我承认-那不是我的真实想法。然而，当我听到组成治理、风险和合规（GRC）的规程、实践、政策和工具的深度和广度总结为管理用户访问和职责分离时，她代表了我内心的感受。

GRC：领域

第一，好淘客，让我们看看一个经典的定义。GRC的定义比比皆是，也有一些很好的定义。我认为OCEG的定义是更好的定义之一：

GRC是一个综合的能力集合，使一个组织能够可靠地实现目标，同时解决不确定性和采取完整的行动-这就是结果我们称之为原则性的表现。

当然，也有不好或过于狭窄的定义。我不会让作者或出版物难堪，但我认为这一点完全混淆了GRC和软件，以帮助支持GRC的某些方面：

GRC是一个由某类软件支持的管理概念。GRC工具允许用户按照监管标准管理合规性。

治理、风险和合规性与软件无关，当然也不仅仅是一个狭隘的软件类别。但看看LinkedIn，例如，并寻找列出GRC经验的人。你通常会看到那些在实现目标、解决不确定性和正直行事的各种能力方面有广泛和不同经验的人吗？不完全是这样。特别是在IT界，GRC经常被用来指管理访问授权的经验和对职责分离概念的熟悉，或者更狭义地说是使用软件来实现这一点的经验。

现在，我当然同意，网站建站平台，管理对各种系统和应用程序的访问是非常重要的这是保护公司数据、防止欺诈和确保隐私的一个事实。这是GRC涉及的许多原则或能力之一，但我个人不会称之为GRC。这不是像：

声称自己是飞行员，因为你可以安全起飞吗？因为可以申请急救而自称是医生？做注册会计师的广告是因为你可以自己报税？

GRC软件解决方案

关于我最喜欢的问题，它与SAP GRC解决方案的世界最为相关（这次，我说的是软件）。我们目前有18种产品作为SAP GRC和安全（GRC&S）产品组合的一部分销售，在其他SAP产品组合中还有很多其他相关产品。（当然，其他供应商也有自己的列表。）以下是我们的一些GRC&S解决方案：

SAP访问控制SAP审核管理SAP业务合作伙伴筛选SAP企业威胁检测SAP欺诈管理SAP全球贸易服务SAP过程控制SAP风险管理SAP单一登录SAP Identity Management

然而，当我与客户、合作伙伴、顾问，云主机服务器，甚至我们内部的一些应该更了解的人交谈时，物联网大会，谈话经常是这样的：

他们："我需要XYZ方面的帮助。我们正在使用SAP GRC。"

我："太好了，什么产品？"

他们："GRC"。

我："好吧，SAP GRC不是一个产品。我们有很多产品可以帮助支持GRC。"

他们："嗯，GRC 10.1，我想。我们是从GRC 5.3升级过来的。"

我："那你一定是在说SAP访问控制，淘客返利软件，因为这是唯一一个有版本5.3的产品。"

他们："哦，是的，但是AC不是和它一样吗？"GRC？"

然而，更困难的是，是指当客户试图为我们的一个或多个SAP GRC解决方案聘请合适的顾问时，因此我在前面的LinkedIn中发表了评论。他们可能会看到许多声称"丰富的GRC经验"的简历，包括"多个SAP GRC go lives"，但发现他们正在面试具有SAP访问控制经验的人。如果这是他们所需要的，太好了！如果没有，他们会有惊喜（希望是在面试过程中，而不是在项目本身），有多少人参加了用户会议，参加了一个神话般的会议，比如"看看我们公司如何使用SAP GRC来支持我们的全球GRC工作，并在短短4个月内获得了稳定的ROI"，结果却发现公司最终清理了他们的职责分离和关键权限弱点？诚然，这是一个有价值的目标，但并不像标题所说的那样广泛。

更广泛的GRC

那么，既然我已经表达了我的不满，我在这里有什么建议呢？我只想看到语言更加精确，这反映了一种理解：

GRC远不止访问和授权管理GRC不仅仅是软件，它是指人员、流程，也许还有技术协同工作，帮助公司实现目标，同时采取负责任的行动而且，我们的SAP GRC解决方案不仅仅是SAP Access Control

感谢您让我"发泄"。我现在感觉好多了。