Chapter 29: Tuesday, October 21

(ต่อจากบทที่ 28)

"คุณรู้ไหม ผมชอบคอลัมน์ที่สามของ Bill มากเลยครับที่เขียนว่า 'ความเสี่ยงทางธุรกิจจาก IT'" John พูดขึ้น "การอธิบายว่ามีอะไรที่อาจผิดพลาดได้ใน IT ซึ่งจะขัดขวางไม่ให้ผลลัพธ์ทางธุรกิจบรรลุผลนั้น เป็นการช่วยให้เจ้าของกระบวนการธุรกิจได้รับโบนัสของพวกเขาครับ เรื่องนี้จะช่วยโน้มน้าวใจได้ดีมาก และเราอาจจะได้รับคำขอบคุณจากฝ่ายธุรกิจด้วยซ้ำที่ทำตัวมีประโยชน์แบบนี้ ซึ่งนั่นถือเป็นการเปลี่ยนแปลงที่น่าชื่นใจจริงๆ ครับ"

"ผมเห็นด้วยครับ ทำได้ดีมาก Bill" Chris พูดในที่สุด "แต่แล้ววิธีแก้ปัญหาคืออะไรล่ะครับ?"

ผมถามว่า "ใครมีไอเดียอะไรบ้างไหมครับ?"

สิ่งที่น่าประหลาดใจคือ John เป็นคนแรกที่พูดขึ้น "สำหรับผมมันชัดเจนมากครับ เราต้องเสนอมาตรการควบคุมเพื่อลดความเสี่ยงในคอลัมน์ที่สามของคุณ จากนั้นเราก็นำตารางนี้ไปแสดงให้ Ron กับ Maggie ดู และทำให้มั่นใจว่าพวกเขาเชื่อว่ามาตรการรับมือของเราจะช่วยให้พวกเขาบรรลุวัตถุประสงค์ได้ ถ้าพวกเขาตกลง เราก็จะทำงานร่วมกับพวกเขาเพื่อนำ IT เข้าไปรวมเป็นส่วนหนึ่งของตัวชี้วัดผลงานของพวกเขาครับ..."

"ตัวอย่างที่ Erik ยกให้นายฟังน่ะสมบูรณ์แบบมากเลยครับ พวกเขาเอาเรื่อง 'การทำตามขั้นตอนการบำรุงรักษารถบรรทุก' เข้าไปเป็นตัวบ่งชี้ล่วงหน้าสำหรับเรื่อง 'การส่งมอบตรงเวลา' และ 'การรักษาฐานลูกค้า' พวกเราต้องทำแบบเดียวกันครับ"

เราจึงเริ่มถกแขนเสื้อและลงมือทำงานกันทันที

สำหรับระบบโทรศัพท์และระบบ MRP เรากำหนดตัวชี้วัดล่วงหน้าได้อย่างรวดเร็ว ซึ่งรวมถึงการปฏิบัติตามกระบวนการจัดการการเปลี่ยนแปลง การกำกับดูแลและตรวจสอบการเปลี่ยนแปลงในระบบจริง การบำรุงรักษาตามกำหนดการให้เสร็จสิ้น และการกำจัดจุดที่อาจทำให้ระบบล่มได้ทั้งหมดที่เรารู้จักครับ

แต่พอเรามาถึงเรื่อง "ความเข้าใจความต้องการของลูกค้า" พวกเราก็เริ่มจะติดขัด

John อีกนั่นแหละที่ช่วยให้พวกเราเดินหน้าต่อได้ "เป้าหมายในจุดนี้ไม่ใช่เรื่องการพร้อมใช้งานของระบบครับ แต่มันคือความถูกต้องของข้อมูล (integrity of data) ซึ่งบังเอิญว่ามันคือสองในสามของหลักการ 'ความลับ ความถูกต้อง และความพร้อมใช้งาน' (CIA triangle) พอดีครับ" เขาหันไปถาม Chris ว่า "สรุปแล้วอะไรคือสาเหตุที่ทำให้ข้อมูลมันไม่ถูกต้องครับ?"

Chris แค่นหัวเราะอย่างเซ็งๆ "Phoenix ช่วยแก้ปัญหาพวกนั้นได้ตั้งเยอะครับ แต่เราก็ยังมีปัญหาอยู่ดี ส่วนใหญ่มันเกิดจากกระบวนการต้นน้ำครับ เพราะพวกฝ่ายการตลาดชอบใส่รหัสสินค้า (SKU) ที่ผิดรูปแบบเข้ามา ฝ่ายการตลาดเองก็ต้องจัดการเรื่องเฮงซวยของตัวเองให้เรียบร้อยด้วยเหมือนกันครับ"

ดังนั้นสำหรับเรื่อง "ความต้องการของฝ่ายการตลาด" ตัวชี้วัดที่เราเสนอจึงรวมถึง ความสามารถของ Phoenix ในการรองรับรายงานรายสัปดาห์และรายวันในที่สุด, เปอร์เซ็นต์ของรหัสสินค้าที่ถูกต้องที่สร้างโดยฝ่ายการตลาด และอื่นๆ อีกสารพัดครับ

เมื่อสิ้นสุดวัน พวกเราก็ได้สไลด์ชุดหนึ่งออกมา ซึ่ง Patty กับผมจะนำกลับไปคุยกับ Ron และ Maggie เพื่อที่จะนำไปเสนอต่อ Dick อีกทีครับ

"นี่แหละครับเพื่อนๆ คือข้อเสนอที่แข็งแกร่งมาก" Wes พูดอย่างภาคภูมิใจ เขาหัวเราะเสียงดังแล้วบอกว่า "ต่อให้เป็นลิงก็ยังดูออกเลยว่าเราเพิ่งจะเชื่อมโยงจุดต่างๆ เข้าด้วยกันยังไง!"

ในวันถัดมา Patty และผมได้รับข้อคิดเห็นที่ดีมากจาก Ron และ Maggie และพวกเขาก็รับปากว่าจะสนับสนุนข้อเสนอของพวกเราต่อหน้า Dick เมื่อ Ron รู้ว่าพวกเรายังไม่ได้รับงบประมาณสำหรับโปรเจกต์เฝ้าระวังระบบ เขาก็กดโทรศัพท์หา Dick ต่อหน้าพวกเราเลย แล้วก็ฝากข้อความเสียงที่ดุเดือดมากถามว่าทำไมเขาถึงยังดึงเช็งเรื่องงบประมาณอยู่อีก

ด้วยการสนับสนุนที่กระตือรือร้นขนาดนี้ ผมเลยคิดว่าการประชุมกับ Dick ในวันพฤหัสบดีนี้คงจะเป็นเรื่องกล้วยๆ แน่นอนครับ

"สิ่งเดียวที่คุณบอกผมก็คือ พวกคุณน่ะหลับในระหว่างคุมพวงมาลัยรถอยู่ชัดๆ!" Dick พูดเสียงเข้ม เห็นชัดว่าเขาไม่ประทับใจกับสิ่งที่ผมนำเสนอเลยสักนิด ทันใดนั้น ผมก็นึกถึงตอนที่ Steve ไม่ยอมแม้แต่จะชายตามองสเปรดชีตที่ผมเตรียมไว้ให้ตอนที่ผมขอให้เขาจัดลำดับความสำคัญของ Phoenix กับงานตรวจสอบบัญชีเลยล่ะครับ

แต่คราวนี้ Dick ไม่ได้แค่จะปัดทิ้งเฉยๆ เขาดูโกรธจริงๆ "คุณกำลังบอกในสิ่งที่ต่อให้เป็นลิงที่ไม่มีไข่ก็ยังคิดออกเลยนะครับ คุณไม่รู้เหรอว่าตัวชี้วัดพวกนี้มันสำคัญ? ในการประชุมพนักงานทุกคน Steve ก็พูดซ้ำแล้วซ้ำเล่า ในจดหมายข่าวบริษัทก็มี ในสรุปกลยุทธ์ที่ Sarah พูดถึงทุกครั้งก็มี พวกคุณทุกคนมองข้ามเรื่องสำคัญขนาดนี้ไปได้ยังไงครับ?"

ผมเห็น Chris กับ Patty นั่งกระสับกระส่ายอยู่ข้างๆ ขณะที่พวกเรานั่งอยู่ฝั่งตรงข้ามของ Dick ส่วน Erik ยืนพิงกำแพงอยู่ที่ริมหน้าต่าง

ภาพในอดีตแวบเข้ามาในหัวผมตอนที่ผมยังเป็นจ่านายสิบนาวิกโยธิน ถือธงในขบวนพาเหรด จู่ๆ ผู้พันคนหนึ่งก็โผล่มาแล้วคำรามใส่ผมต่อหน้าคนทั้งกองพันว่า "นั่นมันสายนาฬิกาผิดระเบียบนะ จ่า Palmer!" ตอนนั้นผมแทบจะอยากแทรกแผ่นดินหนีด้วยความอับอาย เพราะผมรู้ตัวว่าผมทำพลาดจริงๆ

แต่วันนี้ ผมมั่นใจว่าผมเข้าใจภารกิจนี้ดี และเพื่อให้บริษัทประสบความสำเร็จ ผมต้องการให้ Dick เข้าใจในสิ่งที่ผมเพิ่งจะเรียนรู้มา แต่มันจะทำยังไงล่ะ?

Erik กระแอมขึ้นมาแล้วพูดกับ Dick ว่า "ผมเห็นด้วยครับว่าลิงไม่มีไข่ก็น่าจะคิดออก เพราะฉะนั้น Dick ช่วยอธิบายหน่อยสิครับว่าทำไมในสเปรดชีตตัวชี้วัดอันเล็กๆ ของคุณน่ะ คุณถึงระบุรายชื่อผู้บริหารไว้ตั้งสี่ระดับสำหรับแต่ละตัวชี้วัด แต่กลับไม่มีชื่อผู้จัดการ IT โผล่มาเลยสักที่เดียว? เพราะอะไรครับ?"

เขาไม่รอให้ Dick ตอบ แต่พูดต่อทันที "ทุกสัปดาห์ คน IT จะถูกลากเข้าไปร่วมซ้อมหนีไฟในนาทีสุดท้ายโดยพวกผู้จัดการที่พยายามจะทำให้ได้ตามตัวชี้วัดเหล่านั้น—เหมือนตอนที่ Brent ถูกดึงตัวไปช่วยเปิดตัวแคมเปญส่งเสริมการขายล่าสุดของ Sarah ไงครับ" Erik หยุดนิ่งไปครู่หนึ่งแล้วบอกว่า "บอกตรงๆ นะครับ ผมว่าคุณเองก็เป็นลิงไม่มีไข่พอๆ กับ Bill นั่นแหละ"

Dick พ่นลมหายใจออกมาแต่ดูไม่สะทกสะท้านเลย ในที่สุดเขาก็พูดว่า "อาจจะเป็นอย่างนั้นก็ได้นะ Erik คุณรู้ไหม เมื่อห้าปีก่อน CIO ของเราเคยเข้าประชุมรีวิวธุรกิจรายไตรมาสกับเรานะ แต่เขาไม่เคยปริปากพูดอะไรเลยนอกจากจะบอกเราว่าทุกอย่างที่เราเสนอมาน่ะมันเป็นไปไม่ได้ หลังจากผ่านไปปีนึง Steve ก็เลยเลิกเชิญเขามาประชุมครับ"

Dick หันกลับมาหาผม "Bill คุณกำลังจะบอกผมว่า ต่อให้ทุกคนในบริษัทจะทำทุกอย่างถูกต้องหมดแล้ว แต่เพราะปัญหา IT พวกนี้ เราทุกคนก็จะยังคงพลาดเป้าหมายเหล่านี้อยู่ดีงั้นเหรอ?"

"ครับท่าน" ผมตอบ "ความเสี่ยงในการปฏิบัติงานที่เกิดจาก IT น่ะจำเป็นต้องได้รับการบริหารจัดการเหมือนกับความเสี่ยงทางธุรกิจอื่นๆ ครับ หรือจะบอกว่ามันไม่ใช่ความเสี่ยงของ IT หรอกครับ แต่มันคือความเสี่ยงของธุรกิจต่างหาก"

Dick พ่นลมหายใจอีกครั้ง เขาพิงหลังกับเก้าอี้พลางขยี้ตา "ฉิบหายล่ะ แล้วเราจะไปเขียนสัญญาจ้างคนนอกทำ IT ได้ยังไงกันวะ ถ้าเรายังไม่รู้เลยว่าจริงๆ แล้วธุรกิจต้องการอะไร?" เขาพูดพลางทุบโต๊ะดังปัง

จากนั้นเขาก็ถามว่า "เอาล่ะ ข้อเสนอของคุณคืออะไร? ผมเดาว่าคุณต้องมีเตรียมมาแล้วใช่ไหม?"

ผมนั่งยืดตัวตรงแล้วเริ่มการนำเสนอที่ผมได้ซักซ้อมมาหลายครั้งกับทีมงาน "ผมขอเวลาสามสัปดาห์ร่วมกับเจ้าของกระบวนการธุรกิจแต่ละคนในสเปรดชีตนั้นครับ เราจำเป็นต้องกำหนดนิยามความเสี่ยงทางธุรกิจที่เกิดจาก IT ให้ชัดเจนและเห็นพ้องต้องกันมากกว่านี้ และจากนั้นจะเสนอวิธีนำความเสี่ยงเหล่านั้นไปรวมเข้าเป็นตัวบ่งชี้ล่วงหน้าของผลงานครับเป้าหมายของเราไม่ใช่แค่การปรับปรุงผลงานทางธุรกิจเท่านั้น แต่เพื่อให้ได้รับสัญญาณเตือนแต่เนิ่นๆ ว่าเราจะบรรลุเป้าหมายได้หรือไม่ เพื่อที่เราจะได้ดำเนินการจัดการอย่างเหมาะสมครับ"

"นอกจากนี้" ผมพูดต่อ "ผมอยากจะขอนัดประชุมเฉพาะเรื่องกับคุณและ Chris เกี่ยวกับ Phoenix ครับ" จากนั้นผมก็อธิบายความกังวลของผมว่า Phoenix ในแบบที่เป็นอยู่น่ะไม่ควรได้รับการอนุมัติให้ทำตั้งแต่แรกเลยด้วยซ้ำ

ผมกล่าวต่อ "เราทำงานช้าเกินไป มี WIP มากเกินไป และมีฟีเจอร์ที่กำลังทำอยู่เยอะเกินไป เราต้องทำให้การปล่อยระบบแต่ละรอบเล็กลงและสั้นลง เพื่อให้เงินสดกลับคืนสู่บริษัทได้เร็วขึ้น เพื่อที่เราจะได้เอาชนะเกณฑ์ผลตอบแทนขั้นต่ำภายในให้ได้ครับ Chris กับผมมีไอเดียบ้างแล้ว แต่มันจะหน้าตาแตกต่างจากแผนงานปัจจุบันอย่างสิ้นเชิงเลยนะครับ"

เขายังคงนิ่งเงียบ จากนั้นเขาก็ประกาศอย่างเด็ดขาดว่า "ตกลงครับสำหรับทั้งสองข้อเสนอ ผมจะมอบหมายให้ Ann มาช่วยด้วย คุณต้องการคนเก่งที่สุดในบริษัทมาช่วยงานนี้ครับ"

จากหางตา ผมเห็น Chris กับ Patty ยิ้มออกมา

"ขอบคุณครับท่าน พวกเราจะจัดการให้เรียบร้อยครับ" ผมบอกพลางลุกขึ้นยืนแล้วกึ่งเดินกึ่งดันทุกคนออกจากห้องไป ก่อนที่ Dick จะเปลี่ยนใจครับ

ขณะที่เราเดินออกจากออฟฟิศของเขา Erik ก็ตบบ่าผมเบาๆ "ไม่เลวนี่เจ้าหนู ยินดีด้วยที่คุณเริ่มจะเชี่ยวชาญในหนทางที่หนึ่งแล้ว ทีนี้ก็ไปช่วย John ให้ถึงจุดนั้นด้วยล่ะ เพราะคุณกำลังจะงานล้นมือกับการรับมือกับหนทางที่สองแล้วล่ะครับ"

ด้วยความสงสัย ผมเลยถามว่า "ทำไมล่ะครับ? จะเกิดอะไรขึ้นเหรอ?"

"เดี๋ยวคุณก็รู้เองแหละ" Erik พูดพลางหัวเราะในลำคอ

ในวันศุกร์ John นัดประชุมร่วมกับ Wes, Patty และผม โดยรับปากว่าจะมีข่าวที่ยอดเยี่ยมมาบอก เขาพูดอย่างกระตือรือร้นว่า "ทุกคนครับ พวกคุณทำหน้าที่ได้สุดยอดมากที่เชื่อมโยง IT เข้ากับวัตถุประสงค์ในการปฏิบัติงานของ Dick ในที่สุดผมก็รู้แล้วว่าพวกเรารอดพ้นจากปัญหาการตรวจสอบบัญชีมาได้ยังไง และผมค่อนข้างมั่นใจว่าเราสามารถทำสิ่งที่ยอดเยี่ยมไม่แพ้กันเพื่อลดภาระงานเรื่องการตรวจสอบและการทำตามกฎระเบียบของเราลงได้ครับ"

"ลดงานตรวจสอบเหรอครับ?" Wes ถามพลางเงยหน้าขึ้นจากการวางโทรศัพท์มือถือลง "ผมล่ะตั้งใจฟังเลยล่ะครับ!"

เขาก็เรียกความสนใจจากผมได้เหมือนกัน ถ้ามีวิธีไหนที่จะช่วยให้พวกผู้ตรวจสอบเลิกตามจี้เราได้โดยไม่ต้องผ่านการทำงานแบบ "มุ่งหน้าสู่ความตาย" อีกรอบล่ะก็ มันก็คือปาฏิหาริย์ชัดๆ เลยครับ

เขาหันไปหา Wes และ Patty "ผมต้องหาคำตอบให้ได้ว่าเราหนีรอดจากผลการตรวจสอบทั้งหมดของทั้งทีมตรวจสอบภายในและภายนอกมาได้ยังไง ตอนแรกผมก็นึกว่าเป็นเพราะหุ้นส่วนตรวจสอบยอมช่วยเราอย่างเต็มที่เพื่อรักษาลูกค้าไว้น่ะครับ แต่มันไม่ใช่แบบนั้นเลย..."

"ผมไปพบทุกคนจากทีม Parts Unlimited ที่เข้าร่วมประชุมครั้งนั้น เพื่อพยายามหาว่าใครคือกุมกุญแจสำคัญไว้ สิ่งที่ทำให้ผมประหลาดใจคือคนคนนั้นไม่ใช่ Dick หรือที่ปรึกษาทางกฎหมายของเราหรอกครับ หลังจากผ่านไปสิบการประชุม ในที่สุดผมก็เจอ Faye นักวิเคราะห์ทางการเงินที่ทำงานให้ Ann ในฝ่ายการเงินครับ"

"Faye มีพื้นฐานทางเทคนิคครับ เธอเคยทำงานใน IT มาสี่ปี" เขาบอกพลางแจกเอกสารให้พวกเราคนละชุด "เธอเป็นคนสร้างเอกสารควบคุม SOX-404 เหล่านี้ขึ้นมาให้ทีมการเงินครับ มันแสดงให้เห็นการไหลของข้อมูลแบบตั้งแต่ต้นจนจบสำหรับกระบวนการธุรกิจหลักในแต่ละบัญชีที่มีสาระสำคัญทางการเงิน เธอจดบันทึกว่าเงินหรือสินทรัพย์เข้าสู่ระบบที่จุดไหนและติดตามไปจนถึงบัญชีแยกประเภททั่วไปเลยล่ะครับ"

"นี่คือเรื่องปกติที่ทำกันครับ แต่เธอทำมากกว่านั้นอีกขั้นหนึ่ง: เธอไม่มองไปที่ระบบ IT เลยจนกว่าเธอจะเข้าใจอย่างชัดเจนว่าจุดไหนในกระบวนการที่อาจจะเกิดข้อผิดพลาดที่มีสาระสำคัญได้ และจุดไหนที่มันจะถูกตรวจพบครับ เธอพบว่าส่วนใหญ่แล้ว เราจะตรวจพบข้อผิดพลาดได้ในขั้นตอนการตรวจสอบยอดแบบแมนนวล (manual reconciliation) ซึ่งเป็นการเปรียบเทียบยอดคงเหลือและมูลค่าจากแหล่งข้อมูลหนึ่งกับอีกแหล่งหนึ่ง ซึ่งมักจะทำกันเป็นรายสัปดาห์ครับ"

"เมื่อเป็นแบบนั้น" เขาพูดด้วยน้ำเสียงที่เต็มไปด้วยความทึ่ง "เธอก็รู้ทันทีว่าระบบ IT ต้นน้ำน่ะควรจะอยู่นอกเหนือขอบเขตของการตรวจสอบครับ"

"นี่คือสิ่งที่เธอแสดงให้พวกผู้ตรวจสอบดูครับ" John พูดอย่างตื่นเต้นพลางเปิดไปหน้าที่สอง "ผมขอโควตคำพูดเธอมาเลยนะ: 'มาตรการควบคุมที่เราใช้เพื่อตรวจพบข้อผิดพลาดที่มีสาระสำคัญคือขั้นตอนการตรวจสอบยอดแบบแมนนวล ไม่ใช่ระบบ IT ที่อยู่ต้นน้ำ' ผมไล่ดูเอกสารทั้งหมดของ Faye และในทุกกรณี พวกผู้ตรวจสอบก็เห็นพ้องด้วย และยอมถอนผลการตรวจสอบ IT ออกไปหมดเลยครับ"

"นั่นคือเหตุผลที่ Erik เรียกกองผลการตรวจสอบเหล่านั้นว่าเป็น 'ความผิดพลาดในการกำหนดขอบเขต' ครับ เขาพูดถูกจริงๆ ถ้าแผนการทดสอบตรวจสอบบัญชีถูกกำหนดขอบเขตมาอย่างถูกต้องตั้งแต่แรก ก็คงไม่มีผลการตรวจสอบ IT โผล่มาเลยสักข้อเดียวครับ!" เขาพูดยังงั้นเป็นคำสรุป

John มองไปรอบๆ ขณะที่ Patty, Wes และผมนั่งจ้องเขาตาค้าง

ผมบอกว่า "ผมตามไม่ทันครับ เรื่องนี้มันเกี่ยวข้องกับการลดภาระงานการตรวจสอบยังไงครับ?"

"ผมกำลังสร้างโครงการการทำตามกฎระเบียบของพวกเราขึ้นมาใหม่ทั้งหมดครับ โดยอิงจากความเข้าใจใหม่ของเราว่าจริงๆ แล้วเรากำลังพึ่งพามาตรการควบคุมที่จุดไหนกันแน่" John บอก "นั่นแหละจะเป็นตัวกำหนดว่าอะไรที่สำคัญจริงๆ มันเหมือนกับการมีแว่นตาวิเศษที่สามารถแยกแยะได้ว่ามาตรการควบคุมไหนที่สำคัญระดับโลกถล่ม กับมาตรการไหนที่ไม่มีค่าอะไรเลยสักนิดครับ"

"ใช่เลยครับ!" ผมโพล่งออกมา "ไอ้ 'แว่นตาวิเศษ' นั่นแหละที่ช่วยให้พวกเรามองเห็นซะทีว่าอะไรที่สำคัญต่อ Dick ในการดำเนินงานของบริษัท มันอยู่ตรงหน้าพวกเรามาเป็นปีๆ แล้วแต่เรากลับมองไม่เห็นเองครับ"

John พยักหน้าและยิ้มกว้าง เขาเปิดไปหน้าสุดท้ายของเอกสารที่แจก "ผมขอเสนอห้าสิ่งที่น่าจะช่วยลดภาระงานที่เกี่ยวข้องกับความปลอดภัยของพวกเราลงได้ถึงเจ็ดสิบห้าเปอร์เซ็นต์ครับ"

สิ่งที่เขานำเสนอมานั้นน่าทึ่งมาก ข้อเสนอแรกของเขาคือการลดขอบเขตของโครงการ SOX-404 ลงอย่างมหาศาล เมื่อเขาอธิบายได้อย่างแม่นยำว่าทำไมการทำแบบนั้นถึงปลอดภัย ผมก็ตระหนักได้ว่า John เองก็เริ่มจะเชี่ยวชาญในหนทางที่หนึ่งแล้วเหมือนกัน เพราะเขาได้รับ "ความเข้าใจในระบบอย่างลึกซึ้ง" ไปเรียบร้อยแล้วครับ

ข้อเสนอที่สองของเขาคือการหาคำตอบว่าช่องโหว่ความปลอดภัยในระบบจริงน่ะมันเข้าไปอยู่ที่นั่นได้ยังไงตั้งแต่แรก และเพื่อให้มั่นใจว่ามันจะไม่เกิดขึ้นอีกโดยการปรับเปลี่ยนกระบวนการขึ้นระบบจริงของเราครับ

ข้อเสนอที่สามของเขาคือการทำเครื่องหมายระบบทั้งหมดที่อยู่ในขอบเขตของการตรวจสอบบัญชีไว้ในกระบวนการจัดการการเปลี่ยนแปลงของ Patty—เพื่อให้เราสามารถหลีกเลี่ยงการเปลี่ยนแปลงที่อาจส่งผลกระทบต่อการตรวจสอบของเรา—และสร้างเอกสารประกอบอย่างต่อเนื่องที่พวกผู้ตรวจสอบมักจะขอดูครับ

John มองไปรอบๆ เห็นพวกเราทุกคนจ้องมองเขาด้วยความเงียบที่ดูจะตกตะลึงไปหน่อย "ผมพูดอะไรผิดไปหรือเปล่าครับ?"

"อย่าหาว่าผมว่าอย่างงั้นอย่างงี้เลยนะครับ John..." Wes พูดช้าๆ "แต่ว่า...เอ่อ... คุณยังสบายดีอยู่ใช่ไหมครับ?"

ผมบอกว่า "John ผมไม่คิดว่าทีมของผมจะมีใครคัดค้านข้อเสนอของคุณหรอกครับ ผมว่ามันเป็นไอเดียที่ยอดเยี่ยมมากเลย" Wes กับ Patty รีบพยักหน้าเห็นด้วยอย่างรวดเร็วทันที

เขาดูพอใจและพูดต่อ "ข้อเสนอที่สี่ของผมคือการลดขนาดของโครงการ PCI ลง โดยการกำจัดทุกอย่างที่จัดเก็บหรือประมวลผลข้อมูลผู้ถือบัตรทิ้งไปให้หมด ซึ่งไอ้ข้อมูลพวกนี้มันก็เหมือนขยะพิษดีๆ นี่แหละครับ การทำหายหรือจัดการผิดพลาดอาจถึงตายได้ และมันก็ต้องใช้เงินมหาศาลในการปกป้องด้วยครับ"

"เริ่มจากระบบขายหน้าร้านในโรงอาหารที่แสนจะงี่เง่านั่นเลยครับ ผมไม่อยากจะต้องมานั่งรีวิวความปลอดภัยของไอ้ขยะชิ้นนั้นอีกแล้ว บอกตรงๆ ผมไม่สนหรอกว่าใครจะเอามันไปดูแลต่อ ต่อให้จะเป็น Vinnie ญาติของ Sarah ก็ตามเถอะ มันต้องไปจากที่นี่ครับ"

Patty เอามือปิดปากไว้ ส่วน Wes ก็นั่งอ้าปากค้างไปแล้ว John เสียสติไปแล้วจริงๆ หรือเปล่านะ? ข้อเสนอนี้มันดู...เสี่ยงเกินไปหน่อยหรือเปล่า

Wes นิ่งคิดครู่หนึ่งแล้วก็เปลี่ยนใจ "ผมชอบนะ! ผมอยากจะกำจัดมันทิ้งมาตั้งหลายปีแล้วล่ะครับ พวกเราใช้เวลาเป็นเดือนๆ เพื่อทำให้ระบบนั้นมันปลอดภัยสำหรับการตรวจสอบพวกนั้น แถมมันยังต้องเข้าไปอยู่ในขอบเขตการตรวจสอบ SOX-404 ด้วยนะเพียงเพราะมันคุยกับระบบจ่ายเงินเดือนน่ะครับ!"

ในที่สุด Patty ก็พยักหน้า "ฉันว่าคงไม่มีใครเถียงได้หรอกค่ะว่าระบบ POS ในโรงอาหารน่ะเป็นความสามารถหลัก (core competency) ของเรา มันไม่ได้ช่วยธุรกิจเราเลยแต่ทำให้เราเดือดร้อนได้แน่ๆ และมันยังมาแย่งทรัพยากรที่ขาดแคลนไปจาก Phoenix และระบบ POS ในร้านค้าซึ่งเป็นความสามารถหลักของเราจริงๆ ค่ะ"

"โอเคครับ John ลุยเลย คุณทำสำเร็จสี่จากสี่แล้วนะ" ผมบอกอย่างเด็ดขาด "แต่คุณคิดจริงๆ เหรอว่าเราจะกำจัดมันทิ้งได้ทันเวลาที่จะสร้างความแตกต่างได้น่ะ?"

"แน่นอนครับ" John ตอบพร้อมรอยยิ้มอย่างมั่นใจ "ผมคุยกับ Dick และทีมกฎหมายเรียบร้อยแล้วล่ะครับ เราแค่ต้องหาบริษัทรับจ้างข้างนอกที่เหมาะสมและทำให้เรามั่นใจว่าพวกเขาไว้ใจได้ที่จะดูแลรักษาความปลอดภัยของระบบและข้อมูล เราจ้างคนอื่นทำงานได้แต่เราปัดความรับผิดชอบไม่ได้ครับ"

Wes แทรกขึ้นมาอย่างมีความหวัง "แล้วคุณพอจะช่วยเอา Phoenix ออกไปจากขอบเขตการตรวจสอบด้วยได้ไหมครับ?"

"ข้ามศพผมไปก่อนเถอะครับ" John ตอบเรียบๆ พลางกอดอก "ข้อเสนอที่ห้าและข้อสุดท้ายของผมคือ เราต้องล้างหนี้ทางเทคนิคทั้งหมดใน Phoenix โดยใช้เวลาทั้งหมดที่เราประหยัดได้จากข้อเสนอก่อนหน้านี้ของผมครับ พวกเรารู้ดีว่ามีความเสี่ยงมหาศาลใน Phoenix: ทั้งความเสี่ยงเชิงกลยุทธ์ ความเสี่ยงในการปฏิบัติงาน ความเสี่ยงเรื่องความปลอดภัยและการทำตามกฎระเบียบที่รุนแรงมาก แทบทุกตัวชี้วัดสำคัญของ Dick ขึ้นอยู่กับมันทั้งนั้นครับ"

"อย่างที่ Patty บอกครับ ระบบรับคำสั่งซื้อและจัดการสินค้าคงคลังคือความสามารถหลักของพวกเรา พวกเรากำลังพึ่งพามันเพื่อให้เกิดความได้เปรียบทางการแข่งขัน แต่ด้วยทางลัดทั้งหลายที่เราใช้กับมันเนี่ย มันก็เหมือนถังดินปืนที่รอวันระเบิดนั่นแหละครับ"

Wes ถอนหายใจ ดูจะหงุดหงิดขึ้นมาทันที สีหน้าเขาบอกชัดเลยว่า 'John คนเดิมที่น่ารำคาญกลับมาแล้ว'

แต่ผมไม่เห็นด้วยนะ John คนนี้ดูซับซ้อนและมีมิติมากกว่า John คนเดิมเยอะเลยครับ ในช่วงเวลาไม่กี่นาที เขายอมรับความเสี่ยงที่ใหญ่ขึ้นและดูจะบ้าบิ่นด้วยซ้ำ ตั้งแต่การจ้างคนนอกดูแลระบบ POS โรงอาหาร ไปจนถึงการยืนกรานอย่างหนักแน่นและเด็ดขาดว่าเราต้องทำให้ Phoenix ปลอดภัยและแข็งแกร่งครับ

ผมชอบ John คนใหม่นี้จัง

"คุณพูดถูกเผงเลย John เราต้องล้างหนี้ทางเทคนิคทิ้งไปซะ" ผมพูดอย่างหนักแน่น "คุณเสนอให้เราทำยังไงครับ?"

พวกเราตกลงกันอย่างรวดเร็วว่าจะให้คนในทีมของ Wes และ Chris มาจับคู่ทำงานกับทีมของ John เพื่อเพิ่มพูนความเชี่ยวชาญด้านความปลอดภัยให้มากขึ้น ด้วยการทำแบบนี้ เราจะเริ่มนำความปลอดภัยเข้าไปรวมอยู่ในการทำงานประจำวันของเราตั้งแต่วันนี้เลย จะไม่มีการมาตามแก้เรื่องความปลอดภัยหลังจากที่ระบบขึ้นไปแล้วอีกต่อไปครับ

John กล่าวขอบคุณทุกคน เป็นสัญญาณว่าวาระการประชุมของเขาจบลงแล้ว ผมมองนาฬิกา พวกเราประชุมเสร็จก่อนกำหนดถึงสามสิบนาที นี่น่าจะเป็นสถิติโลกครั้งใหม่เลยล่ะมั้งสำหรับการใช้เวลาน้อยที่สุดในการตกลงกันเรื่องอะไรก็ตามที่เกี่ยวข้องกับความปลอดภัยน่ะครับ