ผมอยู่ในห้องประชุม กับ Patty, Wes, Chris และ John เพื่อแชร์ความคืบหน้าที่ผมกับ Patty ทำร่วมกันมา
ผมเริ่มด้วยการกล่าวว่า “พวกเราไปสัมภาษณ์ Ron กับ Maggie ซึ่งเป็น Business Process Owner ในสไลด์การวัดผลของบริษัทที่คุณ Dick ทำไว้ ผมใช้เวลาพอสมควรในการคิดทบทวนเรื่องที่เราได้เรียนรู้มาครับ”
ผมหยิบโน้ตออกมาแล้วเดินไปที่ไวท์บอร์ด พร้อมกับเขียนลงไปว่า “Business outcomes ที่ Parts Unlimited ต้องการคือ: เพิ่มรายได้, เพิ่มส่วนแบ่งการตลาด, เพิ่มขนาดออเดอร์เฉลี่ย, ฟื้นฟูการทำกำไร และเพิ่มอัตราผลตอบแทนจากสินทรัพย์ (Return on Assets)”
จากนั้นผมก็วาดตารางต่อไปนี้ลงไป:
ผมชี้ไปที่ไวท์บอร์ดแล้วพูดว่า “คอลัมน์แรกระบุถึงความสามารถทางธุรกิจและกระบวนการที่จำเป็นเพื่อให้บรรลุผลลัพธ์ที่ Dick ต้องการ คอลัมน์ที่สองรายการระบบไอทีที่กระบวนการทางธุรกิจเหล่านั้นต้องพึ่งพา คอลัมน์ที่สามรายการสิ่งที่จะผิดพลาดได้กับทั้งระบบไอทีและข้อมูล และในคอลัมน์ที่สี่ เราจะเขียนมาตรการรับมือ (countermeasures) เพื่อป้องกันไม่ให้เรื่องแย่ๆ เหล่านั้นเกิดขึ้น หรืออย่างน้อยก็เพื่อตรวจจับและตอบโต้ครับ”
ในช่วงครึ่งชั่วโมงถัดมา ผมพาพวกเขาลุยตารางและปัญหาต่างๆ ทั้งหมด “เห็นได้ชัดว่า สำหรับสิ่งที่ Dick ให้ความสำคัญมากที่สุด ไอทีนั้นมีความหมายมากครับ” ผมพูดหน้าตาย เวสพูดว่า “ไม่เอาน่า ผมไม่ใช่คนที่ฉลาดที่สุดในห้องนี้หรอกนะ แต่ถ้าเราสำคัญขนาดนั้น ทำไมพวกเขาถึงพยายามจะเอาท์ซอร์สพวกเราทุกคนล่ะ? ยอมรับเถอะ เราถูกย้ายจากบ้านอุปถัมภ์หลังหนึ่งไปยังอีกหลังหนึ่งมาเป็นทศวรรษแล้ว”
ไม่มีใครในพวกเราที่มีคำตอบที่ดี
“รู้ไหม ผมชอบคอลัมน์ที่สามของบิลมากเลยครับ: ‘ความเสี่ยงทางธุรกิจเนื่องจากไอที’ ” จอห์นกล่าว “การอธิบายว่าไอทีจะทำอะไรผิดพลาดจนทำให้ผลลัพธ์ทางธุรกิจล้มเหลว มันคือการช่วยให้เจ้าของกระบวนการทางธุรกิจได้รับโบนัสของพวกเขา เรื่องนี้มันต้องโน้มน้าวใจได้ดี มาก แน่ๆ บางทีเราอาจจะได้รับคำขอบคุณจากฝั่งธุรกิจที่ทำงานทั้งหมดนี้ด้วยซ้ำ ซึ่งมันคงจะเป็นการเปลี่ยนแปลงที่น่าประทับใจมากเลยล่ะ”
“ผมเห็นด้วย ทำได้ดีมากบิล” ในที่สุดคริสก็พูดขึ้น “แต่ทางแก้คืออะไรล่ะ?”
ผมถามว่า “มีใครมีไอเดียไหมครับ?”
ที่น่าแปลกใจคือ จอห์นพูดขึ้นก่อนคนแรก “สำหรับผมมันชัดเจนมากครับ เราต้องสร้างการควบคุม (controls) เพื่อบรรเทาความเสี่ยงในคอลัมน์ที่สามของคุณ จากนั้นเราก็เอาตารางนี้ไปโชว์ให้รอนกับแม็กกี้ดู และทำให้พวกเขามั่นใจว่ามาตรการรับมือของเราจะช่วยให้พวกเขาบรรลุเป้าหมายได้ ถ้าพวกเขาตกลง เราก็จะทำงานร่วมกับพวกเขาเพื่อรวมไอทีเข้าไว้ในการวัดผลงานของพวกเขา...”
“ตัวอย่างที่ Erik ยกให้น่ะสมบูรณ์แบบมาก พวกเขาเอา ‘การทำตามขั้นตอนบำรุงรักษารถยนต์’ เข้าไปเป็นตัวบ่งชี้ล่วงหน้า (leading indicator) สำหรับ ‘การส่งมอบตรงเวลา’ และ ‘การรักษาฐานลูกค้า’ เราต้องทำแบบเดียวกันครับ”
พวกเราเริ่มลงมือทำงานกันอย่างเต็มที่
สำหรับระบบโทรศัพท์และระบบ MRP พวกเรากำหนดมาตรการพยากรณ์ได้อย่างรวดเร็ว ซึ่งรวมถึงการปฏิบัติตามกระบวนการจัดการการเปลี่ยนแปลง การกำกับดูแลและตรวจสอบการเปลี่ยนแปลงในระบบ production การบำรุงรักษาตามกำหนดการให้ครบถ้วน และการกำจัดจุดที่อาจทำให้ระบบล่มทั้งระบบ (single points of failure) ที่เรารู้อยู่แล้วทั้งหมด
พอถึงหัวข้อ ‘ความต้องการและความปรารถนาของลูกค้า’ พวกเราก็เริ่มติดขัด
เป็นจอห์นที่ช่วยให้เราไปต่อได้ “ในที่นี้ วัตถุประสงค์ไม่ใช่เรื่องความพร้อมใช้งานของระบบ (availability) แต่มันคือความถูกต้องครบถ้วนของข้อมูล (integrity) ซึ่งจริงๆ แล้วมันคือสองในสามขาของ ‘สามเหลี่ยมความปลอดภัย CIA’ (confidentiality, integrity, and availability)” เขาถามคริสว่า “แล้วอะไรคือสาเหตุของปัญหาเรื่องความถูกต้องของข้อมูลล่ะ?”
คริสพ่นลมหายใจด้วยความขยะแขยง “Phoenix แก้ไขปัญหาพวกนั้นได้หลายอย่าง แต่เราก็ยังมีปัญหาอยู่ ส่วนใหญ่เกิดจากต้นน้ำครับ เพราะคนฝ่ายการตลาดชอบใส่รหัสสินค้า (SKUs) ที่ผิดรูปแบบเข้ามา ฝ่ายการตลาดเองก็ต้องจัดการเรื่องของตัวเองให้เรียบร้อยเหมือนกัน”
ดังนั้น สำหรับ ‘ความต้องการของฝ่ายการตลาด’ การวัดผลที่เราเสนอจึงรวมถึงความสามารถของ Phoenix ในการรองรับการรายงานผลรายสัปดาห์และรายวันในอนาคต, เปอร์เซ็นต์ของรหัสสินค้า SKU ที่ถูกต้องที่สร้างโดยฝ่ายการตลาด และอื่นๆ เป็นต้น
เมื่อจบวัน พวกเราก็ได้สไลด์นำเสนอหนึ่งชุดที่ผมกับ Patty จะเอาไปให้รอนกับแม็กกี้ดู และจากนั้นพวกเราก็จะนำเสนอต่อ Dick
“นี่แหละเพื่อนเอย คือข้อเสนอที่หนักแน่น” เวสกล่าวอย่างภูมิใจ เขาหัวเราะเสียงดังแล้วพูดว่า “แม้แต่ลิงก็ยังมองออกเลยว่าเราเพิ่งเชื่อมโยงจุดต่างๆ เข้าด้วยกัน!”
ในวันถัดมา ผมกับ Patty ได้รับผลตอบรับที่ยอดเยี่ยมจากรอนและแม็กกี้ และพวกเขารับปากว่าจะช่วยสนับสนุนข้อเสนอของเราต่อ Dick เมื่อรอนรู้ว่าเรายังไม่ได้รับงบประมาณสำหรับโปรเจกต์ระบบมอนิเตอร์ (monitoring project) เขาก็โทรหา Dick ต่อหน้าเราเลย ฝากข้อความเสียงที่ดุเดือดเพื่อถามว่าทำไม Dick ถึงยังดึงเรื่องไว้อยู่
ด้วยการสนับสนุนที่กระตือรือร้นขนาดนี้ ผมคิดว่าการประชุมวันพฤหัสบดีกับ Dick คงจะเป็นงานที่ง่ายเหมือนปอกกล้วยเข้าปากแน่ๆ
“สิ่งที่คุณบอกผมมาทั้งหมด ก็คือพวกคุณกำลังหลับคาพวงมาลัยกันอยู่!” Dick พูดด้วยเสียงดุดัน เห็นได้ชัดว่าเขาไม่ประทับใจกับสิ่งที่ผมนำเสนอเลย ทันใดนั้น ผมก็นึกถึงตอนที่ Steve ไม่แม้แต่จะมองสเปรดชีตที่ผมเตรียมไว้ให้ตอนที่ผมขอให้เขาจัดลำดับความสำคัญของ Phoenix และงานแก้ปัญหา Audit
แต่ Dick ไม่ได้เมินเฉย เขาโกรธจริงๆ “คุณกำลังบอกเรื่องที่แม้แต่ลิงไร้สมองก็ยังคิดออก คุณไม่รู้เลยเหรอว่าการวัดผลพวกนี้มันสำคัญ? ในทุกงาน Town Hall สตีฟก็พูดย้ำแล้วย้ำอีก มันอยู่ในจดหมายข่าวของบริษัท มันคือสิ่งที่ Sarah พูดถึงในทุกการบรรยายกลยุทธ์ของเธอ พวกคุณพลาดเรื่องสำคัญขนาดนี้ไปได้ยังไงกัน?”
ผมเห็นคริสกับ Patty นั่งกระสับกระส่ายอยู่ข้างตัวผมในขณะที่เรานั่งฝั่งตรงข้ามโต๊ะกับ Dick ส่วน Erik ยืนพิงกำแพงอยู่ที่ริมหน้าต่าง
ผมเห็นภาพย้อนกลับไปตอนที่เป็นจ่าทหารเรือ ถือธงในขบวนพาเหรด จู่ๆ ผู้พันก็โผล่มาจากไหนไม่รู้ ตะคอกใส่ผมต่อหน้าคนทั้งกองพันว่า “นั่นมันสายนาฬิกาผิดระเบียบนะ จ่าพาลเมอร์!” ตอนนั้นผมแทบอยากจะมุดดินหนีด้วยความอับอาย เพราะรู้ตัวว่าทำพลาดจริงๆ
แต่ในวันนี้ ผมมั่นใจว่าผมเข้าใจภารกิจ และเพื่อให้บริษัทประสบความสำเร็จ ผมต้องการให้ Dick เข้าใจในสิ่งที่ผมเพิ่งเรียนรู้มา แต่ผมจะทำยังไงล่ะ?
Erik กระแอมและพูดกับ Dick ว่า “ผมเห็นด้วยว่าแม้แต่ลิงไร้สมองก็น่าจะคิดออกครับ ดังนั้น Dick ช่วยอธิบายหน่อยสิว่าทำไมในสเปรดชีตการวัดผลแผ่นเล็กๆ ของคุณ คุณถึงลงชื่อผู้จัดการไว้ถึงสี่ระดับสำหรับทุกๆ การวัดผล แต่กลับไม่มีรายชื่อผู้จัดการไอทีอยู่เลยแม้แต่คนเดียว เพราะอะไรล่ะครับ?”
โดยไม่รอให้ Dick ตอบ เขาพูดต่อว่า “ทุกสัปดาห์ คนไอทีต้องถูกลากไปช่วยแก้ปัญหานาทีสุดท้ายที่พวกผู้จัดการก่อขึ้นเพื่อพยายามทำให้ได้ตามตัวเลขพวกนั้น—เหมือนตอนที่ Brent ถูกดึงตัวไปช่วยเปิดตัวโปรโมชั่นขายของล่าสุดของ Sarah ไงครับ” Erik หยุดเว้นจังหวะแล้วพูดว่า “พูดตรงๆ นะครับ ผมว่าคุณเองก็เป็นลิงไร้สมองพอๆ กับบิลนั่นแหละ”
Dick พ่นลมหายใจแต่ดูไม่สะทกสะท้าน ในที่สุดเขาก็พูดว่า “อาจจะจริงอย่างที่ว่านะ Erik รู้ไหม เมื่อห้าปีก่อน เราเคยให้ CIO ของเราเข้าร่วมประชุมรีวิวธุรกิจประจำไตรมาส แต่เขาไม่เคยปริปากพูดอะไรเลย ยกเว้นตอนที่เขาบอกว่าทุกอย่างที่เราเสนอมาน่ะมันเป็นไปไม่ได้ หลังจากทำแบบนั้นอยู่ปีนึง สตีฟก็เลิกเชิญเขาเข้าประชุมครับ”
Dick หันกลับมาหาผม “บิล คุณกำลังบอกผมว่าทุกคนในฝั่งธุรกิจอาจจะทำทุกอย่างถูกต้องหมดแล้ว แต่เป็นเพราะปัญหาไอทีพวกนี้ เราทุกคนก็จะยังพลาดเป้าหมายพวกนี้อยู่ดีงั้นเหรอ?”
“ครับท่าน” ผมกล่าว “ความเสี่ยงด้านปฏิบัติการ (operational risks) ที่เกิดจากไอทีจำเป็นต้องได้รับการจัดการเหมือนกับความเสี่ยงทางธุรกิจอื่นๆ ครับ พูดอีกอย่างก็คือ มันไม่ใช่ความเสี่ยงของไอที แต่มันคือความเสี่ยงของธุรกิจครับ”
Dick พ่นลมหายใจอีกรอบ เขาทรุดตัวลงบนเก้าอี้พลางขยี้ตา “ชิบหายแล้ว เราจะไปเขียนสัญญาเอาท์ซอร์สไอทีได้ยังไงกัน ถ้าเรายังไม่รู้เลยว่าธุรกิจต้องการอะไร?” เขาพูดพลางทุบมือลงบนโต๊ะ
จากนั้นเขาก็ถามว่า “แล้วข้อเสนอของคุณคืออะไรล่ะ? ผมเดาว่าคุณคงเตรียมมาแล้วใช่ไหม?”
ผมยืดตัวตรงและเริ่มนำเสนอสิ่งที่ซ้อมกับทีมมาหลายรอบ “ผมขอเวลาสามสัปดาห์กับเจ้าของกระบวนการทางธุรกิจแต่ละคนในสเปรดชีตนั้นครับ เราต้องกำหนดความเสี่ยงทางธุรกิจที่เกิดจากไอทีให้ชัดเจนและเห็นพ้องตรงกัน จากนั้นจะนำเสนอวิธีรวบรวมความเสี่ยงเหล่านั้นเข้าเป็นตัวบ่งชี้ผลงานล่วงหน้า (leading indicators) ให้คุณพิจารณา เป้าหมายของเราไม่ใช่แค่เพื่อปรับปรุงผลงานทางธุรกิจเท่านั้น แต่เพื่อให้เห็นสัญญาณเตือนล่วงหน้าว่าเราจะบรรลุเป้าหมายหรือไม่ เพื่อให้เราสามารถดำเนินการที่เหมาะสมได้ทันท่วงทีครับ”
“ยิ่งไปกว่านั้น” ผมกล่าวต่อ “ผมอยากขอนัดประชุมแยกต่างหากกับคุณและคริสเพื่อคุยเรื่อง Phoenix ครับ” จากนั้นผมก็อธิบายความกังวลของผมว่า Phoenix ในแบบที่เป็นอยู่นี้ไม่ควรจะได้รับอนุมัติแต่แรกด้วยซ้ำ
ผมกล่าวต่อว่า “เรากำลังทำงานช้าเกินไป มี WIP เยอะเกินไป และมีฟีเจอร์ที่ค้างอยู่ระหว่างทางมากเกินไป เราต้องทำให้การ release เล็กลงและสั้นลง เพื่อส่งคืนเงินสดให้เร็วขึ้น จะได้ชนะอัตราผลตอบแทนขั้นต่ำภายใน (internal hurdle rate) ครับ คริสกับผมมีไอเดียบางอย่าง แต่มันจะดูต่างจากแผนงานปัจจุบันอย่างสิ้นเชิงเลยครับ”
เขานิ่งเงียบไป จากนั้นเขาก็ประกาศอย่างเด็ดขาดว่า “ตกลงสำหรับทั้งสองข้อเสนอของคุณครับ เดี๋ยวผมจะมอบหมายให้แอนมาช่วย คุณต้องการคนเก่งที่สุดในบริษัทมาร่วมงานด้วย”
จากหางตา ผมเห็นคริสกับ Patty ยิ้มออกมา
“ขอบคุณครับท่าน เราจะจัดการให้เรียบร้อยครับ” ผมกล่าวพลางลุกขึ้นยืนและรีบต้อนทุกคนออกจากห้อง ก่อนที่ Dick จะเปลี่ยนใจ
ระหว่างที่เดินออกจากห้องทำงานของเขา Erik ตบไหล่ผม “ไม่เลวนี่เจ้าหนู ยินดีด้วยที่คุณกำลังมาถูกทางในการเป็นเจ้าแห่งแนวทางที่หนึ่ง (First Way) แล้ว ตอนนี้ไปช่วยจอห์นให้ไปถึงจุดนั้นด้วยล่ะ เพราะคุณจะมีงานล้นมือแน่นอนกับการรับมือแนวทางที่สอง (Second Way)”
ผมถามด้วยความสงสัย “ทำไมเหรอครับ? จะเกิดอะไรขึ้น?”
“เดี๋ยวคุณก็รู้เองแหละ” Erik พูดพลางหัวเราะหึๆ
วันศุกร์ จอห์นนัดประชุม กับเวส Patty และผม พร้อมกับรับปากว่าจะมีข่าวที่วิเศษสุดๆ มาบอก เขาพูดอย่างตื่นเต้นว่า “พวกคุณทำงานได้ยอดเยี่ยมมากในการเชื่อมโยงไอทีเข้ากับวัตถุประสงค์ด้านปฏิบัติการของ Dick ในที่สุดผมก็รู้แล้วว่าเราหลบกระสุนจากการตรวจสอบ (audit) มาได้ยังไง และผมค่อนข้างมั่นใจว่าเราสามารถทำสิ่งที่วิเศษพอๆ กันเพื่อลดภาระงานด้าน Audit และ Compliance ของเราลงได้ครับ”
“ลดงาน Audit เหรอ?” เวสพูดพลางเงยหน้าขึ้นและวางโทรศัพท์ลง “ผมรอฟังเลยครับ!”
เขาก็ทำให้ผมสนใจได้เหมือนกัน ถ้ามีทางที่จะสลัดพวก Audit ออกไปได้โดยไม่ต้องผ่าน ‘การเดินทางสายมรณะบาตาอัน’ (Bataan Death March) อีกรอบ มันก็คงไม่ต่างอะไรกับปาฏิหาริย์เลยล่ะ
เขาหันไปทางเวสและ Patty “ผมต้องหาคำตอบให้ได้ว่าเราหลบพ้นข้อบกพร่องทั้งหมดจากผู้ตรวจสอบภายในและภายนอกมาได้ยังไง ตอนแรกผมนึกว่าเป็นเพราะพาร์ทเนอร์ฝั่ง Audit พยายามช่วยเราสุดตัวเพื่อรักษาเราไว้เป็นลูกค้า แต่จริงๆ แล้วมันไม่ใช่เลยครับ...
“ผมไปคุยกับทุกคนในทีม Parts Unlimited ที่เข้าประชุมครั้งนั้น เพื่อหาว่าใครกันแน่ที่เป็นเจ้าของ ‘กระสุนวิเศษ’ (magic bullet) นัดนั้น สิ่งที่ทำให้ผมประหลาดใจคือมันไม่ใช่ Dick หรือที่ปรึกษากฎหมายของเรา หลังจากประชุมไปสิบรอบ ในที่สุดผมก็เจอเฟย์ (Faye) นักวิเคราะห์การเงินที่ทำงานให้แอนในแผนกบัญชีครับ”
“เฟย์มีพื้นฐานทางเทคนิค เธอเคยทำงานในไอทีมาสี่ปีครับ” เขากล่าวพลางยื่นเอกสารให้พวกเราคนละชุด “เธอสร้างเอกสารการควบคุม SOX-404 เหล่านี้ให้ทีมการเงิน มันแสดงการไหลของข้อมูลแบบต้นจนจบ (end-to-end information flow) สำหรับกระบวนการธุรกิจหลักในแต่ละบัญชีที่มีนัยสำคัญทางการเงิน เธอจดบันทึกว่าเงินหรือสินทรัพย์เข้าสู่ระบบที่จุดไหนและติดตามมันไปจนถึงบัญชีแยกประเภททั่วไป (general ledger) ครับ”
“นี่เป็นเรื่องปกติทั่วไปครับ แต่เธอไปไกลกว่านั้นอีกขั้นหนึ่ง: เธอไม่ได้มองไปที่ระบบไอทีเลยจนกระทั่งเธอเข้าใจอย่างถ่องแท้ว่าจุดไหนในกระบวนการที่อาจเกิดข้อผิดพลาดที่เป็นสาระสำคัญ (material errors) ได้ และ จุดไหนที่ข้อผิดพลาดนั้นจะถูกตรวจพบ เธอพบว่าส่วนใหญ่แล้ว เราจะตรวจเจอในขั้นตอนการตรวจสอบกระทบยอดด้วยมือ (manual reconciliation) ซึ่งมีการเปรียบเทียบยอดคงเหลือและค่าต่างๆ จากแหล่งหนึ่งกับอีกแหล่งหนึ่ง ซึ่งปกติจะทำกันทุกสัปดาห์ครับ”
“เมื่อเป็นแบบนั้น” เขาพูดด้วยน้ำเสียงที่เต็มไปด้วยความทึ่งและอัศจรรย์ใจ “เธอรู้เลยว่าระบบไอทีที่อยู่ต้นน้ำเหล่านั้นควรจะอยู่นอกขอบเขต (out of scope) ของการตรวจสอบครับ”
“นี่คือสิ่งที่เธอโชว์ให้พวกผู้ตรวจสอบดูครับ” จอห์นกล่าวพลางเปิดไปที่หน้าที่สองอย่างตื่นเต้น “อ้างอิงคำพูดนะครับ: ‘การควบคุมที่ได้รับความไว้วางใจในการตรวจจับข้อผิดพลาดที่เป็นสาระสำคัญคือขั้นตอนการตรวจสอบกระทบยอดด้วยมือ ไม่ใช่ที่ระบบไอทีต้นน้ำ’ ผมไล่อ่านเอกสารทั้งหมดของเฟย์แล้ว และในทุกกรณี ผู้ตรวจสอบต่างก็เห็นพ้องด้วย และยอมถอนข้อตำหนิด้านไอทีออกไปครับ”
“นั่นคือเหตุผลที่ Erik เรียกกองข้อตำหนิจากการตรวจสอบว่า ‘ความผิดพลาดในการกำหนดขอบเขต’ (scoping error) ไงครับ เขาพูดถูกเป๊ะเลย ถ้าแผนการทดสอบ Audit ถูกกำหนดขอบเขตอย่างถูกต้องตั้งแต่แรก ก็จะไม่มีข้อตำหนิเกี่ยวกับไอทีเลยสักข้อเดียว!” เขาสรุป
จอห์นมองไปรอบๆ ขณะที่ Patty เวส และผมต่างก็นั่งจ้องเขาตาปริบๆ
ผมกล่าวว่า “ผมตามไม่ค่อยทันครับ เรื่องนี้มันเกี่ยวข้องกับการลดภาระงาน Audit ได้ยังไงครับ?”
“ผมกำลังจะสร้างโปรแกรม Compliance ของเราขึ้นมาใหม่ทั้งหมดครับ โดยยึดตามความเข้าใจใหม่ของเราว่าเราให้ความไว้วางใจในการควบคุม (controls) ของเราที่จุดไหนกันแน่” จอห์นกล่าว “สิ่งนั้นจะเป็นตัวกำหนดว่าอะไรคือสิ่งที่สำคัญจริงๆ มันเหมือนกับการมี ‘แว่นตามหัศจรรย์’ ที่สามารถแยกแยะได้ว่าการควบคุมไหนที่สำคัญระดับโลกถล่มทลาย กับอันไหนที่มันไม่มีค่าเลยสักนิดเดียวครับ”
“ใช่ครับ!” ผมกล่าว “ ‘แว่นตามหัศจรรย์’ พวกนั้นช่วยให้เรามองเห็นสิ่งที่สำคัญสำหรับ Dick ในการดำเนินงานของบริษัทในที่สุด มันอยู่ตรงหน้าเรามาหลายปีแล้ว แต่เราไม่เคยเห็นมันเลย”
จอห์นพยักหน้าและยิ้มกว้าง เขาเปิดไปหน้าสุดท้ายของเอกสาร “ผมขอเสนอห้าอย่างที่จะช่วยลดภาระงานด้านความปลอดภัยของเราลงได้ถึงเจ็ดสิบห้าเปอร์เซ็นต์ครับ”
สิ่งที่เขานำเสนอนั้นน่าทึ่งมาก ข้อเสนอแรกของเขาลดขอบเขตของโปรแกรม SOX-404 Compliance ลงอย่างมหาศาล เมื่อเขาอธิบายเหตุผลได้อย่างชัดเจนว่าทำไมมันถึงปลอดภัย ผมก็ตระหนักได้ว่าจอห์นเองก็กำลังเข้าถึงแก่นแท้ของแนวทางที่หนึ่งแล้ว โดยการมี “ความชื่นชมในระบบอย่างลึกซึ้ง” (profound appreciation of the system)
ข้อเสนอที่สองของเขาคือเราต้องหาให้ได้ว่าช่องโหว่ (vulnerabilities) ในระบบ production มันเข้าไปอยู่ตรงนั้นได้ยังไงตั้งแต่แรก และเราต้องมั่นใจว่ามันจะไม่เกิดขึ้นอีกโดยการปรับเปลี่ยนกระบวนการ deployment ของเรา
ข้อเสนอที่สามของเขาคือเราต้องติดธงระบุระบบทั้งหมดที่อยู่ในขอบเขตการตรวจสอบ Compliance ไว้ในกระบวนการจัดการการเปลี่ยนแปลงของ Patty—เพื่อที่เราจะได้หลีกเลี่ยงการเปลี่ยนแปลงที่อาจทำลายการตรวจสอบของเรา—และเราต้องสร้างเอกสารประกอบอย่างต่อเนื่องที่พวกผู้ตรวจสอบจะเรียกดู
จอห์นมองไปรอบๆ เห็นพวกเราทุกคนจ้องเขาด้วยความเงียบงันที่เต็มไปด้วยความตกตะลึง “ผมพูดอะไรผิดไปหรือเปล่าครับ?”
“ไม่ได้จะว่านะจอห์น...” เวสค่อยๆ พูดออกมา “แต่... เอิ่ม... คุณรู้สึกโอเคใช่ไหมครับ?”
ผมกล่าวว่า “จอห์น ผมไม่คิดว่าคุณจะเจอคำคัดค้านใดๆ จากทีมงานของผมสำหรับข้อเสนอพวกนี้นะครับ ผมว่ามันเป็นไอเดียที่ยอดเยี่ยมมาก” เวสกับ Patty พยักหน้าเห็นด้วยอย่างแรง
เมื่อเห็นทุกคนพอใจ เขาก็พูดต่อ “ข้อเสนอที่สี่ของผมคือการลดขนาดของโปรแกรม PCI Compliance ลง โดยการกำจัดอะไรก็ตามที่จัดเก็บหรือประมวลผลข้อมูลผู้ถือบัตรทิ้งไปซะ เพราะมันเหมือนกับกากกัมมันตภาพรังสีครับ การทำหายหรือจัดการผิดพลาดมันอาจถึงตายได้ และค่าใช้จ่ายในการป้องกันมันก็สูงเกินไป”
“เริ่มจากระบบเครื่องคิดเงินหน้าร้าน (POS) ในโรงอาหารที่แสนจะงี่เง่านั่นก่อนเลย ผมไม่อยากจะทำ security review ให้ไอ้ขยะนั่นอีกแล้ว พูดตรงๆ นะ ผมไม่สนหรอกว่าใครจะรับมันไปดูแล ต่อให้เป็นวินนี่ลูกพี่ลูกน้องของ Sarah ก็เถอะ มันต้องไปจากที่นี่ซะ”
Patty เอามือปิดปาก ส่วนเวสนี่อ้าปากค้างไปแล้ว จอห์นสติหลุดไปแล้วหรือเปล่าเนี่ย? ข้อเสนอนี้มันดู... อาจจะถึงขั้นบ้าบิ่นไปเลยนะ
เวสหยุดคิดครู่หนึ่งแล้วเปลี่ยนใจ “ผมชอบนะ! รู้งี้เราน่าจะกำจัดมันไปตั้งหลายปีแล้ว เราเสียเวลาเป็นเดือนๆ เพื่อทำให้ระบบนั้นปลอดภัยสำหรับการตรวจสอบ แถมมันยังถูกนับเข้าขอบเขต SOX-404 ด้วยนะ เพราะมันดันไปเชื่อมต่อกับระบบจ่ายเงินเดือนน่ะ!”
ในที่สุด Patty ก็พยักหน้า “ฉันว่าคงไม่มีใครเถียงหรอกค่ะว่าระบบ POS ของโรงอาหารคือความสามารถหลัก (core competency) ของเรา มันไม่ได้ช่วยธุรกิจเราเลยแต่ทำร้ายเราได้แน่นอน แถมยังไปแย่งทรัพยากรที่มีอยู่อย่างจำกัดมาจาก Phoenix และระบบ POS ในร้านค้า ซึ่งเป็นส่วนหนึ่งของความสามารถหลักของเราจริงๆ ค่ะ”
“โอเคครับจอห์น ลุยเลย คุณตีโฮมรันได้สี่ลูกรวดแล้วนะ” ผมกล่าวอย่างเด็ดขาด “แต่คุณคิดจริงๆ เหรอว่าเราจะกำจัดมันได้ทันเวลาที่จะสร้างความแตกต่างได้?”
“ครับ” จอห์นกล่าวพลางยิ้มอย่างมั่นใจ “ผมคุยกับ Dick และทีมกฎหมายเรียบร้อยแล้ว เราแค่ต้องหาเอาท์ซอร์สที่เหมาะสมและทำให้เรามั่นใจว่าพวกเขาไว้ใจได้ในการดูแลระบบและข้อมูล เราเอาท์ซอร์สงานได้ แต่เอาท์ซอร์สความรับผิดชอบไม่ได้ครับ”
เวสแทรกขึ้นมาอย่างมีความหวัง “คุณช่วยทำอะไรสักอย่างเพื่อเอา Phoenix ออกจากขอบเขต Audit ด้วยได้ไหมครับ?”
“ข้ามศพผมไปก่อนเถอะครับ” จอห์นตอบเสียงเรียบพลางกอดอก “ข้อเสนอที่ห้าและสุดท้ายของผมคือ เราต้องจ่ายคืนหนี้ทางเทคนิค (technical debt) ทั้งหมดใน Phoenix โดยใช้เวลาที่ประหยัดได้จากข้อเสนอที่ผ่านมาของผมครับ เรารู้ว่ามีความเสี่ยงมหาศาลใน Phoenix: ทั้งความเสี่ยงเชิงกลยุทธ์, ความเสี่ยงด้านปฏิบัติการ, ความเสี่ยงด้านความปลอดภัยและ Compliance ขนาดใหญ่ การวัดผลหลักๆ เกือบทั้งหมดของ Dick ขึ้นอยู่กับมันทั้งนั้น”
“อย่างที่ Patty บอก ระบบป้อนคำสั่งซื้อและระบบจัดการสินค้าคงคลังของเรา คือ ความสามารถหลักของเราครับ เราพึ่งพามันเพื่อให้เรามีความได้เปรียบในการแข่งขัน แต่ด้วยวิธีลัดทั้งหมดที่เราเคยทำไว้กับมัน มันเหมือนถังดินปืนที่รอวันระเบิดเลยล่ะครับ”
เวสถอนหายใจและดูหงุดหงิด จอห์นคนเดิมที่น่ารำคาญกลับมาแล้ว สีหน้าของเขาฟ้องแบบนั้น
แต่ผมไม่เห็นด้วย จอห์นคนนี้ดูซับซ้อนและมีมิติมากกว่าจอห์นคนเดิมเยอะ ในช่วงเวลาไม่กี่นาที เขาเต็มใจที่จะรับความเสี่ยงที่ใหญ่ขึ้นและเกือบจะบ้าบิ่น ตั้งแต่การเอาท์ซอร์สระบบ POS โรงอาหาร ไปจนถึงการยืนกรานอย่างหนักแน่นว่าจะต้องทำให้ Phoenix ปลอดภัยและแข็งแกร่ง
ผมชอบจอห์นคนใหม่คนนี้แฮะ
“คุณพูดถูกเป๊ะเลยครับจอห์น เราต้องจ่ายคืนหนี้ทางเทคนิค” ผมกล่าวอย่างหนักแน่น “คุณเสนอว่าเราควรจะทำยังไงดีครับ?”
พวกเราตกลงกันได้อย่างรวดเร็วว่าจะให้คนในทีมของเวสและคริสมาจับคู่ทำงานกับทีมของจอห์น เพื่อเพิ่มจำนวนผู้เชี่ยวชาญด้านความปลอดภัยในองค์กร การทำแบบนี้จะช่วยให้เราเริ่มรวบรวมเรื่องความปลอดภัยเข้าไว้ในงานประจำวันของทุกคน แทนที่จะมารอทำให้มันปลอดภัยหลังจากที่ deploy ไปแล้ว
จอห์นขอบคุณทุกคน และบอกว่าเราคุยกันครบทุกวาระแล้ว ผมก้มมองนาฬิกา เราประชุมเสร็จก่อนเวลาตั้งสามสิบนาที นี่น่าจะเป็นสถิติโลกใหม่ของเวลาที่สั้นที่สุดในการตกลงกันเรื่องที่เกี่ยวกับความปลอดภัยเลยล่ะมั้ง