حالت تاریک
فصل ۲۷ — سهشنبه، ۲۱ اکتبر
در اتاق کنفرانس با Patty، Wes، Chris و John نشستهام تا پیشرفتی را که Patty و من داشتهایم به اشتراک بگذارم.
شروع میکنم: «با Ron و Maggie، صاحبان فرآیندهای کسبوکار روی اسلاید اندازهگیریهای شرکت Dick، مصاحبه کردیم. کمی دربارهٔ آنچه یاد گرفتیم فکر کردهام.»
یادداشتهایم را درمیآورم و به تختهٔ سفید میروم و مینویسم: «نتایج مطلوب کسبوکار Parts Unlimited: افزایش درآمد، افزایش سهم بازار، افزایش میانگین اندازهٔ سفارش، بازگرداندن سودآوری، افزایش بازده داراییها.»
بعد این جدول را میکشم:
| شاخصهای عملکرد | حوزهٔ وابستگی IT | ریسک کسبوکار ناشی از IT | کنترلهای IT مورد اتکا |
|---|---|---|---|
| ۱. درک نیازها و خواستههای مشتری | سامانههای ثبت سفارش و مدیریت موجودی | داده دقیق نیست، گزارشها بهموقع نیستند و نیاز به بازکار دارند | |
| ۲. سبد محصول | سامانههای ثبت سفارش | داده دقیق نیست | |
| ۳. اثربخشی R&D | |||
| ۴. زمان ورود به بازار (R&D) | Phoenix | چرخهٔ سهساله و WIP زیاد باعث میشود عبور از نرخ بازده داخلی (IRR) بعید باشد | |
| ۵. خط لولهٔ فروش | CRM، کمپین بازاریابی، تلفن/پست صوتی، سامانههای MRP | مدیریت فروش نمیتواند خط لوله را ببیند/مدیریت کند، مشتریان نمیتوانند سفارش اضافه/تغییر دهند | |
| ۶. تحویل بهموقع به مشتری | CRM، تلفن/پست صوتی، سامانههای MRP | مشتریان نمیتوانند سفارش اضافه/تغییر دهند | |
| ۷. حفظ مشتری | CRM، سامانههای پشتیبانی مشتری | فروش نمیتواند سلامت مشتری را مدیریت کند | |
| ۸. دقت پیشبینی فروش | (مثل #۱) | (مثل #۱) |
به تخته اشاره میکنم و میگویم: «ستون اول توانمندیها و فرآیندهای کسبوکار لازم برای دستیابی به نتایج مطلوب Dick را نام میبرد؛ ستون دوم سامانههای IT که آن فرآیندها به آنها متکیاند؛ ستون سوم آنچه میتواند در سامانه یا دادهٔ IT اشتباه شود؛ و در ستون چهارم، اقدامات متقابل را مینویسیم تا آن اتفاقات بد پیش نیاید، یا حداقل شناسایی و پاسخ دهیم.»
نیم ساعت بعد، آنها را در جدول و همهٔ شکایتها راه میبرم. «ظاهراً برای چیزهایی که بیش از همه برای Dick مهم است، IT اهمیت دارد،» بیتفاوت میگویم. Wes میگوید: «بیا. من از باهوشترین آدم اتاق نیستم. ولی اگر اینقدر مهمایم، چرا میخواهند همهٔ ما را outsource کنند؟ روبهرو شو. دهههاست از یک خانهٔ موقت به خانهٔ موقت دیگر منتقل شدهایم.»
هیچکدام جواب خوبی نداریم.
«میدانی، واقعاً ستون سوم Bill را دوست دارم: «ریسک کسبوکار ناشی از IT»،» John میگوید. «با توصیف اینکه چه چیز در IT میتواند اشتباه شود و مانع دستیابی به نتیجهٔ کسبوکار شود، به صاحبان فرآیند کمک میکنیم bonus بگیرند. این باید خیلی متقاعدکننده باشد. شاید حتی کسبوکار از این همه کار تشکر کند — تغییری تازنده.»
«موافقم. کار خوب Bill،» Chris بالاخره میگوید. «ولی راهحل چیست؟»
میگویم: «کسی ایدهای دارد؟»
غافلگیرانه John اول حرف میزند. «برایم کاملاً واضح است. باید کنترلهایی برای کاهش ریسکهای ستون سومتان بیاریم. بعد این جدول را به Ron و Maggie نشان میدهیم و مطمئن میشویم باور دارند اقدامات متقابل ما به اهدافشان میرسد. اگر بپذیرند، با آنها کار میکنیم تا IT را در شاخصهای عملکردشان بگنجانیم…
«آن مثالی که Erik بهت داد عالی است. «انطباق با رویههای نگهداری خودرو» را بهعنوان شاخص پیشرو برای «تحویل بهموقع» و «حفظ مشتری» یکپارچه کردند. ما هم باید همین کار را بکنیم.»
آستینها را بالا میزنیم و سر کار میرویم.
برای سامانههای تلفن و MRP، سریع مشخص میکنیم شاخصهای پیشبینیکننده شامل انطباق با فرآیند change management، نظارت و بازبینی تغییرات production، تکمیل نگهداری برنامهریزیشده، و حذف همهٔ نقاط تکخرابی شناختهشده است.
وقتی سر «نیازها و خواستههای مشتری» میرویم، گیر میکنیم.
John دوباره ما را راه میاندازد. «اینجا هدف availability سامانه نیست؛ یکپارچگی داده است که، اتفاقاً، دو پای مثلث «محرمانگی، یکپارچگی و availability» یا CIA را تشکیل میدهند.» از Chris میپرسد: «پس چه چیز باعث مشکلات یکپارچگی داده میشود؟»
Chris از سر نفرت منفجر میشود. «Phoenix دستهای از آنها را درست میکند، ولی هنوز مشکل داریم. بیشترشان از بالادست میآید، چون بازاریابی مدام SKUهای موجودی ناقص وارد میکند. بازاریابی هم باید آشغالش را جمع کند.»
پس برای «نیازها و خواستههای بازاریابی»، شاخصهای پیشنهادی ما شامل توانایی Phoenix برای گزارشدهی هفتگی و در نهایت روزانه، درصد SKUهای معتبر ساختهشده توسط بازاریابی، و غیره است.
تا پایان روز، مجموعهٔ اسلایدی ساختهایم که Patty و من به Ron و Maggie میبریم و بعد برای Dick ارائه میدهیم.
«حالا این، دوستان، پیشنهاد محکمی است،» Wes با افتخار میگوید. با خندهٔ بلند میگوید: «حتی یک میمون هم میتواند نقطههایی را که وصل کردیم دنبال کند!»
روز بعد، Patty و من بازخورد عالی از Ron و Maggie میگیریم و آنها متعهد میشوند پیشنهاد ما را با Dick پشتیبانی کنند. وقتی Ron میفهمد هنوز بودجهٔ پروژهٔ monitoring به ما داده نشده، همان جلوی ما به Dick زنگ میزند و پیام صوتی تند میگذارد و میخواهد بداند چرا پا لنگ میزند.
با این همهٔ حمایت پرشور، فکر میکنم جلسهٔ پنجشنبه با Dick برد قطعی خواهد بود.
«تنها چیزی که به من گفتی این است که کاملاً پشت فرمان خوابیدهای!» Dick با سختی میگوید؛ واضح است از آنچه ارائه دادهام تحتتأثیر نیست. ناگهان یادم میافتد Steve حتی به spreadsheetهایی که برای اولویتبندی Phoenix و کار یافتههای ممیزی آماده کرده بودم نگاه نکرد.
ولی Dick بیتفاوت نیست. واقعاً عصبانی است. «چیزی میگویی که یک میمون بیبیضه هم میتوانست بفهمد. نمیدانستید این اندازهگیریها مهماند؟ در هر town hall، Steve بارها تکرارشان میکند. در خبرنامههای شرکت است، همان چیزی است که Sarah در هر briefing استراتژی میگوید. چطور همهٔ شما چیز اینقدر مهم را از دست دادید؟»
Chris و Patty دو طرفم بیقرار میشوند در حالی که روبروی Dick نشستهایم. Erik کنار پنجره ایستاده و به دیوار تکیه داده.
فلشبکی دارم به وقتی سرباز دریایی بودم و در رژه پرچم را نگه میداشتم. از ناکجا سرهنگی ظاهر شد و جلوی کل یگانم غرش کرد: «بند ساعتت خارج از مقررات است، گروهبان Palmer!» میتوانستم از شرم همانجا بمیرم، چون میدانستم خراب کردهام.
ولی امروز مطمئنم مأموریت را میفهمم، و برای موفقیت شرکت باید Dick بفهمد آنچه تازه یاد گرفتهام. ولی چطور؟
Erik گلویش را صاف میکند و به Dick میگوید: «موافقم یک میمون بیبیضه هم باید این را میفهمید. پس Dick، توضیح بده چرا در آن spreadsheet کوچک اندازهگیریات، برای هر اندازهگیری چهار سطح مدیریت فهرست کردهای ولی هیچجا مدیر IT نیست. چرا؟»
منتظر جواب Dick نمیماند و ادامه میدهد: «هر هفته، آدمهای IT در لحظهٔ آخر به fire drill کشیده میشوند توسط مدیرانی که میخواهند به آن اندازهگیریها برسند — دقیقاً مثل وقتی Brent را برای راهاندازی آخرین پروموشن فروش Sarah کشیدند.» Erik مکث میکند و میگوید: «راستش، فکر میکنم تو هم به اندازهٔ Bill یک میمون بیبیضهای.»
Dick غر میزند ولی به نظر نمیرسد آزار دیده باشد. بالاخره میگوید: «شاید. میدانی، پنج سال پیش CIOمان به business reviewهای فصلی میآمد، ولی جز اینکه بگوید هر چیزی پیشنهاد میکنیم غیرممکن است دهنش را باز نمیکرد. بعد از یک سال، Steve دیگر دعوتش نکرد.»
Dick دوباره به من برمیگردد. «Bill، میگویی همه در کسبوکار درست عمل کنند، ولی بهخاطر این مسائل IT، باز هم به اهداف نمیرسیم؟»
«بله قربان،» میگویم. «ریسکهای عملیاتی ناشی از IT باید مثل هر ریسک کسبوکار دیگری مدیریت شوند. یعنی ریسک IT نیستند. ریسک کسبوکارند.»
دوباره Dick غر میزند. در صندلی قوز میکند و چشمانش را میمالد. «لعنت. چطور لعنتی قرارداد outsource IT بنویسیم وقتی حتی نمیدانیم کسبوکار چه میخواهد؟» میگوید و مشتش را روی میز میکوبد.
بعد میپرسد: «خب، پیشنهادت چیست؟ یکی داری، گمان میکنم؟»
راست مینشینم و ارائهای را شروع میکنم که با تیم بارها تمرین کردهام. «میخواهم سه هفته با هر صاحب فرآیند کسبوکار روی آن spreadsheet. باید ریسکهای کسبوکار ناشی از IT را بهتر تعریف و توافق کنیم و بعد راهی برای یکپارچه کردن آن ریسکها در شاخصهای پیشرو عملکرد پیشنهاد دهیم. هدف فقط بهبود عملکرد کسبوکار نیست؛ بلکه شاخصهای زودتر از اینکه به آنها برسیم یا نه، تا بتوانیم اقدام مناسب کنیم.
«علاوه بر این،» ادامه میدهم، «میخواهم یک جلسهٔ تکموضوعی با شما و Chris دربارهٔ Phoenix برنامهریزی کنم،» و نگرانیهایم را توضیح میدهم که Phoenix آنطور که تعریف شده اصلاً نباید تأیید میشد.
ادامه میدهم: «خیلی کند پیش میرویم، با WIP زیاد و featureهای زیاد در پرواز. باید releaseها را کوچکتر و کوتاهتر کنیم و پول را زودتر برگردانیم تا نرخ بازده داخلی را بزنیم. Chris و من ایدههایی داریم، ولی خیلی با plan of record فعلی فرق خواهد کرد.»
ساکت میماند. بعد قاطع اعلام میکند: «به هر دو پیشنهادت بله. Ann را برای کمک assign میکنم. بهترین استعداد شرکت لازم داری.»
از گوشهٔ چشم میبینم Chris و Patty لبخند میزنند.
«ممنون قربان. انجامش میدهیم،» میگویم، بلند میشوم و همه را از اتاق بیرون میرانم قبل از اینکه Dick نظرش را عوض کند.
وقتی از دفترش بیرون میرویم، Erik دستش را روی شانهام میکوبد. «بد نبود بچه. تبریک برای اینکه خوب در راه تسلط بر First Way هستی. حالا John را هم به آنجا برسان، چون برای Second Way دستت پر خواهد بود.»
گیج میپرسم: «چرا؟ چه اتفاقی میافتد؟»
«بهزودی خودت میفهمی،» Erik با خنده میگوید.
جمعه، John جلسهای با Wes، Patty و من تشکیل میدهد و وعدهٔ خبر فوقالعادهای میدهد. با اشتیاق میگوید: «کار فوقالعادهای کردید IT را به اهداف عملیاتی Dick وصل کردید. بالاخره فهمیدم چطور از گلولهٔ ممیزی جان سالم در بردیم، و تقریباً مطمئنم که میتوانیم کار مشابه فوقالعادهای برای کاهش بار ممیزی و compliance انجام دهیم.»
«کار ممیزی کمتر؟» Wes میگوید، سرش را بلند میکند و گوشی را پایین میگذارد. «گوشم صاف است!»
من هم توجهم را جلب کرده. اگر راهی بود audit را از سرمان برداریم بدون یک Bataan Death March دیگر، معجزه بود.
به Wes و Patty برمیگردد. «باید میفهمیدم چطور از همهٔ یافتههای ممیزیهای داخلی و خارجی جان سالم در آوردیم. اول فکر کردم فقط partner ممیزی برای نگه داشتن ما بهعنوان client خم شده. ولی اصلاً این نبود…
«جلوی همه از تیم Parts Unlimited که در آن جلسه بودند رفتم، میخواستم بفهمم چه کسی گلولهٔ جادویی داشت. به تعجبم، Dick یا counsel شرکت نبود. ده جلسه بعد، بالاخره Faye را پیدا کردم، Financial Analyst که برای Ann در Finance کار میکند.
«Faye پیشینهٔ فنی دارد. چهار سال در IT بود،» میگوید و به هر کدام برگه میدهد. «این سندهای کنترل SOX-404 را برای تیم مالی ساخته. جریان end-to-end اطلاعات برای فرآیندهای اصلی کسبوکار در هر حساب با اهمیت مالی را نشان میدهد. مستند کرده پول یا دارایی کجا وارد سامانه میشود و تا دفتر کل دنبال کرده.
«این کاملاً استاندارد است، ولی یک قدم جلوتر رفت: تا دقیقاً نفهمید کجا در فرآیند خطاهای بااهمیت میتواند رخ دهد و کجا شناسایی میشود، به هیچ سامانهٔ IT نگاه نکرد. فهمید بیشتر وقتها در گام reconciliation دستی شناسایی میکنیم — جایی که مانده و مقادیر حساب از یک منبع با منبع دیگر مقایسه میشود، معمولاً هفتگی.
«وقتی این اتفاق میافتد،» با حیرت در صدا میگوید، «میدانست سامانههای IT بالادست باید خارج از حوزه ممیزی باشند.»
«این چیزی است که به ممیزیها نشان داد،» John با هیجان به صفحهٔ دوم میرود. «نقلقول: «کنترلی که برای شناسایی خطاهای بااهمیت مورد اتکاست، گام reconciliation دستی است، نه سامانههای IT بالادست.» همهٔ برگههای Faye را رد کردم، و در هر مورد ممیزیها موافقت کردند و یافتهٔ IT را پس گرفتند.
«به همین دلیل Erik آن توده یافتههای ممیزی را «خطای scoping» خواند. حق دارد. اگر test plan ممیزی از اول درست scope میشد، هیچ یافتهٔ IT نبود!» نتیجه میگیرد.
John دور را نگاه میکند در حالی که Patty، Wes و من خالی به او خیرهایم.
میگویم: «نمیفهمم. این چه ربطی به کاهش بار ممیزی دارد؟»
«برنامهٔ compliance را از صفر بازسازی میکنم، بر اساس درک جدیدمان از دقیقاً کجا به کنترلهایمان تکیه میکنیم،» John میگوید. «این تعیین میکند چه چیز مهم است. مثل داشتن عینک جادویی که کنترلهای بسیار مهم را از بیارزشها جدا میکند.»
«بله!» میگویم. «آن «عینکهای جادویی» بالاخره کمک کرد ببینیم برای عملیات شرکت چه چیز برای Dick مهم است. سالها جلوی چشمانمان بود، ولی ندیدیم.»
John سر تکان میدهد و پهنا لبخند میزند. به آخرین صفحهٔ handout میرود. «پنج پیشنهاد دارم که میتواند بار کار امنیتی را هفتاد و پنج درصد کم کند.»
آنچه ارائه میدهد نفسگیر است. پیشنهاد اول بهشدت scope برنامهٔ compliance SOX-404 را کم میکند. وقتی دقیقاً توضیح میدهد چرا امن است، میفهمم John هم First Way را تسلط مییابد و واقعاً به «قدردانی عمیق از سامانه» رسیده.
پیشنهاد دوم میخواهد بفهمیم آسیبپذیریهای production چطور آنجا رسیدند و با اصلاح فرآیندهای deployment مطمئن شویم دوباره رخ ندهند.
پیشنهاد سوم میخواهد همهٔ سامانههای در scope ممیزی compliance را در فرآیند change management Patty flag کنیم — تا از تغییراتی که ممیزی را به خطر میاندازند اجتناب کنیم — و مستندسازی ongoing که ممیزیها میخواهند بسازیم.
John دور را نگاه میکند؛ همه در سکوت شوکه به او خیرهایم. «چیز اشتباهی گفتم؟»
«بیاحترامی نیست John…» Wes آهسته میگوید. «ولی… اه… حالت خوب است؟»
میگویم: «John، فکر نمیکنم از تیمم اعتراضی به پیشنهادهایت بگیری. فکر میکنم ایدههای عالیاند.» Wes و Patty شدید سر تکان میدهند.
با رضایت ادامه میدهد: «پیشنهاد چهارم این است که اندازهٔ برنامهٔ compliance PCI را با حذف هر چیزی که دادهٔ cardholder ذخیره یا پردازش میکند کم کنیم — مثل toxic waste. از دست دادن یا بد مدیریت کردنش میتواند کشنده باشد، و محافظتش خیلی گران است.
«با آن سامانهٔ asinine POS کافهتریا شروع کنیم. دیگر نمیخواهم security review دیگری از آن تکه آشغال بکنم. راستش، مهم نیست کی میگیردش، حتی اگر cousin Vinnieِ Sarah باشد. باید برود.»
Patty یک دست روی دهانش دارد، و حتی فک Wes روی میز است. John کاملاً عقلش را از دست داده؟ این پیشنهاد… بالقوه بیپروا به نظر میرسد.
Wes لحظهای فکر میکند و نظرش عوض میشود. «عاشقشم! کاش سالها پیش خلاصش میکردیم. ماهها برای آن ممیزیها امنش کردیم. حتی به scope ممیزی SOX-404 رفت چون با سامانههای payroll حرف میزد!»
Patty بالاخره سر تکان میدهد. «فکر میکنم کسی بحث نمیکند POS کافهتریا core competency است. به کسبوکار کمک نمیکند ولی قطعاً میتواند آسیب بزند. و منابع کمیاب را از Phoenix و POSهای فروشگاهی — که قطعاً بخشی از core competencyهای ماست — میکشد.»
«باش John، انجامش بده. چهار از چهار زدی،» قاطع میگویم. «ولی واقعاً فکر میکنی بهموقع خلاصش کنیم که تفاوت بسازد؟»
«آره،» John با اطمینان لبخند میزند. «قبلاً با Dick و تیم حقوقی حرف زدم. فقط باید outsourcer مناسب پیدا کنیم و خودمان را متقاعد کنیم میتوانند به سامانه و داده اعتماد کرد. کار را outsource میکنیم ولی مسئولیت را نه.»
Wes با امید میگوید: «میتوانی کاری کنی Phoenix هم out of scope ممیزیها شود؟»
«روی جسد مردهام،» John صاف میگوید و دستهایش را روی سینه میبندد. «پنجمین و آخرین پیشنهادم این است که همهٔ technical debt Phoenix را با وقت ذخیرهشده از پیشنهادهای قبلی تسویه کنیم. میدانیم ریسک عظیمی در Phoenix هست: ریسک استراتژیک، عملیاتی، امنیت و compliance. تقریباً همهٔ شاخصهای کلیدی Dick به آن گره خورده.
«همانطور که Patty گفت، سامانههای ثبت سفارش و مدیریت موجودی core competency ماست. به آن برای مزیت رقابتی تکیه میکنیم، ولی با همهٔ shortcutهایی که بردیم، مثل بشکهٔ باروت منتظر انفجار است.»
Wes آه میکشد، آزرده به نظر میرسد. John قدیمی بد برگشته، چهرهاش میگوید.
مخالفم. این John خیلی پیچیدهتر و nuancedتر از John قدیمی است. در عرض چند دقیقه، حاضر بوده ریسکهای بزرگتر، تقریباً reckless، از outsource POS کافهتریا بگیرد تا اصرار بیچونوچرا که Phoenix را secure و harden کنیم.
این John جدید را دوست دارم.
«کاملاً حق با توست John. باید technical debt را تسویه کنیم،» محکم میگویم. «پیشنهاد میدهی چطور؟»
سریع توافق میکنیم افراد گروه Wes و Chris را با تیم John pair کنیم تا bench تخصص امنیت را بزرگتر کنیم. با این کار، امنیت را در همهٔ کار روزانه یکپارچه میکنیم، دیگر بعد از deploy secure نمیکنیم.
John از همه تشکر میکند و میگوید همهٔ agenda پوشش داده شد. به ساعت نگاه میکنم. سی دقیقه زودتر تمام شدیم. باید رکورد جهانی کوتاهترین زمان توافق روی هر چیز امنیتی باشد.