附件二:
关于印发《寿险公司内部控制评价办法(试行)》的通知
第一章 总则
第二章 评价目标和原则
第三章 评价内容
第一节 控制环境
第二节 风险识别与评估
第三节 控制活动
第四节 信息与沟通
第五节 监督
第四章 评价方式
第五章 评价程序与方法
第六章 评分标准与评价结果利用
第七章 附则
各保监局、各人寿保险公司、健康保险公司、养老保险公司:
为规范和加强对寿险公司内部控制的评价,推动寿险公司加强内控建设,确保寿险公司稳健经营和持续健康发展,我会研究制定了《寿险公司内部控制评价办法(试行)》,现印发给你们。请各保监局、各寿险公司、健康保险公司、养老保险公司根据实际情况,在内部控制评价工作中组织试用,认真总结试行经验。
特此通知
二00六年一月十日
《寿险公司内部控制评价办法(试行)》
第一章 总则
第一条 为规范和加强对寿险公司内部控制的评价,督促其进一步建立内部控制体系,健全内部控制机制,确保寿险公司安全稳健运行,根据《中华人民共和国保险法》等法律法规,制定本办法。
第二条 寿险公司内部控制评价是指对寿险公司内部控制体系建设、实施和运行结果开展的调查、测试、分析和评估等系统性活动。
寿险公司内部控制评价包括寿险公司开展的自我评估和监管部门组织实施的独立评价。
本办法所称寿险公司包括法人机构及其分支机构。寿险公司法人机构是指中国境内经中国保监会批准设立,并依法登记注册的人寿保险公司;寿险公司分支机构是指寿险公司依法设立的省级分公司。
本办法所称监管部门是指中国保险监督管理委员会(以下简称中国保监会)及其派出机构。
第三条 寿险公司内部控制是由寿险公司的董事会、管理层和其他员工建立并实施的,为达到或实现公司经营的效率效果、财务报告的可靠性、相关法令的遵循性等目标而提供合理保证的过程。
第四条 寿险公司内部控制评价的目标主要包括:
(一)促进寿险公司各级管理者和员工强化内部控制意识,建立健全内部控制机制,严格落实各项控制措施,确保内部控制体系有效运行。
(二)促进寿险公司严格遵守国家法律法规、中国保监会的监管要求和寿险公司审慎经营的原则;
(三)促进寿险公司提高风险管理水平,保证其发展战略和经营目标的实现。
(四)促进寿险公司增强业务、财务和管理信息的真实性、完整性和及时性。
第五条 寿险公司内部控制评价应从充分性、合规性、有效性和适宜性四个方面进行:
(一)过程和风险是否已被充分识别。
(二)过程和风险的控制措施是否遵循相关要求,得到明确规定并得以实施和保持。
(三)控制措施是否有效。
(四)控制措施是否适宜。
第六条 寿险公司内部控制评价应遵循以下原则:
(一)全面性原则。评价范围应覆盖寿险公司内部控制活动的全过程及所有的系统、部门和岗位。
(二)一致性原则。评价的准则、范围、程序和方法等应保持一致,以确保评价过程的准确及评价结果的客观和可比。
(三)公正性原则。评价应以事实为基础,以法律法规、监管要求为准则,客观公正,实事求是。
(四)重要性原则。评价应依据风险和控制的重要性确定重点,关注重点区域和重点业务。
第二章 评价内容
第七条 寿险公司内部控制评价从控制环境、风险识别与评估、控制活动、信息与沟通、监督五个方面进行。
第一节 控制环境
第八条 公司治理。寿险公司应建立股东大会、董事会、监事会和经理层之间各负其责、规范运作、相互制衡的公司治理结构,为公司内部控制目标的实现提供合理保证。
(一)明确股东大会、董事会、监事会和经理层的职责。
(二)完善股东大会、董事会、监事会、经理层及下设的议事和决策机构,建立完备规范的议事规则、决策机制、决策评估和责任追究机制。
(三)建立独立董事制度,对董事会讨论事项发表客观、公正的意见。
第九条 董事会、监事会、经理层在内部控制中的责任。寿险公司应明确董事会和董事、监事会和监事、经理层和高级管理人员在内部控制中的责任。
董事会负责保证寿险公司建立并实施充分而有效的内部控制体系;负责审批整体经营战略和重大政策并定期检查、评价执行情况;负责确保寿险公司在法律和政策的框架内审慎经营,明确设定可接受的风险程度,确保经理层采取必要措施识别、计量、监测并控制风险;负责审批组织机构;负责保证经理层对内部控制体系的充分性和有效性进行监测和评估。
监事会负责监督董事会、经理层完善内部控制体系;负责监督董事会及董事、经理层及高级管理人员履行内部控制职责;负责要求董事、董事长及高级管理人员纠正其损害寿险公司利益的行为并监督执行。
经理层负责制定内部控制政策,对内部控制体系的充分性与有效性进行监测和评估;负责执行董事会决策;负责建立识别、计量、监测并控制风险的程序和措施;负责建立和完善内部组织机构,保证内部控制的各项职责得到有效履行。
董事会和经理层还应培育良好的内部控制文化,提高员工的风险意识和职业道德素质,建立通畅的内外部信息沟通渠道,确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。
第十条 组织结构。寿险公司应建立分工合理、职责明确、报告关系清晰的组织结构。
(一)实行统一法人管理体制,建立法人授权制度,对分支机构的授权应采取书面形式。
(二)机构设置应严格遵守国家法律、法规的规定以及监管部门的要求,坚持合理、精简、高效的原则。
(三)部门、岗位设置应遵循相互监督、相互制约、协调运作的原则。明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限,并形成文件予以传达,使员工清晰的了解其岗位的内容和标准。
(四)明确关键岗位、特殊岗位、不相容岗位及其控制要求,建立回避制度、重要岗位轮岗制度和强制休假制度。
寿险公司应设立专门委员会或部门,建立、实施内部控制体系,明确其责任、权限和报告路线。
第十一条 企业文化。寿险公司应培育积极健康的企业文化,对企业文化的内涵及其策划、渗透、评估与改进作出明确的规定。特别应向员工传达风险管理、内部控制以及合规经营的重要性,引导员工树立诚信和道德观念、合规意识和风险意识,提高员工职业道德水准,规范员工职业行为。
第十二条 人力资源。寿险公司应完善人力资源政策和程序,确保与风险和内部控制有关的人员具备相应的能力和意识。
寿险公司应明确与风险和内部控制有关的人员的适任条件,明确有关教育、工作经历、培训和技能等方面的要求,确保相关人员能够胜任。高级管理人员必须满足监管机构对高级管理人员资质的要求。
寿险公司应根据不同层次员工的职责、能力、文化程度及所面临的风险制定并培训计划,以确保经理层和全体员工能够完成其承担的内部控制方面的任务和职责。培训计划应定期评审并持续改进。
寿险公司应在员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理、奖惩等日常人事管理方面建立完备的制度和程序,并充分考虑人力资源管理中的风险。
第二节 风险识别与评估
第十三条 风险识别与评估。寿险公司应建立和保持书面程序,以持续对各类风险进行有效的识别与评估。寿险公司的主要风险包括资产风险、负债风险、资产负债匹配风险、管理风险等。
风险识别与评估应:
(一)依据业务范围、性质和时限主动进行。寿险公司应识别并确定常规和非常规的业务和管理活动,并识别这些活动中的风险(无论是否由内部产生),考虑其类型、来源及其影响范围。
(二)充分考虑内部和外部因素。其中内部因素包括组织结构以及人力资源管理的复杂程度,公司资产的规模、流动性或业务总量、公司的财务状况以及经营活动的地理分布,内部控制系统的恰当性和有效性等。外部因素包括国家法律、法规及政策的变化、经济形势的变化、科技的快速发展、行业竞争及市场变化等。
(三)持续识别法律法规、监管和其他要求。寿险公司应建立并保持识别和取得适用法律法规、监管要求和其他要求的政策和程序,作为风险识别与评估、制订控制目标和控制方案的依据。寿险公司应及时更新法律法规、监管要求和其他要求的信息,并将有关信息传达给相关员工和其他风险关联方。
(四)运用适当的方法和技术对风险的后果、概率和风险级别进行评估。
(五)持续识别和评估风险。当环境和条件发生变化时,应及时对风险进行再识别和再评估,以确保任何新的和以前未曾予以控制的风险得到识别和控制。
第十四条 风险处理。寿险公司应依据法律法规、监管要求以及内部控制政策确定是否可接受,以确定是否进一步采取措施。风险可接受时,应监测并定期评估,以确保其持续可接受;风险不可接受时,应制定内部控制方案。
内部控制方案应包括以下内容:
1、为实现对风险的控制而规定的相关职责与权限;
2、控制的策略、方法、资源需求和时限要求。
内部控制方案若涉及到组织结构、流程、计算机系统等方面的重大变更,应考虑可能产生的新风险。
第三节 控制活动
第十五条 业务控制。寿险公司应建立制度、政策和程序,对产品开发、销售、核保核赔、收付费、服务质量、咨询投诉、再保险安排、单证印鉴档案、业务处理系统等实施控制,确保业务活动正常运转。
(一)产品开发。成立产品开发领导和决策机构,建立、实施和完善产品开发管理流程,强化精算责任人和法律责任人的个人责任,加强对新产品的论证、审核和产品后续跟踪管理。
(二)销售管理。建立健全对销售人员或机构合同档案、统计报表、单证、宣传材料的管理,建立销售人员或机构甄选、签约、解约、薪酬、考核、品质、档案管理机制,加强对销售人员的专业培训和职业道德教育,建立和完善销售人员失信惩戒机制。严禁与不具备代理资格的人员或机构签订代理合同,或委托其销售产品。
对于销售过程中已识别的风险,应建立并保持控制程序,并将有关程序和要求通报代理人,确保其遵守保险公司相关的控制要求。
(三)核保核赔管理。建立并保持权责明确、分级授权、相互制约、规范操作的承保理赔管理机制。加强核保核赔人员管理,确保核保核赔人员具有专业操守并勤勉尽职。
(四)收付费管理。制定并保持书面程序,加强对收付费的控制,明确收付费的操作流程与岗位职责,强化对收付费行为进行定期检查和审计。
(五)服务质量管理。加强对承保、保全、理赔等活动服务质量的规范管理,建立并实施业务操作标准和服务质量标准。
(六)咨询投诉管理。加强客户回访和咨询投诉处理的管理,实行并改进客户服务质量考评,保持对客户反馈信息分析应用并进行定期跟踪。
(七)再保险管理。建立并保证实施保险风险分摊机制,合理确定自留额,确保及时、足额进行分保和转分保。
(八)单证、印鉴、档案管理。建立并保持控制程序,对保险单证的印刷、保管、领用、作废和核销管理,印鉴的刻制、保管、使用审批和登记、作废和核销以及档案的保管实施控制。对单证、印鉴、档案违规事项实行责任追究,防范公司出现假造、废旧单据和仿制印鉴。
(九)业务处理系统。建立稳定、高效、能够对业务提供全面功能支持的业务处理系统,保证系统的及时改进。
第十六条 财务控制。寿险公司应建立制度、政策和程序,对财务会计制度、财务管理体制、会计核算、财务报告、现金类资产、费用开支、财务处理系统等实施控制,确保财务、会计信息真实、准确。
(一)财务、会计制度。根据《中华人民共和国会计法》、《企业会计准则》、《保险公司会计制度》、《保险公司财务制度》,结合本公司具体情况,制定本公司的财务、会计制度。
(二)财务管理体制。单独设立财务会计部门,配备专职财会人员,实行岗位分工,明确岗位职责,严禁一人兼岗或独自操作全过程,并实行定期或不定期轮换或交流。采取措施保证财务会计部门的财务监督权得以行使。
(三)会计核算。建立并实施规范的会计核算流程,对会计账务处理的全过程实行监督,实现账账、账据、账款、账实、账表和内外账的六相符。
(四)会计信息与财务报告。建立、健全财务会计系统,保持完整、准确的会计记录,及时、完整、准确地提供会计信息。采取措施防范伪造、变造会计凭证、会计账簿和其他会计资料,提供虚假财务会计报告的行为。
(五)现金类资产管理。妥善保管现金、有价证券、空白凭证、密押、印鉴等,定期核对现金和银行存款账户,保证现金和银行存款的安全。
(六)费用管理。加强对资金的统一管理,实行预算管理,严格控制费用开支,实行财务双签制度。
(七)财务处理系统。遵循安全性、实用性、可操作性原则,建立稳定、高效、安全的财务处理系统,制定财务处理系统的管理规章、操作流程、岗位手册和风险控制制度。财务处理系统应与业务处理系统实现数据共享与全面对接。
第十七条 资金控制。寿险公司应建立制度、政策和程序,对资金调度、投资决策、投资操作、投资风险管理及资产管理体系等实施控制,确保资金的安全性、流动性、效益性。
(一)资金调度。严格实行收支两条线,强化资金调度权限管理,加强对分支机构资金监控,确保资金及时上划集中。
(二)投资决策。建立透明、规范的投资决策程序和议事规则。投资决策应遵守国家法律、法规和行政规章的规定,并兼顾资产与负债的匹配。
(三)投资操作。建立规范的投资操作流程,实现前台操作与后台管理分离,建立并保管交易记录,确保投资的专业化。
(四)投资风险管理。建立完备的投资风险评估和控制系统,制定符合自身实际的风险控制政策、措施和定量指标,开发和运用量化的风险管理模型,对资金运用的收益与风险进行适时、审慎评价。
(五)资产管理。强化现金流和资金效益控制,加强固定资产、投资资产的管理,确保公司资产的安全、完整。
第十八条 信息技术控制。寿险公司应建立制度、政策和程序,对信息技术管理、信息安全、应急计划等实施控制,确保信息的完整性、安全性和可用性。
(一)信息技术管理。建立健全信息技术管理和风险防范制度,明确计算机信息系统开发、管理与应用部门及相关人员的职责,对计算机信息系统的项目立项、设计、开发、测试、运行和维护、数据的操作、数据备份介质的存放、转移和销毁等实施控制,确保计算机信息系统设备、数据、系统运行和系统环境的安全。
(二)信息安全管理。建立信息安全管理体系,对硬件、操作系统和应用程序和操作环境实施控制,确保信息的完整性、安全性和可用性。计算机机房建设应当符合国家的有关标准,出入计算机机房应当有严格的审批程序和出入记录,确保计算机硬件、各种存储介质的物理安全。对系统数据资料采取加密措施,建立备份,异地存放。实施有效的口令管理和权限管理,定期更换用户使用的密码和口令。及时更新系统安全设置、病毒代码库、攻击特征码、软件补丁程序等,通过认证、加密、内容过滤、入侵监测等技术手段,不断完善安全控制措施。建立和健全网络管理系统,有效地管理网络的安全、故障、性能、配置等,并对接入国际互联网实施有效的安全管理。网络设备、操作系统、数据库系统、应用程序等均应当设置必要的日志。
(三)应急计划。建立计算机安全应急系统,制定详细的应急方案,定期检查、维护应机的设施、设备和系统,确保其处于适用状态。
第四节 信息与沟通
第十九条 信息与沟通。寿险公司应建立并保持信息交流与沟通的程序,对涉及公司目标实现、经营管理有效运作的内外部信息的识别、收集、处理、报告、交流、沟通、反馈、披露渠道和方式等进行明确,以确保董事会及经理层能够及时、准确了解业务信息、管理信息、重要风险信息;确保其他所有员工充分了解相关信息,遵守涉及其责任和义务的政策和程序;确保及时、真实、完整的向监管部门和外界报告、披露相关信息。
第二十条 信息的安全、保密。寿险公司应适当保持相关信息交流与沟通的记录,并考虑信息的安全性和保密性要求,对信息报告、发布、披露进行授权。
第二十一条 文件控制。寿险公司应建立并保持必要的内部控制体系文件,包括:对内部控制体系要素及其相互作用的描述,内部控制政策和目标,关键岗位及其职责与权限,不可接受的风险及其预防和控制措施,控制程序、作业指导、方案和其他内部文件等。
寿险公司应建立并保持书面程序,确保内部控制体系文件满足下列要求:
(一)易于查询。
(二)实施前得到授权人的批准。
(三)定期评审,必要时予以修订并由授权人员确认适宜性。
(四)所有岗位都能得到有关版本。
(五)失效时,及时从所有发放处和使用处收回,或采取其他措施防止误用。
(六)及时识别、处置外来文件并进行标识,必要时转化为内部文件。
(七)留存的档案性文件和资料应予以适当标识。
第二十二条 记录控制。寿险公司应建立并保持书面程序,对内部控制相关活动中所涉及记录的标识、生成、存储、保护、检索、保存期限和处置进行明确。
记录应保持清晰、易于识别和检索,并可追溯到相关的活动,以提供内部控制体系有效运行的证据。
第五节 监督
第二十三条 持续性监控。寿险公司应采取措施确保各部门和员工在日常经营和履行职责的过程中对内部控制健全性、有效性进行检查、分析,并评估其有效性及实施的效率效果,实现对内部控制实时动态的持续性监控和控制执行部门的自我改善。持续性监控应遵循以下原则:
(一)以目标为基础,确认现有的制度、程序和措施是否有效和剩余风险的控制水平(剩余风险是指没有通过内部控制控制,但却可能对公司目标实现产生影响的风险)。
(二)以风险为基础,识别实现目标的各类风险,确定控制制度、程序和政策是否足以对关键风险进行管理。
(三)以控制为基础,对现有控制措施的运行情况进行分析,识别差距。
(四)以过程为基础,对包括业务、财务、资金、计算机等控制活动的关键过程和内容进行确认、评价、更新、改善和简化。
第二十四条 独立评估。寿险公司应设立全系统垂直管理、具有充分独立性的内部审计部门,对内部控制实施评价,确保内部控制体系的充分性、合规性、有效性和适宜性。
内部审计部门应配备具有相应资质和能力的审计人员;应有权获得寿险公司的所有经营、管理信息;应根据对辖属机构的内部控制评级结果确定审计频率,以及对机构和业务的审计覆盖率,定期或不定期对内部控制的健全性和有效性实施检查、评价;应及时向董事会或董事会审计委员会提交审计报告;总公司内部审计负责人的聘任和解聘应经董事会或监事会同意。
第二十五条 管理评审。董事会应采取措施保证定期对内部控制体系评价的结果、内部控制政策执行情况和内部控制目标实现情况、事故和险情以及重大纠正和预防措施的状况、以往评价的跟踪情况、内部控制体系改进情况等进行监督,提出改进措施,确保体系得到持续、有效的改进。
第二十六条 持续改进。寿险公司应根据持续性监控、独立评估、管理评审及监管评价结果,对内部控制缺陷进行整改纠正,持续提高内部控制体系的有效性。
第三章 评价方式
第二十七条 寿险公司内部控制评价采取寿险公司自我评估与监管部门抽查评价相结合的方式。
第二十八条 寿险公司应根据本办法于每年年末对本单位内部控制情况全面进行自我评估,并于每年1月31日前向监管部门报送本单位内部控制年度评估报告。
第二十九条 内部控制年度评估报告应真实、完整,不得瞒报和虚报。内部控制年度评估报告应至少包括以下内容:
(一)本单位内部控制情况。应覆盖本单位内部控制体系范围内的所有活动,从控制环境、风险识别与评估、控制活动、信息与沟通、监督五方面分别进行评价。
(二)本年度完善内部控制的措施及上年度内部控制缺陷的改善情况。
(三)目前内部控制存在的漏洞和缺陷。
(四)下一年度改进内部控制的计划。
第三十条 监管部门应根据风险大小和重要性对寿险公司内部控制情况进行抽查评价。
第三十一条 中国保监会负责对寿险公司法人机构的内部控制进行抽查评价。根据工作需要,中国保监会可授权中国保监会派出机构对辖区内寿险公司法人机构的内部控制进行抽查评价。
中国保监会派出机构负责对辖区内寿险公司分支机构的内部控制及根据授权对辖区内寿险公司法人机构的内部控制进行抽查评价。
上级机构可向下延伸进行内部控制抽查评价。
监管部门认为必要时,可以聘请中介机构对寿险公司内部控制年度评估报告进行鉴证。
第三十二条 对寿险公司内部控制的抽查评价,原则上每三年为一个评价周期,每年至少覆盖三分之一以上的寿险公司。当寿险公司发生管理层重大变动、重大的并购或处置、重大的营运方式改变、业务财务信息处理方式改变,或监管部门认为必要时,可以对寿险公司内部控制实施评价。
第四章 评价程序与方法
第三十三条 寿险公司内部控制评价包括评价准备、评价实施、评价报告形成和评价反馈四个阶段。
第三十四条 评价准备。评价准备包括组建评价组、制订评价实施方案、评价资料准备等步骤
组建评价组。组建评价组应考虑组成人员的背景和能力。必要时,可聘请业务或管理方面的专家。
制订评价实施方案。实施方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。
评价资料准备。主要包括评价问卷、抽样计划、被评价机构的内部控制体系文件及相关记录等。
监管部门实施抽查评价应在进场前与被评价机构建立初步联系,以便确认有关评价事项和安排。
第三十五条 评价实施。评价实施包括了解内部控制体系、实施测试与分析等步骤。
评价组应按照既定的评价方案实施评价。在评价实施中应就评价组内部以及评价组与被评价机构之间的沟通做出正式安排,通过适当的方法收集与评价目的、范围和准则有关的信息,根据评价方案对被评价项目进行测试,对有关数据进行确认和分析,并予以记录。包括:
(一)了解内部控制体系。评价组应了解被评价机构内部控制体系的基本情况,确认评价范围,确定被评价机构的内部控制体系的健全程度,然后决定实施测试所采取的方法。主要通过询问、查阅、观察、流程图等方法进行,以初步评价被评价机构内部控制体系的充分性和合规性。
(二)实施测试和分析。实施测试和分析是在了解内部控制体系的基础上,评价内部控制体系的运行与绩效,主要采取符合性测试法。
第三十六条 评价报告形成。评价组应根据评价实施情况,撰写评价报告。评价报告应重点分析以下方面:
(一)被评价机构内部控制体系现状。
(二)被评价机构内部控制存在的问题。
(三)被评价机构内部控制的趋势分析。
第三十七条 评价反馈。监管部门实施抽查评价应在对被评价机构内部控制体系进行综合评价后,与被评价机构管理层沟通,以核对数据,确认事实,并就评价中的问题征求意见。
第三十八条 符合性测试。符合性测试是获得评价证据以证实内部控制在实际中的合规性、有效性和适宜性,即相关规定在实际中是否被一贯执行,控制措施能否达到控制目的,控制措施是否恰当。符合性测试分为两种形式:
(一)业务测试。即对重要业务或典型业务进行测试,按照规定的业务处理程序进行检查,确认有关控制点是否符合规定并得到认真执行,以判断内部控制的遵循情况。
(二)功能测试。即对某项控制的特定环节,选择若干时期的同类业务进行检查,确认该环节的控制措施是否一贯或持续发挥作用。
符合性测试的具体方法包括抽样法、穿行测试法、证据检查法和压力测试法等。
第三十九条 测试抽样。抽样样本取决于被评价机构或被评价项目的风险、业务频次、重要性等。可在根据业务频次抽样的基础上,结合被评价项目的风险和重要性进行调整。
根据业务频次确定的抽样量参考标准如下:
(一)每月执行一次的业务或事项,抽样量应保持在2-6个之间;
(二)每周执行一次的业务或事项,抽样量应保持在4-10个之间;
(三)每日执行一次的业务或事项,抽样量应保持在10-25个之间;
(四)每日执行多次的业务或事项,全年10000次以下的,抽样量应保持在25-50个之间;全年10000次以上的,抽样量应保持在50个以上。
第五章 评价结果的利用
第四十条 寿险公司内部控制评价结果应用于寿险公司非现场监管中的风险评估,以确定寿险公司总体综合风险等级。
第四十一条 监管部门应将抽查评价结果与寿险公司自我评估结果对比,发现寿险公司呈报的内部控制自我评价报告中存在恶意瞒报、弄虚作假或者两者的结果存在较大的不一致的,应将该机构非现场监管总体综合风险等级上升一级。
第六章 附则
第四十二条 本办法自发布之日起施行。
附件三:
《保险公司风险管理指引(试行)》
第一章 总 则
第一条 为指导保险公司加强风险管理,保障保险公司稳健经营,根据《关于规范保险公司治理结构的指导意见(试行)》及其他相关法律法规,制定本指引。
第二条 本指引适用于在中国境内依法设立的保险公司和保险资产管理公司。
保险集团(控股)公司已经按照本指引规定建立覆盖全集团的风险管理体系的,经中国保监会批准,其保险子公司可以不适用本指引。
第三条 本指引所称风险,是指对实现保险经营目标可能产生负面影响的不确定性因素。
第四条 本指引所称风险管理,是指保险公司围绕经营目标,对保险经营中的风险进行识别、评估和控制的基本流程以及相关的组织架构、制度和措施。
第五条 保险公司应当明确风险管理目标,建立健全风险管理体系,规范风险管理流程,采用先进的风险管理方法和手段,努力实现适当风险水平下的效益最大化。
第六条 保险公司风险管理应当遵循以下原则:
(一)全面管理与重点监控相统一的原则。保险公司应当建立覆盖所有业务流程和操作环节,能够对风险进行持续监控、定期评估和准确预警的全面风险管理体系,同时要根据公司实际有针对性地实施重点风险监控,及时发现、防范和化解对公司经营有重要影响的风险。
(二)独立集中与分工协作相统一的原则。保险公司应当建立全面评估和集中管理风险的机制,保证风险管理的独立性和客观性,同时要强化业务单位的风险管理主体职责,在保证风险管理职能部门与业务单位分工明确、密切协作的基础上,使业务发展与风险管理平行推进,实现对风险的过程控制。
(三)充分有效与成本控制相统一的原则。保险公司应当建立与自身经营目标、业务规模、资本实力、管理能力和风险状况相适应的风险管理体系,同时要合理权衡风险管理成本与效益的关系,合理配置风险管理资源,实现适当成本下的有效风险管理。
第七条 保险公司应当建立涵盖风险管理基本流程和控制环节的信息系统,提高风险管理的信息化水平。
保险公司应当统筹规划风险管理和业务管理信息系统,使风险信息能够在职能部门和业务单位之间实现集成与共享,充分满足对风险进行分析评估和监控管理的各项要求。
第八条 保险公司应当定期对高级管理人员和员工进行风险管理理念、知识、流程以及控制方式等内容的培训,增强风险管理意识,同时将风险管理绩效与薪酬制度、人事制度和责任追究制度相结合,培育和塑造良好的风险管理文化。
第二章 风险管理组织
第九条 保险公司应当建立由董事会负最终责任、管理层直接领导,以风险管理机构为依托,相关职能部门密切配合,覆盖所有业务单位的风险管理组织体系。
第十条 保险公司可以在董事会下设立风险管理委员会负责风险管理工作。
风险管理委员会成员应当熟悉保险公司业务和管理流程,对保险经营风险及其识别、评估和控制等具备足够的知识和经验。
没有设立风险管理委员会的,由审计委员会承担相应职责。
第十一条 保险公司董事会风险管理委员会应当全面了解公司面临的各项重大风险及其管理状况,监督风险管理体系运行的有效性,对以下事项进行审议并向董事会提出意见和建议:
(一)风险管理的总体目标、基本政策和工作制度;
(二)风险管理机构设置及其职责;
(三)重大决策的风险评估和重大风险的解决方案;
(四)年度风险评估报告。
第十二条 保险公司可以设立由相关高级管理人员或者部门负责人组成的综合协调机构,由总经理或者总经理指定的高级管理人员担任负责人。风险管理协调机构主要职责如下:
(一)研究制定与保险公司发展战略、整体风险承受能力相匹配的风险管理政策和制度;
(二)研究制定重大事件、重大决策和重要业务流程的风险评估报告以及重大风险的解决方案;
(三)向董事会风险管理委员会和管理层提交年度风险评估报告;
(四)指导、协调和监督各职能部门和各业务单位开展风险管理工作。
第十三条 保险公司应当设立风险管理部门或者指定工作部门具体负责风险管理相关事务工作。该部门主要职责如下:
(一)对风险进行定性和定量评估,改进风险管理方法、技术和模型;
(二)合理确定各类风险限额,组织协调风险管理日常工作,协助各业务部门在风险限额内开展业务,监控风险限额的遵守情况;
(三)资产负债管理;
(四)组织推动建立风险管理信息系统;
(五)组织推动风险文化建设。
设有本指引第十二条规定的风险管理协调机构的,该部门为其办事机构。
第十四条 保险公司各职能部门和业务单位应当接受风险管理部门的组织、协调和监督,建立健全本职能部门或者业务单位风险管理的子系统,执行风险管理的基本流程,定期对本职能部门或者业务单位的风险进行评估,对其风险管理的有效性负责。
第三章 风险评估
第十五条 保险公司应当识别和评估经营过程中面临的各类主要风险,包括:保险风险、市场风险、信用风险和操作风险等。
(一)保险风险指由于对死亡率、疾病率、赔付率、退保率等判断不正确导致产品定价错误或者准备金提取不足,再保险安排不当,非预期重大理赔等造成损失的可能性。
(二)市场风险是指由于利率、汇率、股票价格和商品价格等市场价格的不利变动而造成损失,以及由于重大危机造成业务收入无法弥补费用的可能性。
(三)信用风险是指由于债务人或者交易对手不能履行合同义务,或者信用状况的不利变动而造成损失的可能性。
(四)操作风险指由于操作流程不完善、人为过错和信息系统故障等原因导致损失的可能性。
保险公司还应当对战略规划失误和公司治理结构不完善等给公司带来不利影响的其他风险予以关注。
第十六条 保险公司风险管理部门应当与各职能部门和业务单位建立信息共享机制,广泛搜集、整理与风险管理相关的内外部信息,为风险评估奠定相应的信息基础。
第十七条 保险公司应当在广泛收集信息的基础上,对经营活动和业务流程进行风险评估。风险评估包括风险识别、风险分析、风险评价三个步骤。
风险识别是指识别经营活动及业务流程中是否存在风险以及存在何种风险。
风险分析是指对识别出的风险进行分析,判断风险发生的可能性及风险发生的条件。
风险评价是指评估风险可能产生损失的大小及对保险公司实现经营目标的影响程度。
第十八条 风险评估应当采用定性与定量相结合的方法。定量评估应当统一制定各风险的度量单位和风险度量模型,确保评估的假设前提、参数、数据来源和评估程序的合理性和准确性。
第十九条 保险公司进行风险评估时,应当对各种风险之间的相关性进行分析,以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应,对风险进行统一集中管理。
第二十条 风险评估由风险管理部门组织实施,必要时可以聘请中介机构协助实施。
第二十一条 保险公司应当对风险信息实行动态管理,及时识别新的风险,并对原有风险的变化进行重新评估。
第四章 风险控制
第二十二条 风险控制包括明确风险管理总体策略、制定风险解决方案和方案的组织实施等内容。
第二十三条 制定风险管理总体策略是指保险公司根据自身发展战略和条件,明确风险管理重点,确定风险限额,选择风险管理工具以及配置风险管理资源等的总体安排。
第二十四条 保险公司应当根据风险发生的可能性和对经营目标的影响程度,对各项风险进行分析比较,确定风险管理的重点。
第二十五条 确定风险限额是指保险公司根据自身财务状况、经营需要和各类保险业务的特点,在平衡风险与收益的基础上,确定愿意承担哪些风险及所能承受的最高风险水平,并据此确定风险的预警线。
第二十六条 保险公司针对不同类型的风险,可以选择风险规避、降低、转移或者自留等风险管理工具,确保把风险控制在风险限额以内。
第二十七条 保险公司应当根据风险管理总体策略,针对各类重大风险制定风险解决方案。风险解决方案主要包括解决该项风险所要达到的具体目标,所涉及的管理及业务流程,所需的条件和资源,所采取的具体措施及风险管理工具等内容。
第二十八条 保险公司应当根据各职能部门和业务单位职责分工,认真组织实施风险解决方案,确保风险得到有效控制。
第五章 风险管理的监督与改进
第二十九条 保险公司应当对风险管理的流程及其有效性进行检验评估,并根据评估结果及时改进。
第三十条 保险公司各职能部门和业务单位应当定期对其风险管理工作进行自查,并将自查报告报送风险管理部门。
第三十一条 保险公司风险管理部门应当定期对各职能部门和业务单位的风险管理工作进行检查评估,并提出改进的建议和措施。
第三十二条 保险公司风险管理部门应当每年至少一次向管理层和董事会提交风险评估报告。风险评估报告主要包括以下内容:
(一)风险管理组织体系和基本流程;
(二)风险管理总体策略及其执行情况;
(三)各类风险的评估方法及结果;
(四)重大风险事件情况及未来风险状况的预测;
(五)对风险管理的改进建议。
第三十三条 董事会或者其风险管理委员会可以聘请中介机构对保险公司风险管理工作进行评价,并出具评估报告。
第六章 风险管理的监管
第三十四条 保险公司应当及时向中国保监会报告本公司发生的重大风险事件。
第三十五条 保险公司应当按照本指引及偿付能力编报规则的要求,在年报中提交经董事会审议的年度风险评估报告。
第三十六条 中国保监会定期对保险公司及其分支机构的风险管理工作进行检查。检查内容主要包括:
(一)风险管理组织的健全性及履职情况;
(二)风险管理流程的完备性、可操作性和实际运行情况;
(三)重大风险处置的及时性和有效性。
第三十七条 中国保监会可以根据检查结果,对风险管理存在严重缺陷的保险公司出具风险提示函。保险公司应当按照风险提示函的要求及时提交整改方案,采取整改措施并提交整改情况报告。
第七章 附 则
第三十八条 本指引由中国保监会负责解释。
第三十九条 本指引自二○○七年七月一日起施行。
责任编辑:刀刀
您现在的位置: 