GRC理论起源于萨班斯法案。2001年至2002年，美国证监会相继披露安然事件、世界通信会计事件、默克财务造假等一系列丑闻。美国上市企业的信誉为此一落千丈，投资者的信心饱受打击。为了重拾投资者的信心，重振美国股市，美国政府于2002年颁布了《萨班斯法案》。该法案对企业管理体系产生了重大影响：一方面推动了内控管理向风险管理的理论扩展，另一方面促进了GRC管理理论的产生。
　　多种管理能力的有机融合
　　《萨班斯法案》颁布后，美国Forrester研究公司的一位分析师提出了“有原则的绩效”的概念，并将实现“有原则的绩效”的整体管理理论称为GRC理论。在“有原则的绩效”中，“绩效”包含三层含义：一是一种结果，通常表现为企业财务结果，以及与财务相关的可量化的结果；二是一种行为，通常表现为具有一定素质的员工围绕其职责，为卓越地完成所负责的任务而达到的不同阶段成果，以及在实现目标过程中的行为；三是一种考核，通常表现为企业把员工的技能、发展潜力和对价值观的认同表现纳入绩效考核范围。
　　“有原则”一词强调的是企业运营行为必须明确强制性边界和自愿性边界，清晰了解遵循这些行为边界的方法；知道企业正在接近边界时，应迅速、妥善地做出响应。
　　所谓强制性边界，是由法律或行业组织明确规定的、企业必须严格遵守的规范和标准，也是企业开展经营活动要遵守的最低要求，包括规范企业运营的相关法律、法规和行业规定等。
　　自愿性边界则是企业自愿设置的行动边界，以更好地体现企业价值观并兑现其社会承诺，包括遵循特定风险管理框架的承诺、遵循风险评级机构关于如何面对风险的承诺（如标准普尔）、遵循与非强制行业最佳实践对标的承诺、遵循企业承担社会责任和可持续发展的承诺，以及遵循对消费者和合作伙伴的承诺等。
　　“有原则的绩效”是指企业通过设立清晰、明确的目标，设计合理的商业运作模式，综合运用战略、人员、流程和技术等企业资源，通过对不确定事件的科学管理，在保证不跨过行为边界的情况下进行商业运作，在克服障碍和抓住机遇之间灵活应对，在不违背正直、诚信的前提下达成企业的各类目标。简而言之，“有原则的绩效”就是在管理不确定性和保持正直诚信的同时可靠地达成目标。
　　《萨班斯法案》颁布的同一年，国际智库组织OCEG成立。OCEG投入大量人力、物力致力于GRC理论的研究，先后发布了《GRC能力模型》《GRC技术解决方案指南》和《GRC评估工具》等一系列GRC理论专著。随后，安永和德勤等咨询机构，以及Oracle、SAP、IBM和EMC等的IT解决方案厂商纷纷成为OCEG的会员，共同致力于GRC的研究与实践。
　　OCEG将GRC定义为通过治理、管理和保障手段，推动绩效、风险与合规等管理的有机融合，实现“有原则的绩效”的能力集合。
　　三步达成“有原则的绩效”
　　我国的央企和上市企业已经历了美国萨班斯法案、国资委全面风险管理和财政部等部委的内控指引的洗礼，但仍存在风险管理、内控管理与业务脱节、实效性不强等问题，导致企业在投资管理、安全环保、人力资源和现金流等方面的重大事件时有发生。如何减少甚至避免这些问题，在GRC理论的指导下实现“有原则的绩效”呢？我们建议企业分三步走：
　　第一步，要实现现有体系的向上融合。GRC体系融合了公司治理的理念，将公司整体的权责激励制度作为风险管理和合规遵从的“压舱石”。
　　第二步，要实现现有体系的向下融合和横向融合。向下融合指集团或总公司一级的风控体系和手册进行本地化梳理时，应将风控要求落实到具体业务中；横向融合指与法律部门、安全管理部门等横向管理部门的管控要求进一步融合，形成GRC整体管控体系系。
　　第三步，辅助、指导自下而上的运营管控工作。即通过GRC整体管控体系帮助企业解决运营过程中遇到的跨部门、复杂度高的问题。在问题解决后，牵头部门应总结、分析执行过程中获得的经验和存在的缺陷，并形成报告提交给责任部门，以进一步优化GRC体系。