Для выбора ключевых метрик важно сосредоточиться на том, какие показатели реально отражают эффективность и производительность процесса. Следует избегать множества сложных диаграмм и графиков, акцентируясь на 3-4 ключевых метриках, которые позволяют понять, как строится поток создания ценности. Метрики должны быть понятны всем участникам процесса и помогать в ежедневной работе. Они должны отвечать на важные вопросы: куда уходят ресурсы, где возникают задержки, как ускорить вывод ценности к клиенту.

Включение удовлетворённости пользователей в формулировку назначения практики управления инцидентами важно, потому что это определяет приоритетные направления при внедрении и развитии практики. Если удовлетворённость явно не указана как часть назначения, организации могут сосредоточиться исключительно на скорости восстановления услуг, игнорируя другие важные аспекты, такие как качество коммуникации, окончательность решения и уровень прозрачности. Учёт удовлетворённости пользователей на уровне определения назначения практики помогает обеспечить более сбалансированный подход к управлению инцидентами, учитывающий не только оперативность, но и качество обслуживания. Это в свою очередь способствует повышению общего уровня сервиса и доверия со стороны пользователей.

Команда на уровне «Зрелость» представляет собой агента изменений на уровне всей компании. Она полностью контролирует свой рабочий процесс и несет ответственность за продукт на уровне P&L (прибыль и убытки), что означает управление финансовой стороной продукта. Инициативы направляются не только внутрь команды, но и наружу, команда стремится расширять зону влияния и инициирует изменения, затрагивающие множество служб и подразделений компании. Для такой команды лидер-слуга уже не нужен, как и лидер-наставник. Здесь требуется лидер-партнер с достаточными полномочиями для поддержки командных инициатив на высшем уровне, обладающий широкой осведомленностью о направлении развития компании и достаточным авторитетом для интеграции целей команды с целями компании. Это высшая ступень развития, где команда становится драйвером изменений в организации.

Для оценки качества ИТ-сервисов следует использовать метрики, которые напрямую связаны с бизнес-результатами и удовлетворенностью пользователей, а не только с внутренней эффективностью процессов. К таким метрикам относятся: доступность сервиса (доля времени, в течение которого сервис доступен для использования), время восстановления сервиса после сбоя, время отклика системы (скорость обработки запросов), процент соблюдения SLA по ключевым показателям, уровень удовлетворенности пользователей, а также бизнесовые метрики, такие как влияние инцидентов на выполнение бизнес-процессов. Например, для почтового сервиса ключевой метрикой может быть доступность не менее 99,5%, а для системы заказов - время обработки запроса не более 2 секунд. Важно, чтобы выбранные метрики были согласованы с потребителями сервиса и отражали их реальные потребности в ИТ-услугах.

ISO 22301 играет ключевую роль в системе международных стандартов по управлению непрерывностью, так как является основным требуемым стандартом, на который ссылаются другие документы. Он устанавливает общие требования к системе управления непрерывностью бизнеса и служит основой для разработки руководств по применению (таких как ISO 22313), специализированных стандартов (например, ISO 27031) и сводов знаний от различных институтов (таких как GPG от BCI и Professional Practices от DRII).

Основная роль BRM заключается в установлении и поддержании доверительных отношений между сервис-провайдером и заказчиком. BRM должен глубоко понимать бизнес-процессы заказчика, его потребности и ожидания, а также демонстрировать ценность предоставляемых ИТ-услуг. Он выступает в роли посредника, который корректирует нереалистичные ожидания заказчика, помогает правильно сформулировать требования к услугам с учетом возможностей сервис-провайдера и обеспечивает, чтобы заказчик понимал, какие преимущества и ценность получает от предлагаемых сервисов. BRM активно участвует в разрешении расхождений между ожиданиями заказчика и фактическим уровнем предоставления услуг.

Пять ключевых факторов, определяющих поведение людей, — это личные качества, комплексы, знания, навыки и мотивация. Руководители имеют существенное влияние только на три из них: знания, навыки и мотивацию (на комплексы — в меньшей степени, а на личные качества — крайне слабо). Из трех указанных факторов руководители могут влиять на знания и навыки через обучение, что особенно важно для успешной реализации проектов, направленных на изменение поведения сотрудников.

Основные области рисков, связанные с инсайдерскими угрозами, по мнению авторов COBIT5 for Risk, включают нарушение работы процессов со стороны сотрудников, модификацию клиентской информации, проведение фиктивных транзакций в финансовых системах, несанкционированные изменения и содействие утечкам конфиденциальной информации через сговор с внешними злоумышленниками. Основной причиной реализации этих рисков названы ошибки в разграничении доступа. Для минимизации таких рисков рекомендуется внедрение важных контролов: разделение полномочий, практики управления доступом и работа с персоналом.

Для дополнения ролевой модели управления доступом (RBAC) рекомендуется использовать управление доступом на основании запросов на предоставление прав доступа. Эта стратегия подразумевает, что пользователь самостоятельно запрашивает дополнительные права при возникновении потребности. Запрос проходит проверку, согласование и, при одобрении, приводит к выдаче прав. Такой подход можно автоматизировать через портал самообслуживания. Также полезно интегрировать ролевую модель с кадровой системой и обрабатывать изменения, связанные с кадровыми событиями, автоматически. Кроме того, регулярное проведение аудитов прав доступа помогает своевременно отзывать неиспользуемые права и поддерживать безопасность системы.

Прозрачность в управлении командами решает две основные задачи. Во-первых, в руках менеджера она предоставляет объективную картину состояния всех команд, что позволяет не только оценить текущее состояние, но и определить, где требуется особое внимание. Это особенно важно, учитывая, что ресурс руководителей и методологов ограничен, и необходимо знать, куда его лучше всего направить для поддержки внедрения новых практик. Во-вторых, в руках команды прозрачность позволяет сравнивать текущее состояние с предыдущим периодом и с другими командами, что помогает участникам наблюдать свою динамику и динамику коллег. Это становится заметным не только для управляющего комитета, но и для всех участников, что само по себе положительно влияет на принятие нового и ускоряет преобразования в организации.