Perguntas da entrevista SAP GRC

Qual é o uso do SAP GRC?

A solução SAP Governance, Risk and Compliance permite que a organização gerencie regulamentações e conformidade e remova qualquer risco no gerenciamento das operações principais da organização. Conforme a situação do mercado em constante mudança, as organizações estão crescendo e mudando rapidamente e com documentos inadequados, planilhas não são aceitáveis para auditores externos e reguladores.

Quais são as diferentes atividades que você pode executar no SAP GRC?

SAP GRC ajuda a organização a gerenciar seus regulamentos e conformidade e você pode realizar as seguintes atividades -

Fácil integração de atividades de GRC no processo existente e automatização das principais atividades de GRC.
Baixa complexidade e gerenciamento eficiente de riscos.
Melhorar as atividades de gerenciamento de risco.
Gerenciando fraudes em processos de negócios e gerenciamento de auditoria de forma eficaz.
As organizações têm um desempenho melhor e as empresas podem proteger seus valores.
A solução SAP GRC consiste em três áreas principais: Analisar, gerenciar e monitorar.

Quais são os diferentes módulos GRC nos quais você trabalhou?

Controle de acesso SAP GRC
Controle de processo SAP GRC
Gerenciamento de Risco SAP GRC
Gerenciamento de auditoria SAP GRC
SAP GRC Fraud Management
GRC Global Trade Services

Quais são as principais atividades do SAP GRC Access Control?

Para mitigar o risco em uma organização, é necessário realizar o controle de risco como parte da prática de conformidade e regulamentação. As responsabilidades devem ser claramente definidas, o gerenciamento de provisionamento de funções e o gerenciamento de acesso para superusuário são essenciais para o gerenciamento de riscos em uma organização.

Como o controle de processo é diferente do controle de acesso no SAP GRC?

O controle de processo SAP GRC é usado para monitorar tarefas e relatórios em tempo real e você pode gerar o status de conformidade dos controles em vigor de acordo com os processos de negócios e alinhando os processos de negócios para realizar a prevenção e mitigação de riscos.

Qual é a utilidade do GRC Risk Management?

O gerenciamento de riscos SAP GRC permite que você gerencie as atividades de gerenciamento de riscos. Você pode fazer um planejamento antecipado para identificar riscos nos negócios e implementar medidas para gerenciar riscos e permitir que você tome decisões melhores que melhorem o desempenho dos negócios.

Quais são os diferentes tipos de risco?

Os riscos vêm em muitas formas -

Risco operacional
Risco Estratégico
Riscos de conformidade
Risco financeiro

O que é gerenciamento SAP GRC Audit?

Isso é usado para melhorar o processo de gerenciamento de auditoria em uma organização, documentando artefatos, organizando papéis de trabalho e criando relatórios de auditoria. Você pode se integrar facilmente com outra solução de governança, risco e conformidade e permite que as organizações alinhem as políticas de gerenciamento de auditoria com os objetivos de negócios.

O que é SAP GRC Fraud Management?

A ferramenta de gerenciamento de fraudes SAP GRC ajuda as organizações a detectar e prevenir fraudes em um estágio inicial, reduzindo assim a perda de negócios. As varreduras podem ser realizadas em uma grande quantidade de dados em tempo real com mais precisão e atividades fraudulentas podem ser facilmente identificadas.

Quais são os principais recursos do módulo de gerenciamento de fraude?

O software SAP Fraud Management pode ajudar as organizações com os seguintes recursos -

Fácil investigação e documentação de casos de fraude.
Aumente o alerta e a capacidade de resposta do sistema para evitar que atividades fraudulentas ocorram com mais frequência no futuro.
Digitalização fácil de grandes volumes de transações e dados de negócios.

O que é Global Trade Services?

O software SAP GRC GTS ajuda as organizações a aprimorar o fornecimento internacional dentro dos limites da gestão do comércio internacional. Ele ajuda a reduzir a penalidade de riscos das autoridades de regulamentação do comércio internacional.

Ele fornece um processo centralizado de gerenciamento de comércio global com um único repositório para todos os dados mestre de conformidade e conteúdo, independentemente do tamanho de uma organização.

É possível bloquear todos os usuários ao mesmo tempo no sistema SAP?

Sim, usando o código T: EWZ5

O que é objeto de autorização e classe de objeto de autorização?

Objetos de autorização são grupos de campos de autorização usados para regular atividades no sistema SAP. Todos os objetos vêm na classe de autorização e agrupados por diferentes áreas funcionais, como finanças, contabilidade, etc.

Como você executa a autorização do usuário no sistema SAP usando o controle de acesso GRC?

O controle de acesso SAP GRC usa funções UME para controlar a autorização do usuário no sistema. Um administrador pode usar ações que representam a menor entidade de função do UME que um usuário pode usar para criar direitos de acesso.

Uma função do UME pode conter ações de um ou mais aplicativos. Você deve atribuir funções do UME aos usuários no mecanismo de gerenciamento de usuários (UME).

O que é UME e como funciona?

Mecanismo de gerenciamento de usuários (UME). Quando um usuário não tem acesso a uma determinada guia, a guia não será exibida no logon do usuário quando o usuário tentar acessar essa guia. Quando uma ação do UME para uma guia é atribuída a esse usuário específico, só então ele poderá acessar essa função.

Todas as ações padrão do UME disponíveis para as guias CC podem ser encontradas na guia “Ações atribuídas” do usuário administrador.

Quais são as funções CC que podem ser criadas no momento da implementação?

CC.ReportingView

Descrição: Exibição e relatório do calibrador de conformidade

CC.RuleMaintenance

Descrição: Manutenção da regra do calibrador de conformidade

CC.MitMaintenance

Descrição: Manutenção de Mitigação do Calibrador de Conformidade

CC.Administration

Descrição: Administração do Calibrador de Conformidade e Configuração Básica

O que é Análise e Correção de Risco sob Controle de Acesso?

Risk Analysis and Remediation (RAR) −

No controle de acesso GRC, você pode usar o recurso Análise e Correção de Riscos (RAR) para realizar uma auditoria de segurança e análise de segregação de funções (SoD). É uma ferramenta que pode ser usada para identificar, analisar e resolver problemas de risco e auditoria relacionados à conformidade regulatória.

Quais são as principais atividades que o controle de processo compartilha com o controle de acesso no GRC?

O controle de acesso e o controle de processo compartilham a estrutura de conformidade nas áreas abaixo -

Na solução de controle de processo, os controles são usados como controle de mitigação no controle de acesso sob a solução SAP GRC 10.0.
O controle de acesso e o controle de processo compartilham a mesma organização.
No controle de processos, os processos são usados como processos de negócios no controle de acesso.
O controle de processo e o controle de acesso são integrados à análise de risco de acesso para monitorar a segregação de funções SoD.

Quais são as diferentes áreas de controle de processo que são compartilhadas com o gerenciamento de riscos?

Atribuição de função de GRC
Planejador de controle de processo
Planejador de gerenciamento de risco
Delegação Central

O que é gerenciamento de auditoria interna do IAM?

O gerenciamento de auditoria interna permite que você processe as informações do gerenciamento de riscos e do controle de processos para uso no planejamento de auditoria. A proposta de auditoria pode ser transferida para o gerenciamento de auditoria para processamento quando necessário e os itens de auditoria podem ser usados para gerar problemas para relatórios. O IAM fornece um local onde você pode realizar um planejamento de auditoria completo, criar itens de auditoria, definir o universo de auditoria e criar e visualizar relatórios de auditoria e problemas de auditoria.

Quais são as diferentes atividades que podem ser realizadas no IAM?

No centro de trabalho Gerenciamento de auditoria interna, você pode realizar várias atividades -

Audit Universe contém entidades auditáveis
Classificação de risco de auditoria
Planejamento de auditoria para definir procedimento para conformidade de auditoria
Problemas de auditoria de ações de auditoria
Relatórios de auditoria para ver quais riscos existem em entidades auditáveis

O que é um universo de auditoria?

O Universo de auditoria contém entidades de auditoria que podem ser classificadas como unidades de negócios, Lob's ou departamentos. As entidades de auditoria definem a estratégia de planejamento de auditoria e estes podem ser vinculados ao controle de processos e gestão de riscos para encontrar riscos, controles, etc.

O que é classificação de risco de auditoria ARR?

A classificação de risco de auditoria é usada para definir os critérios para uma organização encontrar a classificação de risco e estabelecer a classificação para a classificação de risco. Cada entidade audível é classificada de acordo com o feedback da administração no ARR. Você pode usar o ARR para executar o seguinte -

Você pode encontrar um conjunto de entidades auditáveis e fatores de risco
Defina e avalie as pontuações de risco para o fator de risco em cada entidade auditável.
De acordo com a pontuação de risco, você pode classificar a entidade auditável.
Você também pode gerar um plano de auditoria do ARR comparando as pontuações de risco para diferentes entidades auditáveis. Selecionar as entidades auditáveis de pontuação de alto risco e gerar proposta de auditoria e proposta de plano de auditoria.

Qual é o uso do Report and Analytics Work Center no GRC?

O centro de trabalho de relatórios e análises é compartilhado por controle de processos, gerenciamento de riscos e controle de acesso. O centro de trabalho Relatórios de controle de processos e análises consiste na seção Conformidade no aplicativo GRC.

Quais são os diferentes relatórios em Controle de processo?

Na seção de conformidade, você pode criar vários relatórios em Controle de processo.

Evaluation Status Dashboard -

Mostra uma imagem de alto nível do status geral da conformidade corporativa em diferentes entidades de negócios e fornece recursos de análise e detalhamento para visualizar dados em diferentes níveis e dimensões.

Survey Results -

Exibe os resultados das pesquisas.

Datasheet -

Fornece informações abrangentes sobre dados mestre, avaliação e atividades de remediação para subprocessos e controles.

O que é gerenciamento de risco SoD?

Em todos os negócios, é necessário realizar o gerenciamento de riscos de segregação de funções, começando do reconhecimento de riscos à validação da construção de regras e várias outras atividades de gerenciamento de riscos para seguir a conformidade contínua.

De acordo com as diferentes funções, é necessário realizar a segregação de funções no sistema GRC.

Com base no SoD, quais são as funções comuns e suas principais funções?

Business Process Owners -

Identifique os riscos e aprove os riscos para monitoramento.
Aprove a correção envolvendo o acesso do usuário.
Projete controles para mitigar conflitos.
Comunique atribuições de acesso ou mudanças de função.
Execute conformidade contínua proativa.

Senior Officers -

Aprovar ou rejeitar riscos entre áreas de negócios
Aprovar controles de mitigação para riscos selecionados

Security Administrators -

Assuma a propriedade das ferramentas de GRC e do processo de segurança
Projetar e manter regras para identificar condições de risco
Personalize funções de GRC para impor funções e responsabilidades
Analisar e corrigir conflitos de SoD no nível da função

Auditors -

Realize a avaliação de risco regularmente
Fornece requisitos específicos para fins de auditoria
Realizar testes periódicos de regras e controles de mitigação
Atuar como contato entre auditores externos

SoD Rule Keeper -

Execute a configuração e administração da ferramenta GRC
Manter controles sobre as regras para garantir a integridade
Atuar como base de ligação entre e centro de suporte GRC

Quais são as diferentes fases do gerenciamento de riscos de GRC?

Existem várias fases no processo de gestão de risco -

Reconhecimento de Risco
Criação e validação de regras
Analysis
Remediation
Mitigation
Conformidade Contínua

Quais são as diferentes fases do gerenciamento de riscos em GRC?

Reconhecimento de Risco
Criação e validação de regras
Analysis
Remediation
Mitigation
Conformidade Contínua

O que é construção e validação de regras no gerenciamento de riscos?

Consulte as regras de práticas recomendadas para o meio ambiente
Validando as regras
Personalize regras e teste
Verificar contra usuários de teste e casos de função

Como você executa a classificação de risco? Qual é a diferença entre a classificação de baixo, médio e alto risco?

O risco deve ser classificado de acordo com a política da empresa. Existem várias classificações de risco que você pode definir de acordo com a prioridade de risco e a política da empresa -

Critical -

A classificação crítica é feita para riscos que contêm ativos críticos da empresa que têm grande probabilidade de serem comprometidos por fraude ou interrupções do sistema.

High -

Isso inclui perda física ou monetária ou interrupção de todo o sistema, incluindo fraude, perda de qualquer ativo ou falha de um sistema.

Medium -

Isso inclui várias interrupções do sistema, como sobrescrever dados mestre no sistema.

Low -

Isso inclui o risco em que as perdas de produtividade ou falhas do sistema comprometidas por fraude ou interrupções e perdas do sistema sejam mínimas.

Você criou uma metodologia de função customizada para suas funções de segurança relacionadas a bombeiros. No entanto, ao criar uma função de segurança específica relacionada ao combate a incêndios, a metodologia esperada não é aplicada. Qual seria a razão?

A tabela de decisão do BRFplus não contém a condição adequada.

Qual é a diferença entre os controles de mitigação preventiva e os controles de mitigação de detecção?

O controle de mitigação preventiva é usado para reduzir o impacto do risco antes que ele realmente ocorra. Existem várias atividades que você pode executar sob o controle de mitigação preventiva -

Configuration
Saídas do usuário
Security
Definição de fluxo de trabalho
Objetos Personalizados

Detective Mitigation Controls -

O controle de mitigação de detecção é usado quando um alerta é recebido e ocorre um risco. Neste caso, a pessoa que é responsável por iniciar as medidas corretivas para mitigar o risco.

Existem várias atividades que você pode realizar sob o controle de mitigação de detetive -

Relatórios de Atividades
Comparação do plano com a revisão real
Revisão de orçamento
Alerts

Qual é o uso do gerenciamento de privilégios de superusuário no GRC?

No SAP GRC 10.0, o gerenciamento de privilégios de superusuário precisa ser implementado em sua organização para eliminar as autorizações e riscos excessivos que sua empresa enfrenta com a abordagem atual do usuário de emergência.

Quais são os principais recursos que você pode executar usando o gerenciamento de privilégios de superusuário?

Você pode permitir que o superusuário execute atividades de emergência em um ambiente controlado e auditável
Usando o Superusuário, você pode relatar todas as atividades do usuário acessando privilégios de autorização mais altos.
Você pode gerar uma trilha de auditoria, que pode ser usada para documentar os motivos do uso de privilégios de acesso mais altos.
Esta trilha de auditoria pode ser usada para conformidade SOX

É possível que um superusuário atue como bombeiro?

O superusuário pode atuar como bombeiro e ter os seguintes recursos adicionais -

Ele pode ser usado para executar tarefas fora de sua função ou perfil normal em uma situação de emergência.
Apenas alguns indivíduos (proprietários) podem atribuir IDs de bombeiro
Ele permite que um recurso estendido seja fornecido aos usuários ao criar uma camada de auditoria para monitorar e registrar o uso.

Qual é a diferença entre a função padrão de Administrador e Proprietário no Privilégio de Superusuário?

Você pode usar as seguintes funções padrão para gerenciamento de privilégios de superusuário.

/VIRSA/Z_VFAT_ADMINISTRATOR -

Capacidade de configurar o Bombeiro
Atribuir proprietários e controladores de funções de bombeiro a IDs de bombeiro
Executar relatórios

/VIRSA/Z_VFAT_ID_OWNER -

Atribuir IDs de bombeiro a usuários de bombeiros
Carregue, baixe e veja o registro do histórico de bombeiros

Como você verifica os logs do superusuário?

Use o Código T: Transação: / n / VIRSA / ZVFAT_V01

Quais são as vantagens de usar o Global Trade Services?

Abaixo estão as principais vantagens de usar Global Trade Services -

Ajuda a reduzir o custo e o esforço de gerenciamento de conformidade para o comércio global.
Ele pode facilitar tarefas manuais demoradas e ajuda a melhorar a produtividade.
Reduz as penalidades para violações de conformidade comercial
Ajuda a criar e melhorar a marca e a imagem e evitar o comércio com partes sancionadas ou negadas.
Melhor satisfação do cliente e melhoria da qualidade do serviço.
Ele agiliza os processos de entrada e saída, realizando o desembaraço aduaneiro e também ajuda a remover atrasos desnecessários.

Qual é a diferença entre funções únicas e derivadas?

Para função única, você pode adicionar / excluir códigos de transação, enquanto em funções derivadas você não pode adicionar códigos-T.

O que você entende por buffers de usuário?

O buffer do usuário armazena todas as autorizações de um usuário.

Qual é o número máximo de códigos de transação que podem ser atribuídos a um usuário?

Você pode atribuir 14.000 transações a uma função.

Como você exclui logs de segurança antigos?

Usando códigos de transação SM18.

Como você implementa a id do bombeiro no sistema SAP GRC?

A implementação de IDs de bombeiro consiste nas seguintes etapas -

Criação de IDs de bombeiro para cada área de processo de negócios
Em seguida, é atribuir funções e perfis necessários para realizar tarefas de combate a incêndios.
Você não deve atribuir o perfil SAP_ALL

O que você entende por conjunto de regras? Qual é a regra padrão definida no sistema GRC?

A coleção de várias regras é conhecida como conjunto de regras. No GRC, temos um conjunto de regras padrão conhecido como conjunto de regras globais.

Como você executa a modificação de função no sistema SAP?

Usando PFCG_TIME_DEPENDANCY trabalho de fundo.

Qual é a paisagem do sistema GRC?

A paisagem GRC tem 2 sistemas -

SAP GRC Dev
SAP GRC PRD e não há sistema de qualidade.

Qual é a utilização da segregação de funções no sistema SAP?

SOD é implementado no sistema SAP para detectar e monitorar fraudes nas transações comerciais.

Qual é o nome da tabela para armazenar detalhes de senha ilegal no sistema SAP?

A tabela USR40 é usada para armazenar todos os detalhes de senha ilegal.

Como configurar um usuário para fazer login no sistema SAP GRC?

Você precisa atribuir as seguintes funções ao usuário para fazer o login no sistema GRS -

Autorização do portal
Funções PFCG aplicáveis
Funções PFCG para controle de acesso, controle de processo e gestão de risco