好时，公司为避免受风险的影响而退出产生风险的业务活动。（三）风险缓释是指通过风险控制措施来降低风险的损失频率或影响程度。（四）风险转移是指利用技术或工具将风险部分或全部转移给第三方独立机构，以防止遭受灾难性损失的风险。第五十二条 公司应采取和建立相关控制措施、流程，确保风险应对方案的有效执行。 通常可以采用的风险控

21、制措施包括：（一）建立完善相应的管理政策和制度；（二）改善相应业务流程；（三）完善相应的内部控制机制；（四）建立风险持续监控体系。第五十三条 公司应确保将风险应对和控制后的剩余风险控制在可接受的范围内，并持 续监测风险应对和控制方案的执行情况， 定期总结和分析已制定的风险应对和控制方案的有 效性和合理性。 根据公司经营情况的实际变化不断完善风险控制制度和流程， 确保其内容的 完整性和有效性。第九章资产负债管理第五十四条 资产负债管理是公司全面风险管理的重要组成部分，公司应通过资产负债 的匹配管理，降低公司所承受的市场风险，信用风险和流动性风险等。第五十五条 公司应建立明确的资产负债管理目标，优

22、化资产负债配置，寻求风险承受 范围内的最佳回报，并逐步增强应对市场变化的能力。第五十六条 公司应建立资产负债管理制度，明确各相关部门在资产负债管理中的职责 和开展资产负债管理的主要流程。第五十七条 公司资产负债管理应从产品设计和定价、资产投资两方面入手，确保资产 和负债的期限结构及成本收益相匹配。公司资产负债管理的主要内容包括：（一）资产和负债的数额匹配，即各产品类别对应的投资资产和负债的总额相匹配；（二）资产和负债的期限匹配， 即各产品类别对应的投资资产的期限结构和负债来源的期限结构相匹配；（三）资产收益和负债的期望收益匹配， 即各产品类别对应的投资资产产生的收益要高 于负债的期望收益；（四

23、）对匹配缺口的管理， 即定期审视和评估资产负债的匹配缺口，并研究适当的方法 把匹配缺口控制在公司风险容忍度内。第五十八条 公司应根据自身的业务性质、规模和复杂程度选择资产负债管理工具，在 选择工具时应对产品的特性， 尤其是产品隐含的选择权， 保证利益及投保人行为等因素给予 充分考虑。 资产负债管理工具主要包括缺口分析法、 久期匹配法、 现金流匹配法和动态财务 分析法等。第十章风险预警第五十九条 风险预警是指度量风险状态偏离预警标准的程度并以此发出警戒信号的过 程。公司应建立一套完善的风险预警体系， 在复杂多变的市场环境和内部不可控因素下， 及 时发现并化解经营中的风险。第六十条 公司应根据公司

24、整体风险情况，建立关键风险指标体系监控风险变化和开展 风险管理。风险指标可以包括定性指标和定量指标。第六十一条 公司应根据风险限额并结合自身业务情况建立适合自己的预警标准，针对 每个关键风险指标的预警标准对风险的严重程度进行揭示，并动态的维护预警标准。第六十二条 公司各职能部门和业务单位应跟踪关键风险指标，判断和预测各类风险指 标的变化， 分析风险发展的趋势， 定期向风险管理部门报告风险监控情况。 风险限额的突破 应上报至公司管理层，由其决定是否可以突破预警和制定应对措施。第十一章 风险监督第六十三条 风险监督是对公司全面风险管理的健全性、 合理性和有效性进行监督检查。 公司应定期分析公司全面

25、风险管理体系的设计和执行结果， 确保全面风险管理工作的实施和 有效性，并通过监督活动发现风险管理薄弱环节，不断完善全面风险管理体系。第六十四条 公司风险监督包括三个层次：各职能部门和业务单位对自身风险的监测和 风险管理工作的自查； 风险管理部门对各职能部门和业务单位风险管理工作的实施情况进行 监督检查， 从公司层面对风险管理解决方案进行评估； 内部审计部门对公司全面风险管理体 系和流程的执行情况的健全性、合理性以及有效性进行独立的监督评价。第六十五条 公司风险监督内容包括持续监督和专项监督。持续监督是对公司全面风险 管理体系的建设和实施进行的连续的、 全面的、 系统的监督检查。 专项监督是对公

26、司全面风 险管理体系的某一方面或某些方面所进行的不定期的、专门的针对性监督和检查。第六十六条 公司应持续监督风险管理决策的落实工作，不断改进风险管理质量。对于 全面风险管理体系中存在的缺陷以及相应的改进建议和措施， 及时向管理层汇报并向风险管 理部门反馈。第十二章 风险报告及沟通第六十七条 公司应建立健全内部风险报告及沟通机制，包括管理层向董事会提交的全 面风险管理报告， 风险管理部门向公司管理层提交的全面风险管理报告， 以及公司内部各职 能部门和业务单位之间的风险沟通报告等。第六十八条 管理层向董事会提交的全面风险管理报告应至少包括下列内容：（一）公司全面风险管理组织设置及履职情况；（二）公

27、司风险管理制度、流程的建设情况；（三）公司风险计量结果；（四）公司年度风险识别和评估结果；（五）重大风险解决方案的执行情况；（六）其他相关内容。第六十九条 风险管理部门应定期向公司管理层提交全面风险管理报告，报告应包括以 下内容：（一）风险识别和评估结果；（二）定期风险计量结果；（三）风险应对方案执行情况。 针对重大风险，风险管理部门可以向管理层提供专项风险分析报告。第七十条 公司各职能部门和业务单位应定期向风险管理部门报送风险识别、分析、应 对、控制和监督等信息。 对于突发的风险事件， 应及时和风险管理部门沟通并上报风险分析 报告。第七十一条 内部审计、合规和内部控制职能部门和风险管理部门之

28、间应进行信息和数 据分享，保证不同层面风险管理的时效性。第七十二条 公司应及时向中国保监会报告本公司已发生或预测即将发生的重大风险事 件。第七十三条 公司应于每年 4 月30日前向中国保监会提交经董事会审议的法人机构年度 全面风险管理报告。第十四章 附则第七十四条 本指引由中国保监会负责解释、修订。第七十五条 中国境内依法设立的养老保险公司参照执行本指引。第七十六条 本指引自颁发之日起施行。附录：一、风险识别方法（一）流程图法 指将公司的各项经营活动按照其内在的逻辑联系建立一系列的流程图， 针对流程图中的 每一个环节逐一进行调查、研究和分析，从中发现潜在风险的一种风险识别方法。（二）组织图分析法指通过规范化结构图来分析公司的内部组成、 财务