Racz, N. (2011). Governance, risk & compliance (GRC) for information systems : towards an integrated approach [Dissertation, Technische Universität Wien]. reposiTUm. https://resolver.obvsg.at/urn:nbn:at:at-ubtuw:1-43830
governance; risk management; compliance; GRC; integration; information technology
en
Abstract:
Die Abkürzung "GRC" für Governance, Risk & Compliance hat in den letzten Jahren in Unternehmen stark an Aufmerksamkeit hinzugewonnen. Die primäre Bedeutung des Akronyms - ein Integrationsansatz für die drei GRC-Disziplinen - wurde jedoch bisher von der wissenschaftlichen Forschung ignoriert.<br />Für die Forschung im Bereich von Informationssystemen ist GRC auf zwei Arten relevant: als "GRC für IT" (IT GRC) und als "IT für GRC" (GRC Software). Die vorliegende Dissertation berücksichtigt beide Szenarien und zeigt die ersten Schritte in Richtung eines integrierten GRC-Ansatzes für Informationssysteme auf. Das primäre Ziel der Arbeit ist die Entwicklung eines Prozessmodels auf hoher Ebene für integrierte GRC im IT-Management. Das sekundäre Ziel ist es, zukünftige GRC-Forschung besser zu ermöglichen, indem Erkenntnisse bezüglich des Status Quo von GRC in Unternehmen bereit gestellt werden und eine wissenschaftliche Basis für GRC-Forschung geschaffen wird. Die Validität der Ergebnisse ist durch die Analyse von GRC in der Praxis, durch die Anwendung etablierter "Best Practice" Frameworks und durch Umfragen unter Experten gesichert.<br />Zur Erreichung der beiden Ziele ist das Forschungsprojekt in sechs Arbeitspakete (Kapitel 4-9) aufgeteilt. Zuerst gibt eine Publikationsstudie in Kapitel 4 einen Überblick über GRC Forschung, treibende Kräfte und Themen im Rahmen von GRC. Aus existierenden Definitionen und Umfragen wird eine wissenschaftliche Kurzdefinition abgeleitet und in einer Umfrage von GRC-Experten validiert. Basierend auf der Definition wird ein Forschungsrahmen erstellt. In Kapitel 5 werden die Ansichten von Softwareherstellern und Marktforschungsunternehmen anhand einer explorativen Umfrage analysiert.<br />In Kapitel 6 wird der Status Quo von GRC und GRC Softwarenutzung in Großunternehmen anhand einer detaillierten quantitativen Umfrage untersucht. In Kapitel 7 wird das momentane Management von IT GRC in drei Großunternehmen erforscht, um den Fokus auf GRC im Umfeld der Informationstechnologie zu verschieben. Das achte Kapitel vergleicht Frameworks für Enterprise- und IT-Risikomanagement. Im letzten Schritt in Kapitel 9 wird ein Prozessmodell für integriertes IT GRC Management auf hoher Ebene entwickelt. Die Dissertation leistet mehrere Beiträge zur Informationssystems-Forschung. Erkenntnisse bezüglich GRC-Publikationen und Perspektiven von Softwareherstellern und Marktforschungsunternehmen werden präsentiert. Der Status Quo von GRC, GRC Software und IT GRC in Großunternehmen wird untersucht. Eine wissenschaftliche Basis für GRC-Forschung wird bereitgestellt. Zahlreiche Möglichkeiten für zukünftige Forschung in diesem Bereich werden vorgeschlagen. Die Redundanz separater IT-Risikomanagement-Frameworks wird identifiziert.<br />Das Prozessmodell für IT GRC erklärt erstmalig die Integration von Governance, Risikomanagement und Compliance über die Prozesse der drei Disziplinen hinweg. Die Ergebnisse dieser Arbeit können von der Forschung verwendet werden, um über integrierte GRC im Allgemeinen und über die Beziehung von GRC zu Informationstechnologie im Speziellen zu lernen. Sie dient zudem zur Navigation in der GRC-Forschung und zur Entdeckung von neuen Forschungsmöglichkeiten.<br />
de
Governance, Risk & Compliance (GRC) is an important topic in the business and technology world. The dominant notion of the acronym - an integrated approach to the three disciplines of GRC - has so far been ignored by scientific research.<br />For information systems research, GRC is relevant from the two perspectives of "GRC for IT" (IT GRC) and "IT for GRC" (GRC software).<br />This dissertation considers both views, taking the first steps towards an integrated GRC approach for information systems. The primary goal is the development of a high-level process model for integrated governance, risk, and compliance in information technology management. The secondary goal is to enable future GRC research through provision of insights on the status quo of GRC in business and through creation of a scientific basis for GRC research. The validity of the results is ensured through analysis of GRC in practice, through application of widely used best practice frameworks and through surveys among experts.<br />To achieve the two goals the research project presented is subdivided into six research chapters. First, a literature review gives an overview of GRC research, of publications and of driving forces and topics within GRC. From existing definitions and surveys a scientific short-definition is derived and validated in a survey among GRC professionals. Based on the definition a frame of reference for research of GRC is constructed.<br />Second, software vendor and market research perspectives on state-of-the-art GRC software are analysed by means of an exploratory survey. Third, the status quo of GRC and GRC software use in large enterprises is examined through a detailed quantitative survey. Fourth, in order to turn towards IT GRC the status quo of IT GRC management in three large enterprises is investigated. Fifth, enterprise and IT risk management frameworks are compared. Sixth and last, a high-level process model for integrated IT GRC management is developed.<br />The dissertation contributes to information systems research in several ways. Findings on GRC literature, software vendor and market research perspectives are presented. The status quo of GRC, GRC software, and IT GRC in large enterprises is examined. A scientific foundation for GRC research is provided and various possibilities for future research are identified. The redundancy of separate IT risk management frameworks is discovered. The process model for IT GRC for the first time explains the integration of governance, risk management, and compliance across processes of the three disciplines. The work at hand can be used by research to learn about integrated GRC and about its relation to IT, about how to navigate within GRC research, and about GRC research opportunities.
