Seringkali juga GRC (Governance, Risk management, dan Compliance) diterapkan sekedar untuk memenuhi kebutuhan regulator saja. Ada juga yang menerapkan konsep ini sebagai konsekuensi berubahnya status perusahaan mereka menjadi listed di sebuah bursa saham yang mensyaratkannya. Tapi sebenarya tidak apa-apa juga seperti itu sebagai langkah awal untuk memulai penerapan GRC secara lebih holistik. Memang ada beberapa pendekatan implementasi GRC yang dapat digunakan. Pendekatan-pendekatan ini cukup populer digunakan.
Pendekatan pertama adalah pendekatan dengan basis ceklis. Jadi baik implementer GRC maupun auditor akan berpegangan pada sebuah ceklis yang berisi daftar kebutuhan yang telah ditentukan untuk menguji kepatuhan dengannya. Pendekatan ini populer karena kesederhanaannya.
Kemudian pendekatan yang kedua adalah pendekatan yang basisnya adalah aset. Pendekatan ini mengidentifikasi seluruh aset informasi berikut kerawanannya (vulnerabilities) dan ancaman terhadap titik kerawanan tersebut. Kemudian dengan mempertimbangkan probabilitas terjadinya ancaman tersebut berikut dampak yang mungkin ditimbulkan, maka dapat diketahui tingkat paparan risiko (risk exposure) untuk setiap aset yang ada. Baru setelah itu, untuk aset yang memiliki tingkat paparan risiko melampaui batas toleransi risiko yang ditetapkan organisasi akan didefinisikan langkah-langkah mitigasi risikonya. Pendekatan ini seringkali digunakan oleh para konsultan dan praktisi ketika melakukan analisis risiko dalam rangka implementasi ISO 27001, walaupun sebenarnya ISO sendiri tidak merekomendasikan metode apapun untuknya.
Pendekatan implementasi ketiga adalah pendekatan berbasis insiden. Pada pendekatan ini dilakukan analisis terhadap riwayat penyimpangan yang ada, dengan berdasarkan pada laporan insiden, error yang terjadi, kegagalan sistem, dsb. Intinya pendekatan ini mengasumsikan bahwa jika terdapat permasalahan pada sistem, maka masalah tersebut pastilah dapat terlihat dari efeknya (ya, insiden itu). Pendekatan loss-event data collection yang direkomendasikan oleh Basel II dalam analisis risiko, merupakan salah satu contoh dari pendekatan berbasis insiden ini. Seberapa akuratkah metode ini? Apakah –misalnya—jika ada kerusakan pada salah satu organ tubuh kita pasti akan langsung kita rasakan efeknya? Bukankah seringkali efek baru akan kita rasakan setelah tingkat kerusakan organ kita mencapai tingkatan/stadium tertentu. Dan pada kondisi ini seringkali sudah terlambat untuk melakukan tindakan penyembuhannya.
