ผมสะดุ้งตื่น เมื่อนาฬิกาปลุกดังตอน 6:15 น. กรามของผมยังรู้สึกปวดจากการขบเคี้ยวฟันมาทั้งคืน ภาพความล้มเหลวที่รออยู่ของการเปิดตัวโปรเจกต์ Phoenix ยังคงวนเวียนอยู่ในหัวไม่ไปไหน

เหมือนอย่างเคย ก่อนจะลุกจากเตียง ผมหยิบมือถือขึ้นมาเช็กข่าวร้ายอย่างรวดเร็ว ปกติแล้วผมจะใช้เวลาประมาณสิบนาทีในการตอบอีเมล—มันให้ความรู้สึกดีเสมอที่ได้จัดการเคลียร์งานออกจากฝั่งของตัวเองไปบ้าง

ผมเห็นบางอย่างที่ทำให้ผมต้องลุกพรวดขึ้นมาทันทีจนทำเอา Paige ตื่นไปด้วย "โอ้พระเจ้า มีอะไรเหรอ?" เธอถามด้วยความตกใจทั้งที่ยังงัวเงียอยู่

"มันเป็นอีเมลอีกฉบับจาก Steve แป๊บนึงนะที่รัก..." ผมบอกเธอก่อนจะหรี่ตาอ่านเนื้อหาข้างใน

จาก: Steve Masters

ถึง: Bill Palmer

สำเนา: Nancy Mailer, Dick Landry

วันที่: 4 กันยายน เวลา 6:05 น.

ระดับความสำคัญ: สูงสุด

หัวข้อ: ด่วน: ตรวจสอบผลการ Audit ด้าน IT ตามกฎหมาย SOX-404

Bill, ฝากดูเรื่องนี้ด้วย ด่วนที่สุด ไม่ต้องบอกก็น่าจะรู้ว่ามันสำคัญแค่ไหนที่ผลการ Audit ของ SOX-404 ต้องออกมาเรียบร้อย

Nancy, รบกวนร่วมมือกับ Bill Palmer ที่เพิ่งเข้ามาดูแลฝ่าย IT Operations ด้วย

Steve

>>> เริ่มข้อความที่ส่งต่อมา:

เราเพิ่งสรุปผลการ Audit ภายในประจำไตรมาสที่ 3 เพื่อเตรียมพร้อมสำหรับการ Audit จากภายนอกตามกฎหมาย SOX-404 ที่กำลังจะมาถึง เราพบข้อบกพร่องบางอย่างที่น่ากังวลมากและต้องการหารือกับคุณ เนื่องจากความรุนแรงและความเร่งด่วนของสิ่งที่พบ เราจำเป็นต้องขอพบกับฝ่าย IT เช้านี้เลย

Nancy

จริงด้วยสิ มีประชุมสองชั่วโมงถ้วนถูกนัดไว้ตอน 8 โมงเช้าในปฏิทินของผม โดยคนนัดคือ Nancy Mailer หัวหน้าฝ่ายตรวจสอบภายใน (Chief Audit Executive)

ให้ตายเถอะ เธอฉลาดและน่าเกรงขามสุดๆ เมื่อหลายปีก่อนช่วงที่บริษัทเรากำลังรวมระบบหลังเข้าซื้อกิจการค้าปลีก ผมเห็นเธอไล่บี้ผู้จัดการจากฝั่งบริษัทที่ถูกซื้อ ตอนเขากำลังพรีเซนต์ผลประกอบการทางการเงิน เธอเริ่มรัวคำถามใส่เขาเหมือนการสอบสวนที่เอา Columbo, Matlock และ Scarface มารวมร่างกัน

เขาแตกพ่ายอย่างรวดเร็ว และยอมรับว่าเขาพูดเกินจริงเรื่องผลประกอบการของแผนกตัวเอง

พอนึกถึงการประชุมวันนั้นแล้ว เหงื่อใต้วงแขนผมก็เริ่มซึม ผมไม่ได้ทำอะไรผิดหรอกนะ แต่ดูจากโทนของอีเมลแล้ว ชัดเจนเลยว่าเธอกำลังตามกลิ่นบางอย่างที่สำคัญมากอยู่ และ Steve ก็เพิ่งจะโยนผมเข้ากองไฟใส่หน้าเธอเต็มๆ

ตอนดูแลแผนก Midrange Technology ผมคุมทีมอย่างเข้มงวดมาตลอดเพื่อไม่ให้ทีม Audit เข้ามาวุ่นวายได้ง่ายๆ แน่นอนว่ามักจะมีคำถามและขอเอกสารมากมายมาตลอด เราต้องใช้เวลาหลายสัปดาห์ในการรวบรวมข้อมูลและเตรียมคำตอบ บางครั้งพวกเขาก็เจออะไรบางอย่าง แต่เราก็แก้ไขมันได้อย่างรวดเร็ว

ผมชอบคิดเอาเองว่าเราสร้างความสัมพันธ์ในการทำงานที่เคารพซึ่งกันและกันได้แล้วนะ แต่อีเมลฉบับนี้กลับดูเหมือนลางบอกเหตุร้ายยังไงไม่รู้

ผมดูนาฬิกา อีก 90 นาทีจะถึงเวลาประชุม และผมไม่มีเบาะแสเลยว่าเธอต้องการจะคุยเรื่องอะไร

"ฉิบหายแล้ว!" ผมอุทานออกมาพลางเขย่าไหล่ Paige "ที่รัก วันนี้คุณช่วยขับรถไปส่งเด็กๆ ที่โรงเรียนหน่อยได้ไหม? มีเรื่องร้ายแรงเกิดขึ้นเกี่ยวกับหัวหน้าฝ่าย Audit และ Steve ผมต้องโทรศัพท์และรีบไปที่ออฟฟิศตอนนี้เลย"

เธอพูดด้วยความหงุดหงิด "สองปีที่ผ่านมาคุณรับหน้าที่ส่งลูกทุกวันพฤหัสมาตลอดนะ! วันนี้ฉันก็ต้องไปทำงานแต่เช้าเหมือนกัน!"

"ผมขอโทษนะที่รัก เรื่องนี้มันสำคัญจริงๆ CEO ของบริษัทเป็นคนสั่งให้ผมจัดการเองเลย Steve Masters ไง คนที่ออกทีวีและขึ้นพูดในงานเลี้ยงบริษัททุกปีน่ะ ผมจะพลาดอีกไม่ได้แล้วหลังจากเรื่องเมื่อวาน และข่าวพาดหัวหน้าหนึ่งเมื่อคืนก่อนนั่นอีก—"

เธอเดินกระทืบเท้าลงบันไดไปโดยไม่พูดสักคำ

เมื่อผมมาถึง ห้องประชุมตอน 8 โมงเช้า ผมก็สังเกตเห็นความเงียบเชียบในทันที ไม่มีเสียงพูดคุยสัพเพเหระเหมือนที่ควรจะมีระหว่างที่รอคนค่อยๆ ทยอยเดินเข้ามา

Nancy นั่งอยู่ที่หัวโต๊ะ พร้อมกับคนอื่นอีกสี่คนรอบข้างเธอนั่งอยู่ข้างๆ เธอคือ John ที่มาพร้อมกับแฟ้มสามห่วงสีดำคู่ใจ ผมยังคงแปลกใจอยู่เสมอว่าเขายังอายุน้อยมาก น่าจะแค่ช่วงกลางสามสิบและมีผมดัดลอนสีดำหนา

John ดูอิดโรยและน้ำหนักตัวก็เพิ่มขึ้นอย่างต่อเนื่องตลอดสามปีที่อยู่ที่ Parts Unlimited เหมือนพวกนักศึกษามหาวิทยาลัยเลย สาเหตุน่าจะมาจากความเครียดที่สะสมมาจากการทำสงครามเพื่อความถูกต้องที่เขามักจะพ่ายแพ้อยู่เสมอ

จริงๆ แล้ว John ทำให้นึกถึง Brent มากกว่าใครในห้องนี้ซะอีก แต่ต่างกันตรงที่ Brent มักจะใส่เสื้อยืดลาย Linux ส่วน John ใส่เสื้อเชิ้ตปกแข็งที่ดูจะตัวใหญ่ไปนิดหน่อย

Wes ดูจะแต่งตัวชิลเกินหน้าเกินตาคนอื่นในห้องอย่างเห็นได้ชัด แต่เขาก็ไม่ได้แคร์หรอก ส่วนคนสุดท้ายเป็นชายหนุ่มที่ผมไม่รู้จักหน้าค่าตา ก็น่าจะเป็นเจ้าหน้าที่ Audit ด้าน IT นั่นแหละ

Nancy เริ่มพูดขึ้น "เราเพิ่งสรุปผลการ Audit ภายในไตรมาสที่ 3 ไป เพื่อเตรียมรับมือกับ Audit ภายนอกตาม SOX-404 ที่กำลังจะมาถึง สถานการณ์ตอนนี้ค่อนข้างวิกฤต Tim เจ้าหน้าที่ Audit ด้าน IT ของเรา เจอประเด็นเรื่องการควบคุม (IT control issues) มากจนน่าตกใจ ที่แย่ไปกว่านั้น หลายเรื่องยังเป็นประเด็นที่เจอซ้ำซ้อนกันมาเป็นปีที่สามแล้ว หากยังไม่ได้รับการแก้ไข สิ่งเหล่านี้อาจทำให้เราสรุปได้ว่าบริษัทไม่มีการควบคุมที่เพียงพอต่อความถูกต้องของงบการเงินอีกต่อไป ซึ่งอาจนำไปสู่หมายเหตุประกอบงบการเงิน (footnote) ที่ไม่พึงประสงค์จากการ Audit ภายนอกในรายงาน 10-K ที่ยื่นต่อ ก.ล.ต. สหรัฐฯ (SEC)"

"ถึงแม้ผลลัพธ์พวกนี้จะเป็นแค่ผลเบื้องต้น แต่เนื่องจากความรุนแรงของสถานการณ์ ฉันจึงได้แจ้งคณะกรรมการตรวจสอบ (audit committee) ด้วยวาจาไปเรียบร้อยแล้ว"

ผมหน้าถอดสี ถึงผมจะไม่ค่อยเข้าใจศัพท์แสงทางการตรวจสอบทั้งหมด แต่ผมก็รู้พอที่จะบอกได้ว่าเรื่องนี้จะทำให้ Dick ต้องปวดกบาลไปทั้งวัน และอาจจะตามมาด้วยข่าวพาดหัวหน้าหนึ่งแย่ๆ เพิ่มขึ้นไปอีก

เมื่อเห็นว่าผมเข้าใจความรุนแรงของสถานการณ์แล้ว Nancy ก็พยักหน้า "Tim ช่วยอธิบายข้อสรุปของคุณหน่อย"

เขาหยิบปึกเอกสารหนาเตอะที่เย็บเล่มไว้และแจกจ่ายให้กับทุกคนในที่ประชุม "เราเพิ่งเสร็จสิ้นการ Audit ด้านการควบคุมทั่วไปด้านไอที (IT general controls) ที่ Parts Unlimited ของระบบทางการเงินที่สำคัญทั้งหมด เราใช้ทีมงานสี่คนและใช้เวลากว่าแปดสัปดาห์เพื่อจัดทำรายงานสรุปฉบับนี้ขึ้นมา"

แม่เจ้า ผมยกปึกกระดาษที่หนากว่าสองนิ้วขึ้นมาดู นี่เขาไปหาที่เย็บกระดาษใหญ่ขนาดนี้มาจากไหนกันเนี่ย?

มันคือตาราง Excel ที่พิมพ์ออกมา มี 20 แถวต่อหน้าด้วยตัวหนังสือขนาดจิ๋วเพียง 8 พอยต์ หน้าสุดท้ายคือหน้า 189 "นี่มันต้องมีเป็นพันเรื่องแน่ๆ เลย!" ผมอุทานด้วยความไม่อยากเชื่อ

"น่าเสียดายที่ใช่ครับ" เขาตอบ พลางเก็บอาการดีใจแบบภูมิใจลึกๆ ไว้ไม่อยู่ "เราเจอข้อบกพร่องในการควบคุมไอทีทั่วไปถึง 952 จุด โดยในจำนวนนี้มี 16 จุดที่เป็นข้อบกพร่องที่สำคัญ (significant deficiencies) และ 2 จุดที่เป็นความอ่อนแอที่เป็นสาระสำคัญ (material weaknesses) แน่นอนว่าเราตกใจมาก และเนื่องจากการ Audit ภายนอกจะเริ่มขึ้นในไม่ช้า เราจึงต้องการแผนการแก้ไข (remediation plan) ของคุณโดยเร็วที่สุดเท่าที่จะทำได้"

Wes ก้มหน้ามองโต๊ะ มือข้างหนึ่งกุมขมับ ส่วนอีกข้างก็พลิกเปิดหน้ากระดาษไปเรื่อยๆ "ไอ้ห่วยนี่มันอะไรกันวะ?"

เขาชูหน้าหนึ่งขึ้นมา " 'ประเด็นที่ 127: การตั้งค่า MAX_SYN_COOKIE ในระบบปฏิบัติการ Windows ไม่ปลอดภัย'? นี่มันตลกหรือเปล่า? เผื่อคุณยังไม่รู้นะ เรายังมีธุรกิจจริงๆ ที่ต้องดูแล โทษทีที่มันไปขัดขวางขบวนการ Audit ของคุณที่ตั้งหน้าตั้งตาหากินกับพวกเราอยู่ตอนนี้"

เชื่อใจ Wes ได้เลยว่าเขาจะพูดในสิ่งที่คนอื่นก็คิดเหมือนกันแต่ฉลาดพอที่จะไม่พูดออกมาดังๆ

Nancy ตอบด้วยสีหน้าเคร่งขรึม "น่าเสียดายที่ตอนนี้ขั้นตอนการสอบทานและทดสอบการควบคุมได้สิ้นสุดลงแล้ว สิ่งที่เราต้องการจากคุณในตอนนี้คือ 'จดหมายตอบกลับจากฝ่ายบริหาร' (management response letter) คุณต้องไปตรวจสอบในแต่ละประเด็น ยืนยันสิ่งเหล่านั้น แล้วจึงจัดทำแผนการแก้ไขมา เราจะตรวจสอบแผนนั้นและนำไปเสนอต่อคณะกรรมการตรวจสอบและคณะกรรมการบริษัทต่อไป"

"ปกติแล้ว คุณจะมีเวลาเป็นเดือนในการเตรียมจดหมายตอบกลับและดำเนินการตามแผนการแก้ไข" เธอพูดต่อพลางทำหน้าขอโทษ "แต่โชคร้ายที่ตารางการทดสอบ Audit ออกมาเป็นแบบนี้ เราจึงเหลือเวลาแค่สามสัปดาห์ก่อนที่ทีม Audit ภายนอกจะมาถึง ก็น่าเสียดายนะ เราจะพยายามให้เวลาฝ่าย IT มากขึ้นในรอบถัดไป แต่สำหรับรอบนี้ เราต้องการจดหมายตอบกลับของคุณภายใน..."

เธอมองไปที่ปฏิทิน "วันจันทร์หน้า ไม่เกินวันจันทร์ถัดไปอย่างช้าที่สุด คุณคิดว่าจะทำได้ไหม?"

เวรกรรม

นั่นมันเหลือเวลาทำงานแค่หกวันเองนะ แค่จะอ่านเอกสารทั้งหมดให้จบนี่ก็ต้องใช้เวลาไปตั้งครึ่งหนึ่งแล้วมั้ง

ทีม Audit ที่ผมเคยเชื่อมั่นมาตลอดว่าเป็นตัวแทนของความยุติธรรมและความเป็นกลาง ก็ยังมาหาเรื่องรังแกผมด้วยเหรอเนี่ย?

ผมหยิบปึกกระดาษหนาเตอะขึ้นมาเปิดดูหน้าสุ่มๆ ดูอีกครั้ง มีหลายรายการคล้ายๆ กับที่ Wes อ่านไปแล้ว แต่ที่เหลือพูดถึงการตั้งค่าความปลอดภัยที่ไม่เพียงพอ การมีบัญชีล็อกอินผี (ghost login accounts) ประเด็นเรื่องการควบคุมการเปลี่ยนแปลง (change control) และเรื่องการแบ่งแยกหน้าที่ (segregation of duties)

John เปิดแฟ้มสามห่วงของเขาแล้วพูดอย่างมั่นอกมั่นใจ "Bill ผมเคยบอกประเด็นพวกนี้กับ Wes และคนก่อนหน้าที่มาทำแทนคุณแล้วนะ แต่พวกเขากลับไปเกลี้ยกล่อมให้ CIO เซ็นใบยกเว้นความรับผิดชอบ (management waiver) โดยบอกว่าพวกเขายอมรับความเสี่ยงที่จะเกิดขึ้นและไม่ทำอะไรเลย และในเมื่อตอนนี้ประเด็นพวกนี้กลายเป็นสิ่งที่เจอซ้ำซ้อนกันหลายรอบแล้ว ผมว่าเราคงคุยหาทางออกเหมือนครั้งที่แล้วไม่ได้อีกแน่ๆ"

เขาหันไปหา Nancy "ช่วงที่ผู้บริหารชุดก่อนดูแล เรื่องการควบคุมด้านไอทีไม่ใช่ประเด็นหลัก แต่ตอนนี้ปัญหาความปลอดภัยเหล่านั้นเริ่มปะทุออกมาแล้ว ผมเชื่อว่า Bill จะระมัดระวังมากขึ้นครับ"

Wes มอง John ด้วยสายตาเหยียดหยาม ผมไม่อยากเชื่อเลยว่า John จะมาแสดงความเก่งกล้าอยู่หน้าทีม Audit แบบนี้ เวลาแบบนี้นี่แหละที่ทำให้ผมสงสัยว่าจริงๆ แล้วเขาอยู่ข้างใครกันแน่

John ทำเป็นไม่สนใจ Wes และผม แล้วพูดกับ Nancy ต่อ "แผนกของผมเพิ่งแก้ไขการควบคุมบางอย่างไป ซึ่งผมคิดว่าควรได้รับคำชมนะ อย่างแรกเราทำการแปลงค่าข้อมูลส่วนบุคคล (tokenization of PII) ในระบบการเงินที่สำคัญของเราเสร็จแล้ว อย่างน้อยเราก็รอดตัวไปจากเรื่องนั้น และประเด็นนั้นก็ถือว่าปิดไปเรียบร้อยแล้ว"

Nancy ตอบเรียบๆ "ก็น่าสนใจดีนะ แต่เรื่อง PII ไม่อยู่ในขอบเขตการ Audit ของ SOX-404 ดังนั้นถ้ามองจากมุมนี้ การโฟกัสที่การควบคุมทั่วไปด้านไอที (IT general controls) อาจจะเป็นการใช้เวลาที่มีค่ามากกว่านะ"

เดี๋ยวนะ งานด่วนเรื่อง tokenization ของ John คือทำไปเปล่าๆ งั้นเหรอ?

ถ้าเป็นเรื่องจริงล่ะก็ ผมกับ John ต้องคุยกันหน่อยแล้ว แต่เอาไว้ทีหลังนะ

ผมพูดช้าๆ "Nancy ผมไม่รู้จริงๆ ว่าเราจะส่งอะไรให้คุณได้ทันวันศุกร์นี้ ตอนนี้พวกเราจมอยู่กับงานกู้ระบบและพยายามเร่งเปิดตัว Phoenix กันอยู่ ประเด็นไหนในนี้ที่สำคัญที่สุดที่พวกเราควรจะจัดการเป็นอันดับแรก?"

Nancy พยักหน้าให้ Tim และเขาก็พูดต่อ "ได้ครับ ประเด็นแรกคือเรื่องความอ่อนแอที่เป็นสาระสำคัญ (material weakness) ซึ่งสรุปไว้อยู่ในหน้าเจ็ด ประเด็นนี้บอกว่าการเปลี่ยนแปลงแอปพลิเคชันที่รองรับรายงานทางการเงินโดยไม่ได้รับอนุญาตหรือไม่ได้ผ่านการทดสอบ อาจถูกนำขึ้นระบบจริง (production) ได้ สิ่งนี้อาจนำไปสู่ข้อผิดพลาดที่เป็นสาระสำคัญที่ตรวจพบไม่ได้ ไม่ว่าจะจากการทุจริตหรือเหตุผลอื่นก็ตาม ฝ่ายบริหารไม่มีระบบควบคุมใดๆ ที่จะป้องกันหรือตรวจพบการเปลี่ยนแปลงแบบนี้ได้เลย"

"นอกจากนี้ กลุ่มของคุณยังไม่สามารถแสดงรายงานการประชุมบริหารการเปลี่ยนแปลง (change management meeting minutes) ที่ควรจะประชุมกันทุกสัปดาห์ตามนโยบายของคุณได้เลย"

ผมพยายามไม่ทำหน้าบูดเบี้ยว นึกถึงเมื่อวานที่ไม่มีใครโผล่มาประชุม CAB เลย และตอนที่เกิดปัญหาระบบจ่ายเงินเดือน เราก็ไม่รู้เรื่องการเปลี่ยนแปลง tokenization ของ John จนทำให้ SAN เจ๊งไปเลย

ถ้าเรายังงมเข็มอยู่กับการเปลี่ยนแปลงพวกนั้นล่ะก็ ผมสงสัยจริงๆ ว่าเราจะสังเกตเห็นไหมถ้ามีใครสักคนมาปิดระบบควบคุมแล้วยักยอกเงินไปสัก 100 ล้านดอลลาร์เบาๆ น่ะ

"จริงเหรอเนี่ย? ไม่อยากจะเชื่อเลย! เดี๋ยวผมจะไปดูให้นะครับ" ผมพูดพลางทำหน้าตกใจแบบพอประมาณและดูมีจรรยาบรรณที่สุด หลังจากนั้นผมก็ทำท่าจดรายละเอียดลงในคลิปบอร์ด ทั้งวงกลมและขีดเส้นใต้คำมั่วๆ ไปด้วย แล้วพยักหน้าให้ Tim พูดต่อ

"ต่อไปคือ เราเจอกรณีมากมายที่นักพัฒนามีสิทธิ์เข้าถึงระบบจริงและฐานข้อมูลในฐานะผู้ดูแลระบบ (admin access) นี่เป็นการละเมิดหลักการแบ่งแยกหน้าที่ (segregation of duty) ที่จำเป็นเพื่อป้องกันความเสี่ยงจากการทุจริตครับ"

ผมมองไปที่ John "จริงเหรอ? ไม่ต้องพูดก็รู้เลยนะเนี่ย นักพัฒนาแก้แอปฯ โดยไม่มีใบสั่งแก้ (change order) ที่ผ่านการอนุมัติ? นั่นมันเป็นความเสี่ยงด้านความปลอดภัยชัดๆ เลยนะ แล้วจะเกิดอะไรขึ้นถ้ามีคนไปบังคับนักพัฒนา อย่าง Max ให้ทำอะไรที่ไม่อนุมัติล่ะ? เราต้องทำอะไรสักอย่างแล้วใช่ไหม John?"

John หน้าแดงก่ำ แต่ยังคงพูดอย่างสุภาพ "ครับ แน่นอน ผมเห็นด้วยและยินดีจะช่วยครับ"

Tim พูด "ดีครับ งั้นเรามาดูประเด็นข้อบกพร่องที่สำคัญ 16 ข้อกันต่อเลย"

ครึ่งชั่วโมงผ่านไป Tim ก็ยังคงร่ายยาวไม่หยุด ผมจ้องมองปึกเอกสารกองยักษ์ที่เต็มไปด้วยผลการตรวจสอบ ประเด็นส่วนใหญ่ก็เหมือนกับรายงานยืดยาวที่ไร้ประโยชน์จากทีม Information Security นั่นแหละ และนี่ก็เป็นอีกสาเหตุหนึ่งที่ทำให้ชื่อเสียงของ John ดูไม่ค่อยดีเท่าไหร่

มันเหมือนเป็นวงจรความเจ็บปวดที่ไม่มีวันจบสิ้น ทีม Information Security มักจะส่งรายการงานแก้ไขความปลอดภัยที่สำคัญๆ มาให้คนอื่นๆ จนเต็มอินบ็อกซ์แบบไม่จบไม่สิ้นไตรมาสต่อไตรมาสเลยทีเดียว

เมื่อ Tim พูดจบแล้ว John ก็เสนอตัว "เราต้องอุดช่องโหว่ของระบบพวกนี้ (patch systems) ทีมของผมมีประสบการณ์การอุดช่องโหว่มามากมายนะครับ ถ้าต้องการความช่วยเหลือ และการตรวจสอบครั้งนี้ก็เป็นโอกาสดีที่จะอุดช่องโหว่ความปลอดภัยที่รุนแรงเหล่านั้นได้ด้วย"

"นี่พวกคุณทั้งสองคนไม่มีทางเข้าใจหรอกว่าคุณกำลังขออะไร!" Wes พูดใส่ John และ Tim ด้วยน้ำเสียงที่เหลืออดเต็มที "เซิร์ฟเวอร์บางเครื่องที่รันระบบ ERP สำหรับการผลิตอยู่เนี่ย อายุมันมากกว่า 20 ปีแล้วนะเว้ย ถ้ามันเจ๊งขึ้นมา บริษัทครึ่งหนึ่งต้องหยุดชะงักไปเลย แถมผู้ผลิตก็ปิดกิจการไปตั้งแต่เมื่อสิบปีที่แล้วแล้วด้วย! ของพวกนี้มันเปราะบางมาก แค่ไปจ้องมันผิดเวลาหน่อยเดียวมันก็ค้างแล้ว ต้องใช้มนตร์ดำสารพัดกว่าจะรีบูตมันขึ้นมาใหม่ได้ มันรับการเปลี่ยนแปลงที่คุณเสนอมาไม่ได้หรอก!"

เขาก้มตัวข้ามโต๊ะไปแล้วชี้นิ้วใส่หน้า John "คุณอยากอุดช่องโหว่เองก็ได้นะ แต่ผมขอให้คุณเซ็นเอกสารมายืนยันเลยว่า ถ้าคุณกดปุ่มแล้วทั้งธุรกิจหยุดชะงัก คุณต้องบินไปคุกเข่าขอขมาผู้จัดการโรงงานทุกคน แล้วอธิบายให้เขาฟังว่าทำไมพวกเขาถึงผลิตไม่ได้ตามเป้า เข้าใจไหม?"

ผมตาค้างด้วยความตกใจเมื่อ John ไม่ถอยหนีแต่โน้มตัวเข้าหา Wes แล้วพูดด้วยความโกรธ "อ้อเหรอ? แล้วถ้าเราขึ้นหน้าหนึ่งข่าวเพราะข้อมูลลูกค้าที่เราระลึกถึงหลุดไปล่ะ? คุณจะไปขอโทษครอบครัวเป็นพันเป็นหมื่นที่ข้อมูลถูกขายให้มาเฟียรัสเซียด้วยตัวเองไหมล่ะ?"

ผมบอก "ใจเย็นๆ ทุกคน เราทุกคนก็อยากทำในสิ่งที่ถูกต้องเพื่อบริษัทกันทั้งนั้นแหละ ประเด็นคือเราต้องหาทางออกว่ามีเวลาทำอะไรได้บ้าง และระบบไหนที่อุดช่องโหว่ได้จริงๆ"

ผมมองไปที่ปึกกระดาษ Wes, Patty และผมอาจจะมอบหมายให้คนไปตรวจสอบในแต่ละประเด็นได้ แต่ใครจะเป็นคนทำงานจริงกันล่ะ? พวกเราก็วุ่นอยู่กับ Phoenix จนจะบ้าอยู่แล้ว และผมกลัวว่าโปรเจกต์ใหม่ที่ใหญ่ขนาดนี้จะเป็นฟางเส้นสุดท้ายที่ทำให้ทุกอย่างพังทลายลงจริงๆ

ผมพูดกับ Nancy "ผมจะไปคุยกับทีมเดี๋ยวนี้เลย แล้วจะกลับมาพร้อมกับแผนงาน ผมรับปากไม่ได้หรอกนะว่าเราจะทำจดหมายตอบกลับเสร็จทัน แต่ผมสัญญาว่าเราจะทำให้ดีที่สุดเท่าที่จะทำได้ แบบนี้พอจะโอเคไหมครับ?"

"แน่นอนสิ" Nancy ตอบกลับอย่างเป็นมิตร "เป้าหมายเดียวของการประชุมครั้งนี้คือการแจ้งผลเบื้องต้นและวางขั้นตอนต่อไปอยู่แล้ว"

เมื่อการประชุมเสร็จสิ้น ผมบอกให้ Wes อยู่ต่อก่อน

John เห็นเข้าก็เลยไม่ยอมกลับเหมือนกัน "นี่มันหายนะชัดๆ เป้าหมายและโบนัสทั้งหมดของผมขึ้นอยู่กับรายงานการตรวจสอบที่ขาวสะอาดของ SOX-404 และ PCI นะ ผมจะพังก็เพราะพวกคุณฝ่าย Ops จัดการงานของตัวเองไม่ได้นี่แหละ!"

"ยินดีต้อนรับสู่ชมรมครับ" ผมพูด

เพื่อสลัดเขาออกไป ผมบอกไปว่า "Sarah และ Steve ตัดสินใจเลื่อนวันดีพลอย Phoenix มาเป็นวันศุกร์หน้าแล้วนะ แถมจะข้ามขั้นตอนการรีวิวเรื่องความปลอดภัยทั้งหมดด้วย คุณอาจจะต้องรีบไปคุยกับ Chris และ Sarah โดยด่วนเลยแหละ"

เป็นไปตามคาด John สบถแล้วก็เดินกระทืบเท้าออกไปพร้อมกับกระแทกประตูตามหลังดังปัง

หมดแรงเลยครับ ผมเอนหลัง ลงบนเก้าอี้และพูดกับ Wes "นี่มันไม่ใช่สัปดาห์ของเราเลยแฮะ"

Wes หัวเราะแบบฝืดๆ "ผมบอกคุณแล้วไงว่าความเร็วของงานที่นี่จะทำให้หัวคุณระเบิดเอาได้"

ผมชี้ไปที่กองเอกสาร Audit "เราควรจะปกป้องทรัพยากรหลักๆ ไว้สำหรับ Phoenix แต่เรื่องนี้มันกลับดึงตัวทุกคนไปหมด เราไม่ได้มีคนว่างงานนั่งสำรองที่รอจัดการเรื่อง Audit ได้เลยใช่ไหม?"

Wes ส่ายหน้า สีหน้าของเขาดูตึงเครียดผิดปกติ

เขาพลิกเปิดปึกกระดาษอีกรอบ "เราต้องดึงตัวหัวหน้าทีมเทคนิค (tech leads) มาช่วยเรื่องนี้แล้วล่ะ แต่ก็นั่นแหละ พวกเขาถูกมอบหมายให้ทำ Phoenix กันหมดแล้ว เราควรจะย้ายพวกเขากลับมาดีไหม?"

ผมเองก็ไม่รู้จริงๆ Wes จ้องมองไปที่หน้าหนึ่งครู่หนึ่ง "ว่าแต่ ผมว่าหลายเรื่องในนี้ต้องใช้ Brent นะ"

"โธ่เอ๊ย" ผมพึมพำ "Brent อีกแล้วเหรอ! Brent, Brent, Brent! เราจะทำอะไรไม่ได้เลยถ้าไม่มีเขาเหรอ? ดูพวกเราสิ! เรากำลังคุยกันเรื่องการบริหารจัดการภาระงานและทรัพยากร แต่สุดท้ายเรากลับพูดถึงแค่คนๆ เดียว! ผมไม่สนหรอกว่าเขาจะเก่งแค่ไหน แต่ถ้าคุณบอกว่าองค์กรของเราทำอะไรไม่ได้เลยถ้าไม่มีเขาเนี่ย เรามีปัญหาใหญ่แล้วล่ะ"

Wes ยักไหล่พลางทำหน้าเขินๆ "เขาเป็นคนเก่งที่สุดคนหนึ่งของเราจริงๆ เขาฉลาดมากและรู้เรื่องแทบทุกอย่างในออฟฟิศนี้ เขาเป็นหนึ่งในไม่กี่คนที่เข้าใจว่าแอปพลิเคชันทั้งหมดคุยกันยังไงในระดับองค์กร บางทีเขาน่าจะรู้เรื่องการทำงานของบริษัทนี้ดีกว่าผมด้วยซ้ำ"

"คุณเป็นถึงผู้จัดการอาวุโสนะ เรื่องนี้คุณควรจะยอมรับไม่ได้พอๆ กับผมสิ!" ผมพูดอย่างหนักแน่น "คุณต้องการคนแบบ Brent อีกกี่คน? หนึ่งคน สิบคน หรือร้อยคน? ผมต้องการให้ Steve ช่วยจัดลำดับความสำคัญของงานทั้งหมด สิ่งที่ผมต้องการจากคุณคือเราต้องการทรัพยากรอะไรบ้าง ถ้าผมจะไปขอทรัพยากรเพิ่มจาก Steve ผมไม่อยากต้องคลานกลับไปขอเพิ่มทีหลังอีกนะ"

เขากลอกตา "ฟังนะ ผมจะบอกคุณให้ว่าอะไรจะเกิดขึ้น เราจะไปหาผู้บริหารและพรีเซนต์เรื่องนี้ แล้วนอกจากพวกเขาจะปฏิเสธแล้ว พวกเขายังจะตัดงบประมาณเราลงอีกห้าเปอร์เซ็นต์ด้วย นั่นคือสิ่งที่พวกเขาทำมาตลอดห้าปีที่ผ่านมา ในขณะเดียวกัน ทุกคนก็จะยังต้องการทุกอย่างพร้อมๆ กัน และคอยเพิ่มรายการงานที่ต้องทำลงในลิสต์ของเราเรื่อยๆ"

เขาพูดต่อด้วยความหงุดหงิด "แล้วก็นะ เผื่อคุณยังไม่รู้ ผมเคยพยายามจ้างคนเพิ่มแบบ Brent แล้วล่ะ แต่เพราะผมไม่เคยได้งบเลย ผมเลยต้องยุบตำแหน่งอื่นๆ ทิ้งเพื่อจะจ้างวิศวกรอาวุโส (senior engineers) ที่มีประสบการณ์ระดับเดียวกับ Brent มาเพิ่มอีกสี่คน และคุณรู้ไหมว่าเกิดอะไรขึ้น?"

ผมแค่เลิกคิ้วขึ้น

Wes บอก "ครึ่งหนึ่งลาออกภายในปีเดียว และผมก็ไม่ได้ผลงานอะไรเลยจากคนที่เหลืออยู่ ถึงผมจะไม่มีข้อมูลมายันนะ แต่ผมเดาว่า Brent ยิ่งงานล้นมือกว่าเดิมซะอีก เขาบ่นว่าต้องเสียเวลาไปกับการสอนงานและช่วยคนใหม่ๆ จนตอนนี้ตัวเขายิ่งถูกดึงตัวไปทำทุกอย่างมากกว่าเดิมอีก แล้วเขาก็ยังคงเป็นศูนย์กลางของทุกเรื่องอยู่ดี"

ผมตอบกลับ "คุณบอกว่าคน 'เพิ่มรายการงานลงในลิสต์' ของเรา ตอนนี้ลิสต์นั้นหน้าตาเป็นยังไง? ผมจะไปดูได้ที่ไหน? ใครเป็นคนคุมลิสต์นี้?"

Wes ตอบช้าๆ "ก็มีทั้งโปรเจกต์ทางธุรกิจและโปรเจกต์โครงสร้างพื้นฐานไอที (IT infrastructure) ต่างๆ แต่มีงานที่รับปากไปตั้งเยอะที่ไม่ได้ถูกเขียนลงกระดาษน่ะ"

"มีโปรเจกต์ธุรกิจกี่อัน? โปรเจกต์โครงสร้างพื้นฐานกี่อัน?" ผมถาม

Wes ส่ายหน้า "ผมไม่รู้ในทันทีหรอกนะ ผมขอรายการโปรเจกต์ธุรกิจจาก Kirsten ได้ แต่ไม่แน่ใจว่าจะมีใครรู้คำตอบสำหรับคำถามข้อที่สองของคุณไหม เพราะงานพวกนั้นไม่ผ่านสำนักงานบริหารโครงการ (PMO) น่ะสิ"

ผมรู้สึกใจคอไม่ดีเลย เราจะบริหารจัดการการทำงานได้ยังไงถ้าเราไม่รู้เลยว่ามีความต้องการอะไรบ้าง ลำดับความสำคัญคืออะไร สถานะของงานที่กำลังทำอยู่เป็นยังไง และมีทรัพยากรว่างแค่ไหน? ทันใดนั้น ผมก็รู้สึกโกรธตัวเองที่ไม่ได้ถามคำถามพวกนี้ตั้งแต่วันแรกที่เข้ามาทำงาน

ในที่สุด ผมก็เริ่มคิดแบบผู้จัดการจริงๆ ซะที

ผมโทรหา Patty "Wes กับผมเพิ่งถูกทีม Audit ถล่มยับ และพวกเขาต้องการคำตอบในวันจันทร์หน้า ผมต้องการให้คุณช่วยหาว่าภาระงาน (work commitments) ทั้งหมดของเรามีอะไรบ้าง ผมจะได้ไปคุยกับ Steve เรื่องการจัดสรรทรัพยากรได้อย่างมีประสิทธิภาพ คุณพอจะคุยได้ไหม?"

เธอบอก "นั่นมันงานถนัดของฉันเลย มาที่นี่สิ"

หลังจาก Wes อธิบายให้ Patty ฟังถึงผลกระทบของรายงาน Audit กองยักษ์ที่เขาวางโครมลงบนโต๊ะ เธอก็ถึงกับผิวปากออกมาเลย

"นี่ ผมอยากให้คุณอยู่ในการประชุมกับทีม Audit นั่นจริงๆ นะ" ผมพูด "ประเด็นที่ใหญ่ที่สุดส่วนใหญ่คือเรื่องการขาดกระบวนการบริหารจัดการการเปลี่ยนแปลง (change management) ที่ใช้งานได้จริง ผมว่าคุณน่าจะกลายเป็นเพื่อนซี้ของทีม Audit ได้เลยล่ะ"

"ทีม Audit มีเพื่อนด้วยเหรอ?" เธอหัวเราะ

"ผมต้องการให้คุณช่วย Wes ประเมินงานที่ต้องแก้ไขตามผลการตรวจสอบให้เสร็จภายในวันจันทร์" ผมบอก "แต่ตอนนี้เรามาคุยเรื่องระดับที่สูงกว่านั้นกันหน่อยดีกว่า ผมพยายามหารวบรวมรายการงานที่เราได้รับปากไว้กับองค์กรทั้งหมด ลิสต์นั่นมันใหญ่แค่ไหน และงานเหล่านั้นเข้าไปอยู่ในลิสต์ได้ยังไง?"

หลังจากฟังสิ่งที่ Wes บอกผมแล้ว Patty ก็ตอบว่า "Wes พูดถูก Kirsten เป็นคนดูแลรายการโปรเจกต์ธุรกิจอย่างเป็นทางการ ซึ่งเกือบทุกอันต้องมีอะไรบางอย่างที่เราต้องรับผิดชอบ และเราก็ยังมีโปรเจกต์ IT Operations ของเราเอง ซึ่งส่วนใหญ่จะถูกจัดการโดยเจ้าของงบประมาณด้านเทคโนโลยี—ไม่มีลิสต์โปรเจกต์ที่รวมไว้เป็นศูนย์กลางเลยค่ะ"

Patty พูดต่อ "เรายังมีงานที่โทรเข้ามาที่ Service Desk ไม่ว่าจะขออะไรใหม่ๆ หรือขอให้ช่วยซ่อม แต่ลิสต์นั้นมันไม่สมบูรณ์หรอก เพราะคนส่วนใหญ่ในบริษัทก็แค่วิ่งไปหาคนไอทีที่พวกเขาสนิทด้วย งานพวกนั้นเลยไม่ได้ถูกลงบันทึกไว้เลย"

ผมถามช้าๆ "คุณกำลังบอกว่า เราไม่รู้เลยว่าเรามีภาระงานอะไรบ้างเหรอ? จริงดิ?"

Wes ตอบอย่างระวังตัว "ที่ผ่านมาก็ไม่เห็นมีใครเคยถามเลยนี่ เราแค่จ้างคนที่เก่งๆ มา แล้วมอบหมายงานตามความรับผิดชอบของเขา เราไม่เคยต้องไปบริหารจัดการอะไรที่นอกเหนือจากนั้นมาก่อนเลย"

"งั้นเราต้องเริ่มทำตอนนี้แล้วล่ะ เราจะไปรับปากคนอื่นเพิ่มไม่ได้หรอกถ้าเรายังไม่รู้เลยว่าปัจจุบันเรารับปากอะไรใครไว้บ้าง!" ผมบอก "อย่างน้อยที่สุด ช่วยประเมินงานที่จะต้องใช้แก้ไขเรื่อง Audit ให้ผมหน่อย แล้วสำหรับทรัพยากร (คน) เหล่านั้น ช่วยบอกผมด้วยว่าพวกเขายังมีภาระงาน อื่น อะไรอีกที่เราจะไปดึงตัวพวกเขาออกมา"

หยุดคิดครู่หนึ่ง ผมเสริมว่า "รวมถึงทำแบบเดียวกันกับทุกคนที่ถูกส่งไปทำ Phoenix ด้วย ผมเดาว่าเรางานล้นมือกันอยู่ ผมเลยอยากรู้ว่าล้นไปเท่าไหร่ ผมอยากจะไปบอกเจ้าของโปรเจกต์เหล่านั้นล่วงหน้าว่างานของพวกเขาถูกเลื่อนออกไป พวกเขาจะได้ไม่ตกใจถ้าเราทำตามที่รับปากไว้ไม่ได้"

ทั้ง Wes และ Patty ต่างก็ทำท่าตกใจ Wes พูดขึ้นก่อน "แต่...แต่เราต้องคุยกับเกือบทุกคนเลยนะ! Patty อาจจะสนุกกับการไล่บี้คนอื่นเรื่องความเปลี่ยนแปลงที่พวกเขาทำ แต่นั่นจะทำให้เสียเวลาคนเก่งๆ ของเรานะ พวกเขามีงานที่ต้องทำจริงๆ!"

"ใช่ ผมรู้ว่าพวกเขามีงานต้องทำ" ผมพูดอย่างหนักแน่น "ผมแค่ต้องการคำอธิบายสั้นๆ แค่บรรทัดเดียวว่างานที่พวกเขาทำอยู่คืออะไร และพวกเขาคิดว่าต้องใช้เวลาเท่าไหร่!"

นึกขึ้นได้ว่าสิ่งนี้อาจจะดูรุนแรงไป ผมเลยเสริมว่า "ย้ำกับทุกคนด้วยนะว่าเราทำแบบนี้เพื่อให้ได้ทรัพยากรเพิ่มขึ้น ผมไม่อยากให้ใครคิดว่าเราจะเอาต์ซอร์ซ (outsource) หรือไล่ใครออก เข้าใจนะ?"

Patty พยักหน้า "เราควรทำแบบนี้ตั้งนานแล้วล่ะ เราเลื่อนลำดับความสำคัญของงานขึ้นมาตลอด แต่เราไม่เคยรู้เลยว่ามีงานอะไรที่ถูกเลื่อนลงไป จนกระทั่งมีคนมาโวยวายใส่เราและถามว่าทำไมเราถึงยังส่งงานให้เขาไม่ได้นั่นแหละ"

เธอพิมพ์ลงในแล็ปท็อป "คุณแค่ต้องการรายการภาระงานของทรัพยากรหลักๆ พร้อมคำอธิบายสั้นๆ ว่าพวกเขากำลังทำอะไรอยู่และต้องใช้เวลานานแค่ไหน เราจะเริ่มจากทีม Phoenix และทีมแก้ปัญหา Audit ก่อน แล้วค่อยขยายไปทั่วทั้งฝ่าย IT Operations เข้าใจถูกต้องไหมคะ?"

ผมยิ้มด้วยความดีใจที่ Patty สรุปได้ชัดเจนขนาดนี้ ผมรู้ว่าเธอต้องทำออกมาได้ดีแน่ๆ "ถูกต้องเลยครับ และถ้าคุณกับ Wes ช่วยบอกได้ด้วยว่าใครที่งานล้นมือที่สุด และเราต้องการคนเพิ่มอีกเท่าไหร่ จะขอบคุณมากเลยครับ เพราะนั่นจะเป็นข้อมูลที่ผมจะเอาไปขอคนเพิ่มจาก Steve"

Patty บอก Wes "เรื่องนี้ไม่น่าจะยากนะ เราจัดการนัดสัมภาษณ์สักคนละ 15 นาที ดึงข้อมูลจาก Service Desk และระบบแจ้งซ่อม (ticketing system) แล้วก็เอาลิสต์โปรเจกต์ของ Kirsten มาด้วย..."

น่าแปลกที่ Wes เห็นด้วยและเสริมว่า "เราอาจจะไปดูในเครื่องมือจัดการงบประมาณเพื่อดูว่าเราจัดสรรงบสำหรับคนและฮาร์ดแวร์ไว้ยังไงบ้างก็ได้นะ"

ผมลุกขึ้นยืน "เยี่ยมมากพวกคุณ จัดการนัดประชุมเพื่อมาสรุปสิ่งที่พวกคุณเจออย่างช้าที่สุดภายในวันศุกร์นี้นะ ผมอยากจะไปประชุมกับ Steve วันจันทร์หน้าพร้อมกับข้อมูลจริงๆ ในมือ"

เธอยกนิ้วโป้งให้ผม ตอนนี้เราเริ่มเห็นทางสว่างแล้วล่ะ