Պատասխանատվության մատրիցա

1) Նշանակումն ու արժեքը

RACI-ի մատրիցը դարձնում է դերն ու որոշումների կայացման կետերը թափանցիկ գործընթացի յուրաքանչյուր քայլով, նվազեցնում է վիրահատական ռիսկերը և արագացնում է համակարգումը։

Նպատակները

վերացնել «մոխրագույն գոտիները» և կրկնօրինակել ջանքերը։

ապահովել քաղաքական գործչի և պահանջների իրականացումը.

պարզեցնել աուդիտը դերերի ապացուցված նշանակումների պատճառով։

2) Տերմիններ և տարբերակներ

R (Responsible) - կատարում է աշխատանք/խնդիր։

A (Accountable) - կրում է վերջնական պատասխանատվություն, ասում է արդյունքը (մեկը խնդրի համար)։

C (Consensed) - խորհրդատվություն, ներգրավված է լուծմանը (երկկողմանի կապը)։

I (Informed) - տեղեկացվում է լուծումից հետո (միակողմանի կապը)։

Ընդլայնումներ

RASCI 'ավելացնում է S (Supert) - կատարողի վիրահատական աջակցություն։

DACI: D (Driver), A (Approver), C (Disributor), I (Informed) - ուշադրություն վարորդի վրա։

RAPID: Recommend, Agree, Perform, Input, Decide-ը օգտակար է սննդի լուծումների համար։

3) RACI նախագծման սկզբունքները

1. Առաջադրանքի համար մեկ A-ն անմտածված իրացումն է։

2. Այնքան R, որքան պետք է, բայց խուսափեք «R-ից ամեն ինչի վրա»։

3. C-ն իրականում ոչ թե «ամեն դեպքում» (հակառակ դեպքում արգելակում ենք հոսքը)։

4. I - հասցեային: Մենք տեղեկացնում ենք նրանց, ում գործողությունները կախված են արդյունքից։

5. DoA/SoD-ի հետ կապը 'պարտականությունների իշխանությունը և բաժանումը չպետք է հակամարտեն RACI-ի հետ։

6. Տարբերակումը 'RACI-ի փոփոխությունները PR/revew/hash-quitancia-ն է։

4) Որտե՞ ղ օգտագործել

Պատահականներն ու ճգնաժամը (IB/վճարումներ/գաղտնիություն)։

DSAR/retention/տվյալների հեռացում։

VRM/onbording և գործընկերների աուդիտ։

Ալգորիթմները և կոմպլեքսները CI/CD-ում։

Մարքեթինգը և պատասխանատու գովազդը։

Հիբրիդային բանավեճերը/chargeback։

BCP/DR ուսուցումները և Legal Hold-ը։

5) Դերեր (օրինակելի բառարան)

Board/Комитет, CEO/ExCom, Head of Compliance, Legal/DPO, Risk Office, Internal Audit, CISO/SecOps, CTO/Platform, Data Governance, Payments/Finance, Vendor Management, Marketing/PR, Support/Operations, HR/L&D, Product/Engineering, Regional Leads.

6) RACI-մատրիցների օրինակները

6. 1 Գաղտնիության դեպք (տվյալների արտահոսք)

Քայլ	R	A	C	I
Հայտնաբերում/ժամանակավոր մեկուսացում	SecOps	CISO	Data Gov, Product	ExCom, Support
Յուրը։ գնահատումը և որակավորումը	Legal/DPO	General Counsel	Head of Compliance	Board/ARC
Legal Hold-ը և ապացույցների հավաքումը	Compliance Ops	Head of Compliance	SecOps, Data	Internal Audit
Կարգավորողների/հաճախորդների ծանուցումները	Legal/DPO	CEO	PR/Comms, Support	Board, Regional Leads
Փոստի մորտեմը և CAPA	Risk Office	Head of Risk	Control Owners	All teams

6. 2 DSAR 'հասանելիություն/հեռացում

Քայլ	R	A	C	I
Ընդունումը/հարցման նույնականացումը	Support	Head of Compliance	Legal/DPO	Product
Տվյալների որոնում և արտահանում	Data Gov	CTO	SecOps	Request Owner
Հեռացում/դիմակավորում	Platform	CTO	Legal/DPO	Vendor Mgmt
Օգտագործողի պատասխանը	Support	Head of Compliance	Legal/DPO	ExCom
Evidence արխիվը (WORM)	Compliance Ops	Head of Compliance	Internal Audit	—

6. 3 Քննադատական վենդորի (VRM)

Քայլ	R	A	C	I
Անկետա/DD և ռիսկի գնահատական	Vendor Mgmt	Head of Compliance	Legal, SecOps, Finance	Business Owner
Պայմանագրեր (SNA/DPA/SLA)	Legal	General Counsel	Compliance, Finance	ExCom
Նրանք։ ինտեգրումը և տրամաբանությունը	Platform	CTO	SecOps, Compliance Eng	Internal Audit
Go-Tramp և Lenta.ru	Business Owner	Head of Compliance	Vendor Mgmt	Board/ARC

6. 4 Կոմպլանսի գեյթ

Քայլ	R	A	C	I
Policy-as-code/MSM	Compliance Eng	Head of Compliance	SecOps, Data	Product/Dev
Ընդունելու որոշումը	Release Manager	CTO	Head of Compliance	ExCom
Արտեֆակտների հրապարակումը (hash)	Compliance Ops	Head of Compliance	Internal Audit	—

7) Կապը DoA/SoD և քաղաքական գործիչների հետ

DoA (Authority Gegation of Authority): A-ը պետք է ունենա DoA-ում գրված հայտարարության իրավունք։

SoD (Separation of Duties): R և A կրիտիկական քայլերի վրա չեն համակցվում վճարման/admin գործողությունների կատարման հետ։

Քաղաքական/ստանդարտներ 'մատրիցի յուրաքանչյուր տող տեղադրված է վերահսկողական հայտարարությունների և SOP-ի վրա։

8) RACI-ի ստեղծման և փոփոխության գործընթացը

1. Հեռացնել ներկա գործընթացը (E2E դիագրամը, լուծումների կետերը)։

2. Որոշեք բառարանի դերերը, համաձայնվեք օրինագծերի սեփականատերերի հետ։

3. Լրացնել RACI-ը քայլերի/լուծումների մակարդակում, ստուգել DoA/SoD-ի հետ։

4. (Table-top/սիմուլյացիա)։

5. Հաստատել և հրապարակել (Git), ներառել վիկի/պորտալում։

6. Արդիականության աջակցությունը 'գրավիչները' օրգանական կառուցվածքի փոփոխությունը, յուրը։ նորարարություններ, արդյունք 2019/2019։

7. Տարբերակումը և ապացույցները ՝ PR-պատմություն, հեշ-քվիտանիա, WORM արխիվը։

9) Metriki և dashbords

RACI Coverage: հիմնական գործընթացների տոկոսը թարմ մատրիցայի հետ։

Single-A Compliance-ը 'առաջադրանքների մասնաբաժինը հենց մեկ A-ի հետ (նպատակը 100%)։

C/I Delise Ratio: Լրացուցիչ ներդաշնակ/տեղեկացված (միտում)։

Time-to-Decision: Միջին է RACI քայլերի համաձայն։

SoD Systlications: Բացահայտված և փակված հակամարտությունները դերերով։

Audit-Ready-ը մատրիցների մասն է, որոնք կապված են քաղաքականներին/վերահսկողներին/SOP և evidence-ին։

Dashbords: Process Map + RACI overlay, Lead Time per RACI step, Org Heatmap (պայմանագրերի նեղ վայրեր)։

10) SOP (տեխնիկական ընթացակարգեր)

SOP-1 'RACI նախագծումը

Գործընթացի նկարումը մատրիցայի նորարարությունը բացատրում է DoA/SoD-ի ստուգումը, օդաչուն/սիմուլյացիան հաստատվում է Novich-ի հայտարարությունը։

SOP-2 'Եժեքվարթալ ակնարկ

Օրգանական կառուցվածքի փոփոխությունների հավաքումը/քաղաքական գործիչը բացատրում է PR-ի մատրիցների վերանայումը ռուսական reade & -attest-ի ավելացված դերերի համար։

SOP-3: Պատահականություն-տրիգեր

Մրցույթի արդյունքում, RACI-ի (օրինակ, A/C ստանդարտը, R-ի բաժանումը) պլանավորվում է SOP/վերահսկման նորարարություն։

SOP-4 'Ուսուցում

Միկրո դասընթացը մատրիցի և քեյսամի կարդալու համար։ պարտադիր A/R. դերերի համար։

11) Ձևանմուշներ

11. 1 NOKRACI (Markdown)


Шаг процесса      Описание      R      A      C      I      Контролы/SOP
---    ---    ---    ---    ---    ---    ---
P-01      Прием запроса      Support      Head of Compliance      Legal/DPO      Product      SOP-DSAR-001, CTRL-DSAR-SLA

11. 2 YAML-արտեֆակտը (policy-as-code)

yaml process: "DSAR"
version: "1.3.0"
steps:
- id: P-01 name: "Intake & Verify"
R: ["Support"]
A: ["Head of Compliance"]
C: ["Legal/DPO"]
I: ["Product"]
controls: ["CTRL-DSAR-SLA","CTRL-PII-MIN"]
sop: ["SOP-DSAR-001"]
evidence: ["hash://evidence/dsar/intake-log.csv"]
meta:
owner: "Policy Owner - Privacy"
review_date: "2026-01-31"

11. 3 RACI փոփոխության քարտը

Հիմնավորում (պատահականություն/աուդիտ/իրավաբանական նորարարություն)

Հին/նոր նշանակումը դերերի

Ազդեցությունը DoA/SoD վրա

Ուսուցման/հաղորդակցման պլանը

Հղում PR/հեշ քվիտանիայի վրա

12) Մոսկվան

Ռեպոզորատիվ քաղաքական գործիչը 'հղումները մատրիցներից ստուգողական պնդումների վրա։

GRC 'տարբերակների պահպանումը և reade &-attest։

ITSM/Jira 'համաձայնեցման խնդիրները և SLA-ը RACI քայլերով։

HRIS/LTS 'ռոլային պրոֆիլները պատրաստված են A/R.

MSM: A/R-ի առկայությունը մետատվական գործողությունների մեջ (օրինակ, ադմինի ամսագրեր, օրինակներ)։

13) Անտիպատերնի

Երկու և ավելի A առաջադրանքի համար։

«R բոլորի մոտ» և «C/I վագոնի համար» -ը բացատրում է ջրանցքների և ձգձգումների ծանրությունը։

RACI-ն առանց DoA/SoD-ի և վերահսկողների հետ։

Միանվագ մատրիցա առանց վերանայման և տարբերակման։

Սկրինշոտները կենդանի արտեֆակտների փոխարեն (ապացույցներ չկան)։

A/R-ի համար ուսուցման բացակայությունը բացատրում է «թղթի» համապատասխանությունը։

14) Հասունության մոդել (M0-M4)

M0 Ad-hoc-hoc 'դերերը չեն ֆիքսվել, քաոսային համակարգումը։

M1 Հիմնականը ՝ RACI-ը հիմնական գործընթացներով, ձեռքով նորարարություններով։

M2 Կառավարվող 'կապ DoA/SoD, reposoria, եռամսյակային կոմպոզիցիաներ, reade & -attest։

M3 Ինտեգրված ՝ YAML-մատրիցա, PR գործընթաց, կապված/SSM և ITSM-SLA-ի վերահսկողության հետ։

M4 Synuous Assurance-ը 'առաջարկություններ օպտիմիզացման (նեղ տեղեր), SoD-ի ավտոմեքենաները, Lead Time-ի վերլուծաբանը և «what-if» -ը։

15) Կապված wiki հոդվածները

Ֆրեյմվորքը կառավարման

Լիազորությունների կառավարման մատրիցը (DoA) և Պարտականությունների բաժանումը (SoD)

Շարունակական կոմպոզիցիա (MSM)

Ռեպոզիտորիա քաղաքական և ստանդարտներ

Քրոս-բաժանման ստուգումներ

Ճգնաժամային կառավարում և հաղորդակցություն

Կոմունայի ճանապարհային քարտեզը

KPI և կոմպլանսի մետրերը

Արդյունքը

RACI-ի մատրիցը ոչ միայն ստանդարտ է, այլ կառավարման մեխանիզմ 'մեկ պատասխանատու դեմք արդյունքի համար, պարզ կատարողներ և մասնակիցներ, որոնք ապացուցված կապ ունեն ինստիտուտների և վերահսկիչների հետ, ինչպես նաև վերապատրաստում։ Այս համակարգը հեռացնում է ուշացումները, նվազեցնում ռիսկերը և դարձնում է «audit-ready» գործընթացները լռելյայն։