国有企业风险、内控、合规一体化体系建设中，除了“四个统一”的管理机制外，从管理体系最终落地实施的角度出发，还需要建立以风险管理为核心的运行机制。

全面风险管理、内部控制及合规管理在运行机制上均强调了风险管理，也是三体系整合的基础。一般来说，以风险管理为核心的运行机制包括风险识别、风险评估、风险应对、风险监控、风险检查及持续优化。

风险识别

基于风险管理的运行机制的基础是识别风险，建立涵盖内控、合规及其他运营风险的风险库。一体化的风险识别所运用的方法和工具，与传统的风险识别并无太大区别。但要整合形成统一的风险库，需要注意以下两个方面的问题。

首先，需要结合企业实际，建立适用的风险管理框架，该框架需要考虑风险分类、内部控制流程及合规业务领域之间的对应关系；其次，需要统一风险库的风险级别（或风险描述的颗粒度）。

风险评估

从风险评估标准来看，针对内控、合规及其他运营风险，均可采用同样的风险评估标准。按照风险发生的概率以及影响程度，结合定量数据和定性分析进行风险评估，然后根据风险评估结果归类各种具体风险，最终形成风险管理清单。一般而言，风险评估可将风险分为重大风险、重要风险、一般风险和低风险等四个等级。

从风险评估的结果运用来看，根据风险评估结果，可进一步确定后续风险管理的重点，并对相关风险进行分析，基于不同类型风险确定后续的管控策略及管控措施，例如，重大风险含有合规风险的，应作为合规重点领域；对动态类型的运营风险，则需要作为重大风险进行专项的定期跟踪及应对。

风险应对

根据风险管理理论，企业应根据自身业务特点确定风险偏好和风险承受度，明确风险的最低限度和不能超过的最高限度，并据此确定风险预警线及相应采取的对策。风险应对包括风险规避、风险转移、风险降低、风险接受等四种方式。企业应采用一种或多种应对方式相结合，以有效管理和应对风险。针对低风险，一般可通过现有制度与流程加以有效控制，不增加额外控制。针对一般风险，公司应对现有制度与流程进行评估，查找差距与不足，补充完善控制措施。针对重要风险和重大风险，应在公司整体层面上加以应对。

对于绝大部分的内控相关风险及部分流程类合规风险（即相关合规风险主要来源于相关业务程序会违反相关法律法规，例如投资及工程建设相关合规风险），主要设计固定的风险控制措施，通过日常的业务流程管控，包括但不限于事前合规审查及审核审批、事中监控、事后检查等管控方式。对于此类型风险，企业可编制一体化手册（以一体化风险管理矩阵为主），作为第二道防线的管理工具。

风险监控

风险监控主要针对重大风险及部分专项风险（量化的风险预警指标并不适用于所有风险），企业应建立重大风险指标监控预警机制和突发事件应急处理机制，依据监管要求、风险偏好、风险容忍度等标准设置风险阈值，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。通过信息化手段推进重大风险监控预警体系建设，对重大风险进行动态跟踪、自动预警、监督评价。

风险检查

风险检查则是进一步落实评价体系统一，在风险应对的基础上，基于各项风险应对所关联的过程文件及证明材料，拟定风险管理的检查测试程序，编制风险检查清单，以便第二道防线开展对风险管控措施的执行有效性检查。定期以重大风险、重点领域和重大决策、重要管理及业务流程为重点，对风险管理、内部控制、合规管理的实施情况进行自我评估和检查，对变化情况和检查发现的缺陷及时加以改进，形成一体化运行的闭环管理。

持续优化

建立一体化管理体系运行的动态调整机制，通过定期的风险识别及评估机制，持续收集企业内外部风险管理、内部控制、合规管理的各类信息（包括外部法律法规及监管要求变化），调整各项风险应对及管控措施，监控风险的应对情况。对已经不再适用的风险或风险管控措施进行调整，同时结合风险检查中发现的设计有效性问题，持续优化一体化体系的管理工具及公司规章制度，使得一体化管理体系能够持续更新及优化。