中国保险监督管理委员会|保监发〔2010〕89号|2010-10-24发布|2010-10-24实施|现行有效
保监发〔2010〕89号

保监发〔2010〕89号
各寿险公司、健康保险公司、养老保险公司：
为加强人身保险公司全面风险管理，进一步落实《保险公司风险管理指引（暂行）》（保监发〔2007〕23号），提升各公司全面风险管理水平，我会制定了《人身保险公司全面风险管理实施指引》（以下简称《指引》）。现予印发，请遵照执行。现将《指引》执行中的有关事项通知如下：
一、各保险公司应高度重视全面风险管理工作，按照《指引》要求，认真组织实施，做好落实工作，并于2010年11月30日前将风险管理部门负责人姓名、职务和联系方式报送我会。如暂未设立风险管理部门，应指定一名全面风险管理工作联系人，将上述信息报送我会。
二、各公司应创造条件，尽快落实《指引》各项要求。对于近期设立风险管理委员会、建立风险管理信息系统和运用经济资本方法确有困难的公司，应最晚在2013年10月1日前设立风险管理委员会，建立风险管理信息系统，并从2014年开始在提交的年度全面风险管理报告中运用经济资本方法计量公司所承受的风险。在此之前，可由审计委员会暂行风险管理委员会的职责。
三、本《指引》生效后，各寿险公司、健康险公司、养老保险公司应按要求提交年度全面风险管理报告一式六份，并视为已履行了保监发〔2007〕23号文要求的年度风险评估报告。
中国保险监督管理委员会
二○一○年十月二十四日
人身保险公司全面风险管理实施指引
第一章
总则
第一条
为加强人身保险公司全面风险管理，进一步落实《保险公司风险管理指引》（保监发〔2007〕23号），提升公司全面风险管理水平，保障人身保险行业和公司的健康发展，根据《保险法》、《保险公司管理规定》等相关法律法规和规章，制定本指引。
第二条
本指引所称公司是指在中华人民共和国境内依法设立的人寿保险公司和健康保险公司。
第三条
本指引所指风险是指对公司实现经营目标可能产生不利影响的不确定因素。
第四条
本指引所指全面风险管理是指从公司董事会、管理层到全体员工全员参与，在战略制定和日常运营中，识别潜在风险，预测风险的影响程度，并在公司风险偏好范围内有效管理公司各环节风险的持续过程。在进行全面风险管理的同时，公司应根据公司经营情况重点监测、防范和化解对公司经营有重要影响的风险。
第五条
公司全面风险管理应遵循的基本原则：
（一）一致性原则。公司在建立全面风险管理体系时，应确保风险管理目标与战略发展目标的一致性。
（二）匹配性原则。公司在全面风险管理过程中，应确保公司资本水平与所承担的风险相匹配，所承担的风险与收益相匹配。
（三）全面性原则。公司全面风险管理应渗透至公司各项业务环节，对每一类风险都应全面认识、分析与管理。
（四）全员参与原则。公司应建立全员参与的风险管理文化和相应机制，各级别员工都应按照其工作职责参与公司的风险管理工作，承担日常风险管理职责。
（五）定量与定性相结合原则。公司应根据自身业务性质、规模和复杂程度开发相适应的风险量化技术，推广应用先进成熟的风险管理经验，实现定量与定性方法的有机结合。
（六）不断优化原则。公司应不断地检查和评估内外部经营管理环境和竞争格局的变化及其对公司全面风险管理所产生的实质影响，及时调整和优化风险管理政策、制度和流程。
第六条
公司应按本指引中的相关要求，建立与自身业务性质、规模和复杂程度相适应的全面风险管理体系，有效识别、评估、计量、应对和监控风险。全面风险管理的各项要求应与公司管理和业务流程紧密结合。
第七条
中国保监会对公司的全面风险管理进行监督管理，督促公司有效地识别、评估、计量、应对和监控各类风险。
第二章
风险管理环境
第八条
公司应将风险管理文化建设融入企业文化建设的全过程，并在企业内部各个层面营造风险管理文化氛围，不断修订和完善风险管理制度、流程，持续强化风险管理组织建设，研究建立风险管理系统，确保风险管理目标的实现。
第九条
公司应增强全体员工的风险管理意识，将风险管理意识转化为员工的共同认识和自觉行动，促进公司建立系统、规范、高效的风险管理机制。
第十条
公司应大力加强对全体员工的风险管理宣导工作，建立完善员工岗前、岗中风险管理培训教育制度。
第十一条
公司应建立风险责任机制，由公司管理层负领导责任，对主要风险确定责任人，具体风险责任落实到各职能部门和业务单位。对任何违反风险管理相关政策的组织和个人，要给予追究和处罚。
第十二条
公司应把风险管理效果和绩效考核制度相结合，增强各级管理人员特别是公司管理层的风险意识和责任，确保公司在经营过程中能够在收益和风险之间做出更好的把握和权衡。
第十三条
公司应建立全面风险管理政策，明确公司的风险偏好、风险管理策略、方法以及公司内部各个不同层级的风险管理职责和构架。
第十四条
公司应根据不同的风险分类，分别建立相应的风险管理制度。制度应涵盖针对不同风险的识别、评估、计量方法，风险指标的定性和定量标准，以及相应的风险责任人。
第十五条
公司应将信息技术应用于风险管理的各项工作，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等，建立涵盖风险管理基本流程和内部控制各环节的风险管理信息系统。
第十六条
风险管理信息系统应能够实现信息在各职能部门和业务单位之间的集成与共享，充分满足对风险进行分析评估、计量、报告管理、监控预警和信息披露的各项要求；既能够符合单项业务风险管理的需要，也能够符合公司整体和跨职能部门、业务单位的风险管理综合需要。
第十七条
公司应建立风险信息传递和报告机制，形成上下互动、横向沟通的工作流程。
第十八条
公司应对重大事件、重大风险和重要业务流程建立应急机制，保证公司的正常运营。
第三章
风险管理组织
第十九条
公司应建立由董事会负最终责任、管理层直接领导，以风险管理机构为依托，相关职能部门密切配合，覆盖所有业务单位的全面风险管理组织体系。
第二十条
公司董事会是公司全面风险管理的最高决策机构，对全面风险管理工作的有效性负责。董事会主要职责包括审批公司风险管理总体目标、风险偏好、风险管理策略和重大风险解决方案，以及风险管理组织机构设置及其职责等。董事会可将部分风险管理职责授权给风险管理委员会。
第二十一条
公司应在董事会下设立风险管理委员会，监督全面风险管理体系运行的有效性，在董事会授权下履行如下职责：
（一）审议公司风险管理的总体目标、基本政策和工作制度；
（二）审议公司风险偏好和风险容忍度；
（三）审议公司风险管理机构设置及其职责；
（四）审议公司重大决策的风险评估和重大风险的解决方案；
（五）审议公司年度全面风险管理报告；
（六）其他相关职责。
风险管理委员会应由具有丰富的金融风险管理经验，熟悉人身保险业务，并具备相关专业能力的委员组成。
第二十二条
公司管理层应根据董事会的授权，履行全面风险管理的具体责任，其主要职责如下：
（一）负责公司日常全面风险管理工作，确保公司风险在可接受范围之内；
（二）执行经董事会审定的风险管理策略；
（三）审批公司风险限额；
（四）建立公司内部风险责任机制；
（五）建立公司内部重大风险应急机制；
（六）推动公司风险管理文化的建设。
第二十三条
公司应任命首席风险官或指定一名高管负责全面风险管理工作，首席风险官或负责全面风险管理工作的高管不得同时负责销售与投资管理，其主要职责包括制定风险管理政策和制度，协调公司层面全面风险管理等。首席风险官有权了解公司重大决策、重大风险、重大事件、重要系统及重要业务流程，并参与相关决策的评估。
第二十四条
公司应设立风险管理部门，在首席风险官的领导下开展风险管理的日常工作。该部门应独立于销售、财务、投资、精算等职能部门。风险管理部门有权参与公司战略、业务、投资等委员会的重大决策。其主要职责如下：
（一）建立与维护公司全面风险管理体系，包括风险管理制度、风险偏好体系等；
（二）协助与指导各职能部门和业务单位制定风险控制措施和解决方案；
（三）定期进行风险识别、定性和定量风险评估，并出具风险评估报告，提出应对建议；
（四）建立与维护风险管理技术和模型，不断改进风险管理方法；
（五）协调组织资产负债管理工作并提出相应风险应对建议，包括制定相关制度，确定技术方法，有效平衡资产方与负债方的风险与收益；
（六）推动全面风险管理信息系统的建立；
（七）其他相关职责。
公司的风险管理人员应该具备从事上述工作所需的职业和专业能力。
第二十五条
公司各职能部门和业务单位应接受风险管理部门的组织、协调和监督，建立健全相关风险管理流程，定期对本职能部门或业务单位的风险进行评估，将评估结果定期与风险管理部门沟通，并对其风险管理的有效性负责。
第二十六条
通过对上述相关职能机构进行科学的设置，公司应该建立以风险管理为中心的三道防线或三个层次的管理框架：
（一）第一道防线由各职能部门和业务单位组成。在业务前端识别、评估、应对、监控与报告风险；
（二）第二道防线由风险管理委员会和风险管理部门组成。综合协调制定各类风险制度、标准和限额，提出应对建议；
（三）第三道防线由审计委员会和内部审计部门组成。针对公司已经建立的风险管理流程和各项风险的控制程序和活动进行监督。
第四章
风险分类
第二十七条
结合公司的业务特点，公司在经营过程中面临的风险主要有以下七类：
（一）市场风险，是指由于利率、汇率、权益价格和商品价格等的不利变动而使公司遭受非预期损失的风险。
（二）信用风险，是指由于债务人或交易对手不能履行或不能按时履行其合同义务，或者信用状况的不利变动而导致的风险。
（三）保险风险，是指由于死亡率、疾病率、赔付率、退保率等精算假设的实际经验与预期发生偏离而造成损失的风险。
（四）操作风险，是指由于不完善的内部操作流程、人员、系统或外部事件而导致直接或间接损失的风险，包括法律及监管合规风险。
（五）战略风险，是指由于战略制定和实施的流程无效或经营环境的变化，而导致战略与市场环境和公司能力不匹配的风险。
（六）声誉风险，是指由于公司品牌及声誉出现负面事件，而使公司遭受损失的风险。
（七）流动性风险，是指在债务到期或发生给付义务时，由于没有资金来源或必须以较高的成本融资而导致的风险。
第二十八条
公司应在前条风险分类的基础上，结合自身业务特点，建立健全本公司的风险分类体系，将各类风险进一步细化至次级分类及风险事件。
第五章
风险偏好体系
第二十九条
风险偏好体系由上至下包括风险偏好、风险容忍度及风险限额三个组成部分。
第三十条
风险偏好是指公司在实现其经营目标的过程中愿意承担的风险水平。风险偏好是公司对风险的基本态度，为战略制定、经营计划实施以及资源分配提供指导。
第三十一条
风险容忍度是指在公司经营目标实现的过程中针对既定风险水平出现的差异的可接受程度。风险容忍度是风险偏好的具体体现，一般采用定量与定性相结合的方式确定，与风险偏好保持一致，并涵盖所有风险类别。
第三十二条
风险限额是对风险容忍度的进一步量化和细化。公司应在风险容忍度范围内，根据不同风险类别、业务单位、产品类型特征等，制定风险限额。
第三十三条
公司应本着审慎负责的态度制定公司的风险偏好体系，并报董事会审批。经批准的风险偏好体系应逐级分解至各职能部门和业务单位遵照执行。
第三十四条
风险管理部门应监测和报告风险偏好体系的执行情况。风险偏好或风险容忍度出现突破时，管理层应及时向董事会报告，采取应对措施降低风险水平，同时审查既定风险容忍度和风险限额的适当性。
第三十五条
公司应至少每年对风险偏好体系进行有效性和合理性审查，不断修订和完善。当市场环境和经营状况发生重大变化时，公司应考虑对各类风险水平的影响，对风险容忍度和风险限额进行调整，维持风险偏好的整体稳定性。
第六章
风险识别和评估
第三十六条风险识别是指公司认识和发现在经营活动中所面临的风险的过程。公司应该通过风险识别描述风险的特征，系统分析风险发生的原因、风险的驱动因素和条件等。
第三十七条
公司应针对风险的特性，从多层次、多角度识别公司经营过程中面临的各种风险。风险识别应考虑内外部因素。内部因素包括公司治理因素、组织因素、经营管理因素和技术因素等；外部因素包括经济因素、自然因素、社会因素和政治因素等。
第三十八条公司应对已识别风险进行分析和评价，评估风险对公司经营目标实现的影响程度，形成风险管理的依据。
第三十九条公司应从风险发生的可能性和影响程度两个维度对风险进行评估。可能性是指风险在指定时间内发生的概率。影响程度是指当风险发生后，对公司财务、声誉、监管和运营等造成的影响的程度。
第四十条风险评估应包括固有风险评估和剩余风险评估。固有风险是指在没有采取任何措施的情况下公司面临的风险；剩余风险是指在公司采取风险应对和控制措施后公司所面临的风险。
第四十一条公司应收集和记录同业以及自身的历史损失数据，分析造成损失的原因以及如何规避损失，建立损失数据库。
第四十二条公司风险管理部门应负责组织指导风险识别和评估工作，提供风险分类标准和风险识别和评估方法，整理汇总各职能部门和业务单位的识别和评估结果，形成公司风险库和公司全面风险轮廓。各职能部门和业务单位具体负责风险识别和评估工作。
第四十三条公司应至少每年开展一次全面风险识别与评估。当公司发生重大风险或者预期要发生重大风险时，应及时对风险进行识别和评估。
第七章
风险计量
第四十四条
公司应根据自身的业务性质、规模和复杂程度，计量公司潜在的经济价值损失，直观反映公司的风险状况。公司应运用经济资本方法计量公司所承受的风险，并持续改进计量方法，积极探索先进的风险计量实践，不断提高风险计量的科学性和准确性。
第四十五条
经济资本方法应成为公司内部使用的核心风险计量工具。所谓经济资本是指在一定的置信度水平上，在一定时间内，公司为了弥补可能面临的非预期损失所需要的资本。
使用经济资本计量风险应根据公司风险环境及历史数据，选取适当的假设和参数，并参照国际通行标准，合理选择模型技术，如方差-协方差、历史模拟法和蒙特卡洛法等。
第四十六条
公司可采用敏感性分析、情景分析及压力测试等计量方法作为经济资本计量的补充方法。
第四十七条
公司应将模型的运用与日常风险管理相融合。风险计量模型应体现公司的经营战略，反映公司风险管理实践，并应用于资本分配、风险偏好与容忍度的制定等方面。
第四十八条
公司风险管理部门应负责风险计量模型的建立与维护。在建立风险计量模型时，应确保假设、参数、数据来源和计量程序的合理性与准确性。公司应定期对模型的假设和参数进行审核，制定修改假设和参数的内部流程。
第八章
风险应对与控制
第四十九条
公司应围绕发展战略、风险偏好与风险容忍度，结合风险评估与计量结果制定风险应对方案。风险应对方案应主要包括解决该项风险所要达到的具体目标，所涉及的管理及业务流程，所需的条件和资源，所采取的具体措施及风险应对工具等内容。
第五十条
公司应按照各职能部门和业务单位的职责分工，由风险管理部门提出风险应对建议，风险责任人提出风险应对方案，相关职能部门和业务单位实施，确保各项措施落实到位。重大风险的解决方案需经风险管理委员会审批。
第五十一条
公司应平衡风险与收益，针对不同类型的风险，选择风险自留、规避、缓释、转移等风险应对工具。
（一）风险自留是指当固有风险在公司风险偏好之内时，公司不对风险发生的可能性或影响程度采取任何措施，而自我承担风险。
（二）风险规避是指当固有风险超出公司风险偏好时，公司为避免受风险的影响而退出产生风险的业务活动。
（三）风险缓释是指通过风险控制措施来降低风险的损失频率或影响程度。
（四）风险转移是指利用技术或工具将风险部分或全部转移给第三方独立机构，以防止遭受灾难性损失的风险。
第五十二条
公司应采取和建立相关控制措施、流程，确保风险应对方案的有效执行。通常可以采用的风险控制措施包括：
（一）建立完善相应的管理政策和制度；
（二）改善相应业务流程；
（三）完善相应的内部控制机制；
（四）建立风险持续监控体系。
第五十三条
公司应确保将风险应对和控制后的剩余风险控制在可接受的范围内，并持续监测风险应对和控制方案的执行情况，定期总结和分析已制定的风险应对和控制方案的有效性和合理性。根据公司经营情况的实际变化不断完善风险控制制度与流程，确保其内容的完整性和有效性。
第九章
资产负债管理
第五十四条
资产负债管理是公司全面风险管理的重要组成部分，公司应通过资产负债的匹配管理，降低公司所承受的市场风险，信用风险和流动性风险等。
第五十五条
公司应建立明确的资产负债管理目标，优化资产负债配置，寻求风险承受范围内的最佳回报，并逐步增强应对市场变化的能力。
第五十六条
公司应建立资产负债管理制度，明确各相关部门在资产负债管理中的职责和开展资产负债管理的主要流程。
第五十七条
公司资产负债管理应从产品设计与定价、资产投资两方面入手，确保资产与负债的期限结构及成本收益相匹配。公司资产负债管理的主要内容包括：
（一）资产与负债的数额匹配，即各产品类别对应的投资资产与负债的总额相匹配；
（二）资产与负债的期限匹配，即各产品类别对应的投资资产的期限结构与负债来源的期限结构相匹配；
（三）资产收益与负债的期望收益匹配，即各产品类别对应的投资资产产生的收益要高于负债的期望收益；
（四）对匹配缺口的管理，即定期审视和评估资产负债的匹配缺口，并研究适当的方法把匹配缺口控制在公司风险容忍度内。
第五十八条
公司应根据自身的业务性质、规模和复杂程度选择资产负债管理工具，在选择工具时应对产品的特性，尤其是产品隐含的选择权，保证利益及投保人行为等因素给予充分考虑。资产负债管理工具主要包括缺口分析法、久期匹配法、现金流匹配法和动态财务分析法等。
第十章
风险预警
第五十九条
风险预警是指度量风险状态偏离预警标准的程度并以此发出警戒信号的过程。公司应建立一套完善的风险预警体系，在复杂多变的市场环境和内部不可控因素下，及时发现并化解经营中的风险。
第六十条
公司应根据公司整体风险情况，建立关键风险指标体系监控风险变化和开展风险管理。风险指标可以包括定性指标和定量指标。
第六十一条
公司应根据风险限额并结合自身业务情况建立适合自己的预警标准，针对每个关键风险指标的预警标准对风险的严重程度进行揭示，并动态的维护预警标准。
第六十二条
公司各职能部门和业务单位应跟踪关键风险指标，判断和预测各类风险指标的变化，分析风险发展的趋势，定期向风险管理部门报告风险监控情况。风险限额的突破应上报至公司管理层，由其决定是否可以突破预警和制定应对措施。
第十一章
风险监督
第六十三条
风险监督是对公司全面风险管理的健全性、合理性和有效性进行监督检查。公司应定期分析公司全面风险管理体系的设计和执行结果，确保全面风险管理工作的实施和有效性，并通过监督活动发现风险管理薄弱环节，不断完善全面风险管理体系。
第六十四条
公司风险监督包括三个层次：各职能部门和业务单位对自身风险的监测和风险管理工作的自查；风险管理部门对各职能部门和业务单位风险管理工作的实施情况进行监督检查，从公司层面对风险管理解决方案进行评估；内部审计部门对公司全面风险管理体系与流程的执行情况的健全性、合理性以及有效性进行独立的监督评价。
第六十五条
公司风险监督内容包括持续监督和专项监督。持续监督是对公司全面风险管理体系的建设与实施进行的连续的、全面的、系统的监督检查。专项监督是对公司全面风险管理体系的某一方面或某些方面所进行的不定期的、专门的针对性监督和检查。
第六十六条
公司应持续监督风险管理决策的落实工作，不断改进风险管理质量。对于全面风险管理体系中存在的缺陷以及相应的改进建议和措施，及时向管理层汇报并向风险管理部门反馈。
第十二章
风险报告及沟通
第六十七条
公司应建立健全内部风险报告及沟通机制，包括管理层向董事会提交的全面风险管理报告，风险管理部门向公司管理层提交的全面风险管理报告，以及公司内部各职能部门和业务单位之间的风险沟通报告等。
第六十八条
管理层向董事会提交的全面风险管理报告应至少包括下列内容：
（一）公司全面风险管理组织设置及履职情况；
（二）公司风险管理制度、流程的建设情况；
（三）公司风险计量结果；
（四）公司年度风险识别和评估结果；
（五）重大风险解决方案的执行情况；
（六）其他相关内容。
第六十九条
风险管理部门应定期向公司管理层提交全面风险管理报告，报告应包括以下内容：
（一）风险识别和评估结果；
（二）定期风险计量结果；
（三）风险应对方案执行情况。
针对重大风险，风险管理部门可以向管理层提供专项风险分析报告。
第七十条
公司各职能部门和业务单位应定期向风险管理部门报送风险识别、分析、应对、控制和监督等信息。对于突发的风险事件，应及时与风险管理部门沟通并上报风险分析报告。
第七十一条
内部审计、合规和内部控制职能部门与风险管理部门之间应进行信息和数据分享，保证不同层面风险管理的时效性。
第七十二条
公司应及时向中国保监会报告本公司已发生或预测即将发生的重大风险事件。
第七十三条
公司应于每年4月30日前向中国保监会提交经董事会审议的法人机构年度全面风险管理报告。
第十三章
附则
第七十四条
本指引由中国保监会负责解释、修订。
第七十五条
中国境内依法设立的养老保险公司参照执行本指引。
第七十六条
本指引自颁发之日起施行。
附录：
一、风险识别方法
（一）流程图法
指将公司的各项经营活动按照其内在的逻辑联系建立一系列的流程图，针对流程图中的每一个环节逐一进行调查、研究和分析，从中发现潜在风险的一种风险识别方法。
（二）组织图分析法
指通过规范化结构图来分析公司的内部组成、财务状况及职权、功能关系等，从中发现风险及潜在损失威胁的一种风险识别方法。
（三）现场检查法
指直接深入到公司各个职能部门和业务单位、分支机构现场，通过核实和查清公司生产经营中的问题和疑点进行风险判断和分析，达到全面深入了解和判断公司风险状况进行实地检查的一种风险识别方法。
二、经济资本计量技术
（一）方差—协方差法
指假定风险因素收益的变化服从特定的分布，进行历史数据分析和估计该风险因素收益分布的参数值，然后根据风险因素发生单位变化时，头寸的单位敏感性与置信水平来确定各个风险要素的风险价值。
（二）历史模拟法
指根据收集到的风险因子的历史数据对未来收益进行模拟，在给定置信水平下计算潜在损失。
（三）蒙特卡罗模拟法
指通过随机的方法产生一个市场变化序列，然后通过在这一市场变化序列模拟资产组合风险因素的收益分布，最后求出组合的风险价值。
三、经济资本补充方法
（一）敏感性分析
指在保持其它条件不变的前提下，分析单个风险要素（利率、汇率、股票价格、死亡率、退保率等）的变化对公司风险暴露、承受能力以及整体经济价值产生的影响。
（二）情景分析
指多个因素同时发生变动，对公司风险暴露、承受能力以及整体经济价值产生的影响。情景分析过程中应考虑各种因素的相关性和相互作用。情景可以人为设定，也可以从历史数据中得出，或通过随机过程得到。
（三）压力测试
指对突发的小概率事件等极端不利情况可能对公司造成的潜在损失进行估算。压力测试的目的是评估公司在极端不利情况下的损失承受能力。
四、资产负债管理工具
（一）缺口分析
指分析各产品类别对应的投资资产的数额与其对应负债数额的差值。
（二）久期匹配
指通过免疫技术使资产组合与负债组合的利率敏感性接近或相同，以此来规避利率风险。对不同产品类别的负债应分别进行资产匹配。
（三）现金流匹配
指通过定期测算资产和负债在不同情景下发生的变化，以及导致的净现金流的变化，来判断资产是否能够产生足够的现金流支付负债，进而衡量潜在的资产负债错配风险。
（四）动态财务分析法
指在设定预测区间和各个风险的评估方法基础上，选择相应变量来分析公司面临的各种风险和影响风险大小的因素。
五、风险监控指标（参考建议）
附件下载：风险监控指标
风险监控指标