OCEG (Open Compliance & Ethics Group) mengklaim sebagai penemu istilah GRC, singkatan dari Governance, Risk Management, and Compliance. Ada juga yang mengaitkan GRC dengan definisi IIA (Institute of Internal Auditors) tentang tujuan audit internal, yakni memberikan asurans dengan menilai proses-proses organisasi yang berkaitan dengan Governance, Risk Management, dan (internal) Control. Di sini C bermakna Control. [IIA sendiri tidak menggunakan singkatan GRC secara resmi.]

Baik C sebagai Compliance maupun Control, benang merah GRC adalah risiko. Itulah alasan pemilihan judul buku ini, Audit Internal Berbasis Risiko.

Acuan utama buku ini adalah berbagai terbitan IIA dan Internal Audit Foundation-nya, seperti Common Body of Knowlege, IPPF (International Professional Practices Framework), dan Three Lines of Defense. Pembahasan dalam bab terakhir, Internal Audit Maturity, disadur dari Sawyer’s Internal Auditing (edisi ke 7, tahun 2019), dengan contoh dari IIA Australia.

Kasus-kasus Indonesia, dari sektor publik, BUMN, dan perusahaan- perusahaan Tbk., disajikan untuk menjelaskan gagasan-gagasan GRC dan sebagai bahan diskusi kelas.