Система Управления Конфигурациями (Configuration Management System, CMS) определяется как набор инструментов, данных и информации, которые используются для поддержки процесса управления сервисными активами и конфигурациями. CMS является частью общей системы управления знаниями по услугам и включает в себя инструменты для сбора, хранения, управления, обновления, анализа и представления информации обо всех конфигурационных единицах и их взаимоотношениях. CMS может также содержать информацию об инцидентах, проблемах, известных ошибках, изменениях и релизах. Кроме того, CMS поддерживается процессом управления сервисными активами и конфигурациями и используется всеми процессами управления ИТ-услугами.

Прозрачность в управленческих процессах представляет собой объективное открытое знание о значениях ключевых метрик и уровне соответствия принятым в компании стандартам и практикам для каждого продукта и продуктовой команды. Это супермощный инструмент в руках грамотного менеджера, который по мнению профессионалов более эффективен в воздействии на умы и культуру организации, чем административный ресурс. Прозрачность позволяет менеджерам видеть реальную картину состояния всех команд, определять, где требуется внимание и как лучше направить ограниченные ресурсы руководителей, методологов и коучей. Для команды прозрачность дает возможность сравнить свое текущее состояние с предыдущими периодами и с другими командами, что помогает в процессе принятия новых практик и изменений. Это становится видно всем участникам, а не только отдельному управляющему комитету, что само по себе положительно влияет на преобразования в организации.

При отсутствии предпроектного обследования возникает несколько серьезных рисков: подрядчики вынуждены завышать оценки бюджета и сроков из-за неопределенности задачи, что приводит к неоправданным увеличениям стоимости проекта; возрастает вероятность неполного или некорректного решения поставленных задач; повышается риск появления непредвиденных трудностей в процессе реализации; возрастает вероятность конфликтов между заказчиком и исполнителем из-за расхождения ожиданий. В среднем, риски при нечеткой постановке задачи начинаются от 10% и могут значительно увеличить итоговую стоимость проекта.

RBAC (Role-Based Access Control) — это ролевая модель управления доступом, в которой доступ предоставляется не напрямую к объектам и операциям, а к определённым группам прав, объединённым по функциональному признаку (например, 'администратор системы', 'пользователь модуля N'). Основные преимущества RBAC по сравнению с другими моделями: наглядность (права структурированы по бизнес-ролям), простота назначения (администраторы работают с целыми группами прав, а не с отдельными объектами), соответствие бизнес-процессам и организационной структуре, возможность запрета использования смежных ролей для разделения полномочий, иерархия ролей (построение связок 'родительская-дочерняя') для наследования прав. В отличие от мандатной модели (MAC), где доступ зависит от уровня допуска пользователей и классификации информации, RBAC не требует жёсткой привязки к грифам секретности, что обеспечивает большую гибкость. В отличие от дискреционной модели (DAC), где настраиваются разрешения для каждого пользователя отдельно, RBAC избегает избыточной детализации и упрощает администрирование за счёт группировки прав в роли.

Полная цепочка согласующих сторон включает: непосредственного руководителя сотрудника, владельца информационного ресурса (как правило, руководитель бизнес-подразделения), технического администратора (проверяет техническую реализуемость запроса), внутренний контроль (проверяет совместимость ролей и соответствие принципу разделения обязанностей), и подразделение информационной безопасности (контролирует соответствие политикам ИБ). Однако в реальности данная цепочка часто сокращается для упрощения процесса - например, оставляя только руководителя или внедряя стандартные роли с автоматизированным выдачей доступов.

Невозможность установить нормативы обработки проблем в ITSM объясняется несколькими факторами. Во-первых, для решения проблемы часто требуется реализация нетипового изменения, срок которого определяется индивидуальным планированием. Во-вторых, у проблемы может существовать несколько вариантов решений, различающихся по надежности, стоимости и срокам реализации, что требует выбора оптимального варианта. В-третьих, время тестирования результативности решения не поддается нормировке, так как зависит от частоты проявления проблемы - если проблема проявляется ежедневно, тестирование можно завершить за 2-3 дня, а если она связана с квартальной отчетностью, придется ждать до следующего квартала (от недели до трех месяцев).

Основные выводы: поток ценности должен представлять собой архитектуру всего бизнеса, включающую все его области и грани, а не только ИТ-аспекты; описание потока должно включать не только процессы 'изменения бизнеса' (change the business), но и процессы его 'функционирования' (run the business); создаваемая ценность должна четко соотноситься с путем потребителя услуг и/или товаров; измерение реальной ценности должно происходить строго по актам потребления этой ценности.

В ITIL мало примеров дополняющих услуг, поскольку эта концепция недостаточно детализирована в прикладных рекомендациях. Дополняющие услуги быстро эволюционируют: изначально выступая как «вау-факторы», они со временем становятся стандартными ожиданиями клиентов (вспомогательными услугами) или даже частью основных услуг. Например, бесплатный Wi-Fi, который раньше был преимуществом отеля, теперь воспринимается как обязательная функция. Это требует от поставщиков услуг постоянного поиска новых возможностей для инноваций и обновления инфраструктуры.

Работа на практике часто отличается от регламентов из-за отсутствия понимания цели создания документа, неопределенности круга потребителей документа, разработки документа ограниченным числом сотрудников без вовлечения всех заинтересованных лиц, отсутствия официального утверждения документа, неопределенности ответственного за обновление документа, отсутствия процедур обновления, недостаточной информированности сотрудников о существовании документа, проблем с доступом к документу и отсутствия контроля за соблюдением положений документа.

Да, метрики, основанные на экспертной оценке, опросах специалистов или пользователей, обладают полным правом на существование. Их ценность определяется контекстом и задачами процесса. Например, доля обращений, требующих уточнения у пользователя, может быть корректно измерена через опрос специалистов второй линии, так как автоматическое фиксирование таких случаев часто невозможно. Ключевой вопрос — не тип данных, а уровень достоверности, которую удается обеспечить для конкретной метрики, независимо от способа сбора информации.