Основные области рисков, связанные с инсайдерскими угрозами, по мнению авторов COBIT5 for Risk, включают нарушение работы процессов со стороны сотрудников, модификацию клиентской информации, проведение фиктивных транзакций в финансовых системах, несанкционированные изменения и содействие утечкам конфиденциальной информации через сговор с внешними злоумышленниками. Основной причиной реализации этих рисков названы ошибки в разграничении доступа. Для минимизации таких рисков рекомендуется внедрение важных контролов: разделение полномочий, практики управления доступом и работа с персоналом.

Предпроектное обследование экономически оправдано, так как оно позволяет снизить проектные риски и точно определить объем работы, что в итоге приводит к значительной экономии средств. В конкретном примере, приведенном в тексте, предварительная бюджетная оценка проекта сократилась в 4 раза после проведения обследования, при этом стоимость самого обследования составила всего 1,5% от суммы сэкономленных средств. Для консультационных проектов обследование считается экономически эффективным, если его стоимость не превышает 5-10% от общей стоимости проекта, особенно учитывая, что стандартные риски при неопределенной постановке задачи обычно начинаются от 10%.

Подробная диагностика рабочих процессов необходима при переходе к гибкому управлению, потому что без понимания действительной ситуации в компании невозможно организовать эффективное управление. Диагностика помогает выявить скрытые проблемы, которые изнутри не выглядят как проблемы, но мешают эффективной работе. Например, может быть выявлено, что до 50% задач в бэклоге не несут бизнес-ценности, или что показатель дефектов в 15-50% ошибочно считается нормой. Диагностика позволяет точно определить проблемные зоны, оценить текущую зрелость процессов и разработать четкую последовательность шагов для перехода к гибкому управлению без нарушения работоспособности организации. Чем четче проявлены проблемы, тем проще и успешнее будет трансформация.

Неправильный выбор метрик может привести к тому, что сотрудники будут стремиться выполнять именно тот показатель, который измеряется, игнорируя более важные аспекты работы. Это часто ведёт к снижению качества, искажению данных и даже к разрушению процессов. Например, привязка мотивации к коэффициенту эффективности потока может заставить команду искусственно уменьшать время работы над задачей, не повышая реальную производительность.

Первый принцип DevOps по DASA — Деятельность должна быть ориентирована на заказчика (Customer-Centric Action). Этот принцип включает постоянные инвестиции в продукты и услуги, которые обеспечивают максимальную удовлетворённость заказчика. Также он подразумевает необходимость коротких циклов обратной связи с заказчиками и конечными пользователями. Кроме того, принцип включает деятельность в духе Lean-стартапов с постоянными инновациями, что помогает быстро адаптироваться к меняющимся потребностям клиентов и тестировать новые идеи в реальных условиях.

Правильно построенная система измерения и оценки соответствует критериям SMART: показатели конкретные, измеримые, достижимые, релевантные и ограниченные по времени. Особенно важно, чтобы каждый показатель был соотнесён с реальными управленческими задачами, а данные использовались для принятия решений. Система не содержит «отчётности ради отчётности», исключает искажение поведения через неправильные стимулы и основана на каскаде целей от стратегического уровня до операционного.

Современному поставщику ИТ-услуг необходимы компетенции в трех ключевых направлениях: как поставщика услуг (обеспечение качества и надежности предоставляемых услуг), как потребителя услуг (при взаимодействии с субпоставщиками и третьими сторонами), и как посредника (координация и интеграция услуг в многоуровневой структуре). Это включает знания в области контрактного управления, управления рисками, управления отношениями с заказчиками и поставщиками, а также методологий, таких как OPBOK и SIAM. Также важны навыки в управлении многоуровневыми поставками и интеграции сервисов от различных провайдеров для обеспечения конечной ценности для заказчика.

Охват процесса управления сервисными активами и конфигурациями в организации определяется по трем основным направлениям: сервисы (какие ИТ-сервисы подпадают под управление конфигурациями), среды и инфраструктура (какие компоненты инфраструктуры управляются), география (территориальное покрытие процесса). Определение охвата является критически важным этапом при создании Плана управления сервисными активами и конфигурациями, поскольку он определяет границы внедрения процесса, ресурсы, которые потребуются для его поддержания, и зоны ответственности различных подразделений. При этом охват может быть расширен или сужен в зависимости от целей организации и уровня зрелости процессов управления конфигурациями.

Повысить ценность услуг можно через детальный анализ опыта взаимодействия заинтересованных сторон, картирование их путешествия и выявление возможностей для улучшения. Фокус на оптимизацию ключевых процессов и повышение уровня удовлетворенности клиентов позволяет реализовать максимальную пользу для всех участников.

Синхронизация CMDB и процесса управления изменениями важна, потому что это позволяет автоматизированно отражать все вносимые в инфраструктуру изменения в конфигурационной базе данных, обеспечивая её актуальность. Это также помогает оперативно анализировать влияние изменений на другие компоненты системы, ускоряет процесс расследования инцидентов и уменьшает вероятность конфликтов при одновременном проведении нескольких изменений. Без такой синхронизации возрастает риск использования устаревших или ошибочных данных при принятии решений.