Skip to content

فصل ۲۷ — سه‌شنبه، ۲۱ اکتبر

در اتاق کنفرانس با Patty، Wes، Chris و John نشسته‌ام تا پیشرفتی را که Patty و من داشته‌ایم به اشتراک بگذارم.

شروع می‌کنم: «با Ron و Maggie، صاحبان فرآیندهای کسب‌وکار روی اسلاید اندازه‌گیری‌های شرکت Dick، مصاحبه کردیم. کمی دربارهٔ آنچه یاد گرفتیم فکر کرده‌ام.»

یادداشت‌هایم را درمی‌آورم و به تختهٔ سفید می‌روم و می‌نویسم: «نتایج مطلوب کسب‌وکار Parts Unlimited: افزایش درآمد، افزایش سهم بازار، افزایش میانگین اندازهٔ سفارش، بازگرداندن سودآوری، افزایش بازده دارایی‌ها.»

بعد این جدول را می‌کشم:

شاخص‌های عملکردحوزهٔ وابستگی ITریسک کسب‌وکار ناشی از ITکنترل‌های IT مورد اتکا
۱. درک نیازها و خواسته‌های مشتریسامانه‌های ثبت سفارش و مدیریت موجودیداده دقیق نیست، گزارش‌ها به‌موقع نیستند و نیاز به بازکار دارند
۲. سبد محصولسامانه‌های ثبت سفارشداده دقیق نیست
۳. اثربخشی R&D
۴. زمان ورود به بازار (R&D)Phoenixچرخهٔ سه‌ساله و WIP زیاد باعث می‌شود عبور از نرخ بازده داخلی (IRR) بعید باشد
۵. خط لولهٔ فروشCRM، کمپین بازاریابی، تلفن/پست صوتی، سامانه‌های MRPمدیریت فروش نمی‌تواند خط لوله را ببیند/مدیریت کند، مشتریان نمی‌توانند سفارش اضافه/تغییر دهند
۶. تحویل به‌موقع به مشتریCRM، تلفن/پست صوتی، سامانه‌های MRPمشتریان نمی‌توانند سفارش اضافه/تغییر دهند
۷. حفظ مشتریCRM، سامانه‌های پشتیبانی مشتریفروش نمی‌تواند سلامت مشتری را مدیریت کند
۸. دقت پیش‌بینی فروش(مثل #۱)(مثل #۱)

به تخته اشاره می‌کنم و می‌گویم: «ستون اول توانمندی‌ها و فرآیندهای کسب‌وکار لازم برای دستیابی به نتایج مطلوب Dick را نام می‌برد؛ ستون دوم سامانه‌های IT که آن فرآیندها به آن‌ها متکی‌اند؛ ستون سوم آنچه می‌تواند در سامانه یا دادهٔ IT اشتباه شود؛ و در ستون چهارم، اقدامات متقابل را می‌نویسیم تا آن اتفاقات بد پیش نیاید، یا حداقل شناسایی و پاسخ دهیم.»

نیم ساعت بعد، آن‌ها را در جدول و همهٔ شکایت‌ها راه می‌برم. «ظاهراً برای چیزهایی که بیش از همه برای Dick مهم است، IT اهمیت دارد،» بی‌تفاوت می‌گویم. Wes می‌گوید: «بیا. من از باهوش‌ترین آدم اتاق نیستم. ولی اگر این‌قدر مهم‌ایم، چرا می‌خواهند همهٔ ما را outsource کنند؟ روبه‌رو شو. دهه‌هاست از یک خانهٔ موقت به خانهٔ موقت دیگر منتقل شده‌ایم.»

هیچ‌کدام جواب خوبی نداریم.

«می‌دانی، واقعاً ستون سوم Bill را دوست دارم: «ریسک کسب‌وکار ناشی از IT»،» John می‌گوید. «با توصیف اینکه چه چیز در IT می‌تواند اشتباه شود و مانع دستیابی به نتیجهٔ کسب‌وکار شود، به صاحبان فرآیند کمک می‌کنیم bonus بگیرند. این باید خیلی متقاعدکننده باشد. شاید حتی کسب‌وکار از این همه کار تشکر کند — تغییری تازنده.»

«موافقم. کار خوب Bill،» Chris بالاخره می‌گوید. «ولی راه‌حل چیست؟»

می‌گویم: «کسی ایده‌ای دارد؟»

غافلگیرانه John اول حرف می‌زند. «برایم کاملاً واضح است. باید کنترل‌هایی برای کاهش ریسک‌های ستون سومتان بیاریم. بعد این جدول را به Ron و Maggie نشان می‌دهیم و مطمئن می‌شویم باور دارند اقدامات متقابل ما به اهدافشان می‌رسد. اگر بپذیرند، با آن‌ها کار می‌کنیم تا IT را در شاخص‌های عملکردشان بگنجانیم…

«آن مثالی که Erik بهت داد عالی است. «انطباق با رویه‌های نگهداری خودرو» را به‌عنوان شاخص پیشرو برای «تحویل به‌موقع» و «حفظ مشتری» یکپارچه کردند. ما هم باید همین کار را بکنیم.»

آستین‌ها را بالا می‌زنیم و سر کار می‌رویم.

برای سامانه‌های تلفن و MRP، سریع مشخص می‌کنیم شاخص‌های پیش‌بینی‌کننده شامل انطباق با فرآیند change management، نظارت و بازبینی تغییرات production، تکمیل نگهداری برنامه‌ریزی‌شده، و حذف همهٔ نقاط تک‌خرابی شناخته‌شده است.

وقتی سر «نیازها و خواسته‌های مشتری» می‌رویم، گیر می‌کنیم.

John دوباره ما را راه می‌اندازد. «اینجا هدف availability سامانه نیست؛ یکپارچگی داده است که، اتفاقاً، دو پای مثلث «محرمانگی، یکپارچگی و availability» یا CIA را تشکیل می‌دهند.» از Chris می‌پرسد: «پس چه چیز باعث مشکلات یکپارچگی داده می‌شود؟»

Chris از سر نفرت منفجر می‌شود. «Phoenix دسته‌ای از آن‌ها را درست می‌کند، ولی هنوز مشکل داریم. بیشترشان از بالادست می‌آید، چون بازاریابی مدام SKUهای موجودی ناقص وارد می‌کند. بازاریابی هم باید آشغالش را جمع کند.»

پس برای «نیازها و خواسته‌های بازاریابی»، شاخص‌های پیشنهادی ما شامل توانایی Phoenix برای گزارش‌دهی هفتگی و در نهایت روزانه، درصد SKUهای معتبر ساخته‌شده توسط بازاریابی، و غیره است.

تا پایان روز، مجموعهٔ اسلایدی ساخته‌ایم که Patty و من به Ron و Maggie می‌بریم و بعد برای Dick ارائه می‌دهیم.

«حالا این، دوستان، پیشنهاد محکمی است،» Wes با افتخار می‌گوید. با خندهٔ بلند می‌گوید: «حتی یک میمون هم می‌تواند نقطه‌هایی را که وصل کردیم دنبال کند!»


روز بعد، Patty و من بازخورد عالی از Ron و Maggie می‌گیریم و آن‌ها متعهد می‌شوند پیشنهاد ما را با Dick پشتیبانی کنند. وقتی Ron می‌فهمد هنوز بودجهٔ پروژهٔ monitoring به ما داده نشده، همان جلوی ما به Dick زنگ می‌زند و پیام صوتی تند می‌گذارد و می‌خواهد بداند چرا پا لنگ می‌زند.

با این همهٔ حمایت پرشور، فکر می‌کنم جلسهٔ پنج‌شنبه با Dick برد قطعی خواهد بود.


«تنها چیزی که به من گفتی این است که کاملاً پشت فرمان خوابیده‌ای!» Dick با سختی می‌گوید؛ واضح است از آنچه ارائه داده‌ام تحت‌تأثیر نیست. ناگهان یادم می‌افتد Steve حتی به spreadsheetهایی که برای اولویت‌بندی Phoenix و کار یافته‌های ممیزی آماده کرده بودم نگاه نکرد.

ولی Dick بی‌تفاوت نیست. واقعاً عصبانی است. «چیزی می‌گویی که یک میمون بی‌بیضه هم می‌توانست بفهمد. نمی‌دانستید این اندازه‌گیری‌ها مهم‌اند؟ در هر town hall، Steve بارها تکرارشان می‌کند. در خبرنامه‌های شرکت است، همان چیزی است که Sarah در هر briefing استراتژی می‌گوید. چطور همهٔ شما چیز این‌قدر مهم را از دست دادید؟»

Chris و Patty دو طرفم بی‌قرار می‌شوند در حالی که روبروی Dick نشسته‌ایم. Erik کنار پنجره ایستاده و به دیوار تکیه داده.

فلش‌بکی دارم به وقتی سرباز دریایی بودم و در رژه پرچم را نگه می‌داشتم. از ناکجا سرهنگی ظاهر شد و جلوی کل یگانم غرش کرد: «بند ساعتت خارج از مقررات است، گروهبان Palmer!» می‌توانستم از شرم همان‌جا بمیرم، چون می‌دانستم خراب کرده‌ام.

ولی امروز مطمئنم مأموریت را می‌فهمم، و برای موفقیت شرکت باید Dick بفهمد آنچه تازه یاد گرفته‌ام. ولی چطور؟

Erik گلویش را صاف می‌کند و به Dick می‌گوید: «موافقم یک میمون بی‌بیضه هم باید این را می‌فهمید. پس Dick، توضیح بده چرا در آن spreadsheet کوچک اندازه‌گیری‌ات، برای هر اندازه‌گیری چهار سطح مدیریت فهرست کرده‌ای ولی هیچ‌جا مدیر IT نیست. چرا؟»

منتظر جواب Dick نمی‌ماند و ادامه می‌دهد: «هر هفته، آدم‌های IT در لحظهٔ آخر به fire drill کشیده می‌شوند توسط مدیرانی که می‌خواهند به آن اندازه‌گیری‌ها برسند — دقیقاً مثل وقتی Brent را برای راه‌اندازی آخرین پروموشن فروش Sarah کشیدند.» Erik مکث می‌کند و می‌گوید: «راستش، فکر می‌کنم تو هم به اندازهٔ Bill یک میمون بی‌بیضه‌ای.»

Dick غر می‌زند ولی به نظر نمی‌رسد آزار دیده باشد. بالاخره می‌گوید: «شاید. می‌دانی، پنج سال پیش CIOمان به business reviewهای فصلی می‌آمد، ولی جز اینکه بگوید هر چیزی پیشنهاد می‌کنیم غیرممکن است دهنش را باز نمی‌کرد. بعد از یک سال، Steve دیگر دعوتش نکرد.»

Dick دوباره به من برمی‌گردد. «Bill، می‌گویی همه در کسب‌وکار درست عمل کنند، ولی به‌خاطر این مسائل IT، باز هم به اهداف نمی‌رسیم؟»

«بله قربان،» می‌گویم. «ریسک‌های عملیاتی ناشی از IT باید مثل هر ریسک کسب‌وکار دیگری مدیریت شوند. یعنی ریسک IT نیستند. ریسک کسب‌وکارند.»

دوباره Dick غر می‌زند. در صندلی قوز می‌کند و چشمانش را می‌مالد. «لعنت. چطور لعنتی قرارداد outsource IT بنویسیم وقتی حتی نمی‌دانیم کسب‌وکار چه می‌خواهد؟» می‌گوید و مشتش را روی میز می‌کوبد.

بعد می‌پرسد: «خب، پیشنهادت چیست؟ یکی داری، گمان می‌کنم؟»

راست می‌نشینم و ارائه‌ای را شروع می‌کنم که با تیم بارها تمرین کرده‌ام. «می‌خواهم سه هفته با هر صاحب فرآیند کسب‌وکار روی آن spreadsheet. باید ریسک‌های کسب‌وکار ناشی از IT را بهتر تعریف و توافق کنیم و بعد راهی برای یکپارچه کردن آن ریسک‌ها در شاخص‌های پیشرو عملکرد پیشنهاد دهیم. هدف فقط بهبود عملکرد کسب‌وکار نیست؛ بلکه شاخص‌های زودتر از اینکه به آن‌ها برسیم یا نه، تا بتوانیم اقدام مناسب کنیم.

«علاوه بر این،» ادامه می‌دهم، «می‌خواهم یک جلسهٔ تک‌موضوعی با شما و Chris دربارهٔ Phoenix برنامه‌ریزی کنم،» و نگرانی‌هایم را توضیح می‌دهم که Phoenix آن‌طور که تعریف شده اصلاً نباید تأیید می‌شد.

ادامه می‌دهم: «خیلی کند پیش می‌رویم، با WIP زیاد و featureهای زیاد در پرواز. باید releaseها را کوچک‌تر و کوتاه‌تر کنیم و پول را زودتر برگردانیم تا نرخ بازده داخلی را بزنیم. Chris و من ایده‌هایی داریم، ولی خیلی با plan of record فعلی فرق خواهد کرد.»

ساکت می‌ماند. بعد قاطع اعلام می‌کند: «به هر دو پیشنهادت بله. Ann را برای کمک assign می‌کنم. بهترین استعداد شرکت لازم داری.»

از گوشهٔ چشم می‌بینم Chris و Patty لبخند می‌زنند.

«ممنون قربان. انجامش می‌دهیم،» می‌گویم، بلند می‌شوم و همه را از اتاق بیرون می‌رانم قبل از اینکه Dick نظرش را عوض کند.

وقتی از دفترش بیرون می‌رویم، Erik دستش را روی شانه‌ام می‌کوبد. «بد نبود بچه. تبریک برای اینکه خوب در راه تسلط بر First Way هستی. حالا John را هم به آنجا برسان، چون برای Second Way دستت پر خواهد بود.»

گیج می‌پرسم: «چرا؟ چه اتفاقی می‌افتد؟»

«به‌زودی خودت می‌فهمی،» Erik با خنده می‌گوید.


جمعه، John جلسه‌ای با Wes، Patty و من تشکیل می‌دهد و وعدهٔ خبر فوق‌العاده‌ای می‌دهد. با اشتیاق می‌گوید: «کار فوق‌العاده‌ای کردید IT را به اهداف عملیاتی Dick وصل کردید. بالاخره فهمیدم چطور از گلولهٔ ممیزی جان سالم در بردیم، و تقریباً مطمئنم که می‌توانیم کار مشابه فوق‌العاده‌ای برای کاهش بار ممیزی و compliance انجام دهیم.»

«کار ممیزی کمتر؟» Wes می‌گوید، سرش را بلند می‌کند و گوشی را پایین می‌گذارد. «گوشم صاف است!»

من هم توجهم را جلب کرده. اگر راهی بود audit را از سرمان برداریم بدون یک Bataan Death March دیگر، معجزه بود.

به Wes و Patty برمی‌گردد. «باید می‌فهمیدم چطور از همهٔ یافته‌های ممیزی‌های داخلی و خارجی جان سالم در آوردیم. اول فکر کردم فقط partner ممیزی برای نگه داشتن ما به‌عنوان client خم شده. ولی اصلاً این نبود…

«جلوی همه از تیم Parts Unlimited که در آن جلسه بودند رفتم، می‌خواستم بفهمم چه کسی گلولهٔ جادویی داشت. به تعجبم، Dick یا counsel شرکت نبود. ده جلسه بعد، بالاخره Faye را پیدا کردم، Financial Analyst که برای Ann در Finance کار می‌کند.

«Faye پیشینهٔ فنی دارد. چهار سال در IT بود،» می‌گوید و به هر کدام برگه می‌دهد. «این سندهای کنترل SOX-404 را برای تیم مالی ساخته. جریان end-to-end اطلاعات برای فرآیندهای اصلی کسب‌وکار در هر حساب با اهمیت مالی را نشان می‌دهد. مستند کرده پول یا دارایی کجا وارد سامانه می‌شود و تا دفتر کل دنبال کرده.

«این کاملاً استاندارد است، ولی یک قدم جلوتر رفت: تا دقیقاً نفهمید کجا در فرآیند خطاهای بااهمیت می‌تواند رخ دهد و کجا شناسایی می‌شود، به هیچ سامانهٔ IT نگاه نکرد. فهمید بیشتر وقت‌ها در گام reconciliation دستی شناسایی می‌کنیم — جایی که مانده و مقادیر حساب از یک منبع با منبع دیگر مقایسه می‌شود، معمولاً هفتگی.

«وقتی این اتفاق می‌افتد،» با حیرت در صدا می‌گوید، «می‌دانست سامانه‌های IT بالادست باید خارج از حوزه ممیزی باشند.»

«این چیزی است که به ممیزی‌ها نشان داد،» John با هیجان به صفحهٔ دوم می‌رود. «نقل‌قول: «کنترلی که برای شناسایی خطاهای بااهمیت مورد اتکاست، گام reconciliation دستی است، نه سامانه‌های IT بالادست.» همهٔ برگه‌های Faye را رد کردم، و در هر مورد ممیزی‌ها موافقت کردند و یافتهٔ IT را پس گرفتند.

«به همین دلیل Erik آن توده یافته‌های ممیزی را «خطای scoping» خواند. حق دارد. اگر test plan ممیزی از اول درست scope می‌شد، هیچ یافتهٔ IT نبود!» نتیجه می‌گیرد.

John دور را نگاه می‌کند در حالی که Patty، Wes و من خالی به او خیره‌ایم.

می‌گویم: «نمی‌فهمم. این چه ربطی به کاهش بار ممیزی دارد؟»

«برنامهٔ compliance را از صفر بازسازی می‌کنم، بر اساس درک جدیدمان از دقیقاً کجا به کنترل‌هایمان تکیه می‌کنیم،» John می‌گوید. «این تعیین می‌کند چه چیز مهم است. مثل داشتن عینک جادویی که کنترل‌های بسیار مهم را از بی‌ارزش‌ها جدا می‌کند.»

«بله!» می‌گویم. «آن «عینک‌های جادویی» بالاخره کمک کرد ببینیم برای عملیات شرکت چه چیز برای Dick مهم است. سال‌ها جلوی چشمانمان بود، ولی ندیدیم.»

John سر تکان می‌دهد و پهنا لبخند می‌زند. به آخرین صفحهٔ handout می‌رود. «پنج پیشنهاد دارم که می‌تواند بار کار امنیتی را هفتاد و پنج درصد کم کند.»

آنچه ارائه می‌دهد نفس‌گیر است. پیشنهاد اول به‌شدت scope برنامهٔ compliance SOX-404 را کم می‌کند. وقتی دقیقاً توضیح می‌دهد چرا امن است، می‌فهمم John هم First Way را تسلط می‌یابد و واقعاً به «قدردانی عمیق از سامانه» رسیده.

پیشنهاد دوم می‌خواهد بفهمیم آسیب‌پذیری‌های production چطور آنجا رسیدند و با اصلاح فرآیندهای deployment مطمئن شویم دوباره رخ ندهند.

پیشنهاد سوم می‌خواهد همهٔ سامانه‌های در scope ممیزی compliance را در فرآیند change management Patty flag کنیم — تا از تغییراتی که ممیزی را به خطر می‌اندازند اجتناب کنیم — و مستندسازی ongoing که ممیزی‌ها می‌خواهند بسازیم.

John دور را نگاه می‌کند؛ همه در سکوت شوکه به او خیره‌ایم. «چیز اشتباهی گفتم؟»

«بی‌احترامی نیست John…» Wes آهسته می‌گوید. «ولی… اه… حالت خوب است؟»

می‌گویم: «John، فکر نمی‌کنم از تیمم اعتراضی به پیشنهادهایت بگیری. فکر می‌کنم ایده‌های عالی‌اند.» Wes و Patty شدید سر تکان می‌دهند.

با رضایت ادامه می‌دهد: «پیشنهاد چهارم این است که اندازهٔ برنامهٔ compliance PCI را با حذف هر چیزی که دادهٔ cardholder ذخیره یا پردازش می‌کند کم کنیم — مثل toxic waste. از دست دادن یا بد مدیریت کردنش می‌تواند کشنده باشد، و محافظتش خیلی گران است.

«با آن سامانهٔ asinine POS کافه‌تریا شروع کنیم. دیگر نمی‌خواهم security review دیگری از آن تکه آشغال بکنم. راستش، مهم نیست کی می‌گیردش، حتی اگر cousin Vinnieِ Sarah باشد. باید برود.»

Patty یک دست روی دهانش دارد، و حتی فک Wes روی میز است. John کاملاً عقلش را از دست داده؟ این پیشنهاد… بالقوه بی‌پروا به نظر می‌رسد.

Wes لحظه‌ای فکر می‌کند و نظرش عوض می‌شود. «عاشقشم! کاش سال‌ها پیش خلاصش می‌کردیم. ماه‌ها برای آن ممیزی‌ها امنش کردیم. حتی به scope ممیزی SOX-404 رفت چون با سامانه‌های payroll حرف می‌زد!»

Patty بالاخره سر تکان می‌دهد. «فکر می‌کنم کسی بحث نمی‌کند POS کافه‌تریا core competency است. به کسب‌وکار کمک نمی‌کند ولی قطعاً می‌تواند آسیب بزند. و منابع کمیاب را از Phoenix و POSهای فروشگاهی — که قطعاً بخشی از core competencyهای ماست — می‌کشد.»

«باش John، انجامش بده. چهار از چهار زدی،» قاطع می‌گویم. «ولی واقعاً فکر می‌کنی به‌موقع خلاصش کنیم که تفاوت بسازد؟»

«آره،» John با اطمینان لبخند می‌زند. «قبلاً با Dick و تیم حقوقی حرف زدم. فقط باید outsourcer مناسب پیدا کنیم و خودمان را متقاعد کنیم می‌توانند به سامانه و داده اعتماد کرد. کار را outsource می‌کنیم ولی مسئولیت را نه.»

Wes با امید می‌گوید: «می‌توانی کاری کنی Phoenix هم out of scope ممیزی‌ها شود؟»

«روی جسد مرده‌ام،» John صاف می‌گوید و دست‌هایش را روی سینه می‌بندد. «پنجمین و آخرین پیشنهادم این است که همهٔ technical debt Phoenix را با وقت ذخیره‌شده از پیشنهادهای قبلی تسویه کنیم. می‌دانیم ریسک عظیمی در Phoenix هست: ریسک استراتژیک، عملیاتی، امنیت و compliance. تقریباً همهٔ شاخص‌های کلیدی Dick به آن گره خورده.

«همان‌طور که Patty گفت، سامانه‌های ثبت سفارش و مدیریت موجودی core competency ماست. به آن برای مزیت رقابتی تکیه می‌کنیم، ولی با همهٔ shortcutهایی که بردیم، مثل بشکهٔ باروت منتظر انفجار است.»

Wes آه می‌کشد، آزرده به نظر می‌رسد. John قدیمی بد برگشته، چهره‌اش می‌گوید.

مخالفم. این John خیلی پیچیده‌تر و nuancedتر از John قدیمی است. در عرض چند دقیقه، حاضر بوده ریسک‌های بزرگ‌تر، تقریباً reckless، از outsource POS کافه‌تریا بگیرد تا اصرار بی‌چون‌وچرا که Phoenix را secure و harden کنیم.

این John جدید را دوست دارم.

«کاملاً حق با توست John. باید technical debt را تسویه کنیم،» محکم می‌گویم. «پیشنهاد می‌دهی چطور؟»

سریع توافق می‌کنیم افراد گروه Wes و Chris را با تیم John pair کنیم تا bench تخصص امنیت را بزرگ‌تر کنیم. با این کار، امنیت را در همهٔ کار روزانه یکپارچه می‌کنیم، دیگر بعد از deploy secure نمی‌کنیم.

John از همه تشکر می‌کند و می‌گوید همهٔ agenda پوشش داده شد. به ساعت نگاه می‌کنم. سی دقیقه زودتر تمام شدیم. باید رکورد جهانی کوتاه‌ترین زمان توافق روی هر چیز امنیتی باشد.