治理、风险管理与合规管理就像三角架的三条腿，维持着企业的平衡：

GRC 中的 G 代表治理。公司治理不仅仅是一本规则手册，而是可以帮助企业打破部门孤岛，确保整个企业的运营活动与战略目标保持一致；打造协调、高效的工作环境，让内外部的所有利益相关方清楚了解自己及他人的贡献和利益情况；消除冗余环节，防止不同计划之间存在冲突，避免不必要的成本。公司治理的重心是资源管理和问责，因此能够提供必要的制衡，确保企业有序运营。公司治理的目标是确保企业基于原则开展运营，遵守企业价值观，并实施合乎道德标准的业务实践。另外，公司治理也可以看作是一种机制，通过对信息及其来源和处理进行验证和管理，帮助降低风险，确保合规性。

GRC 中的 R 代表风险。任何可能导致负面业务结果的因素都可称为风险。有些风险（例如新冠疫情）是我们无法控制的；有些风险则来自企业内部，是由运营、程序或技术方面的缺陷所致；还有一些风险是来自外部威胁，例如网络安全攻击和欺诈等。

技术在及早发现风险方面发挥着至关重要的作用，但企业风险管理不能仅仅依靠技术。企业的价值观、流程和承诺对风险管理也有着重大影响。《福布斯》(Forbes) 最近的一篇文章指出，越来越多的企业希望实施企业风险管理 (ERM) 战略，采用“涵盖人员、数据和基础架构的集成式解决方案，实行主动管理”。

业务风险分为五个基本类别。企业的 ERM 和 GRC 战略必须能够预测并规避所有类别的风险，最重要的是，预防这些风险。