ماتریس مسئولیت

1) هدف و ارزش

ماتریس RACI نقش ها و نقاط تصمیم گیری را در هر مرحله از فرآیند شفاف می کند، خطرات عملیاتی را کاهش می دهد و مصوبات را سرعت می بخشد.

• از بین بردن «مناطق خاکستری» و تکرار تلاش ها ؛
• اجرای سیاست ها و الزامات کنترل
• ساده کردن حسابرسی از طریق وظایف نقش قابل اثبات.

2) شرایط و گزینه ها

R (مسئول) - کار/وظیفه را انجام می دهد.
A (پاسخگو) - مسئولیت نهایی را بر عهده دارد، نتیجه را تایید می کند (یک در هر کار).
C (مشاوره) - مشاوره، مشارکت قبل از تصمیم گیری (ارتباط دو طرفه).
من (مطلع) - پس از تصمیم گیری (ارتباط یک طرفه) مطلع می شود.

• RASCI: اضافه می کند S (پشتیبانی) - پشتیبانی عملیاتی برای عملکرد.
• DACI: D (راننده)، A (تأیید)، C (مشارکت کننده)، I (مطلع) - تأکید بر راننده.
• RAPID: توصیه، موافقت، انجام، ورودی، تصمیم گیری - مفید برای راه حل های محصول.

3) اصول طراحی RACI

1. یک A در هر کار پاسخگویی بی قید و شرط است.
2. به اندازه مورد نیاز R، اما اجتناب از «R برای همه».
3. C - در واقع، و نه «فقط در مورد» (در غیر این صورت ما جریان را کند می کنیم).
4. I - آدرس: ما به اطلاع کسانی که اقدامات خود را در نتیجه بستگی دارد.
5. اتصال DoA/SoD: قدرت و تفکیک وظایف نباید با RACI در تضاد باشد.
6. Versioning: RACI changes → PR/review/hash receipt → انتشار.

4) از کجا درخواست کنید

حوادث و بحران (امنیت اطلاعات/پرداخت/حریم خصوصی)

بازاریابی و تبلیغات مسئولانه

DSAR/حفظ/حذف داده ها.
VRM/onboarding و ممیزی شریک.
دروازه های انتشار و انطباق در CI/CD.
اختلافات پرداخت/بازپرداخت.

تمرینات BCP/DR و نگهداری قانونی

5) نقش (فرهنگ لغت نمونه)

Board/Комитет, مدیر عامل شرکت/ExCom, رئیس انطباق, حقوقی/DPO, دفتر ریسک, حسابرسی داخلی, CISO/SecOps, CTO/بستر های نرم افزاری, حکومت داده ها, پرداخت/امور مالی, مدیریت فروشنده, بازاریابی/روابط عمومی, پشتیبانی/عملیات, HR/L & D, محصول/مهندسی، آگهی های منطقه ای.

6) نمونه هایی از ماتریس RACI

6. 1 حادثه حریم خصوصی (نقض اطلاعات)

6. 2 DSAR دسترسی/حذف

6. 3 استقرار فروشنده بحرانی (VRM)

6. 4 انتشار دروازه انطباق

7) DoA/SoD و ارتباطات سیاست

DoA (نمایندگی قدرت): باید مجوز تایید DoA داشته باشد.
SoD (تفکیک وظایف): R و A در مراحل بحرانی با اجرای عملیات پرداخت/مدیریت ترکیب نمی شوند.
سیاست ها/استانداردها: هر ردیف از مراجع ماتریس کنترل مصوبات و SOPs.

8) فرآیند ایجاد و اصلاح RACI

1. حذف روند فعلی (نمودار E2E، نقاط تصمیم گیری).
2. نقش ها را از فرهنگ لغت تعریف کنید، با صاحبان دامنه هماهنگ شوید.
3. RACI را در سطح گام/تصمیم پر کنید، برای برخورد با DoA/SoD بررسی کنید.
4. اعتبار در عمل (جدول بالا/شبیه سازی).
5. تأیید و انتشار به مخازن (Git)، شامل ویکی/پورتال.
6. پشتیبانی ارتباط: محرک ها - تغییر ساختار سازمانی، به روز رسانی ژوراسیک، نتیجه حسابرسی/حادثه.
7. نسخه بندی و شواهد: تاریخچه روابط عمومی، رسید هش، بایگانی WORM.

9) معیارها و داشبورد

پوشش RACI: درصد فرآیندهای کلیدی با ماتریس تازه.
انطباق تکی (Single-A Compliance): درصد کارهایی که دقیقا یک A دارند (100% هدف).
C/I نسبت نویز: تطبیق اضافی/قابل اطلاع (روند ↓).
زمان تصمیم گیری: متوسط تطبیق مرحله RACI.
درگیری های SoD: درگیری های شناسایی شده و بسته شده توسط نقش.
حسابرسی آماده: سهم ماتریس با اتصال به سیاست/کنترل/SOP و شواهد.

داشبورد: نقشه فرآیند + پوشش RACI، زمان سرب در هر مرحله RACI، Org Heatmap (تنگناهای هماهنگی).

10) SOP (روش های استاندارد)

SOP-1: طراحی RACI

نقشه برداری فرایند → پیش نویس ماتریس → تایید DoA/SoD → خلبان/شبیه سازی → تصویب کمیته → انتشار.

SOP-2: فصلنامه نقد

جمع آوری تغییرات سازمانی/سیاست → تجدید نظر ماتریس → به روز رسانی روابط عمومی → read- & - گواهی برای نقش های آسیب دیده.

SOP-3: حادثه ماشه

به عنوان یک نتیجه از حادثه - تنظیم RACI (به عنوان مثال، افزایش A/C، تقسیم R) → SOP/کنترل به روز رسانی → مجدد.

SOP-4: آموزش

میکرو دوره در ماتریس خواندن و موارد ؛ مورد نیاز برای نقش های A/R

11) قالب ها

11. 1 جدول RACI (نشانه گذاری)

Шаг процесса      Описание      R      A      C      I      Контролы/SOP
---    ---    ---    ---    ---    ---    ---
P-01      Прием запроса      Support      Head of Compliance      Legal/DPO      Product      SOP-DSAR-001, CTRL-DSAR-SLA

11. 2 مصنوع YAML (اتصال سیاست به عنوان کد)

yaml process: "DSAR"
version: "1.3.0"
steps:
- id: P-01 name: "Intake & Verify"
R: ["Support"]
A: ["Head of Compliance"]
C: ["Legal/DPO"]
I: ["Product"]
controls: ["CTRL-DSAR-SLA","CTRL-PII-MIN"]
sop: ["SOP-DSAR-001"]
evidence: ["hash://evidence/dsar/intake-log.csv"]
meta:
owner: "Policy Owner - Privacy"
review_date: "2026-01-31"

11. 3 RACI تغییر کارت

توجیه (حادثه/حسابرسی/به روز رسانی قانونی)

انتساب نقش قدیمی/جدید

تاثیر بر DoA/SoD

برنامه آموزشی/ارتباطی

لینک به PR/هش رسید

12) ادغام

Policy Repository - لینک هایی از ماتریس ها برای کنترل ادعاها.
GRC: ذخیره سازی نسخه و خواندن و بررسی.
پروفایل های نقش HRIS/LMS → آموزش برای A/R.
ITSM/جیرا: وظایف آشتی و SLAs در مراحل RACI.
CCM: چک خودکار برای A/R در ابرداده فعالیت (به عنوان مثال،. admin logs, releases).

13) ضد گلوله

دو یا چند A در هر مشکل.
«R برای همه» و «C/I برای نشان دادن» → بیش از حد از کانال ها و تاخیر.
RACI بدون اتصال به DoA/SoD و کنترل.
ماتریس یکبار مصرف بدون تجدید نظر و نسخه.
تصاویر به جای مصنوعات زنده (بدون اثبات).
عدم آموزش برای انطباق A/R → «مقاله».

14) مدل بلوغ (M0-M4)

M0 Ad-hoc: نقش ها ثابت نیستند، آشتی ها هرج و مرج هستند.
M1 عمومی: RACI در فرآیندهای کلیدی، به روز رسانی کتابچه راهنمای کاربر.
M2 مدیریت: ارتباطات DoA/SoD، مخزن، تجدید نظر سه ماهه، خواندن و گواهی.
M3 یکپارچه: ماتریس YAML، فرایند PR، ارتباط با کنترل/CCM و ITSM-SLA.
توصیه های بهینه سازی تضمین مداوم M4 (تنگناها)، SoD AutoChecks، تجزیه و تحلیل زمان سرب و چه چیزی اگر.

15) مقالات ویکی مرتبط

چارچوب حاکمیت شرکتی

تفویض اختیار ماتریکس (DoA) و تفکیک وظایف (SoD)

نظارت بر انطباق مداوم (CCM)

سیاست و مخزن انطباق

چک های متقابل اداری

مدیریت بحران و ارتباطات

نقشه راه انطباق

KPI ها و معیارهای انطباق

نتیجه گیری

ماتریس RACI فقط یک جدول نیست، بلکه یک مکانیسم کنترل پذیری است: یک فرد مسئول برای نتیجه، بازیگران و شرکت کنندگان روشن، یک ارتباط قابل اثبات با قدرت و کنترل، ممیزی و آموزش منظم. چنین سیستمی تاخیرها را حذف می کند، خطرات را کاهش می دهد و فرآیندهای آماده سازی حسابرسی را به طور پیش فرض انجام می دهد.