在20世紀90年代末至21世紀初“世界是平的”這一理念盛行的時期，全球化帶來了新的效率和機遇。在此期間，CIO們重構(gòu)了他們的技術(shù)職能，以利用分布式基礎(chǔ)設(shè)施、全球網(wǎng)絡(luò)和人才中心來提高效率并降低成本，這種全球化趨勢促使公司根據(jù)本地市場定制其IT能力，從而創(chuàng)建了高度分散且復雜的IT組織，人員和資產(chǎn)遍布全球。

然而，在過去的十年里，地緣政治的發(fā)展給這種全球IT運營模式帶來了巨大壓力。例如，超過70%的國家都有自己的數(shù)據(jù)保護法和隱私法，這造成了相當大的碎片化。數(shù)據(jù)盜竊和網(wǎng)絡(luò)攻擊事件不斷升級，其中一些甚至在國家指導下進行。據(jù)預(yù)測，到2025年，網(wǎng)絡(luò)攻擊造成的年度損失將達到約10.5萬億美元，較2015年增長300%。此外，傾向于本地供應(yīng)商的工業(yè)和貿(mào)易政策增加了對本地運營的依賴，提高了IT采購和運營的復雜性和成本。

當前的IT政策和模型通常無法有效應(yīng)對地緣政治風險的范圍和速度，希望成功應(yīng)對這些挑戰(zhàn)的CIO們需要修訂其現(xiàn)有的風險管理實踐，開發(fā)新的實踐，并重新平衡其全球布局和運營模式，這包括與業(yè)務(wù)領(lǐng)導層共同參與，幫助制定圍繞地緣政治風險的決策，不僅要考慮對技術(shù)資產(chǎn)的影響，還要考慮技術(shù)風險對業(yè)務(wù)本身的影響。

現(xiàn)在是進行這些轉(zhuǎn)變的合適時機。地緣政治風險已成為高管們的首要關(guān)注點，為技術(shù)領(lǐng)導者解決這些問題創(chuàng)造了廣泛的動力和支持。深思熟慮的行動還可以為公司帶來先發(fā)優(yōu)勢，通過在資源稀缺且價格可能更高時鎖定數(shù)據(jù)、位置或人才選項。在許多情況下，公司已經(jīng)在考慮如何重新平衡其技術(shù)資產(chǎn)以應(yīng)對當前環(huán)境的現(xiàn)實。將地緣政治風險納入這些決策中，可以幫助CIO們采取更有效的行動。

哪些是最關(guān)鍵的商業(yè)資產(chǎn)和人員，它們面臨多大的地緣政治風險?

傳統(tǒng)的技術(shù)風險目標視角(如可用性、交付和正常運行時間)不足以應(yīng)對地緣政治風險。例如，一家公司可能通過了網(wǎng)絡(luò)攻擊測試，但未能通過資產(chǎn)集中度測試。CIO們需要擴展其對風險的看法，開發(fā)更廣泛的故障模式視角，包括數(shù)據(jù)盜竊、惡意代碼或數(shù)據(jù)的插入以及操縱等，同時了解其資產(chǎn)(及其供應(yīng)商的資產(chǎn))的位置，以及管理這些資產(chǎn)的人員的工作地點。

就其本身而言，這個問題將導致一項相當基礎(chǔ)(盡管并不簡單)的技術(shù)資產(chǎn)映射練習，但為了使其有意義且實用，CIO和CTO需要關(guān)注哪些資產(chǎn)和團隊支持關(guān)鍵業(yè)務(wù)功能，并對他們的資產(chǎn)和人員有足夠細致的了解，以了解公司的真正弱點，這可能是一項具有欺騙性的困難任務(wù)。許多技術(shù)領(lǐng)導者可能因了解在特定地區(qū)的人員和基礎(chǔ)設(shè)施資產(chǎn)位置而感到安全，但并不一定了解這些資產(chǎn)支持哪些業(yè)務(wù)能力，以及這些能力是否對業(yè)務(wù)至關(guān)重要。

CIO們需要與業(yè)務(wù)領(lǐng)導層緊密合作，對其技術(shù)資產(chǎn)進行分類，以開發(fā)對業(yè)務(wù)至關(guān)重要的80/20視圖。如果管理公司食堂菜單的系統(tǒng)出現(xiàn)故障，或跟蹤員工病假的系統(tǒng)受到干擾，業(yè)務(wù)仍可繼續(xù)，但如果管理支付或電子商務(wù)銷售的系統(tǒng)出現(xiàn)故障，將對業(yè)務(wù)造成災(zāi)難性影響，這些是CIO們需要關(guān)注的系統(tǒng)和能力。

然而，要了解這些高優(yōu)先級系統(tǒng)的真正弱點，公司需要對價值流(即交付成果所需的端到端流程集)有足夠詳細的了解。在一個技術(shù)資產(chǎn)高度復雜且依賴供應(yīng)商(及其供應(yīng)商的供應(yīng)商)的世界中，這一點尤為重要。

以新消費銀行產(chǎn)品的開發(fā)生命周期為例，技術(shù)是每個階段的組成部分：設(shè)計、測試、生產(chǎn)、擴展和分發(fā)。消費銀行需要識別該生命周期中的每個技術(shù)資產(chǎn)或節(jié)點，并了解其位置以及當?shù)氐囊?。例如，這可能意味著知道測試產(chǎn)品所需的數(shù)據(jù)庫位于中國，并受該國法規(guī)的約束。

這項工作的成果是針對業(yè)務(wù)最重要價值流的每個技術(shù)資產(chǎn)和人才地理位置的映射。

哪些問題可能發(fā)生或已經(jīng)發(fā)生?

關(guān)于全球沖突、貿(mào)易不穩(wěn)定以及與人工智能和數(shù)據(jù)相關(guān)的監(jiān)管升級的頭條新聞激增，意味著許多CIO和CTO已經(jīng)在考慮各種故障模式，然而，主要問題是這些考慮往往是被動的且范圍有限，為地緣政治風險緩解創(chuàng)造了盲點。具體而言，技術(shù)領(lǐng)導者應(yīng)評估由地緣政治風險引發(fā)的九種故障模式，包括架構(gòu)易受節(jié)點和鏈接中斷影響、資產(chǎn)過度集中于一個或少數(shù)幾個地區(qū)，以及因隱私法規(guī)而導致的洞察和使用數(shù)據(jù)受限。

這些故障模式成為系統(tǒng)性地為優(yōu)先級價值流開發(fā)場景的基礎(chǔ)，這些場景考慮了地理布局，并受到特定運營問題或地緣政治緊張局勢升級(如新興貿(mào)易壁壘)的影響，CIO可能希望進一步探討。在某些情況下，公司會委托地緣政治風險專家定制高度針對性的場景，以幫助完善選項。

重要的是要認識到，其中一些故障模式不僅與未來的潛在場景相關(guān)，而且已經(jīng)發(fā)生并需要解決。例如，一些公司因運營地點而面臨數(shù)據(jù)或知識產(chǎn)權(quán)盜竊的風險。

地緣政治事件發(fā)生時應(yīng)遵循什么計劃?

通常，公司直到地緣政治風險發(fā)生時才會模擬其影響，但到那時，往往已太晚，無法有效減輕損害，因為技術(shù)的緩慢特性使得快速干預(yù)變得困難。因此，具有前瞻性的CIO會根據(jù)他們開發(fā)的場景主動規(guī)劃干預(yù)措施。

這些干預(yù)措施很少是一套簡單的二元行動，因為盡管一些地緣政治風險可能迅速發(fā)生，但許多都有預(yù)警信號。最佳的干預(yù)計劃會識別一系列升級的預(yù)警信號，并制定一套相應(yīng)的行動方案，使公司能夠在保留最完整選項的同時進行深思熟慮的反應(yīng)。當規(guī)劃得當時，這種干預(yù)規(guī)劃會產(chǎn)生一系列按照特定升級路徑進行的觸發(fā)器和行動。

隨著干預(yù)措施的確定，CIO可以在風險觸發(fā)時比競爭對手更快地采取行動，并達成比風險事件發(fā)生時匆忙應(yīng)對更具成本效益的協(xié)議，他們還可以以深思熟慮且成本效益高的方式投資于必要的技術(shù)開發(fā)，而不是純粹對一次性事件做出反應(yīng)。

CIO應(yīng)采取哪些緩解步驟?

為了保持有效的風險態(tài)勢，公司需要重新平衡其全球運營，以解決當前和潛在的問題。CIO有許多風險緩解選項，如為短期應(yīng)急情況分配應(yīng)急資金、將運營回流到風險較低的地區(qū)、復制運營以創(chuàng)建冗余，以及將全球運營本地化為特定區(qū)域單位，然而，這種重新平衡的具體形式將取決于對哪些選項最能解決風險以及它們是否值得投資和生產(chǎn)率損失的深思熟慮。

采取全球方法

制定國家或地區(qū)級戰(zhàn)略以確保符合當?shù)胤ㄒ?guī)(如《通用數(shù)據(jù)保護條例》、基于“Schrems II”決定的標準以及中國的《個人信息保護法》)可能很誘人，然而，這種方法可能會不知不覺地將風險推入其他地區(qū)(也稱為“擠壓氣球”效應(yīng))。

例如，一家跨國公司可能選擇通過將現(xiàn)有數(shù)據(jù)中心轉(zhuǎn)移到另一個地區(qū)來避免在一個國家的風險，但該地區(qū)也有其自身的地緣政治風險，或者，緩解措施可能會產(chǎn)生巨大的復雜性和成本，超出其帶來的好處。例如，一家消費公司最終建立了80多個數(shù)據(jù)中心以減少當?shù)氐鼐壵物L險問題，但這種高度分散的格局造成了巨大的運營復雜性，根本無法維持。

基于明確的成本效益分析進行重新平衡

就像首席財務(wù)官(CFO)通過將風險成本納入財務(wù)規(guī)劃來核算風險一樣，CIO也需要核算潛在風險和緩解策略的成本，以便進行深思熟慮的成本效益分析。通過使用財務(wù)建模和數(shù)據(jù)分析，CIO可以與CFO、首席信息安全官、首席人力資源官和基礎(chǔ)設(shè)施領(lǐng)導合作，根據(jù)成本和收益制定一致的緩解策略視圖。這些做法可能要求公司放棄全球化帶來的一些IT效率收益，以換取更大的韌性和更戰(zhàn)略性的靈活性。

雖然期望這種分析能產(chǎn)生完美的計算結(jié)果是不現(xiàn)實的，但其價值在于對一組風險采取哪些行動具有清晰和一致的看法。通過經(jīng)驗，公司可以期望完善和改進這些分析。

在IT資產(chǎn)中構(gòu)建靈活性

升級IT資產(chǎn)可能很昂貴，因此CIO在作為更廣泛重新平衡計劃一部分所采取的行動中應(yīng)具有針對性，不要過度反應(yīng)。CIO應(yīng)投入時間確定哪些組件可以根據(jù)風險需求和可用技術(shù)(如API和微服務(wù))進行定制或標準化。一般來說，重點應(yīng)放在標準化核心基礎(chǔ)設(shè)施系統(tǒng)和部署模型上，同時根據(jù)區(qū)域法規(guī)提供創(chuàng)建平臺和數(shù)據(jù)產(chǎn)品的可變性。

這種能力的核心要素是一個由本地團隊可以通過集中開發(fā)的標準接口(如API)配置或連接的組件組成的平臺架構(gòu)，該模型的成功取決于全球和本地能力之間的正確平衡以及明確治理結(jié)構(gòu)的對齊，以明確決策權(quán)。

例如，一家跨國消費公司發(fā)現(xiàn)，由于中國的監(jiān)管環(huán)境迅速變化，其全球技術(shù)架構(gòu)使其越來越難以高效地提供一流的本地客戶體驗。通過建立一個支持團隊和本地化技術(shù)棧，該團隊遵守當?shù)胤ㄒ?guī)，但利用API等能力利用全球平臺，該公司能夠更好地滿足中國消費者的需求，同時保持合規(guī)。

雖然設(shè)計一個合規(guī)的本地架構(gòu)是一項艱巨的工作，但對該公司來說，這部分工作相對容易。真正的工作來自對其業(yè)務(wù)和用戶數(shù)據(jù)的深思熟慮的分離，以確保更安全的全球數(shù)據(jù)隱私環(huán)境，并明確其全球足跡中數(shù)據(jù)聚合和駐留的規(guī)則。

是否有合適的人員和治理流程來采取行動?

說傳統(tǒng)的IT風險關(guān)聯(lián)模型已不足以應(yīng)對地緣政治風險可能聽起來很老套，但其含義遠比簡單地將這種風險作為現(xiàn)有風險計劃中的一個項目要復雜。發(fā)展這種能力始于建立新的IT風險學科，明確角色和責任以及任何潛在的地緣政治風險事件。

地緣政治風險本質(zhì)上是相互關(guān)聯(lián)的，單個地緣政治事件可能觸發(fā)業(yè)務(wù)的多個部分，因此這種能力需要在職能和實踐之間進行整合。這種整合的一個要素在于IT本身，其中傳統(tǒng)的IT風險職能(如可用性和韌性、網(wǎng)絡(luò)安全、數(shù)據(jù)和知識產(chǎn)權(quán)保護、監(jiān)管暴露以及技術(shù)人才集中度)一直被獨立管理。如果公司不了解其供應(yīng)商集中度(以及這些供應(yīng)商使用的供應(yīng)商的地點集中度，有時稱為“第n方風險”)的位置，地理風險問題將加劇。

統(tǒng)一的資產(chǎn)和服務(wù)管理能力應(yīng)對這些職能進行監(jiān)督，該能力負責衡量和報告每個單獨組件的風險，匯總風險概況，并將未解決的問題轉(zhuǎn)化為業(yè)務(wù)術(shù)語。

這種整合也需要在組織層面進行，就公司而言，如果確實有地緣政治風險計劃，我們的經(jīng)驗是，它往往側(cè)重于供應(yīng)鏈問題，而不是IT問題。CIO未與更廣泛組織的地緣政治風險實踐充分連接。結(jié)果是，CIO缺乏作為更廣泛公司范圍計劃一部分來識別、管理和跟蹤地緣政治風險的框架。

為了成為組織范圍風險計劃中的有效領(lǐng)導者，CIO應(yīng)考慮建立一個小型專職團隊來跟蹤地緣政治發(fā)展，評估其含義和影響，并向領(lǐng)導者提供足夠時間采取行動的建議，這就是統(tǒng)一的資產(chǎn)和服務(wù)管理能力至關(guān)重要的地方。

業(yè)務(wù)應(yīng)將該團隊納入現(xiàn)有風險管理職能中，包括登記冊和處理計劃，并制定框架和明確協(xié)議，以了解數(shù)據(jù)和技術(shù)操作如何為業(yè)務(wù)價值鏈上的不同節(jié)點做出貢獻。地緣政治環(huán)境變化迅速，因此組織需要更新其分析和風險響應(yīng)，CIO和CTO需要不斷評估地緣政治風險。

塑造企業(yè)和經(jīng)濟的地緣政治力量仍然多變且動態(tài)。很少有人能自信地預(yù)測潮流將如何轉(zhuǎn)變，但可以肯定的是，不確定性和加劇的地緣政治風險將在不久的將來成為常態(tài)。能夠駕馭這種波動性的技術(shù)領(lǐng)導者不僅可以保護其業(yè)務(wù)，還可以超越競爭對手。