六、風險評估因子與方法： （一）內部稽核應就各受查主體所面臨之固有風險、控制措施有效性進行 評估後，確認受查主體之風險評估結果（即剩餘風險），並據以決 定年度稽核計畫。所稱固有風險、控制措施與剩餘風險定義如下： 1.固有風險：在管理階層尚未採取任何行動來改變風險發生的可能 性或其影響之情況下，達成目標之風險。 2.控制措施：管理階層為管理風險及增加達成既定目標之可能性， 而採取之任何行動。管理階層負責規劃、組織及指揮執行足夠之 行動，以合理保證目的及目標之達成。 3.剩餘風險：管理階層在設計及執行控制措施後，仍留下來無法達 成組織目標之風險。 （二）固有風險之評量： 1.內部稽核應依據所屬保險業之經營形態與發展策略目標，擬訂適 合之固有風險評估因子。風險評估因子之訂定可參酌保險業風險 管理實務守則所列舉之主要風險類型，並應描述評估各風險類型 時應考量之因素（所述因素應能顯著代表各風險之表徵）。 2.依前項有關之固有風險因子，就受查主體發生風險事項之可能性 與嚴重程度評估其固有風險： （1）發生可能性：評估風險事件在可預期的未來中發生之可能性。 （2）嚴重程度：評估風險事件發生對財務、商譽及營運服務可能造 成之影響。 （3）依據前二項構面評估固有風險，評估結果至少應區分為高、中 、低等三個風險等級。 （三）控制措施有效性之評量： 1.以持續或個別評估的方式確認各受查主體之控制措施是否存在且 發揮功效，並就控制措施設計及執行之有效性至少區分為高、中 、低三個等級。 2.控制措施有效性評估至少應包含下列資訊： （1）主要業務之內部控制運作情形。 （2）外部檢查意見，包含主管機關、會計師、母公司稽核單位及其 他外部檢查。 （3）內部檢查意見，包含內部稽核、第二道防線法令遵循及風險監 控結果、自行查核及內部控制制度聲明書所列應加強辦理改善 事項。 （4）主管機關裁罰及重大風險事件之發生及處理。 （5）缺失追蹤改善及重覆發生情形。 3.運用前項評估資訊時，應考量相關資料之時效性。 （四）風險評估結果（剩餘風險）： 1.內部稽核單位依據固有風險及控制措施有效性之評估結果（即固 有風險經執行控制措施後之剩餘風險），確認各受查主體之綜合 風險評估最終結果，並至少區分為高、中、低三個等級。 2.內部稽核應訂定受查主體之綜合風險評估結果與查核頻率連結之 標準，就風險等級為高者，應至少每年執行一次或一次以上查核 ；就風險等級為低者，至少每三年執行一次查核。 （五）內部稽核辦理風險評估，應考量主要利益關係人（Stake holder） 對保險業可能面臨之重大及潛在風險之意見，包含主管機關、董事 會及審計委員會、高階管理階層、風險管理與法令遵循單位等。