前 言
    保險業風險管理實務守則(以下簡稱本守則)制定之主要目的係在於提供保險業建立風險管理機制所需之實務參考，期能協助落實風險管理，以確保公司之資本適足與清償能力，並健全保險業務之經營。然因保險業各公司規模大小不一，業務種類各異，所面臨之主要風險亦有所不同，雖然風險管理之概念已逐漸受到重視，但若要實施全面性或整合性之風險管理，不論是在現行組織架構與人員專業訓練方面，或是在各項風險管理制度與風險衡量技術上，仍有許多尚待努力之空間。因此本守則內容即以「應」或「得 (宜)」作為保險業在自發性執行風險管理各項業務之參酌標準。

    依據行政院金融監督管理委員會民國98年12月31日金管保財字第09802512072號函所示，本守則有關「應」、「得」、「宜」之定義及未來施行之方式，說明如下：對於帶有「應」字之條文，係指保險業在現階段即應達成或在鼓勵市場自律期間可能逐步達成者，此部分必須於今(99)年底全面落實，且將自明(100)年起列為主管機關依法實地查核之項目。至於帶有「得」或「宜」字之條文，其雖不具有法律拘束力，但實務上仍有些許程度上之差異，是保險業仍需努力之處。「宜」為建議公司執行之項目，需要循序漸進並在短期內將提升為「應」達成者。「得」字係指公司可視本身業務性質、規模及風險狀況，選擇是否採行該項措施者，將來也需要檢討並視情況提升為應執行項目。

    為能增進保險業現階段之實務運作效能，爰編製保險業風險管理實務守則問答手冊以下簡稱Q&A)，除對本守則之部分內容補充說明並提供建議採取步驟外，在實務適用上也輔以範例解釋，以作為保險業者目前在實際執行風險管理事務之參考。Q&A之編排係依照本守則各章標題，依序將部分條文可能產生之疑義以問答方式說明，之後將視實際需求增列或調整相關擬答內容，未來且將根據本守則修正後內容予以更新。

目錄
第一章前言
第二章國際企業風險管理發展概況
第一節國際推行企業風險管理概況
第二節IAIS 企業風險管理準則介紹
第三節Solvency II 第二支柱簡介
第三章國內保險業企業風險管理發展概況
第一節風險管理相關法規
第二節保險業風險管理實務守則
第三節國內保險業實行風險管理概況
第四章企業風險管理實務執行建議
第一節風險管理組織架構與職責
第二節風險治理
第三節風險辨識
第四節風險衡量
第五節風險回應與風險監控
第六節資訊、溝通與文件化(Documentation)
第五章結語
第一節企業風險管理對監理之意涵
第二節企業風險管理之未來展望
附錄I IAIS 企業風險管理準則原文
附錄II IAIS 企業風險管理準則與我國現行相關法規對照表
附錄III 保險業風險管理實務守則問答手冊
附錄IV 保險業風險管理實務守則執行檢核表
參考文獻.

第一章前言
有關風險管理的發展由來已久，惟演變至90 年代中期，大型企業開始設置風控長(Chief Risk Officer；簡稱CRO)，地位也提升至高階主管的層級，全面督導企業所有風險之管理。CRO 與傳統風險管理主管有所不同，傳統風險管理主管通常是隸屬於財務長(CFO)，主要負責諸如財產、人身或責任等意外風險(Hazard Risks) 之管理，然而CRO 所需負責的風險管理類型則除了意外風險外，尚包括財務(Financial)，營運(Operational) 及策略(Strategic) 等類型的風險。

及至90 年代末期，企業始體認到其所面臨之風險日益複雜，且各項風險並非獨立的(isolated) 而是交互牽動(interconnected) 的關係，於是開始思考從更高的角度與位階，以整合方式(Integrated Approach)將企業所面臨之所有風險，包括意外，財務，營運及策略風險全部納入管理，並同時考慮到各類風險間的相關性，ERM 概念乃隨之形成。

企業風險管理(Enterprise Risk Management；簡稱ERM) 亦稱為整合性風險管理(Integrated Risk Management； IRM)、全面性風險管理(Holistic RiskManagement)，是近年來風險管理領域發展出的新型態管理方式。

有關ERM 的定義相當的多，在此將列舉一些較具權威的機構、學者對於ERM所作的定義：
一、美國產險精算學會(CasualtyActuarial Society；CAS) (2003)：
企業風險管理係一種紀律、規範，各行各業的公司企業均可藉由它對來自於各方的風險，進行評估、控制、發掘、融通與監視，其目的在於增進該公司對於所有利害關係人之短期與長期價值。(ERM is the discipline by  which an organization in any industry assesses, controls, exploits, finances, and  monitors risks from all sources for the purpose of increasing the organization’s  short and long-term value to its stakeholders) 1   此項定義包含四個重點：
 ERM是一種紀律：一機構有秩序之行為的規範
 ERM適用於任何一種產業
 ERM被用於發掘風險，以便能創造價值與降低風險程度
 ERM關注到一企業的所有利害關係人
1 Overview of Enterprise Risk Management, Casualty Actuarial Society, Enterprise Risk   Management Committee, May 2003.

二、COSO 委員會(Committee of Sponsoring Organizations of the Treadway  Commission；COSO) (2004)：
企業風險管理是一種過程，受到該機構之董事會、管理階層以及各級員工的影響，被應用在戰略設定上而且是超越企業層級的，被設計來辨識可能會影響該機構的潛在事件，並且設法將風險管控在它的風險胃納量之內，為其經營目標之達成提供合理的信心。（Enterprise risk management is a  process, effected by an entity’s board of directors, management and other  personnel, applied in strategy setting and across the enterprise, designed to  identify potential events that may affect the entity, and manage risk to be within  its risk appetite, to provide reasonable assurance regarding the achievement of  entity objectives.）2
此一定義反映下列某些基本的概念，ERM是：:
 一種過程，持續性的而且遍及整個機構；
 受到該機構各階層人員的影響；
 應用於策略的設定；
 應用於企業之間，遍及各層級以及各部門，並從整個機構的高度看風
險的組合；

 被設計來辨識可能會影響該機構的潛在事件，並且設法將風險管控在
它的風險胃納量之內；
 能為公司的管理階層與董事會提供合理的信心；
三、James Lam (2003)：
企業風險管理是一套為管理信用風險、市場風險、作業風險、經濟資本，以及風險移轉的全面性、整合性的架構，以期能使公司價值達到最大。（A comprehensive and integrated framework for managing credit risk, market risk,  operational risk, economic capital, and risk transfer in order to maximize firm  value.）3
作者認為企業風險管理的重點就是「整合」，可從三方面來說：
 第一，ERM需要一個已將風險整合的機構；
 第二，ERM需要將風險移轉策略加以整合；
2 Enterprise Risk Management — Integrated Framework, The Committee of Sponsoring
Organizations of the Treadway Commission, 2004.
3 James Lam, Enterprise Risk Management: From Incentives to Controls, Wiley Finance, 2003.

 第三，ERM需要將風險管理整合至公司的業務營運流程中。
近年來ERM 之所以受到企業的重視，不外乎受到下列因素的影響：
1. 企業面臨的風險型態日益複雜，企業經營不確定性增加。
2. 風險量化技術日益進步，風險計量模型使用日益普遍。
3. 難以量化之風險，如公司商譽、法令遵循、資訊系統安全等，對企業經營之影響性明顯提高，亟需適當之管理方法。
4. 大型公司掏空弊案一再發生，加強公司治理及內控之要求聲浪日益升高。
5. 外界監督力量不斷增加，如監理官、信評公司、投資人及消費者等，對企業主造成相當大的壓力。
6. 組合式(Portfolio) 或整合性(Integrated) 的概念逐漸盛行，競相運用於新產品開發與管理模式。
7. 信用評等公司開始將ERM 納入評等的考量之中。
根據SAS Institutes Inc. 2006 年所做的全球企業風險管理調查報告，83%金融業認為實施ERM 是企業經營能否成功的重要關鍵；Chief Financial Officer 雜誌指出，76%的CFO 已將改善公司的風險管理制度列為最優先的工作項目之一；Tillinghast 於2006 年針對壽險公司CFO、CRO、精算師進行調查結果，也同樣顯示ERM已經獲得多數公司高層主管的高度重視。此外，根據國際保險學會(IIS)在2007 柏林年會中所作的調查結果，41%與會者認為保險業者面臨最大威脅為「無法評估的風險」、33%認為產險業最重視的問題為「企業風險管理(ERM)」；各有29%認為最重要的風險管理問題為「在商業決策中運用風險分析」、「建立健全的風險管理文化」。再者，根據Towers Watson 2010 年針對全球共計465 位保險與再保險執行長或風險長所進行的受訪調查報告中發現：有58%的受訪者對於ERM 在金融海嘯期間的表現表示滿意，另有11%不滿意；ERM 的成功與否，風險胃納扮演重要角色；ERM 對於公司業務的影響逐漸提高；資源之可取得程度攸關ERM 的未來發展。從上述的資訊可充分瞭解，ERM 已經成為各國金融機構高階經理人相當重視的一環。

本研究的特質是將國際間保險業企業風險管理的理念與實務融合入台灣保險業的產業及監理體系中，內容涵蓋理論與實務，不僅是監理構想，更是政策執行，具體闡述了自2008 至2011 年這四年間行政院金融監督管理委員會保險局規劃推動保險業企業風險管理的流程和結果。

這份研究報告共分為五章，除本章(第一章) 說明研究背景外，第二章介紹國際間推行企業風險管理概況。近年來，適逢國際保險監理官協會(IAIS) 正積極地討論與研擬一套以資本適足性及清償能力為目的的ERM 準則4，在第二章將翻譯、整理此一準則，再輔之以流程圖的解說，希望能將此一準則完整、正確地介紹給國內各界參考，同時也參考國內外保險公司執行ERM 的實作流程，依序加以介紹，並儘量收集與提供實際範例，以期作為國內保險業者在規劃與執行 ERM 架構時之參考。此外，監理機關在風險控管的監管與執行將進一步督促保險業落實風險管理。所以第二章亦將節錄目前Solvency II 建議方案中第2 支柱對保險業或再保險業之監理檢視流程相關法條，以作為我國未來訂定監理檢視流程規範以及修訂相關法規之參考。
我國目前的保險監理法規雖然已經陸續將以風險為基礎的監理原則融入部分法規之中，諸如內稽內控、準備金提存、公司治理以及資本適足性等，但也由於散佈於各相關法規中而致難以窺得風險管理的全貌。

因此本研究報告於第三章將檢視現行相關法規對於風險管理的規範。其次介紹行政院金融監督管理委員會保險局督導財團法人保險事業發展中心與產壽險公會共同研訂的「保險業風險管理實務手則」，並分析我國保險業者自2010 年第1 季至2011 年第2 季間實際執行該守則的成效。
第四章將闡述國內外保險公司執行保險業企業風險管理的實作流程及其應具備之特性，包括(1)風險管理組織架構與職責、(2)風險治理、(3)風險辨識、(4)風險衡量、(5)風險回應與風險監控、(6)資訊、溝通與文件化(Documentation)等六大步驟。

最後則敘明企業風險管理對保險監理之意涵及未來展望。