Основная роль BRM заключается в установлении и поддержании доверительных отношений между сервис-провайдером и заказчиком. BRM должен глубоко понимать бизнес-процессы заказчика, его потребности и ожидания, а также демонстрировать ценность предоставляемых ИТ-услуг. Он выступает в роли посредника, который корректирует нереалистичные ожидания заказчика, помогает правильно сформулировать требования к услугам с учетом возможностей сервис-провайдера и обеспечивает, чтобы заказчик понимал, какие преимущества и ценность получает от предлагаемых сервисов. BRM активно участвует в разрешении расхождений между ожиданиями заказчика и фактическим уровнем предоставления услуг.

Пять ключевых факторов, определяющих поведение людей, — это личные качества, комплексы, знания, навыки и мотивация. Руководители имеют существенное влияние только на три из них: знания, навыки и мотивацию (на комплексы — в меньшей степени, а на личные качества — крайне слабо). Из трех указанных факторов руководители могут влиять на знания и навыки через обучение, что особенно важно для успешной реализации проектов, направленных на изменение поведения сотрудников.

Основные области рисков, связанные с инсайдерскими угрозами, по мнению авторов COBIT5 for Risk, включают нарушение работы процессов со стороны сотрудников, модификацию клиентской информации, проведение фиктивных транзакций в финансовых системах, несанкционированные изменения и содействие утечкам конфиденциальной информации через сговор с внешними злоумышленниками. Основной причиной реализации этих рисков названы ошибки в разграничении доступа. Для минимизации таких рисков рекомендуется внедрение важных контролов: разделение полномочий, практики управления доступом и работа с персоналом.

Для дополнения ролевой модели управления доступом (RBAC) рекомендуется использовать управление доступом на основании запросов на предоставление прав доступа. Эта стратегия подразумевает, что пользователь самостоятельно запрашивает дополнительные права при возникновении потребности. Запрос проходит проверку, согласование и, при одобрении, приводит к выдаче прав. Такой подход можно автоматизировать через портал самообслуживания. Также полезно интегрировать ролевую модель с кадровой системой и обрабатывать изменения, связанные с кадровыми событиями, автоматически. Кроме того, регулярное проведение аудитов прав доступа помогает своевременно отзывать неиспользуемые права и поддерживать безопасность системы.

Прозрачность в управлении командами решает две основные задачи. Во-первых, в руках менеджера она предоставляет объективную картину состояния всех команд, что позволяет не только оценить текущее состояние, но и определить, где требуется особое внимание. Это особенно важно, учитывая, что ресурс руководителей и методологов ограничен, и необходимо знать, куда его лучше всего направить для поддержки внедрения новых практик. Во-вторых, в руках команды прозрачность позволяет сравнивать текущее состояние с предыдущим периодом и с другими командами, что помогает участникам наблюдать свою динамику и динамику коллег. Это становится заметным не только для управляющего комитета, но и для всех участников, что само по себе положительно влияет на принятие нового и ускоряет преобразования в организации.

Процедура управления инцидентами предназначена для скорейшего устранения нарушений в предоставлении услуг. В отличие от сервисных запросов, которые необходимо выполнять только в установленные сроки, инциденты требуется решать максимально быстро. Хотя традиционно показатели эффективности (KPI) процесса управления инцидентами связаны с соблюдением сроков, ключевая задача процесса — устранение сбоев как можно быстрее для минимизации их влияния на бизнес.

Измерение удовлетворённости клиентов ИТ-услугами необходимо потому что удержание существующих клиентов гораздо дешевле привлечения новых. Управление с учётом интересов клиентов обеспечивает долговременный прибыльный бизнес за счёт создания лояльной аудитории. Лояльные сотрудники напрямую влияют на удержание клиентов и в современных условиях роль ИТ-подразделения в формировании такого сотрудниками лояльности становится критически важной из-за повсеместного распространения информационных технологий.

Каждый процесс домена EDM в COBIT 5 включает три практики, которые следуют единой структуре: оценка, направление и мониторинг. Например, в процессе EDM01 эти практики названы: EDM01.01 «Оценка системы руководства», EDM01.02 «Определение направления развития для системы руководства», EDM01.03 «Мониторинг системы руководства». Такая же трехшаговая структура характерна и для всех остальных процессов домена EDM. При этом объект оценки, направления и мониторинга меняется в зависимости от конкретного процесса.

Коммуникации являются одной из ключевых составляющих эффективной работы организации, выступая своего рода «кровеносной системой» для организационного организма. Недостаточно эффективные коммуникации приводят к снижению управляемости организации, падению эффективности и рациональности её деятельности. По исследованию, 73% американских, 63% английских и 85% японских руководителей считают коммуникации главным препятствием в достижении эффективности их организациями. Опрос 250000 сотрудников более чем 2000 компаний также показал, что большинство из них считают обмен информацией одной из самых сложных проблем в организации. Руководитель тратит от 50 до 90% времени на коммуникации, что подчеркивает их важность в процессе управления.

Финальный уровень Definition of Done в DevOps определяется как состояние, когда код работает в продуктивной среде, и при этом вся сборка, тестирование и развертывание выполнены автоматическими средствами. Это важно потому, что автоматизация всех этапов процесса минимизирует человеческий фактор, повышает скорость и надежность доставки изменений, обеспечивает воспроизводимость результатов и позволяет командам регулярно и безопасно вносить изменения в рабочую систему. Такой подход гарантирует, что процесс разработки и эксплуатации является прозрачным, предсказуемым и соответствует лучшим практикам.