Strategisches GRC-Management : Anforderungen, Forschungsagenda und datenseitiges Modell

GRC as an acronym for governance, risk and compliance is currently looked at as a catchword and implemented with short-term, isolated initiatives. GRC is more considered to be a burden for the business and opportunities for integration as well as the strategic relevance of the topic is not recognized, which makes it difficult to realize potential benefits and synergies. Even though first GRC approaches exist, the overall topic area remains quite unstructured and is not narrowed down precisely. Detailed questions, which are relevant for the topic area, like automation of compliance controls and risk measures, modeling of GRC information as well as the determinants of compliance behavior cannot be sorted into their overall context. The research work at hand therefore aims to establish a basic understanding of an integrated and strategically oriented GRC management, which is called strategic GRC management. For this purpose, this research identifies requirements for such an approach based on an exhaustive and structured literature review, discusses the current state of research in this field and develops a research agenda. These research results are evaluated with a three round Delphi study which at the same time determines the importance of the requirements and the research needs and thereby enables its prioritization. Furthermore, a data-centred model for strategic GRC management, which depicts the structural relationships of GRC on the level its information, is constructed. The data model is demonstrated based on an example and evaluated using published practical examples. This research work provides, specifically with the research agenda, various research opportunities. The requirements and the data-centred model enable the assessment and further development of GRC related management systems in company practice.

GRC als Akronym für "Governance, Risk and Compliance" wird gegenwärtig in der Unternehmenspraxis überwiegend als Schlagwort aufgegriffen und durch isolierte, kurzfristige Initiativen umgesetzt. GRC wird mehrheitlich als Bürde gesehen und die Integrationsmöglichkeiten sowie die strategische Bedeutung des Themas werden unzureichend erkannt, wodurch Nutzenpotentiale und mögliche Synergieeffekte nicht genutzt werden können. Obwohl erste integrierte GRC-Ansätze existieren, ist das Thema bislang wenig strukturiert und die Eingrenzung bleibt vage. Relevante Detailfragen, wie die Automatisierung der Compliance-Sicherung und Risikosteuerung, die Modellierung von GRC-Informationen und die Determinanten des Compliance-Verhaltens können nur schwer in den Gesamtzusammenhang eingeordnet werden. Die vorliegende Arbeit verfolgt daher das Ziel der Grundlegung eines allgemeinen Verständnisses für ein integriertes und strategisch ausgerichtetes Management von GRC, das als strategisches GRC-Management bezeichnet wird. Hierfür werden basierend auf einem umfangreichen Literaturreview Anforderungen an das strategische GRC-Management hergeleitet, der Forschungsstand strukturiert analysiert und eine Forschungsagenda entwickelt. Diese Forschungsergebnisse werden durch eine Delphi-Studie bestehend aus drei Befragungsrunden abgesichert. Die Studie bestimmt zudem die Bedeutung der einzelnen Anforderungen und Forschungsbedarfe, wodurch eine Priorisierung ermöglicht wird. Darüber hinaus wird ein datenseitiges Modell für das strategische GRC-Management entwickelt, das die strukturellen Zusammenhänge von GRC auf Informationsebene darstellt. Das Datenmodell wird an Hand eines Beispiels demonstriert und mit Hilfe einer Auswertung von publizierten Praxisbeispielen evaluiert. Die Arbeit stellt durch die Forschungsagenda vielfältige Anknüpfungspunkte für weitere Forschung zur Verfügung. Die Anforderungen sowie das datenseitige Modell ermöglichen eine Bewertung und Weiterentwicklung des GRC-Managements in der Unternehmenspraxis.