然而，在过去的十年里，地缘政治的发展给这种全球IT运营模式带来了巨大压力。例如，超过70%的国家都有自己的数据保护法和隐私法，这造成了相当大的碎片化。数据盗窃和网络攻击事件不断升级，其中一些甚至在国家指导下进行。据预测，到2025年，网络攻击造成的年度损失将达到约10.5万亿美元，较2015年增长300%。此外，倾向于本地供应商的工业和贸易政策增加了对本地运营的依赖，提高了IT采购和运营的复杂性和成本。

当前的IT政策和模型通常无法有效应对地缘政治风险的范围和速度，希望成功应对这些挑战的CIO们需要修订其现有的风险管理实践，开发新的实践，并重新平衡其全球布局和运营模式，这包括与业务领导层共同参与，帮助制定围绕地缘政治风险的决策，不仅要考虑对技术资产的影响，还要考虑技术风险对业务本身的影响。

现在是进行这些转变的合适时机。地缘政治风险已成为高管们的首要关注点，为技术领导者解决这些问题创造了广泛的动力和支持。深思熟虑的行动还可以为公司带来先发优势，通过在资源稀缺且价格可能更高时锁定数据、位置或人才选项。在许多情况下，公司已经在考虑如何重新平衡其技术资产以应对当前环境的现实。将地缘政治风险纳入这些决策中，可以帮助CIO们采取更有效的行动。

哪些是最关键的商业资产和人员，它们面临多大的地缘政治风险?

传统的技术风险目标视角(如可用性、交付和正常运行时间)不足以应对地缘政治风险。例如，一家公司可能通过了网络攻击测试，但未能通过资产集中度测试。CIO们需要扩展其对风险的看法，开发更广泛的故障模式视角，包括数据盗窃、恶意代码或数据的插入以及操纵等，同时了解其资产(及其供应商的资产)的位置，以及管理这些资产的人员的工作地点。

就其本身而言，这个问题将导致一项相当基础(尽管并不简单)的技术资产映射练习，但为了使其有意义且实用，CIO和CTO需要关注哪些资产和团队支持关键业务功能，并对他们的资产和人员有足够细致的了解，以了解公司的真正弱点，这可能是一项具有欺骗性的困难任务。许多技术领导者可能因了解在特定地区的人员和基础设施资产位置而感到安全，但并不一定了解这些资产支持哪些业务能力，以及这些能力是否对业务至关重要。

CIO们需要与业务领导层紧密合作，对其技术资产进行分类，以开发对业务至关重要的80/20视图。如果管理公司食堂菜单的系统出现故障，或跟踪员工病假的系统受到干扰，业务仍可继续，但如果管理支付或电子商务销售的系统出现故障，将对业务造成灾难性影响，这些是CIO们需要关注的系统和能力。

然而，要了解这些高优先级系统的真正弱点，公司需要对价值流(即交付成果所需的端到端流程集)有足够详细的了解。在一个技术资产高度复杂且依赖供应商(及其供应商的供应商)的世界中，这一点尤为重要。

以新消费银行产品的开发生命周期为例，技术是每个阶段的组成部分：设计、测试、生产、扩展和分发。消费银行需要识别该生命周期中的每个技术资产或节点，并了解其位置以及当地的要求。例如，这可能意味着知道测试产品所需的数据库位于中国，并受该国法规的约束。

这项工作的成果是针对业务最重要价值流的每个技术资产和人才地理位置的映射。

哪些问题可能发生或已经发生?

关于全球冲突、贸易不稳定以及与人工智能和数据相关的监管升级的头条新闻激增，意味着许多CIO和CTO已经在考虑各种故障模式，然而，主要问题是这些考虑往往是被动的且范围有限，为地缘政治风险缓解创造了盲点。具体而言，技术领导者应评估由地缘政治风险引发的九种故障模式，包括架构易受节点和链接中断影响、资产过度集中于一个或少数几个地区，以及因隐私法规而导致的洞察和使用数据受限。

这些故障模式成为系统性地为优先级价值流开发场景的基础，这些场景考虑了地理布局，并受到特定运营问题或地缘政治紧张局势升级(如新兴贸易壁垒)的影响，CIO可能希望进一步探讨。在某些情况下，公司会委托地缘政治风险专家定制高度针对性的场景，以帮助完善选项。

重要的是要认识到，其中一些故障模式不仅与未来的潜在场景相关，而且已经发生并需要解决。例如，一些公司因运营地点而面临数据或知识产权盗窃的风险。

地缘政治事件发生时应遵循什么计划?

通常，公司直到地缘政治风险发生时才会模拟其影响，但到那时，往往已太晚，无法有效减轻损害，因为技术的缓慢特性使得快速干预变得困难。因此，具有前瞻性的CIO会根据他们开发的场景主动规划干预措施。

这些干预措施很少是一套简单的二元行动，因为尽管一些地缘政治风险可能迅速发生，但许多都有预警信号。最佳的干预计划会识别一系列升级的预警信号，并制定一套相应的行动方案，使公司能够在保留最完整选项的同时进行深思熟虑的反应。当规划得当时，这种干预规划会产生一系列按照特定升级路径进行的触发器和行动。

随着干预措施的确定，CIO可以在风险触发时比竞争对手更快地采取行动，并达成比风险事件发生时匆忙应对更具成本效益的协议，他们还可以以深思熟虑且成本效益高的方式投资于必要的技术开发，而不是纯粹对一次性事件做出反应。

CIO应采取哪些缓解步骤?

为了保持有效的风险态势，公司需要重新平衡其全球运营，以解决当前和潜在的问题。CIO有许多风险缓解选项，如为短期应急情况分配应急资金、将运营回流到风险较低的地区、复制运营以创建冗余，以及将全球运营本地化为特定区域单位，然而，这种重新平衡的具体形式将取决于对哪些选项最能解决风险以及它们是否值得投资和生产率损失的深思熟虑。

采取全球方法

制定国家或地区级战略以确保符合当地法规(如《通用数据保护条例》、基于“Schrems II”决定的标准以及中国的《个人信息保护法》)可能很诱人，然而，这种方法可能会不知不觉地将风险推入其他地区(也称为“挤压气球”效应)。

例如，一家跨国公司可能选择通过将现有数据中心转移到另一个地区来避免在一个国家的风险，但该地区也有其自身的地缘政治风险，或者，缓解措施可能会产生巨大的复杂性和成本，超出其带来的好处。例如，一家消费公司最终建立了80多个数据中心以减少当地地缘政治风险问题，但这种高度分散的格局造成了巨大的运营复杂性，根本无法维持。

基于明确的成本效益分析进行重新平衡

就像首席财务官(CFO)通过将风险成本纳入财务规划来核算风险一样，CIO也需要核算潜在风险和缓解策略的成本，以便进行深思熟虑的成本效益分析。通过使用财务建模和数据分析，CIO可以与CFO、首席信息安全官、首席人力资源官和基础设施领导合作，根据成本和收益制定一致的缓解策略视图。这些做法可能要求公司放弃全球化带来的一些IT效率收益，以换取更大的韧性和更战略性的灵活性。

虽然期望这种分析能产生完美的计算结果是不现实的，但其价值在于对一组风险采取哪些行动具有清晰和一致的看法。通过经验，公司可以期望完善和改进这些分析。

在IT资产中构建灵活性

升级IT资产可能很昂贵，因此CIO在作为更广泛重新平衡计划一部分所采取的行动中应具有针对性，不要过度反应。CIO应投入时间确定哪些组件可以根据风险需求和可用技术(如API和微服务)进行定制或标准化。一般来说，重点应放在标准化核心基础设施系统和部署模型上，同时根据区域法规提供创建平台和数据产品的可变性。

这种能力的核心要素是一个由本地团队可以通过集中开发的标准接口(如API)配置或连接的组件组成的平台架构，该模型的成功取决于全球和本地能力之间的正确平衡以及明确治理结构的对齐，以明确决策权。

例如，一家跨国消费公司发现，由于中国的监管环境迅速变化，其全球技术架构使其越来越难以高效地提供一流的本地客户体验。通过建立一个支持团队和本地化技术栈，该团队遵守当地法规，但利用API等能力利用全球平台，该公司能够更好地满足中国消费者的需求，同时保持合规。

虽然设计一个合规的本地架构是一项艰巨的工作，但对该公司来说，这部分工作相对容易。真正的工作来自对其业务和用户数据的深思熟虑的分离，以确保更安全的全球数据隐私环境，并明确其全球足迹中数据聚合和驻留的规则。

是否有合适的人员和治理流程来采取行动?

说传统的IT风险关联模型已不足以应对地缘政治风险可能听起来很老套，但其含义远比简单地将这种风险作为现有风险计划中的一个项目要复杂。发展这种能力始于建立新的IT风险学科，明确角色和责任以及任何潜在的地缘政治风险事件。

地缘政治风险本质上是相互关联的，单个地缘政治事件可能触发业务的多个部分，因此这种能力需要在职能和实践之间进行整合。这种整合的一个要素在于IT本身，其中传统的IT风险职能(如可用性和韧性、网络安全、数据和知识产权保护、监管暴露以及技术人才集中度)一直被独立管理。如果公司不了解其供应商集中度(以及这些供应商使用的供应商的地点集中度，有时称为“第n方风险”)的位置，地理风险问题将加剧。

统一的资产和服务管理能力应对这些职能进行监督，该能力负责衡量和报告每个单独组件的风险，汇总风险概况，并将未解决的问题转化为业务术语。

这种整合也需要在组织层面进行，就公司而言，如果确实有地缘政治风险计划，我们的经验是，它往往侧重于供应链问题，而不是IT问题。CIO未与更广泛组织的地缘政治风险实践充分连接。结果是，CIO缺乏作为更广泛公司范围计划一部分来识别、管理和跟踪地缘政治风险的框架。

为了成为组织范围风险计划中的有效领导者，CIO应考虑建立一个小型专职团队来跟踪地缘政治发展，评估其含义和影响，并向领导者提供足够时间采取行动的建议，这就是统一的资产和服务管理能力至关重要的地方。

业务应将该团队纳入现有风险管理职能中，包括登记册和处理计划，并制定框架和明确协议，以了解数据和技术操作如何为业务价值链上的不同节点做出贡献。地缘政治环境变化迅速，因此组织需要更新其分析和风险响应，CIO和CTO需要不断评估地缘政治风险。

塑造企业和经济的地缘政治力量仍然多变且动态。很少有人能自信地预测潮流将如何转变，但可以肯定的是，不确定性和加剧的地缘政治风险将在不久的将来成为常态。能够驾驭这种波动性的技术领导者不仅可以保护其业务，还可以超越竞争对手。

企业网D1net(www.d1net.com)：

国内主流的to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。