SAP GRC 面试问题

尊敬的读者，这些SAP GRC 面试问题专为帮助您了解在SAP GRC主题面试中可能遇到的问题类型而设计。根据我的经验，优秀的考官在面试中很少会计划提出任何特定问题，通常问题会从该主题的一些基本概念开始，然后根据进一步的讨论和您的回答继续下去。

SAP GRC 的用途是什么？

SAP 治理、风险和合规性解决方案使组织能够管理法规和合规性，并消除管理组织关键运营中的任何风险。根据不断变化的市场形势，组织正在发展和迅速变化，不合适的文档、电子表格不被外部审计师和监管机构接受。

您可以在 SAP GRC 中执行哪些不同的活动？

SAP GRC 帮助组织管理其法规和合规性，您可以执行以下活动：

轻松将 GRC 活动集成到现有流程中并自动化关键 GRC 活动。
低复杂性和高效的风险管理。
改进风险管理活动。
有效地管理业务流程中的欺诈和审计。
组织绩效更好，公司可以保护其价值观。
SAP GRC 解决方案包含三个主要领域：分析、管理和监控。

您使用过哪些不同的 GRC 模块？

SAP GRC 访问控制
SAP GRC 流程控制
SAP GRC 风险管理
SAP GRC 审计管理
SAP GRC 欺诈管理
GRC 全球贸易服务

SAP GRC 访问控制下的关键活动是什么？

为了降低组织的风险，需要执行风险控制作为合规性和法规实践的一部分。应明确定义责任，管理角色配置和管理超级用户的访问对于管理组织中的风险至关重要。

SAP GRC 中的流程控制与访问控制有何不同？

SAP GRC 流程控制用于实时监控任务和报告，您可以根据业务流程生成就位控制的合规性状态，并将业务流程与执行风险预防和缓解措施对齐。

GRC 风险管理的用途是什么？

SAP GRC 风险管理允许您管理风险管理活动。您可以进行预先规划以识别业务中的风险，并实施措施来管理风险，并允许您做出更好的决策以提高业务绩效。

有哪些不同类型的风险？

风险有多种形式：

运营风险
战略风险
合规风险
财务风险

什么是 SAP GRC 审计管理？

这用于通过记录工件、组织工作底稿和创建审计报告来改进组织中的审计管理流程。您可以轻松地与其他治理、风险和合规性解决方案集成，并使组织能够将其审计管理策略与业务目标保持一致。

什么是 SAP GRC 欺诈管理？

SAP GRC 欺诈管理工具帮助组织尽早发现和预防欺诈，从而减少业务损失。可以对大量数据进行实时、更准确的扫描，并且可以轻松识别欺诈活动。

欺诈管理模块的关键功能是什么？

SAP 欺诈管理软件可以帮助组织具备以下功能：

轻松调查和记录欺诈案件。
提高系统警报和响应能力，以防止欺诈活动将来更频繁地发生。
轻松扫描大量交易和业务数据。

什么是全球贸易服务？

SAP GRC GTS 软件帮助组织在国际贸易管理限制范围内增强跨境供应。它有助于减少国际贸易法规机构的风险处罚。

它提供集中的全球贸易管理流程，并为所有合规性主数据和内容提供单一存储库，无论组织规模大小。

是否可以在 SAP 系统中同时锁定所有用户？

是的，使用 T 代码：EWZ5

什么是授权对象和授权对象类？

授权对象是用于规范 SAP 系统中活动的授权字段组。所有对象都属于授权类，并按不同的功能领域（如财务、会计等）分组。

如何使用 GRC 访问控制在 SAP 系统中执行用户授权？

SAP GRC 访问控制使用 UME 角色来控制系统中的用户授权。管理员可以使用表示用户可以用来构建访问权限的 UME 角色的最小实体的操作。

一个 UME 角色可以包含来自一个或多个应用程序的操作。您必须在用户管理引擎 (UME) 中将 UME 角色分配给用户。

什么是 UME 以及它是如何工作的？

用户管理引擎 (UME)。当用户无权访问某个选项卡时，当用户尝试访问该选项卡时，该选项卡将不会在用户登录时显示。仅当为该选项卡分配了该特定用户的 UME 操作时，他才能访问该功能。

所有可用的 CC 选项卡标准 UME 操作都可以在管理员用户的“已分配操作”选项卡中找到。

在实施时可以创建哪些 CC 角色？

CC.ReportingView

说明：合规性校准器显示和报告

CC.RuleMaintenance

说明：合规性校准器规则维护

CC.MitMaintenance

说明：合规性校准器缓解维护

CC.Administration

说明：合规性校准器管理和基础配置

什么是访问控制下的风险分析和补救？

风险分析和补救 (RAR) −

在 GRC 访问控制中，您可以使用风险分析和补救 (RAR) 功能来执行安全审计和职责分离 (SoD) 分析。它是一个工具，可用于识别、分析和解决与法规遵从性相关的风险和审计问题。

流程控制与 GRC 中的访问控制共享哪些关键活动？

访问控制和流程控制在以下领域共享合规性结构：

在流程控制解决方案中，控制用作 SAP GRC 10.0 解决方案中访问控制下的缓解控制。
访问控制和流程控制共享相同的组织。
在流程控制中，流程用作访问控制中的业务流程。
流程控制和访问控制与访问风险分析集成，以监控职责分离 SoD。

与风险管理共享的不同流程控制领域是什么？

GRC 角色分配
流程控制规划者
风险管理规划者
集中授权

什么是 IAM 内部审计管理？

内部审计管理允许您处理来自风险管理和流程控制的信息，以便在审计规划中使用。根据需要，审计建议可以转移到审计管理进行处理，并且审计项目可以用于生成报告问题。IAM 为您提供了一个可以执行完整审计规划、创建审计项目、定义审计范围以及创建和查看审计报告和审计问题的地方。

在 IAM 下可以执行哪些不同的活动？

在内部审计管理工作中心，您可以执行各种活动：

审计范围包含可审计实体
审计风险评级
审计规划以定义审计合规性程序
来自审计行动的审计问题
审计报告以查看可审计实体中存在的风险

什么是审计范围？

审计范围包含可审计实体，这些实体可以分类为业务单元、业务线或部门。审计实体定义了审计规划策略，这些策略可以与流程控制和风险管理相关联，以查找风险、控制等。

什么是审计风险评级 ARR？

审计风险评级用于定义组织查找风险评级并为风险评级建立排名的标准。每个可审计实体都根据 ARR 中的管理反馈进行评级。您可以使用 ARR 执行以下操作：

您可以找到一组可审计实体和风险因素
为每个可审计实体中的风险因素定义和评估风险评分。
根据风险评分，您可以对可审计实体进行评级。
您还可以通过比较不同可审计实体的风险评分从 ARR 生成审计计划。选择高风险评分的可审计实体并生成审计建议和审计计划建议。

GRC 中的报告和分析工作中心的用途是什么？

报告和分析工作中心由流程控制、风险管理和访问控制共享。流程控制报告和分析工作中心包含 GRC 应用程序中的合规性部分。

流程控制下有哪些不同的报告？

在合规性部分，您可以创建流程控制下的各种报告。

评估状态仪表板 −

显示整个不同业务实体的企业合规性整体状态的高级视图，并提供分析和深入分析功能，以便在不同级别和维度上查看数据。

调查结果 −

显示调查结果。

数据表 −

提供关于子流程和控制的主数据、评估和补救活动的全面信息。

什么是职责分离风险管理？

在每个业务中，都需要执行职责分离风险管理，从风险识别到规则构建验证以及其他各种风险管理活动，以遵循持续合规性。

根据不同的角色，需要在 GRC 系统中执行职责分离。

基于职责分离，常见角色及其主要职责是什么？

业务流程所有者 −

识别风险并批准要监控的风险。
批准涉及用户访问的补救措施。
设计控制以减轻冲突。
传达访问分配或角色更改。
执行积极的持续合规性。

高级主管 −

批准或拒绝业务领域之间的风险
批准选定风险的缓解控制

安全管理员 −

负责 GRC 工具和安全流程
设计和维护识别风险状况的规则
自定义 GRC 角色以执行角色和职责
分析和纠正角色级别的职责分离冲突

审计员 −

定期执行风险评估
提供审计目的的具体要求
定期测试规则和缓解控制
充当外部审计员之间的联络人

职责分离规则管理员 −

执行 GRC 工具配置和管理
维护对规则的控制以确保完整性
充当基础设施和 GRC 支持中心之间的联络人

GRC 风险管理的不同阶段是什么？

风险管理流程包含以下几个阶段 −

风险识别
规则构建和验证
分析
补救
缓解
持续合规

GRC 风险管理下的不同阶段是什么？

风险识别
规则构建和验证
分析
补救
缓解
持续合规

风险管理下的规则构建和验证是什么？

参考环境的最佳实践规则
验证规则
自定义和测试规则
针对测试用户和角色案例进行验证

如何执行风险分类？低、中、高风险分类之间有什么区别？

应根据公司政策对风险进行分类。您可以根据风险优先级和公司政策定义各种风险分类 −

严重 −

严重级别用于包含公司关键资产的风险，这些资产极有可能因欺诈或系统中断而受损。

高 −

这包括物质或金钱损失或系统范围的中断，包括欺诈、任何资产损失或系统故障。

中 −

这包括多个系统中断，例如覆盖系统中的主数据。

低 −

这包括生产力损失或系统故障的风险，这些风险因欺诈或系统中断而受损，损失最小。

您已为与消防相关的安全角色创建了自定义角色方法。但是，当您创建特定与消防相关的安全角色时，预期的使用方法未应用。可能是什么原因？

BRFplus 决策表不包含适当的条件。

预防性缓解控制和侦测性缓解控制之间有什么区别？

预防性缓解控制用于在风险实际发生之前降低其影响。您可以执行各种活动来进行预防性缓解控制 −

配置
用户出口
安全
定义工作流程
自定义对象

侦测性缓解控制 −

当收到警报并发生风险时，使用侦测性缓解控制。在这种情况下，负责启动纠正措施以减轻风险的人员。

您可以执行各种活动来进行侦测性缓解控制 −

活动报告
计划与实际审查的比较
预算审查
警报

超级用户权限管理在 GRC 中有什么用？

在 SAP GRC 10.0 中，需要在您的组织中实施超级用户权限管理，以消除贵公司当前紧急用户方法中遇到的过度授权和风险。

使用超级用户权限管理可以执行哪些关键功能？

您可以允许超级用户在受控且可审计的环境中执行紧急活动。
使用超级用户，您可以报告所有访问更高授权权限的用户活动。
您可以生成审计跟踪，用于记录使用更高访问权限的原因。
此审计跟踪可用于 SOX 合规性

超级用户可以充当消防员吗？

超级用户可以充当消防员，并具有以下附加功能 −

它可用于在紧急情况下执行超出其正常角色或配置文件的任务。
只有某些个人（所有者）可以分配消防员 ID。
它允许为用户提供扩展功能，同时创建一个审计层来监控和记录使用情况。

超级用户权限下管理员和所有者标准角色之间有什么区别？

您可以使用以下标准角色进行超级用户权限管理。

/VIRSA/Z_VFAT_ADMINISTRATOR −

配置消防员的能力
将消防员角色所有者和控制器分配给消防员 ID
运行报告

/VIRSA/Z_VFAT_ID_OWNER −

将消防员 ID 分配给消防员用户
上传、下载和查看消防员历史日志

如何检查超级用户日志？

使用 T-Code：事务：/n/VIRSA/ZVFAT_V01

使用全球贸易服务有哪些优势？

以下是使用全球贸易服务的主要优势 −

它有助于降低管理全球贸易合规性的成本和工作量。
它可以简化耗时的手动任务，并有助于提高生产力。
减少贸易合规违规的处罚
它可以帮助您创建和提升品牌形象，并避免与受制裁或被拒绝的方进行贸易。
更好的客户满意度和改进的服务质量。
通过执行海关清关，它可以加快进出境流程，并有助于消除不必要的延误。

单一角色和派生角色之间有什么区别？

对于单一角色，您可以添加/删除事务代码，而在派生角色中，您无法添加事务代码。

您对用户缓冲区有什么了解？

用户缓冲区存储用户的全部授权。

可以分配给用户的最大事务代码数量是多少？

您可以将 14000 个事务分配给一个角色。

如何删除旧的安全日志？

使用 SM18 事务代码。

如何在 SAP GRC 系统中实现消防员 ID？

实现消防员 ID 包括以下步骤 −

为每个业务流程区域创建消防员 ID
接下来是为执行消防任务分配必要的角色和配置文件。
不应分配配置文件 SAP_ALL

您对规则集有什么了解？GRC 系统中的默认规则集是什么？

多个规则的集合称为规则集。在 GRC 中，我们有称为全局规则集的默认规则集。

如何在 SAP 系统中执行角色修改？

使用 PFCG_TIME_DEPENDANCY 后台作业。

GRC 系统的架构是什么？

GRC 架构有两个系统 −

SAP GRC 开发
SAP GRC 生产，没有质量系统。

职责分离在 SAP 系统中的作用是什么？

在 SAP 系统中实施职责分离是为了检测和监控业务交易中的欺诈行为。

在 SAP 系统中存储非法密码详细信息的表名是什么？

表 USR40 用于存储所有非法密码详细信息。

如何配置用户登录 SAP GRC 系统？

您需要为用户分配以下角色才能登录 GRS 系统 −

门户授权
适用的 PFCG 角色
用于访问控制、流程控制和风险管理的 PFCG 角色

下一步是什么？

接下来，您可以回顾您过去完成的与主题相关的任务，并确保您能够自信地谈论它们。如果您是应届毕业生，面试官不会期望您回答非常复杂的问题，而是您必须使您的基础概念非常扎实。

其次，如果您无法回答一些问题，这并不重要，重要的是，无论您回答了什么问题，都必须充满自信地回答。所以在面试中要有自信。Tutorialspoint 祝您面试顺利，并祝您未来的事业一切顺利。干杯 :-)

sap_grc_questions_answers.htm

打印页面