Технический долг представляет собой накопленные компромиссы и упрощения в кодовой базе и архитектуре продукта, которые принимаются в процессе разработки для ускорения выхода на рынок или решения текущих задач. Он формируется, когда инженеры принимают архитектурные и технические решения в конкретном контексте и с учетом текущих ограничений. Со временем, по мере изменения требований, масштаба, нагрузок и данных, эти решения становятся устаревшими и начинают негативно влиять на способность команды эффективно вносить изменения и развивать продукт. Технический долг можно рассматривать как обязательство, которое необходимо погасить в будущем через рефакторинг и переработку отдельных компонентов.

Структура сценария риска в COBIT 5 for Risk включает пять основных компонентов: источник угрозы (Actor), который определяется как внутренний или внешний; тип угрозы (Threat Type), такой как злоумышленные действия, ошибки или природные катаклизмы; событие (Event), включающее раскрытие информации, модификацию, кражу или уничтожение; связанные активы (Asset/Resource), относящиеся к людям, организационным структурам, процессам и ИТ-инфраструктуре; и временной аспект (Time), учитывающий прогнозируемую длительность негативного влияния и критичность события в зависимости от времени суток или календарного периода.

Существует три основных комбинации RBAC и ABAC: динамические роли, атрибутное формирование ролей и роль-ориентированное ABAC. В первом варианте ролевая модель дополняется динамическими атрибутами, которые определяют набор ролей пользователя в системе динамически. Во втором случае роль становится просто одним из атрибутов, что приводит к усложнению управления. В третьем подходе атрибуты используются для создания правил ограничения доступа ролей, где роли содержат наборы прав доступа, но окончательный набор прав определяется пересечением прав роли и правил с использованием атрибутов.

В ITIL выделяются четыре ключевые составляющие качества ИТ-услуг: доступность, мощность, непрерывность и безопасность. Доступность отвечает за предотвращение сбоев, мощность обеспечивает соответствие ресурсов спросу, непрерывность связана с преодолением крупных сбоев («пожаров»), а безопасность направлена на защиту от внешних и внутренних угроз. Эти аспекты рассматриваются как равноправные и обязательные элементы качества ИТ-услуг, кроме функциональности, которая выделена отдельно.

Выходы (outputs) — это конкретные продукты, услуги или данные, которые предоставляются в рамках процесса. Например, в случае услуги электронной почты выходами могут быть объем дискового пространства, скорость передачи сообщений или наличие групповых ящиков. Результаты (outcomes) — это польза, которую заказчик получает от использования услуги, например, увеличение прибыли компании благодаря эффективной коммуникации через электронную почту. Разница заключается в том, что выходы фокусируются на том, что предоставляет ИТ-служба, а результаты — на том, как это влияет на бизнес-цели заказчика.

Основной вывод заключается в том, что "проигрыш" в деловых играх может оказывать более сильное влияние на развитие участников, чем высокий результат. Это связано с тем, что низкий итоговый результат способствует проведению подробной работы над ошибками, осознанию причин неудач и формулированию практических выводов для реальной работы. Даже высокие результаты требуют анализа процесса достижения цели, поскольку путь к успеху может содержать скрытые недостатки в взаимодействии и решении задач.

Процесс учета рабочего времени занимает значительно меньше, чем многие предполагают. За весь 2014 год на эту задачу потребовалось всего 6 часов 4 минуты, что составляет 0,32% всего рабочего времени за год. Это опровергает распространенное мнение о том, что учет времени может занимать от 5% до 10% рабочего времени.

Существуют несколько ошибочных мнений об учете рабочего времени: первое — что ведение учета занимает 5-10% рабочего времени, хотя фактически это составляет менее 1%; второе — что усложнение системы с большим количеством категорий (более трех) значительно увеличивает время учета, хотя это не подтверждается практикой; третье — что лучше вести учет в конце дня по памяти, что на самом деле приводит к значительным искажениям данных и неточностям в отчетах.

Для обобщённой отчётности перед топ-менеджментом рекомендуется использовать два ключевых показателя: среднее значение интегральных метрик качества по всем услугам и их минимальное значение. Среднее значение отражает общий уровень выполнения SLA, а минимальное значение указывает на наличие серьёзных провалов по отдельным услугам. Такой подход позволяет не только оценить общую картину (среднее), но и выявить критические проблемы. Для визуализации рекомендуется строить графики в динамике, по аналогии с японскими свечами на биржевых графиках, где диапазон между средним и минимальным значением формирует интервал, показывающий стабильность обслуживания.

Использование своевременности реакции на инциденты в качестве KPI для руководителей функциональных групп может привести к искажению реальной картины работы с инцидентами. Сотрудники, стремясь показать хорошую статистику, могут преждевременно брать инциденты в работу, не имея возможности немедленно приступить к их решению. Это создает видимость оперативной реакции, но фактически маскирует проблему задержек в обработке инцидентов, которые возникают из-за нахождения инцидентов в очереди. Такое поведение может даже повысить среднее время решения инцидентов, так как ресурсы тратятся на формальное принятие инцидентов в работу, а не на их реальное решение.