GH GambleHub

Sorumluluk matrisi

1) Amaç ve değer

RACI matrisi, rolleri ve karar noktalarını sürecin her adımında şeffaf hale getirir, operasyonel riskleri azaltır ve onayları hızlandırır.

Hedefler:
  • "Gri alanları" ortadan kaldırmak ve çabaların çoğaltılması;
  • Politikaları ve kontrol gereksinimlerini uygulamak
  • Kanıtlanabilir rol atamaları yoluyla denetimi basitleştirin.

2) Şartlar ve seçenekler

R (Responsible) - işi/görevi yerine getirir.
A (Sorumlu) - nihai sorumluluğu taşır, sonucu onaylar (görev başına bir).
C (Consulted) - karar vermeden önce danışır, ilgilenir (iki yönlü iletişim).
I (Bilgilendirilmiş) - karardan sonra bilgilendirilir (tek yönlü iletişim).

Uzantılar:
  • RASCI: S (Destek) ekler - performans için operasyonel destek.
  • DACI: D (Sürücü), A (Onaylayıcı), C (Katılımcı), I (Bilgilendirilmiş) - sürücüye vurgu.
  • RAPID: Tavsiye Et, Kabul Et, Uygula, Giriş Yap, Karar Ver - ürün çözümleri için kullanışlıdır.

3) RACI tasarım ilkeleri

1. Görev başına bir A, açık bir hesap verebilirliktir.
2. Gerektiği kadar R, ancak'herkes için R'den kaçının.
3. C - aslında ve "sadece durumda'değil (aksi takdirde akışı yavaşlatırız).
4. I - adres: eylemleri sonuca bağlı olanları bilgilendiririz.
5. DoA/SoD bağlantısı: Güçler ve görev ayrılığı RACI ile çatışmamalıdır.
6. Sürüm oluşturma: RACI değişiklikleri - PR/inceleme/hash makbuzu - yayın.

4) Nereye başvurulur

Olaylar ve kriz (bilgi güvenliği/ödemeler/gizlilik).
DSAR/verilerin tutulması/silinmesi.
VRM/onboarding ve ortak denetimleri.
CI/CD'deki sürümler ve uyumluluk kapıları.
Pazarlama ve sorumlu reklamcılık.
Ödeme anlaşmazlıkları/ters ibraz.
BCP/DR egzersizleri ve Yasal Bekletme.

5) Roller (örnek sözlük)

Board/Комитет, CEO/ExCom, Uyum Başkanı, Yasal/DPO, Risk Ofisi, İç Denetim, CISO/SecOps, CTO/Platform, Veri Yönetişimi, Ödemeler/Finans, Satıcı Yönetimi, Pazarlama/PR, Destek/Operasyonlar, İK/L & D, Ürün/Mühendislik Bölgesel liderler.

6) RACI matrislerine örnekler

6. 1 Gizlilik olayı (veri ihlali)

AdımRACBEN
Algılama/geçici izolasyonSecOpsCISOData Gov, ÜrünExCom, Destek
Yur. Değerlendirme ve yeterlilikYasal/DPOGenel danışmanUyumluluk BaşkanıTahta/ARC
Legal Hold ve kanıt toplamaUyumluluk OpsUyumluluk BaşkanıSecOps, Veriİç denetim
Düzenleyicilere/müşterilere bildirimlerYasal/DPOCEOPR/İletişim, DestekYönetim Kurulu, Bölgesel Leads
Ölüm sonrası ve CAPARisk OfisiRisk BaşkanıKontrol sahipleriTüm takımlar

6. 2 DSAR Erişimi/Silme

AdımRACBEN
Talebi alma/tanımlamaDestekUyumluluk BaşkanıYasal/DPOÜrün
Veri bulma ve dışa aktarmaVeri GovCTOSecOpsTalep Sahibi
Silme/MaskePlatformCTOYasal/DPOSatıcı Mgmt
Kullanıcıya cevap verDestekUyumluluk BaşkanıYasal/DPOExCom
Kanıt Arşivi (WORM)Uyumluluk OpsUyumluluk Başkanıİç denetim

6. 3 Kritik satıcı onboarding (VRM)

AdımRACBEN
Anket/DD ve Risk DeğerlendirmesiSatıcı MgmtUyumluluk BaşkanıYasal, SecOps, Finansİşletme sahibi
Sözleşmeler (MSA/DPA/SLA)YasalGenel danışmanUyum, FinansExCom
Şunlar. Entegrasyon ve günlük kaydıPlatformCTOSecOps, Uyumluluk Mühİç denetim
Go-Live ve İzlemeİşletme sahibiUyumluluk BaşkanıSatıcı MgmtTahta/ARC

6. 4 Uyumluluk Kapısı Sürümü

AdımRACBEN
Kod olarak ilke denetimi/CCMUyumluluk MühUyumluluk BaşkanıSecOps, VeriÜrün/Dev
Kabul kararıRelease ManagerCTOUyumluluk BaşkanıExCom
Yayımlama Eserleri (hash)Uyumluluk OpsUyumluluk Başkanıİç denetim

7) DoA/SoD ve Politika İletişimi

DoA (Yetki Devri): A DoA onay yetkisine sahip olmalıdır.
SoD (Görev Ayrımı): Kritik adımlarda R ve A, ödemelerin/yönetici eylemlerinin yürütülmesiyle birleştirilmez.
Politikalar/Standartlar: Matrisin her satırı kontrol onaylarını ve SOP'ları referans alır.

8) RACI oluşturma ve değiştirme işlemi

1. Geçerli süreci kaldırın (E2E diyagramı, karar noktaları).
2. Sözlükten rolleri tanımlayın, etki alanı sahipleriyle koordine edin.
3. RACI'yi adım/karar düzeyinde doldurun, DoA/SoD ile çakışmaları kontrol edin.
4. Pratikte doğrula (masa üstü/simülasyon).
5. Arşivleri (Git) onaylayın ve yayınlayın, wiki/portala dahil edin.
6. Uygunluk desteği: tetikleyiciler - organizasyon yapısının değişimi, Jurassic güncellemeleri, denetim/olay sonucu.
7. Sürüm ve kanıt: PR geçmişi, hash makbuzları, WORM arşivi.

9) Metrikler ve gösterge panoları

RACI Kapsamı: Yeni matris ile anahtar süreçlerin %'si.
Tek A Uyumluluğu: Tam olarak bir A (%100 hedef) olan görevlerin yüzdesi.
C/I Gürültü Oranı: ekstra eşleştirme/bildirilebilir (↓ eğilim).
Karar Verme Süresi: RACI adım eşleştirmesinin medyanı.
SoD Çatışmaları: Role göre tanımlanmış ve kapalı çatışmalar.
Denetime Hazır: Politikalara/kontrollere/SÇP'ye ve kanıtlara bağlı matrislerin paylaşımı.

Panolar: Süreç Haritası + RACI kaplaması, RACI adımı başına Kurşun Süresi, Org Isı Haritası (koordinasyon darboğazları).

10) SOP (standart prosedürler)

SOP-1: RACI Tasarımı

Proses haritalama - taslak matris - DoA/SoD doğrulama - pilot/simülasyon - Komite onayı - yayın.

SOP-2: Üç Aylık İnceleme

Organizasyonel/politika değişikliklerini toplayın, matrisleri revize edin, PR güncellemelerini gözden geçirin, etkilenen roller için onaylayın.

SOP-3: Tetik Olayı

Olayın bir sonucu olarak - RACI ayarlaması (örneğin, A/C kazancı, R ayrıştırması) - SOP/kontroller güncellemesi - yeniden test.

SOP-4: Eğitim

Matris okuma ve vakalar üzerine mikro kurs; A/R rolleri için gereklidir.

11) Şablonlar

11. 1 RACI Tablosu (Markdown)


Шаг процесса      Описание      R      A      C      I      Контролы/SOP
---    ---    ---    ---    ---    ---    ---
P-01      Прием запроса      Support      Head of Compliance      Legal/DPO      Product      SOP-DSAR-001, CTRL-DSAR-SLA

11. 2 YAML artefaktı (policy-as-code binding)

yaml process: "DSAR"
version: "1.3.0"
steps:
- id: P-01 name: "Intake & Verify"
R: ["Support"]
A: ["Head of Compliance"]
C: ["Legal/DPO"]
I: ["Product"]
controls: ["CTRL-DSAR-SLA","CTRL-PII-MIN"]
sop: ["SOP-DSAR-001"]
evidence: ["hash://evidence/dsar/intake-log.csv"]
meta:
owner: "Policy Owner - Privacy"
review_date: "2026-01-31"

11. 3 RACI Değişim Kartı

Gerekçe (olay/denetim/yasal güncelleme)

Eski/Yeni Rol Atama

DoA/SoD üzerindeki etkisi

Eğitim/İletişim Planı

PR/Hash Makbuzlarına Bağlantılar

12) Entegrasyonlar

HRIS/LMS Rol Profilleri - A/R için Eğitim

Policy Repository - Matrislerden kontrol iddialarına bağlantılar.
GRC: sürüm depolama ve okuma & onaylama.
ITSM/Jira: RACI adımlarında uzlaşma görevleri ve SLA'lar.
CCM: Etkinlik meta verilerinde A/R için otomatik kontroller (örn. yönetici günlükleri, bültenleri).

13) Antipatterns

Problem başına iki veya daha fazla A.
"R for all've" C/I for show "- kanalların aşırı yüklenmesi ve gecikmeler.
DoA/SoD ve kontrollerle bağlantısı olmayan RACI.
Revizyonlar ve sürümler olmadan tek kullanımlık matris.
Canlı eserler yerine ekran görüntüleri (kanıtlanabilirlik yok).
A/R için eğitim eksikliği - "kağıt" uyumu.

14) Olgunluk modeli (M0-M4)

Ad-hoc: roller sabit değildir, uzlaşmalar kaotiktir.
M1 Basic: Temel işlemlerde RACI, manuel güncellemeler.
M2 Yönetilen: DoA/SoD iletişimi, depo, üç aylık revizyonlar, okuma ve onaylama.
M3 Entegre: YAML matrisleri, PR süreci, kontrollere bağlantı/CCM ve ITSM-SLA.
M4 Sürekli Güvence Optimizasyonu Önerileri (darboğazlar), SoD AutoChecks, Lead Time Analytics ve what-if.

15) İlgili wiki makaleleri

Kurumsal yönetim çerçevesi

Yetki Matrisi (DoA) ve Görev Ayrımı (SoD)

Sürekli Uyumluluk İzleme (CCM)

Politika ve uyumluluk deposu

Departmanlar arası kontroller

Kriz yönetimi ve iletişim

Uyumluluk Yol Haritası

KPI'lar ve uyumluluk metrikleri

Sonuç

RACI matrisi sadece bir masa değil, bir kontrol edilebilirlik mekanizmasıdır: Sonuçtan sorumlu bir kişi, net performans gösterenler ve katılımcılar, güçler ve kontrollerle kanıtlanabilir bir bağlantı, düzenli denetimler ve eğitim. Böyle bir sistem gecikmeleri ortadan kaldırır, riskleri azaltır ve denetime hazır süreçleri varsayılan hale getirir.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.