В случае возникновения значительного инцидента топ-менеджмент должен быть незамедлительно проинформирован. Топ-менеджмент должен назначить ответственного человека, который будет координировать процесс управления значительным инцидентом. Важно, чтобы топ-менеджмент обеспечил необходимые ресурсы для устранения инцидента и поддержку всех задействованных команд. После восстановления согласованного уровня услуг топ-менеджмент должен организовать анализ инцидента для выявления возможностей по улучшению будущих процессов. Это включает в себя не только анализ причин инцидента, но и оценку эффективности примененных методов управления и координации.

Долгосрочный аутсорсинг процессов, как в случае BPO, не имеет жестких временных ограничений и фиксированного бюджета. Он предполагает глубокую интеграцию поставщика в бизнес-процессы заказчика, постоянное взаимодействие, развитие процесса и адаптацию к изменяющимся условиям. Это отличает его от краткосрочного аутсорсинга задач, где фокус делается на выполнение конкретных проектов с четко определенными сроками и целями.

Бизнес стремится избегать оперативного управления ИТ-бюджетом, потому что это требует принятия ответственных решений в слабо понятной для него технической области. Отказ от прямого управления бюджетом позволяет бизнесу сосредоточиться на своих основных компетенциях, но приводит к потере контроля над распределением ресурсов и снижению эффективности инвестиций в ИТ. Подобный подход можно сравнить с поведением «маленьких детей», которые предпочитают переложить сложные задачи на других, чтобы избежать ответственности за принятие непонятных решений.

В расширенном RBAC (стандарт INCITS 494-2012) атрибуты используются для создания динамических ограничений на основе внешних факторов. Атрибутами могут быть: определенный период времени в сутках, местоположение пользователя, цель использования системы, класс пользователя, значение определенного типа данных и тип учетной записи. Например, можно создать правило, которое запрещает доступ к финансовым операциям вне рабочего времени или ограничивает использование определенных ролей только в офисе компании. Атрибуты позволяют сделать систему управления доступом более гибкой и адаптированной к изменяющимся условиям, добавляя контекстную зависимость к правилам доступа, что преодолевает недостатки 'чистого' RBAC.

COBIT 5 PAM фокусируется исключительно на оценке процессов и является лишь одним элементом комплексного подхода к управлению ИТ-организацией. Помимо процессной зрелости необходимо учитывать другие ключевые компоненты: организационную структуру, качество информации, культуру управления технологиями, уровень вовлеченности руководства и соответствие стратегии бизнеса. Эффективное управление требует сбалансированного внимания ко всем этим аспектам. Оценка процессов по COBIT 5 PAM дает представление о том, насколько стабильно и управляемо протекают ИТ-процессы, но не заменяет анализ других критически важных для успешного функционирования ИТ-организации элементов.

Включение элемента в систему управления в качестве ИТ-актива означает, что для него будут предусмотрены специфические процедуры управления, отличающиеся от процедур для конфигурационных единиц. Это включает описание дополнительных атрибутов, связанных с финансовой оценкой, собственностью, амортизацией, учетом в балансе, управлением жизненным циклом с точки зрения финансового состояния. При этом жизненный цикл ИТ-актива будет иметь фазы, отличные от жизненного цикла конфигурационной единицы, что определяет различные операционные процессы работы с этим элементом.

SIAM (Service Integration and Management) представляет собой подход к управлению услугами в условиях множества поставщиков. Его основная концепция заключается во введении уровня управления, называемого «сервис-интегратор», который располагается между организацией-заказчиком и её поставщиками услуг. Сервисный интегратор отвечает за управление, интеграцию и координацию различных поставщиков, чтобы клиент получал наилучшее качество сервиса и сокращал накладные расходы на управление множеством поставщиков. SIAM описывается в документе «SIAM Foundation Body of Knowledge», который предоставляет методологию для организации потребления услуг в моделях с несколькими внешними и внутренними поставщиками.

Инциденты тесно связаны с измерением доступности, так как они являются основным способом фиксации факта и периода недоступности. Классически инцидент недоступности регистрируется как любой инцидент, который затрагивает точку потребления услуги, особенно массовые инциденты, имеющие наибольший потенциал стать инцидентами недоступности. Однако при переходе на автоматизированный мониторинг важно дополнить регистрацию инцидентов четкими критериями недоступности для точного измерения и учета простоев.

Проблема «княжеств» проявляется в том, что подразделения действуют как автономные структуры, отвечающие только за свои цели и показатели. Вместо того чтобы сотрудничать для достижения общекомпанийских целей, они соперничают друг с другом. Например, сокращая ИТ-бюджет для достижения своих плановых показателей, руководитель блока ИТ ухудшает возможности других подразделений, но увеличивает свои шансы на получение бонуса. Это приводит к снижению общей эффективности, внутреннему конфликту интересов и разобщенности в команде.

В классическом подходе коэффициент эффективности производственного потока рассчитывается как отношение времени, в течение которого в потоке фактически выполнялась полезная работа, ко всему времени, затраченному на производство единицы продукции. При этом большая часть времени в традиционных производственных системах приходится на ожидание — время, когда работающая деталь находится в состоянии простоя, ожидая следующей операции. Этот коэффициент в реальном производстве часто составляет всего несколько процентов, что подчеркивает значительную долю неэффективных затрат времени в большинстве процессов.