Toward an Ontology of Workarounds: A Literature Review on Existing Concepts

While workarounds are studied frequently in information systems research, a coherent and interrelated structure to organize the knowledge of the field is still missing. In this study, we provide a first step towards an ontology of workarounds in order to enable researchers to study the relationships among the core concepts. By identifying existing literature, we discover three gaps in workaround research: (1) lack of conceptual consensus, (2) fragmentation and (3) static perspective. To advance theory, we provide an overview of different types of workarounds that are frequently used in literature. Based on these findings we derive core concepts of workarounds that are used in literature and provide an ontology of workarounds

ON THE EMERGENCE OF SHADOW IT - A TRANSACTION COST-BASED APPROACH

Information Technology (IT) used for business processes is not only provided by the organization´s IT department. Business departments and users autonomously implement IT solutions, which are not embedded in the organizational IT service management. This increasingly occurring phenomenon is called Shadow IT. The various opportunities and risks of Shadow IT challenge organizations and call for approaches to manage the phenomenon. An initial point to achieve measurable indications for the management is to explain why Shadow IT emerges. Therefore, this paper explores the business decision to implement Shadow IT. Based on existing research we derive that Shadow IT is created after a make-or-buy decision, which is substantiated in the Transaction Cost Theory. We deploy a triangulation approach using the methods expert interviews and multiple-case study to investigate Shadow IT emergence. Our findings identify prohibitive transaction costs in the exchange relation between business and IT departments, influnced by misalignment, as the main explanation. We conclude that the principles of Transaction Cost Theory may be applied to develop governance structures for managing Shadow IT. This strengthens the link between IT Governance and Business IT Alignment and expands the understanding of business integration within the IT domains of an organization

Yrityksen toiminnanohjausjärjestelmän käyttövaltuushallinnan kehittäminen arvon näkökulmasta

Toiminnanohjausjärjestelmät ovat tietojärjestelmiä, joilla yritysten eri prosessit ja toiminnot voidaan integroida, ja siten niitä on jo pitkään hyödynnetty toiminnan tukena. Järjestelmissä käsitellään yritysten liiketoimintakriittistä dataa ja informaatiota, ja tästä syystä turvallisuudesta on kehittynyt tärkeä teema toiminnanohjausjärjestelmien parissa, muodostuen myös yhdeksi maailmanlaajuisten organisaatioiden pääongelmaksi. Tästä huolimatta tutkimusta aihepiiristä on huomattavan vähän. Tässä työssä vastataan tähän puutteeseen tarkastelemalla toiminnanohjausjärjestelmän käyttövaltuushallinnan kehittämistä arvon näkökulmasta. Tutkimuksessa selvitetään, millaista liiketoiminnallista arvoa asiakasyritykset tavoittelevat toiminnanohjausjärjestelmän käyttövaltuushallinnan kehityksellä, mitä tekijöistä asiakasyritykset pitävät projekteissa tärkeinä ja miten palveluntarjoaja voi tukea asiakasta arvon toteutumisen näkökulmasta. Käyttövaltuushallinta itsessään on osa suurempaa turvallisuuden alaa, identiteetin- ja pääsynhallintaa, ja se näkyy käyttäjälle selkeimmin käyttövaltuuksissa, eli mitä käyttäjä pystyy konkreettisesti tekemään järjestelmässä. Käyttäjä tulee tunnistaa ennen järjestelmään pääsyä ja käyttäjällä tulee olla käyttövaltuuksia (eli käyttöoikeuksia) itse järjestelmän sisällä, jotta toimintojen suorittamien järjestelmässä olisi mahdollista. Käyttövaltuushallinta on kuitenkin useimmiten puutteellista toiminnanohjausjärjestelmissä ja tämä edelleen altistaa yrityksiä tieto-turvauhille. Käyttövaltuushallinnan puutteellisuus voi johtaa vakaviin väärinkäytöksiin ja jopa petoksiin, ja tästä syystä se muodostui työn tutkimusongelmaksi. Työ toteutettiin laadullisena tutkimuksena ja datankeruu suoritettiin puolistrukturoiduilla haastatteluilla ja havainnoinnilla. Haastattelun kohteena oli kolme eri asiakasyritysten edustajaa, joiden yrityksessä oli suoritettu tai suoritettiin parhaillaan käyttövaltuushallinnan kehitystä toiminnanohjausjärjestelmässä. Lisäksi työssä haastateltiin kahta eri konsulttia, jotka toimivat palveluntarjoajalla käyttövaltuushallinnan kehitysprojekteissa asiantuntijoina. Pienen otannan vuoksi työssä myös päädyttiin havainnoimaan neljättä asiakasyritystä, jossa oli työn toteutuksen aikana parhaillaan käynnissä käyttövaltuushallinnan kehitysprojekti. Työssä käytettiin abduktiivista lähestymistapaa, joten aineiston analyysissä hyödynnettiin sekä kirjallisuuskatsauksessa että aineistosta esiin nousevia teemoja. Tutkimuksen avulla saatiin vahvistusta tutkimusongelman olemassaoloon. Tutkimuksen mukaan toiminnanohjausjärjestelmien turvallisuuden ja käyttövaltuushallinnan ennaltaehkäisevää merkitystä ei usein tunnisteta. Suurin motiivi kehittää käyttövaltuushallintaa on muodostunut asiakkaille IT-tarkastusten havaintojen myötä. Tärkeimmät tavoiteltavat hyödyt käyttövaltuushallinnassa ovat tutkimuksen perusteella roolirakenteiden, hallintamallien ja konseptien ylläpidettävyys sekä helppokäyttöisyys, riskien vähentäminen ja kustannusten pienentäminen. Tuloksissa kuitenkin korostuu tasapaino riittävän suojauksen kustannusten ja hyväksytyn riskitason välillä. Lisäksi työssä tunnistettiin käyttövaltuushallinnan kehityksen merkittävimmäksi uhraukseksi toiminnan ketteryyden menetyksen. Mitä palveluntarjoajan käyttöön ja rooliin projektissa tulee, asiakkaat pitivät tärkeimpänä palveluntarjoajan asiantuntijuutta ja innovatiivisuutta. Lisäksi projekteissa oli tärkeää hyvät projektinhallinnalliset menetelmät ja projektitiimin oikea kokoonpano. Arvon näkökulmasta tutkimuksessa tunnistettiin sekä palveluntarjoajan, että asiakkaan roolin olevan merkittäviä arvon luomisessa ja sen toteutumisessa. Aihealuetta on kuitenkin syytä tutkia lisää myös tulevaisuudessa yleistettävimpien tulosten saamiseksi. Enterprise Resource Planning (ERP) systems are information systems that can be used to integrate the various processes and functions of companies, and thus they have long been used to support operations. ERP systems deal with business-critical data and information of companies, which is why security has become an important theme in ERP environments, be-coming one of the main problems of global organizations. Despite this, there is remarkably little research on the subject. This work responds to this shortcoming by examining the development of the ERP system's authorization management from the perspective of value. The aim of the study is to find out what kind of business value companies are trying to achieve through the development of authorization management of the ERP system, what factors the companies consider important in the projects, and how an external service provider can support the customer from the aspect of value realization. Authorization management itself is part of a larger field of security, Identity and Access Management, and it is most clearly visible to the user in access rights, that is, what the user can concretely do in the system. The user must be identified before entering the system and the user must have access rights within the system itself in order to enable the performance of functions in the system. However, authorization management is often deficient in ERP systems, and this further exposes companies to information security threats. The lack of authorization management can lead to serious misconduct and even fraud, and for this reason it is the research problem in this study. The study was carried out as a qualitative study and the data collection was conducted through semi-structured interviews and observation study. Three representatives of different customer companies were interviewed. The companies are currently developing their authorization management in their ERP system or have had a development project in the past. In addition, two different consultants were interviewed. The consultants work as experts in the service provider's authorization management development projects. Due to the small sampling, observation was also carried out for a company, that was currently running a development project for authorization management during the study. An abductive approach was used in the data analysis; therefore, the analysis themes emerged both from the literature review and the interview and observation data. The study achieved to confirm the existence of the research problem. The study found that the preventive importance of security and authorization management of ERP systems is rarely recognized. The main motive for developing authorization management has been formed for customers through the findings of IT audits. The main benefits to be gained from authorization management, as identified in the study, are maintainability of role structures, governance models and concepts, ease of use, risk reduction and cost reduction. However, the results highlight the balance between the cost of adequate protection and the level of risk accepted. In addition, the work identified the loss of operational agility as the most significant sacrifice in the development of authorization management. As for the use and role of the service provider in the project, customers considered the expertise and innovativeness of the service provider to be the most important factors. In addition, good project management methods and the correct com-position of the project team were important in the projects. From the perspective of value, the study identified the role of both the service provider and the customer as significant in creating value and its realization. Further research in this area is needed in order to obtain more generalizable results

Narrating an organisational matter of fact: Negotiating with enterprise resource planning technology to achieve order within a traditional academic administration.

This thesis draws upon social science contributions related to the study of organisations in order to understand how working information systems are created. Its main concern is the process of negotiating through IT-enabled change as actors work to design, implement, install, and use a standard software package in their daily administrative activities. In other words we consider how Enterprise Resource Planning (ERP) software becomes accepted across diverse groups as an institutional matter of fact - an unquestioned part of the institutional narrative. We argue that in spite of the complexity of implementing ERP technology, the actions and events that lead to their creation as an organisational fact rely on communication and coordination across groups with conflicting political and social agendas. These groups negotiate with the ERP technology in an attempt to enrol the software as a delegate for their goals. To develop the argument, we employ a novel interpretation of actor-network theory routed in the field of science and technology studies (STS). These theoretical foundations inform the collection and analysis of narrative data from one in-depth study of longitudinal change. The case centres on an Ivy League University who partnered with a multinational ERP vendor to create a standard software package to be sold to higher education institutions around the world. The study follows the negotiations involved in creating a standard package and their subsequent attempts to naturalise the standard software into local administrative practices. The application of the theoretical concepts constitutes a contribution in information systems research because it presents a novel interpretation of technology's role within contemporary society. This thesis also contributes to the use of actor- network theory within the IS field because the narrative research approach adopted allowed us to highlight aspects of the theory that have as yet been under used. Furthermore, these findings are useful for business leaders, and IS professionals who might reconceptualise the details of negotiating through IT-enabled change initiatives. The thesis concludes by arguing that negotiating with technology necessarily implies the reordering of organisational reality through design, implementation, and customisation activities