Ориентация только на формальные метрики при управлении ИТ-процессами приводит к нескольким негативным последствиям. Во-первых, некоторые данные трудно собрать, есть сомнения в их объективности или они не помогают в принятии управленческих решений. Во-вторых, может происходить замена здравого смысла набором измеримых показателей, хотя некоторые процесс не требуют измерений. В-третьих, отдельные KPI различных процессов могут не складываться в целостную систему оценки деятельности ИТ-отдела в целом, что создает фрагментарную "лоскутную" картину вместо единой системы показателей.

Владелец процесса отвечает за соответствие процесса его назначению, занимается постановкой процесса, разработкой политик и стандартов, определением целевых показателей для процесса и обеспечивает стратегическое направление. Менеджер процесса отвечает за операционное управление процессом - планирование, координацию активностей, управление исполнителями, мониторинг и отчётность. Владелец процесса больше занимается стратегическими аспектами, определяя 'куда идём', тогда как менеджер процесса обеспечивает ежедневное функционирование процесса. Роль менеджера процесса может быть совмещена с ролью владельца процесса.

Если запросы поступают мимо первой линии поддержки без регистрации в системе автоматизации, возникает «параллельная реальность» в управлении инцидентами. Это приводит к снижению ценности процесса управления инцидентами, так как нарушается прозрачность и полнота данных об инцидентах. Без регистрации обращений невозможно отслеживать их статус, анализировать корневые причины или формировать отчеты. Основные риски связаны с тем, что значительная часть инцидентов, связанных с нарушениями работы прикладного ПО, остается вне системы, что увеличивает общее время восстановления и снижает качество обслуживания бизнес-операций.

Показатели доступности следует анализировать в нескольких разрезах: как с учётом согласованных внеплановых простоев, так и без них. Такой двойной подход позволяет отделить влияние управляемых и согласованных изменений от реальных непредвиденных инцидентов и сбоев. Это даёт возможность более точно оценить качество работы ИТ-служб, понять реальное влияние ускоренного внедрения изменений на пользователей и принять обоснованные решения по оптимизации процессов управления изменениями и доступностью.

При переходе на SLA-модель работы роль подразделений компании кардинально меняется. Вместо традиционной структуры, где подразделения работают в изоляции или в режиме неопределённых обязательств, каждое подразделение становится поставщиком услуг для других внутренних клиентов компании. Например, ИТ-отдел превращается в поставщика ИТ-услуг для бизнес-подразделений, маркетинг становится поставщиком качественных лидов для отдела продаж, а административно-хозяйственная служба предоставляет услуги внутреннего сервиса. Такой подход требует от подразделений развивать сервисное мышление, улучшать качество предоставляемых услуг и принимать на себя ответственность за результаты своей работы в измеримой форме.

Соглашение об уровне обслуживания (SLA) может служить инструментом мотивации сотрудников ИТ-подразделения, так как в случае нарушения условий SLA часто происходит снижение премиального вознаграждения. При этом важно, чтобы система оценки и применения штрафов была четко прописана и предсказуема. Однако решение о применении санкций может приниматься руководством, что добавляет элемент субъективности. Наличие SLA создает четкие критерии для оценки работы сотрудников и стимулирует их к соблюдению установленных стандартов, но также важно сохранять баланс, чтобы санкции не приводили к демотивации или излишнему давлению на персонал.

Переходной точкой между фазами problem control (PC) и error control (EC) является завершение диагностики проблемы - то есть момент, когда определена корневая причина проблемы и сформированы возможные варианты ее решения. В этот момент процесс управления проблемами переходит от этапа поиска и анализа проблемы к этапу реализации выбранного решения. Определение этой четкой границы между фазами позволяет разделить процесс на нормируемую часть (диагностика) и ненормируемую часть (реализация решения и проверка), что упрощает управление и контроль над процессом.

Модель RBAC имеет ряд преимуществ перед другими моделями управления доступом, такими как DAC (Discretionary Access Control) и MAC (Mandatory Access Control). Во-первых, RBAC обеспечивает более высокую масштабируемость, что особенно важно для организаций с большим количеством сотрудников. Во-вторых, она повышает прозрачность управления доступом, так как права привязаны к ролям, соответствующим должностям и бизнес-процессам. В-третьих, RBAC обеспечивает легкость администрирования - добавление или удаление пользователей не требует перенастройки всего механизма доступа, достаточно назначить или отозвать соответствующую роль. Также RBAC позволяет лучше соблюдать принцип разделения обязанностей, что повышает информационную безопасность организации.

Копировать KPI из книг по управлению ИТ напрямую в собственные процессы не следует по нескольким причинам. Во-первых, примеры метрик, приведенные в таких источниках как ITIL или COBIT, являются иллюстративными и предназначены для объяснения концепции, а не для прямого применения. Авторы этих книг явно указывают, что это примеры (например, в ITIL 2011 представлено 18 примеров KPI для процесса управления инцидентами). Во-вторых, готовые метрики из книг не учитывают специфику конкретной организации, ее целей и потребностей. Для эффективного измерения процессов необходимо разрабатывать собственные KPI, исходя из целей измерения: что конкретно требуется измерять и зачем. Правильный подход заключается в построении цепочки: Назначение ⇒ ключевые практики ⇒ метрики ⇒ целевые и граничные значения ⇒ KPI, а не в поиске готовых решений, которые часто не имеют практической ценности.

Управление реализовавшимися рисками не ограничивается одной практикой в ITIL. Первая часть ответа - управление инцидентами, поскольку негативное событие, прерывающее или ухудшающее услугу, регистрируется как инцидент. Вторая часть - сама практика управления рисками, так как необходимо анализировать случившиеся события, извлекать уроки и предпринимать меры по снижению вероятности повторного возникновения. Кроме того, каждая практика ITIL, в зависимости от специфики, работает со своими видами рисков, и при реализации риска может возникнуть проблема (причина инцидентов), что относится к практике управления проблемами.