В проектировании ИТ-услуг управление рисками проявляется через процессы гарантирования качества услуг: управление доступностью, мощностями, непрерывностью и информационной безопасностью. В рамках этих процессов требуется анализ угроз в области ответственности каждого процесса и внедрение рациональных контрмер. Важно проводить этот анализ комплексно и сообща, особенно учитывая, что одна услуга часто имеет единого владельца и проектируется одной командой. Управление рисками при проектировании помогает учесть различные параметры качества услуги, включая доступность, мощность, непрерывность, безопасность, сопровождаемость, совместимость и соответствие законодательству, что делает результаты более предсказуемыми.

Важно различать эти процессы, потому что они решают разные задачи и требуют разных подходов, ресурсов и показателей. Управление доступностью ориентировано на повседневные операции и оптимизацию текущей системы, тогда как управление непрерывностью фокусируется на экстремальных ситуациях и требует создания дополнительной инфраструктуры и процедур. Смешение этих процессов может привести к нерациональному распределению ресурсов: излишней оптимизации там, где нужна избыточность, или наоборот, созданию сложных резервных схем для незначительных сбоев. Чёткое разделение позволяет целенаправленно распределять бюджет и усилия, учитывая специфику различных типов рисков.

Основные наблюдения включают осознанное отношение бизнеса к вопросам ИТ-обеспечения, понимание ими того, что требовать всего сразу нецелесообразно, конструктивный диалог, учет текущих ограничений при планировании будущих улучшений. Бизнес проявляет заинтересованность в понимании структуры ИТ-услуг и того, какие требования можно предъявлять к ИТ-подразделению, а также рассматривает долгосрочные перспективы развития при заключении SLA.

Идеальный вариант структуры каталога ИТ-услуг — это высокоуровневый каталог, в котором услуги сгруппированы по бизнес-процессам, но при этом каждая услуга имеет четкую привязку к соответствующим ИТ-системам. Такой подход позволяет учитывать как восприятие пользователей, которые чаще всего связывают свои проблемы с конкретными приложениями, так и потребности руководства, которое оценивает влияние на бизнес-процессы. Это обеспечивает корректную классификацию обращений, правильный расчет SLA и более эффективное взаимодействие между ИТ и бизнесом.

Согласно ITIL, стандартные изменения представляют собой изменения с низким уровнем риска, которые предварительно авторизованы, хорошо проанализированы и полностью документированы. Они могут быть реализованы без дополнительной авторизации и часто связаны с регулярно повторяющимися задачами, такими как установка программного обеспечения по шаблону, изменение прав доступа в соответствии с политиками компании или рутинные обновления систем. ITIL указывает, что стандартные изменения часто инициируются как запросы на обслуживание, но также могут быть операционными изменениями или частью плановых процедур.

Основные ошибки при внедрении методологий управления ИТ включают: попытку использовать одну методологию как универсальное решение для всех проблем без адаптации к конкретной ситуации, стремление минимизировать время и затраты на внедрение вместо тщательного изучения и адаптации методологии, формальное отношение к процессу (создание документов ради документов без их практического применения), игнорирование необходимости обучения и вовлечения сотрудников в новый процесс, ожидание мгновенных результатов без понимания, что реальные изменения требуют времени и последовательной работы. Также распространенной ошибкой является использование упрощенных версий методологий без понимания их полной структуры и логики.

Специфика различных информационных систем учитывается через создание моделей изменений. Единый процесс управления содержит обязательные этапы, которые должны пройти все изменения (согласование, разработка, публикация и т.д.), а модели изменений описывают, как именно должен выполняться каждый этап для конкретного типа системы. Например, для одних систем публикация изменений происходит сразу по готовности, а для других - по релизной схеме. Детализация этих процедур в моделях позволяет сохранить общий регламент, но соблюдать особенности каждой системы.

Без дорожной карты легко теряется фокус на предназначении продукта для бизнеса, что приводит к тому, что работа сводится к перемалыванию требований в бэклоге без четкой картины того, каким должен стать продукт. Это похоже на сборку мебели без инструкции: в конце концов результат будет получен, но медленно и возможно с ошибками, которые потребуют переделки. Разработка без дорожной карты может привести к перекосу в сторону оперативных задач, поскольку они наиболее понятны и часто бизнес настоятельно требует их выполнить. Также возможно отклонение в сторону долгосрочных крупных изменений, что приведет к игнорированию текущих проблем с качеством. Без среднесрочного плана сложно контролировать баланс между разными типами задач и удерживать правильное направление развития продукта, что негативно сказывается на темпе улучшения продукта, интересующем бизнес-заказчиков.

Отраслевая специфика определяет степень внедрения и критичность ИТ-решений. Например, в финансах ИТ-инфраструктура — ключевой элемент бизнеса, поэтому изначально было больше обращений из-за высокой нагрузки на систему. В здравоохранении ИТ использовался менее активно, но по мере цифровизации сектора количество запросов выросло. Схожие процессы происходят во всех областях: с ростом ИТ-зависимости меняется и паттерн взаимодействия пользователей с поддержкой.

Внедрение проактивного управления проблемами может потребовать следующих организационных изменений: 1) Создание специализированных команд или выделение ответственных лиц за проактивную работу, которые будут фокусироваться на прогнозировании и предотвращении проблем, а не только на их устранении после возникновения. 2) Формирование кросс-функциональных рабочих групп, включающих специалистов из разных областей (инфраструктура, приложения, безопасность), для комплексного анализа потенциальных проблем. 3) Внедрение новых метрик и KPI, направленных на измерение эффективности проактивной работы, таких как количество предотвращенных инцидентов, снижение частоты повторяющихся инцидентов и т.д. 4) Изменение структуры отчетности и фокуса обсуждений на совещаниях - включение регулярного анализа трендов, потенциальных рисков и возможностей для улучшения. 5) Развитие компетенций сотрудников в области анализа данных, прогнозирования и управления рисками. 6) Интеграция проактивного управления проблемами с другими процессами, особенно с процессом управления изменениями и постоянным совершенствованием услуг. 7) Внедрение инструментов аналитики и мониторинга, способных выявлять аномалии и потенциальные проблемы до их превращения в инциденты. В крупных организациях может потребоваться создание выделенных структур, таких как отдел качества или управление методологии, которые будут координировать проактивную работу на уровне всей организации.