中国广东核电集团有限公司（以下简称中广核集团）全面风险管理工作自2006年开展以来，很好地履行了国资委对于风险管理的各项工作要求，从风险管理开展工作之初到逐步落实风险管理工作的各项实质性要求，坚持以《中央企业全面风险管理指引》为参照，结合中广核集团实际，摸索出了一条具有中广核集团特色的风险管理之路，逐步建立起了具有中广核集团特色的风险管理体系，风险管理工作日益显现出对集团公司战略目标实现的良好保障作用，在开展全面风险管理工作期间密切跟踪业界风险管理最新管理动向，及时导入国际风险管理标准，促进中国广核风险管理工作打开了新的局面，迈上了新的台阶。

  中广核集团在推动全面风险管理工作过程中，从高层管理者到基层工作人员逐渐意识到，全面风险管理是一个复杂而抽象的实践过程, 即使是理解企业风险管理框架(ERM)的专业技术人员,最后还是要理解几个易于掌握的根本原则。如果不了解怎么样做风险管理,那么在日常工作中就不可能始终关注工作中的风险,就不可能很好地履行职责。同时在工作实践中也发现,不是所有的风险管理人员都认可这些根本原则,即使认可也会有不同的理解。

  在集团内部成员公司之间也存在风险管理起点相同、原则相同、使用术语相同,也往往不会按照相同的方式实施ERM的现象。事实上,ERM也没有要求两个组织使用同样的方法,因为风险管理实务在企业之间是存在一定的差异的,有各种各样的风险管理方法。中广核高层管理人员深谙风险管理复杂性并接受ERM方法有效地控制风险的需要是风险管理新的推动力。

  中广核集团高层风险管理人员提出要尽可能地提升中广核的风险管理上的水准,要运用风险管理最佳实践模型,并将其作为基准点；同时指出，目前有许多风险管理模型可供考虑，如COSO的ERM框架被大范围的应用于美国和其他几个国家，但从集团实际发展状况出发，提出在借鉴ERM框架时也要直接与国际风险管理标准对接，逐步提升集团风险管理能力。集团公司在统一了原则框架认识条件下，及时导入了国际标准化组织于2009年发布的ISO31000标准（以下简称ISO31000）：《风险管理——原则与实施指南》，ISO31000提供了风险管理的原则和一般指导性方针，可适用于任何类型的风险管理。

  ISO31000有利于集团公司更加广泛推动风险管理工作。ISO31000具有应用的广泛性，这是第一个真正用于全球的风险管理标准，在过去20多年，风险和风险管理已经在许多标准和法律中有所强调，并且这些标准和法律大多相互关联，具有相似性，但不具有普遍性。ISO31000基于简单原则，为风险管理提供了相应的框架，描述了风险管理流程的最佳实践和流程所体现的特性，具有灵活性，为集团公司开展风险管理工作注入了新的活力。

  ISO31000有利于集团公司风险管理工作以更快的节奏进入良性循环。ISO31000认为，一个组织进行风险管理的最佳方式是组织对风险应保持“结构化和持续性”的内部沟通，应该在内部环境和外部环境中识别风险，要考虑政治、社会的变化以及商业道德和战略等。ISO31000的一些基础要求与集团风险管理者对风险管理的要求不谋而合，有利于集团公司全面风险管理工作朝着结构化和持续改进的方向迈进。

  ISO31000有利于集团公司风险管理工作的标准化和规范化。ISO31000提出，风险应该通过规范的、结构化的流程进行识别；应该有适当的技术，对每一种风险的可能性和后果做多元化的分析；必须有一种办法，按重要性对风险进行排序，做出是合理的的处置风险对策，ISO31000提供的方法，有助于集团将其融入风险管理，使风险管理活动更加有效，风险管理方案和风险管理效果更具有可持续性。

  ISO31000更符合集团当前开展风险管理工作的实际。ISO31000概述了风险管理最佳实务的特性，包括能够明确不确定性；是业务流程和决策的组成部分；依赖最有效并适合组织的信息；最大限度地考虑人文因素，使人们能在工作中予以实施；是动态的、反复的以及适应变化的，并具有透明性和包容性，随着组织在风险管理方面的一直在改进而逐步加强，创造和保护价值。ISO31000的要求与集团一直倡导的透明、务实的核安全文化有很好的相溶性，更易于在集团内部推广应用。

  ISO31000作为风险管理的国际标准，集团在推动风险管理改进工作中积极加以应用，遵循标准中所提的第一原则即“创造并保护价值”，实现风险管理的最终目的即确保风险管理完全聚焦于目标的实现。同时参照COSO体系的风险管理整合框架，对照国资委提出的全面风险管理具体实际的要求，以最基本的方法论入手，推动风险管理深入开展，促进风险管理落地。同时积极学习和借鉴外部良好实践，如香港中华电力公司风险管理的具体做法，指明集团开展风险管理工作要围绕企业经营，把握机会，防范风险，应对威胁；强调从战略层面管理风险，即从战略高度分析和研判资产的价值走向，提出发展策略和防范策略，确保企业健康可持续发展。

  从1985年与香港中华电力公司合资建设大亚湾核电站开始，中广核集团在核安全管理方面引入了法国电力公司（EDF）的一整套核安全管理体系，通过持续的培训和教育，有效的制度、程序体系和纵深防御体系保证风险可控。在内部控制方面，引入香港中华电力公司的一整套内部控制体系，建立了比较完善的内部控制制度。这些为集团早期建立全面风险管理体系奠定了良好的基础。2006年中广核集团在核电站运营方面的局部风险控制措施已不能适应集团加快速度进行发展的战略要求前提下，提出建立更加有效的风险防范和控制体系。

  中广核集团全面风险管理体系的内概括起来就是“一个中心、两个基础、三大体系”：即以确保集团战略目标顺利实现为中心，以集团现有以核安全为中心的管理体系和国资委《中央企业全面风险管理指引》为基础，将国内外先进的风险管理理论和方法与中广核集团的实际相结合，通过建立全面风险管理组织职责体系、全面风险管理制度程序体系和全面风险管理信息系统，构建全员、全过程和全方位的全面风险管理体系（如下图）。

  中广核集团全面风险管理工作自2006年开展以来，从无到有，逐步完善，层层深入，取得了长足的进步。六年来，不仅在制度体系、组织建设方面做了完善，同时通过搭建风险管理信息系统，全面完善了集团风险管理体系，确保了风险管理工作的效果。目前集团下属22家业务开展相对成熟的成员公司都逐步构建了自身的风险管理组织体系，保障了风险管理体系的良好运转。

  1．战略导向原则：全面风险管理工作从始至终坚持为集团战略服务，其管理目标和管理活动均以集团战略为导向，为集团战略目标的实现提供支持和合理保障。

  2．全员参与原则：一直以来集团坚持落实全面风险管理工作是全体员工的工作职责，每位员工应发扬光大“人人都是一道屏障”的核安全文化，充分认识自身的风险管理责任，履行全面风险管理工作职责，自觉防范和控制风险，某些特定的程度上保障了风险管理工作实施的效果。

  3．全方位管理原则：全面风险管理是集团各层面的工作与任务，集团坚持将全面风险管理的理念贯穿于公司各部门和各成员公司的经营管理各方面和业务流程的各环节，促进了风险管理与业务管理的有机融合。

  4．充分整合原则：集团坚持将全面风险管理体系与其他管理体系充分整合，通过对现有组织职能、制度程序和信息系统的梳理，加入相关风险管理要素，使风险管理工作落实到日常管理工作中。

  5．国资委要求和国际标准相结合的原则：为进一步做实风险防控，按照国资委《中央企业全面风险管理指引》和ISO31000国际风险管理规定要求开展风险管理工作。

  6．减免损失与创造价值相结合的原则：集团根据发展的策略，在重点采取承担、规避、转移、控制等手段管理风险的同时，根据各公司、单位的风险承受度，积极探索管理风险的方法，如在资金管理风险、电力市场风险等方面合理发挥风险理财功能，创造价值。

  集团公司在开展风险管理过程中，深刻认识到ISO31000虽然是国际通行的风险管理标准，但也是风险管理最基本的方法论，是风险管理的最低要求。ISO31000第一原则是“创造并保护价值”，其最终目的是确保风险管理完全聚焦于目标的实现。ISO31000的导入有利于参与风险管理工作的各级人员清醒的认识到风险管理的目标与企业目标实现的一致性，更加有助于风险管理工作的落地，有利于与业务的密切结合。

  ISO31000的一个基本的理念就是风险管理是一切管理的基础。这与集团高层风险管理人员提出的“管理就是管理风险”的理念是一致的，这成为以风险管理为基础整合一切管理的出发点和落脚点，并与集团之前实行的多个企业标准一脉相承，例如，整合ISO9001，ISO14000，ISO18000和ISO26000等标准的基础就是风险管理，就是ISO31000。

  中广核集团持续坚持提升全面风险管理的有效性，深入落实国资委的有关要求，尤其是今年4月份，国资委将全面风险管理作为管理提升活动十三个重点领域之一，中广核集团公司格外的重视，认真落实有关要求，及时组织召开了集团全面风险管理改进工作会议，并组织了ISO31000国际风险管理标准培训，从风险管理基础理论上重新进行了梳理，明确了以ISO31000为基础的方法论，宣讲了集团风险管理改进方案，提出了工作要求，部署了具体的工作行动。全面风险管理风险提升活动提出风险管理聚焦于目标的实现，因此要围绕企业经营，把握机会，防范风险，应对威胁。要特别注重从战略层面管理风险，即从战略高度分析和研判资产的价值走向，提出发展策略和防范策略，确保企业健康可持续发展。

  在综合比较国际上通行的风险管理组织模式的基础上，结合集团实际和国资委《指引》的要求，按照“分层管理、分类管理和集中管理”的原则，进一步落实了“协调统一、权责清晰、管理灵活”核电集团风险管理组织职责体系（如图所示）。

  分层管理：就是根据风险管理活动内容的不同以及风险本身性质和重要性程度，在战略、执行、操作三个管理层级上划分相应的风险管理责任，主要解决集团组织架构中纵向层级上的分工问题。战略决策层的主要责任是：确定集团风险管理策略，明确风险管理目标；选择集团愿意接受的风险组合；审批集团的风险管理制度、程序和重大风险管理方案。执行层的主要责任是：制定风险管理制度、程序和具体措施并监督执行；在职责范围内，对具体风险实行监控和管理；通过系统协调，把整体风险控制在承受度范围内；通过风险报告，使决策层及时了解风险现状。操作层的主要责任是：执行风险管理制度和程序，落实风险管理工作要求；将风险信息及时报告给相关管理部门。具体落实到风险监控上，进一步细化为三个层次，即：集团公司董事长或总经理部关注的风险，集团公司各职能或业务部门关注的风险以及成员公司总经理部关注的风险。

  分类管理：就是根据具体风险的类别和企业组织体系的职责分工，把不一样风险的管理责任落实到相应的部门和单位，由其主导管理该类风险，其他相关单位给予配合。分类管理主要解决集团组织架构中横向职能部门之间的风险管理责任划分问题，关键是明确具体风险的主导管理责任部门和协助管理责任部门。

  集中管理：是通过运用风险管理的专业相关知识和专门工具，由战略计划部对集团面临的各类风险信息进行汇总分析，对跨部门和业务单位的风险管理工作进行组织协调，为集团风险管理决策提供相关依据。风险集中管理主要解决对风险实行科学化、专业化管理的问题，在执行层面形成风险信息的汇总分析和报告机制，在战略层面形成风险管理的集中决策机制。

  中广核集团经过几年的管理良好实践，对公司的关键业绩指标实现了及时的监控和跟踪，对于达成集团公司良好的业绩起到了很好的作用，但在推行全面风险管理工作过程中，集团公司高层管理人员深刻意识到，仅仅关注关键业绩指标、关注集团当期战略目标的实现是不够的，还需要对集团未来可能面临的风险进行重点监控，构建关键绩效指标（KPI）和关键风险指标(KRI)共同监控下的经营质量监测系统，才可以更好的保证集团长远的战略目标得以实现。

  集团公司指出KPI是要努力实现的关键业绩指标，通常在发生偏差时要投入各种资源，以确保目标的实现；KRI是关键风险指标，针对的是潜在威胁，发挥预警作用，通常在出现偏差时要及时作出调整资源的投入、发展的节奏、经营的方式、资产的组合，以规避资产的损失、保障企业健康发展。KPI与KRI要保持平衡，也就是实现目标与把握风险的平衡。

  对于定性与定量的关键风险同时并重。集团公司提出各成员公司要建立KRI指标体系并进行定量分析，KRI指标（警戒值）的设定必须建立在科学的专业判断的基础上；与此同时，也要建立风险事件数据库，及时对政策变化、行业发展、特定事件做出定性判断。例如，评价风电资源量时还应该要考虑资源特质，分出资源的优劣。

  关注风险管理工作的绩效衡量。集团公司对下属成员公司提出明确要求，风险管理做得好不好，还是要看经营业绩目标能否在合理的代价下得以实现，不是单看发现的红黄灯数量；要看风险评估与风险应对的成效。

  要明确归口管理单位与责任主体单位的关系。集团公司提出各公司风险归口管理部门的主要责任是确保风险管理体系运转顺畅，具体的风险管理责任应由相应的责任主体承担。按照ISO31000要求，谁是“流程的主人”，谁就负责该流程的风险管理；为此，在建立和审视风险管理的体制机制时，各单位要识别出与经营业绩直接相关的关键业务流程，识别出该流程的“主人”（第一责任人或首任负责人），明确流程主人的责任，并为其提供专业支持和服务。在此基础上，风险管理归口部门的重点是建立风险动态报告的标准和机制、建立风险指标和统计分析机制、建立风险事件的筛选和预判机制。

  中广核集团作为以核电为清洁能源的大型集团公司，在构建风险监控体系时，最大限度地考虑了集团公司所处的行业特点，参照核安全分级的特点，即数值越大安全级别越高，将中国广核关键风险监控指标（KRI）体系根据管理层级的不同分为三级进行监控，具体监控指标说明如下：

  1．第三级（Ⅲ级）风险监控指标为集团最高级风险监控指标，为集团公司董事会和总经理部关注的风险监控指标，并分为经营和发展两大类风险监控指标，具体标注为GRO（Group Risk of Operation）和GRD（Group Risk of Development）。其中，在经营类风险监控指标中，又分为安质环风险、财务风险、运营风险、合规风险、资产风险、公众事件风险六类风险监控指标；在发展类风险监控指标中，又分为核电市场风险、燃料供应风险、可再次生产的能源风险、新业务发展风险、科学技术研发风险、人力资源风险六类风险监控指标。

  2．第二级（Ⅱ级）风险监控指标为集团公司职能部门或业务部门监控的风险监控指标，大多数表现为党群工作风险、战略计划风险、安全与信息管理风险、科学技术研发风险、资本运营与产权管理风险、财务风险、人力资源风险、监察审计风险、法律事务风险、投资发展风险、核电运营事业风险、核电工程事业风险等12类。在其管理领域中，依据业务范围不同，拟定了主要的风险监控指标。

  3．第三级（Ⅰ级）风险监控指标为集团各成员公司的风险监控指标，主要按成员公司进行划分，各成员公司总经理部关注的风险参照集团风险分类，划分为经营类和发展类风险监控指标。成员公司内部风险监控编码体系由各成员公司自行拟定，并与集团公司风险监控指标保持一致。

  为展示关键绩效指标和关键风险指标，并进一步做好风险预警作用，集团公司提出搭建BMS（Business Monitor System）经营监测系统，为企业高层提供多角度的经营数据，以集团战略焦点完成情况为核心，搭建以经营数据模块、安质环模块、人力资源模块等关键经营绩效指标（KPI）数据为主的监控体系，同时突出风险管理模块建设，突出关键风险指标（KRI）的优化，与KPI共同形成完整的经营网络监控体系，为集团整体的经营质量监控提供强有力的支撑。其中风险管理模块的开发从风险预警、风险源识别、风险控制等方面出发，加强风险管理与经营决策、绩效管理的融合，为提升中广核集团经营水平提供了合理保障。

  1．将纵深防御的核安全管理理念在全面风险管理中推广应用，体现核安全文化特色的全面风险管理“三道防线”得到了很好发挥和应用。中广核集团全面风险管理体系建设工作从一开始就十分注重与现有的核安全管理体系相结合，通过对现有政策、制度和程序进行梳理、修订，将纵深防御的核安全管理理念在全面风险管理中推广应用，明确各层面、各环节、各岗位的风险管理责任，使风险管理融入集团日常管理各流程、各环节中，形成了分工合理、职责明确、报告路线清晰的前、中、后台三道风险防线，即集团公司相关业务部门、成员公司各业务单元等业务管理执行操作层为前台第一道防线，集团公司总经理部、集团风险管理职能部门等风险管理组织层为中台第二道防线，集团公司和成员公司审计部门等决策、监督层为后台第三道防线。第一道防线及时搜集反馈风险信息，第二道防线及时评价有关风险影响及跟踪风险应对措施实施情况并做好后续风险的跟踪管理，第三道防线每年对风险管理体系以及风险管理效果进行评价，并出具审计报告，三道防线责任分工明确，有机结合，提升了风险管理的整体效果。

  2．信息报告机制得以良好应用，确保了风险信息传递的有效性和及时性。集团自建立风险管理体系之初，就构建了完整的风险管理报告渠道，在集团层面已连续5年向国资委提交全面风险管理年度报告，同时按月形成集团风险监控月报；在成员公司层面，每年组织开展年度风险评估，梳理年度重大风险，明确主要监控指标，落实年度全面风险管理任务，所形成的年度风险管理报告成为成员公司董事会了解成员公司风险分布的重要文件之一，对成员公司的经营活动起到了良好的指导和预警的作用。 深入规范风险事件报告与分析体系，在经营管理层、工作层持续推进风险管理，做到在各级总经理部月度例会“月月有风险评估和应对”，在工作层开展具体工作前“事事有风险预案”。

  3．不断优化风险管理职能定位，切实发挥风险管理实效。集团公司几年来对风险管理工作职能定位不断做出适应性调整，使全面风险管理工作更加符合集团战略需要。风险管理工作从开始的零岗位到风险管理模块再到风险管理专职岗位，历经资产经营部、治理与商务部和战略计划部，风险管理工作的重要性日益显现，与战略结合越发紧密，对集团各项业务的监控指导作用愈发突出。今年以来，集团全面风险管理工作逐步摸索出新的路径和方法，更侧重于夯实基础、梳理风险监控指标、提高风险预警效果等方面的工作。集团在风险指标监控方面进行了有益尝试，在风险报告流程、风险预警功能、月度风险监控报告等方面做了有益的创新工作，并取得了良好成效。

  中广核集团风险管理工作虽然取得了一些实质性进展，风险管理与业务有了的很好的融合，但结合程度还不够深入，覆盖经营事物的规模不够广泛；在风险管理解决方案上，内控手段的应用也还不够，有关风险管理与内控的结合尚在进一步探索和实践中；风险量化工作开展也需进一步推进和提高，有关风险模型的建立工作也在进一步摸索中；风险在战略和业务层面的预警作用也还有待进一步提升。

  总体而言，几年来，中广核集团全面风险管理工作有力落实了国资委工作要求，特别是中广核集团以中央企业管理提升活动为契机，在全面风险管理工作中又进行了新的尝试，希冀通过未来开展各项战略目标实现过程中的风险管理工作，为集团战略目标的实现提供更有力保障，使全面风险管理工作取得新成效。