责任矩阵
1)目的和价值
RACI矩阵使角色和决策点对流程的每个步骤都透明,降低了运营风险并加快了协调。
目标是:- 消除灰色地带和重复工作;
- 确保政策和控制要求可以执行;
- 通过可证明的角色分配简化审核。
2)术语和变体
R (Responsible)-执行工作/任务。
A(Accountable)-承担最终责任,批准结果(每任务一次)。
C(咨询)-咨询,参与决策前(双向通信)。
I (Informed)-在决定(单向通信)后通知。
- RASCI:添加S(支持)-执行者操作支持。
- DACI: D (Driver)、A (Approver)、C(贡献者)、I (Informed)-强调驱动程序。
- RAPID: Recommend、Agree、Perform、Input、Decide-对于产品解决方桉很有用。
3) RACI设计原则
1.每项任务一个A是明确的问责制。
2.只要需要R,就可以避免"R over"。
3.C-本质上不是"以防万一"(否则会抑制流量)。
4.我是有针对性的:通知那些行动取决于结果的人。
5.与DoA/SoD的联系:权力和职责划分不应与RACI发生冲突。
6.审查:RACI → PR/review/哈希收据更改 →发布。
4)在哪里应用
事件和危机(IB/付款/隐私)。
DSAR/撤回/数据删除。
VRM/登录和合作伙伴审核。
CI/CD中的发行版和合规门。
营销和负责任的广告。
支付纠纷/充电包。
BCP/DR演习和法律保留。
5)角色(示例字典)
Board/Комитет, CEO/ExCom, Head of Compliance, Legal/DPO, Risk Office, Internal Audit, CISO/SecOps, CTO/Platform, Data Governance, Payments/Finance, Vendor Management, Marketing/PR, Support/Operations, HR/L&D, Product/Engineering, Regional Leads.
6) RACI矩阵示例
6.1隐私事件(数据泄露)
6.2 DSAR:访问/删除
6.3抢购关键供应商(VRM)
6.4合规门发布
7)与DoA/SoD和策略的联系
DoA (Delegation of Authority): A必须拥有DoA中规定的批准权。
SoD(职责分级):在关键步骤上,R和A不会与付款/管理行动的执行相结合。
策略/标准:矩阵的每行都引用控制语句和SOP。
8)创建和修改RACI的过程
1.删除当前过程(E2E图,解决方桉点)。
2.从字典中定义角色,与域所有者协调。
3.在步骤/决策级别填充RACI,检查与DoA/SoD的冲突。
4.在实践中验证(桌顶模拟)。
5.批准并发布到存储库(Git),包括Wiki/Portal。
6.相关性支持:触发-改变组织结构,尤尔.更新,审计/事件的结果。
7.审查和证据:公关历史,哈希收据,WORM档案。
9)度量标准和dashbords
RACI Coverage:使用新鲜矩阵的关键过程的百分比。
Single-A Compliance:目标比例恰好为1 A(目标100%)。
C/I噪音等级:多余的同意/通知(趋势↓)。
时间到决定:RACI步骤匹配的中位数。
SoD冲突:已识别和封闭的角色冲突。
审核就绪性:与策略/控制/SOP和事件相关的矩阵比例。
Dashbords:Process Map+RACI覆盖,RACI的领先时间,Org Heatmap(批准瓶颈)。
10) SOP(标准程序)
SOP-1: RACI设计
制图过程→矩阵草稿→ DoA/SoD验证→试点/模拟→委员会批准→发布。
SOP-2: 季度审查
组织结构/策略更改的收集→矩阵修订→公关更新→受影响的角色的read-&-attest。
SOP-3: 触发事件
事件发生后-RACI调整(例如,A/C增强,R分散)→ SOP/Controlles → Retest更新。
SOP-4: 培训
矩阵阅读和案例微课程;A/R角色强制性。
11)模板
11.1 RACI表(Markdown)
Шаг процесса Описание R A C I Контролы/SOP
--- --- --- --- --- --- ---
P-01 Прием запроса Support Head of Compliance Legal/DPO Product SOP-DSAR-001, CTRL-DSAR-SLA11.2 YAML工件(策略即代码绑定)
yaml process: "DSAR"
version: "1.3.0"
steps:
- id: P-01 name: "Intake & Verify"
R: ["Support"]
A: ["Head of Compliance"]
C: ["Legal/DPO"]
I: ["Product"]
controls: ["CTRL-DSAR-SLA","CTRL-PII-MIN"]
sop: ["SOP-DSAR-001"]
evidence: ["hash://evidence/dsar/intake-log.csv"]
meta:
owner: "Policy Owner - Privacy"
review_date: "2026-01-31"11.3 RACI更改卡
理由(事件/审计/法律更新)
新/新角色分配
对DoA/SoD的影响
培训/沟通计划
引用PR/哈希收据
12)整合
策略存储库:从矩阵到控制断言的链接。
GRC:版本存储和read-&-attest。
HRIS/LMS:A/R的角色配置文件→培训。
ITSM/Jira:RACI步骤下的批准和SLA任务。
CCM:自动反驳操作元数据(例如管理日志、发行版)中是否存在A/R。
13)反模式
每个任务两个或更多A。
"R"和"C/I for check" →通道的过热和延迟。
RACI与DoA/SoD和控制器无关。
一次性矩阵不经过审核和验证。
屏幕截图代替活文物(没有可证明性)。
A/R缺乏培训→"纸质"合规性。
14)成熟度模型(M0-M4)
M0 Ad-hoc:角色是非虚构的,匹配是溷乱的。
M1基本:RACI关键流程,手动更新。
M2托管:与DoA/SoD的通信,存储库,季度修订,read-&-attest。
M3集成:YAML矩阵,PR过程,绑定到控制/SSM和ITSM-SLA。
M4持续保证:优化建议(瓶颈)、SoD自动反驳、Lead Time分析师和"what-if"。
15)相关维基文章
公司治理框架
授权矩阵(DoA)和职责分工(SoD)
连续合规性监控(CCM)
策略和规范存储库
跨部门检查
危机管理和沟通
合并路线图
KPI和合规度量
结果
RACI矩阵不仅是一个表格,而且是一个可管理机制:一个负责结果的人,清晰的执行者和参与者,可证明的权力和控制关系,定期审核和培训。这样的系统可以消除延迟,降低风险并默认进行"试用就绪"过程。