Для управления рисками в области IT существуют различные методы и стандарты, такие как CRAMM, COSO ERM, ISO 27005, OCTAVE и MEHARI. Все эти методики описывают известный цикл управления рисками, состоящий из этапов: определение охвата, идентификация, анализ, оценка, реагирование и контроль. Этот цикл официально закреплен в стандарте ISO 31000 с 2009 года. Каждая методика предлагает свой подход к формулированию рисков. Например, ITSM-специалисты часто используют модель «актив-угроза-уязвимость», в то время как PMBOK рекомендует структуру «причина-событие-последствие». ISACA в своих публикациях, начиная с RiskIT и в частности в COBIT 5 for Risk, предлагает концепцию сценария риска, включающего источник угрозы, тип угрозы, событие, связанные активы и временной аспект.

Информация о major-инциденте для первой линии поддержки должна включать: описание происшествия с указанием, что произошло и в какое время, ожидаемое время решения; уникальный идентификатор инцидента (ID) для установки связей с поступающими обращениями пользователей; оценку влияния на ИТ-услуги, опирающуюся на данные CMDB, чтобы понимать, каким пользователям и в какой степени оказывается влияние, а также уровень критичности проблемы. Эти данные позволяют первой линии давать точные ответы на вопросы пользователей и управлять потоком обращений.

Выделяют четыре уровня командной осознанности: 1) Детский сад - недавно сформированная группа, не способная самостоятельно выявлять проблемы и решать их, где основная работа организуется извне; 2) Пубертат - команда, ощутившая свободу, но не осознающая полностью ответственности, способная к самоорганизации против «внешнего врага», но плохо идентифицирующая причины проблем; 3) Яркая молодость - зрелая самоорганизованная команда с устоявшимися партнерскими отношениями, эволюционирующим рабочим процессом и конструктивным подходом к решению конфликтов; 4) Зрелость - команда как агент изменений на уровне компании, контролирующая свой рабочий процесс и несущая ответственность за продукт на уровне P&L, стремящаяся расширять зону влияния.

Своевременность обработки пользовательских обращений с учетом календарей рабочих групп рекомендуется оценивать не как простое отношение количества своевременно обработанных обращений к общему количеству обращений, а с использованием специализированной метрики TPI. Метрика TPI учитывает не только новые обращения, но и давно просроченные, тем самым стимулируя сотрудников решать даже старые запросы. При этом необходимо корректно применять календари рабочего времени соответствующих групп, учитывая их графики работы и часовые пояса, поскольку не все службы работают круглосуточно. Важно продумывать систему оценки до включения её в SLA или систему мотивации, чтобы избежать несправедливых ситуаций.

Это создает одноточечный риск для всей команды: если этот человек уйдет, заболеет или будет отсутствовать по любой причине, команда останется без ключевой компетенции и не сможет эффективно работать. Кроме того, другие участники теряют квалификацию из-за отсутствия практики, снижается их вовлеченность и мотивация. Также страдает качество работы, так как даже сильный специалист не может одновременно качественно выполнять все виды задач. Такая зависимость от одного человека блокирует развитие команды как целостной системы.

Продуктовым командам помогают принципы Site Reliability Engineering (SRE), методики разработки, повышающие надёжность, такие как Test-Driven Development (TDD), сквозное автоматизированное тестирование на всех этапах разработки, интеграции и доставки, а также своевременный контроль и устранение технического долга. Эти подходы позволяют минимизировать риски сбоев при внесении изменений, поддерживать эксплуатационные характеристики приложений и сокращать время поставки за счёт автоматизации и строгого контроля качества на каждом этапе.

Управление доступностью ИТ-услуг (AVA) фокусируется на рисках с высокой вероятностью возникновения, в то время как управление непрерывностью ИТ-услуг (CONT) сосредоточено на рисках, связанных с высоким ущербом, таких как чрезвычайные ситуации и катастрофы. AVA рассматривает незначительные и короткие сбои, не имеющие серьезного влияния на бизнес, включая отказы отдельных компонентов, тогда как CONT учитывает только события, которые потенциально приводят к значительному ущербу независимо от их вероятности. Это включает такие ситуации, как пожары, затопления, длительные отключения электроэнергии или недоступность целых дата-центров.

Пользователь (user) - это тот, кто непосредственно пользуется ИТ-услугами в своей работе. Заказчик (customer) - это тот, кто определяет потребности, формирует задачи и, главное, оплачивает услуги. Заказчик может не использовать услугу напрямую, но влиять на формирование каталога услуг и бюджета. Например, руководитель подразделения может являться заказчиком для ИТ-службы, даже если он лично не использует все предоставляемые услуги.

Основная цель процесса «Управление проблемами» (Problem Management) в рамках ITIL заключается в минимизации негативного влияния на бизнес инцидентов, вызванных ошибками в ИТ-инфраструктуре, и предотвращении повторного возникновения таких инцидентов. Процесс направлен как на реагирование на уже произошедшие инциденты с устранением их корневых причин, так и на проактивное выявление потенциальных проблем, способных вызвать инциденты в будущем, чтобы предотвратить их возникновение.

Ответственность за цифровую трансформацию должен взять на себя сама компания, а конкретно группа руководителей, отвечающих за функционирование бизнеса в целом и обладающих неограниченными полномочиями в своих областях. Внешние консультанты могут оказать поддержку в вопросах технической реализации, но драйвером изменений должны стать внутренние лидеры, которые обеспечат трансформацию культуры компании и переход к новой парадигме эффективного и гибкого производства.