Под «ценностью приоритизации» в управлении инцидентами подразумевается способность системы правильно расставить задачи по мере их значимости и влияния на бизнес. Когда приоритизация работает корректно, это позволяет своевременно выделять ресурсы на наиболее критичные инциденты, минимизируя негативные последствия для организации. Однако если сроки разрешения напрямую рассчитываются по приоритету, теряется смысл самой приоритизации, так как приоритет становится формальным показателем, а не инструментом повышения эффективности работы и оперативности реагирования.

Примером несовместимых разрешений в RBAC может служить ситуация с платежами в банковской системе. Например, разрешение на проведение платежа в сторону контрагента и разрешение на одобрение такого платежа не могут быть назначены одному и тому же сотруднику, так как это нарушает принцип разделения обязанностей. В этом случае создается отдельная роль "Операционист", которая имеет право проводить платежи, и роль "Контролёр", которая может одобрять платежи. Эти роли не могут быть назначены одному и тому же сотруднику одновременно. Аналогичные примеры могут быть в других областях, например, в системе бухгалтерского учета не может быть одного лица, которое одновременно создает документы и утверждает их к оплате.

При формировании ИТ-стратегии компания выбирает модель сорсинга, которая определяет тип отношений между бизнесом и ИТ-функцией. Эта модель может быть основана на сервисных отношениях, где бизнес как заказчик определяет требования и отслеживает результаты, или на управлении, где бизнес напрямую контролирует ресурсы и процессы ИТ-службы. Аналогичный выбор делает ИТ при работе с субподрядчиками, определяя, будут ли отношения сервисными (управление результатами) или управленческими (контроль над процессами).

В COBIT 5 заинтересованные стороны процесса транслируют свои интересы в бизнес-цели, которые затем преобразуются в ИТ-цели и, наконец, в цели процесса. Важно определить как внутренние, так и внешние заинтересованные стороны, чтобы учесть все необходимые требования при проектировании процесса. Например, для процесса управления изменениями заинтересованными сторонами выступают руководители разных уровней, сервис-менеджеры и менеджеры смежных процессов. Необходимость явно определить заинтересованные стороны помогает понять, чьи требования должны быть учтены и кому нужна отчетность о работе процесса, что часто упускается, когда ответ воспринимается как очевидный.

Вместо фиксированных дедлайнов можно использовать методы, основанные на прогнозировании вероятности выполнения задач к определенному времени, такие как буферы, статистические оценки или подходы, основанные на потоке работ. Например, можно планировать исходя из средней скорости выполнения задач и устанавливать целевые даты с учетом вариативности процессов. Также полезно фокусироваться на регулярных поставках небольших функциональных блоков.

Люди склонны действовать вместо анализа из-за глубоко укоренившегося убеждения, которое называется Action Bias. Это убеждение работает на подсознательном уровне: мы автоматически считаем, что действие всегда лучше бездействия, даже если нет полной информации о ситуации. Когда мы сталкиваемся с таким выбором, подсознательно уже знаем «правильный» ответ (что нужно действовать), и уже потом придумываем обоснование для своих действий. Это создает иллюзию рациональности, тогда как решение принимается на основе убеждения, а не анализа фактов.

Конфликт интересов не является нормальным событием, так как он создает противоречивые обязательства, которые могут нарушить объективность и качество выполнения задач. Если такой конфликт присутствует на долговременной основе, процессы работать не будут, поскольку люди, исполняющие их, стремятся избегать ситуаций, вредящих их профессиональной деятельности или репутации. Это противоречит естественному поведению специалистов, которые не хотят вредить себе или своей работе.

Диагностика одной продуктовой команды должна укладываться в одну календарную неделю. Такие временные рамки позволяют провести достаточно глубокую оценку состояния команды без чрезмерного отвлечения ее от основной деятельности. Недельный срок достаточно короткий, чтобы сохранить фокус команды, но при этом достаточный для сбора и анализа необходимых данных, проведения интервью и встреч с участниками, фиксации результатов и подготовки рекомендаций по дальнейшему улучшению процессов.

Неограниченный доступ к записям инцидентов может привести к утечке конфиденциальной информации, включая пароли, лицензионные ключи и системные настройки. Это создает риски для безопасности ИТ-инфраструктуры, потенциальные злоумышленники могут получить доступ к критически важным системам. Также такая ситуация может поставить под угрозу физическую безопасность объектов, что особенно актуально для информации, связанной с пожароохранными системами. В результате компания может столкнуться с серьезными финансовыми и репутационными потерями.

Метрики являются полезными для бизнеса, если они помогают подтвердить актуальность решений, направляют деятельность на цели, обосновывают необходимость действий и позволяют корректировать работу. Также важно, чтобы сотрудники понимали, как использовать эти метрики и для каких конкретно целей они предназначены, а результаты измерений реально влияли на принятие решений.