保險業應訂定適當之風險管理政策與程序，經董（理）事會通過並定期檢討修訂。

保險業應設置獨立之專責風險控管單位，並定期向董（理）事會報告，若發現重大暴險，危及財務或業務狀況或法令遵循者，應立即採取適當措施並向董（理）事會報告。<br />

保險業之風險控管機制應包括下列原則：
一、依據其業務規模、產品特質及整體經濟情勢等因素以辨識及評估可承受之風險範圍。
二、應考慮之風險應包括市場風險（包含利率風險）、信用風險、流動性風險、作業風險、保險風險與資產負債配合風險及其他相關風險，並建立各項風險控管機制。
三、管理階層應依據相關法令、自律規範及實際經濟情況，定期審視風險控制機制及自我風險及清償能力評估（Own Risk and Solvency Assessment；以下簡稱ORSA）機制，並採取適當策略。

保險業應在風險管理架構下，考量本身業務之風險性質、規模及複雜程度，發展適合其組織架構與風險管理系統的ORSA作業流程。<br />

保險業所建立之風險管理機制，其內容至少應包括下列事項：
一、風險管理架構包括風險治理、風險管理組織架構與職責、風險辨識、風險衡量、風險回應、風險監控及資訊、溝通與文件化等。
二、應結合保險業之業務經營及企業文化，並依據訂定之風險管理政策，運用各種質化與量化技術，管理保險業可合理預期且具攸關性之重要風險。
三、應訂定風險胃納，具體呈現為達成策略目標及營業計畫，所願意接受之風險程度，並訂定各主要風險限額，定期監控及管理。