Observação: Nós nos empenhamos ao máximo para manter o espírito e as nuances originais de nossos artigos. Porém, pedimos desculpas desde já por quaisquer erros de tradução que você venha a notar. Seu feedback é bem-vindo através do e-mail reader_input@mckinsey.com
Durante o auge dos dias de “o mundo é plano” na década de 1990 e início dos anos 2000, a globalização prometia novas oportunidades e muito mais eficiência. Nesse período, os CIOs reconstruíram as funções de tecnologia para suas empresas se beneficiarem da infraestrutura distribuída, das redes globais e dos polos de talentos para aumentar o valor e reduzir os custos. O impulso de globalizar levou as empresas a customizar seus recursos de TI para os mercados locais, criando assim organizações de TI extremamente complexas e fragmentadas, com pessoas e ativos espalhados pelo mundo.
Na última década, porém, eventos geopolíticos passaram a exercer enorme pressão sobre esse modelo operacional global de TI. Por exemplo, mais de 70% dos países têm leis próprias de proteção de dados e privacidade, o que cria uma fragmentação considerável. Furtos de dados e ataques cibernéticos, alguns a mando de governos, aumentaram. Estima-se que o prejuízo anual desses ataques será de $10,5 trilhões em 2025 – um aumento de 300% em relação a 2015. Políticas industriais e comerciais que favorecem provedores locais tornaram as empresas mais dependentes de operações locais, aumentando a complexidade e o custo do procurement e das operações de TI.
Mais insights da McKinsey em português
Confira nossa coleção de artigos em português e assine nossa newsletter mensal em português.
De modo geral, as políticas e os modelos atuais de TI não estão à altura da tarefa de lidar com a amplitude (e o ritmo acelerado) das ameaças geopolíticas. CIOs que quiserem enfrentar e vencer esses desafios precisarão reavaliar suas práticas de mitigação de riscos, desenvolver novas abordagens e buscar recalibrar o modelo operacional e a presença globais de suas organizações. Isso inclui engajar a alta liderança em discussões sobre como tomar decisões que levem em consideração os riscos geopolíticos, não apenas em relação às implicações para o patrimônio tecnológico, mas também em termos de riscos tecnológicos que possam ameaçar a empresa.
Estamos no momento certo de fazer essas mudanças. Os riscos geopolíticos são uma questão crucial para os executivos, que devem estimular os líderes de tecnologia a enfrentá-la (Quadro 1). Além disso, ações bem pensadas podem proporcionar às empresas a vantagem do pioneirismo, garantindo que obterão os dados, locais e talentos necessários por um preço melhor do que após algum evento de alto risco, quando todas terão de competir sofregamente por recursos escassos. Em muitos casos, as empresas já estão pensando em como reequilibrar seu patrimônio tecnológico para lidar com as realidades do cenário atual. Incorporar os riscos geopolíticos a essas decisões permitirá que os CIOs tomem medidas mais eficazes.
Onde estão os ativos e as pessoas mais cruciais para a empresa e qual o seu grau de suscetibilidade a forças geopolíticas?
A perspectiva tradicional dos riscos tecnológicos – baseada em funções e centrada em disponibilidade, entrega e tempo de atividade – mostra-se insuficiente no caso dos riscos geopolíticos. Uma empresa pode até sair-se bem numa simulação de ataque cibernético, mas talvez seja reprovada em um teste de concentração de ativos, por exemplo. Os CIOs precisam expandir sua perspectiva dos riscos e, para tanto, devem considerar não só uma gama maior de possíveis modos de falha afora disponibilidade e continuidade (por exemplo, furto de dados, inserção de código ou dados maliciosos, e manipulação de dados), mas também onde estão localizados seus ativos (e os dos fornecedores) e onde trabalham as pessoas que gerenciam esses ativos.
Por si só, essa questão poderia ser abordada por meio de um exercício relativamente elementar (mas nem por isso simples) de mapear os ativos de tecnologia. Entretanto, em termos mais práticos e significativos, os CIOs e CTOs precisam definir quais ativos e equipes são fundamentais para as funções críticas da empresa e adotar uma visão suficientemente granular desses ativos e indivíduos para entender quais são as verdadeiras vulnerabilidades de suas organizações. Isso pode se revelar surpreendentemente complexo. Muitos líderes de tecnologia adquirem um falso senso de segurança, pois embora saibam onde estão as pessoas e os ativos de infraestrutura de determinada região, isso não garante que saibam necessariamente quais recursos e capacidades da empresa dependem desses ativos, nem em que medida esses recursos são críticos para o seu funcionamento.
Trabalhando em estreita colaboração com a liderança, os CIOs precisam fazer uma triagem do patrimônio tecnológico para adquirirem uma visão 80/201 do que importa para a empresa. Se o sistema que gerencia os cardápios do refeitório da empresa falhar ou se cair o sistema que monitora as faltas justificadas dos funcionários, a empresa consegue se virar; mas se o sistema que controla os pagamentos ou as vendas do comércio eletrônico falhar, a situação pode se tornar catastrófica. São estes os sistemas, recursos e capacidades aos quais os CIOs precisam dedicar sua atenção.
Contudo, se quiserem compreender a verdadeira natureza das vulnerabilidades desses sistemas prioritários, as empresas precisam ser capazes de detalhar os fluxos de valor, isto é, a totalidade dos processos necessários para obter determinado resultado. Isso é particularmente verdadeiro em um mundo no qual os patrimônios tecnológicos são altamente complexos e, em grande parte, dependem dos fornecedores e dos fornecedores dos fornecedores.
Por exemplo, a tecnologia é um componente de todas as fases do ciclo de desenvolvimento de um novo produto bancário para o consumidor: desenho, teste, produção, escalabilidade e distribuição. Um banco de varejo precisará identificar cada ativo tecnológico (ou “nó”) desse ciclo e saber onde está localizado e quais são os requisitos de cada local. Para tanto, precisa saber, por exemplo, que o banco de dados necessário para testar o novo produto está localizado na China e, portanto, sujeito às regulamentações daquele país.
O resultado de todo esse esforço será um mapa das concentrações geográficas de talentos e tecnologias de cada um dos fluxos de valor mais importantes da empresa.
O que pode dar – ou já está dando – errado?
Diante das manchetes cada vez mais estridentes sobre conflitos globais, instabilidade comercial e regulamentação crescente da inteligência artificial e dos dados, muitos CIOs e CTOs já estão avaliando diversos modos de falha. O grande problema, contudo, é que essas considerações tendem a ser reativas e de alcance limitado, criando pontos cegos na mitigação dos riscos geopolíticos. Em termos mais específicos, os líderes de tecnologia precisam avaliar nove tipos de modos de falha provenientes de riscos geopolíticos – incluindo arquitetura vulnerável à disrupção dos nós e conexões, concentração excessiva de ativos em uma ou poucas regiões, e políticas de privacidade que prejudicam a obtenção de insights a partir de dados (Quadro 2).
Esses nove modos de falha devem se tornar a linha de base do desenvolvimento sistemático de cenários envolvendo os principais fluxos de valor. Esses cenários dizem respeito à presença geográfica, a quesitos operacionais específicos ou às crescentes tensões geopolíticas (como novas barreiras comerciais) que um CIO faria bem em investigar mais a fundo. Algumas empresas chegam a encomendar cenários altamente personalizados, preparados por especialistas em riscos geopolíticos, para estudar melhor e expandir suas opções.
É importante perceber que alguns desses modos de falha não estão apenas vinculados a possíveis cenários futuros: eles já estão acontecendo e precisam ser enfrentados. Por exemplo, algumas empresas já correm o risco de ver seus dados ou propriedade intelectual serem furtados em virtude dos locais onde operam.
Qual é o plano a seguir no caso de um evento geopolítico?
Normalmente, as empresas não criam modelos do impacto de uma ameaça geopolítica específica até que ela se concretize. A essa altura, porém, muitas vezes é tarde demais para efetivamente mitigar os danos, pois a natureza lenta da tecnologia dificulta uma intervenção rápida. Por esse motivo, CIOs com visão do futuro planejam intervenções proativamente a partir de cenários que vão elaborando.
Essas intervenções raramente consistem em um simples conjunto de ações binárias, pois embora algumas ameaças geopolíticas possam surgir abruptamente, muitas outras emitem sinais de alerta. Os melhores planos de intervenção são aqueles que identificam a gama completa de sinais de alerta cada vez mais evidentes e definem uma série de ações correspondentes que a empresa pode adotar para uma resposta ponderada, preservando o maior número possível de opções. Quando bem executado, o planejamento da intervenção produz um efeito-cascata de gatilhos e ações que acompanham a evolução da escalada geopolítica sob análise (Quadro 3).
Uma vez identificadas as intervenções, os CIOs devem ser mais ágeis que os concorrentes se a ameaça geopolítica se materializar, assegurando assim acordos mais vantajosos do que se tivessem de improvisar em uma situação de crise real. Além disso, devem investir de forma criteriosa e econômica no desenvolvimento tecnológico necessário, em vez de se limitarem a reagir a eventos isolados.
Quais medidas de mitigação os CIOs devem tomar?
Para manter uma postura eficaz frente ao risco, a empresa deve reequilibrar suas operações globais para enfrentar problemas existentes e potenciais. Os CIOs têm inúmeras opções de mitigação de riscos, como alocar verbas emergenciais para contingências de curto prazo, transferir operações para regiões de menor risco, duplicar operações para criar redundância e situar cada unidade das operações globais em regiões específicas. No entanto, a forma que tal reequilíbrio assumirá depende de uma consideração atenta das melhores opções para enfrentar este ou aquele risco, determinando se elas valem o investimento e a queda de produtividade.
Adotar uma abordagem global
Pode ser tentador criar uma estratégia em nível nacional ou regional para assegurar conformidade com as regulamentações de cada país (por exemplo, o Regulamento Geral de Proteção de Dados da UE, os padrões decorrentes das decisões do caso Schrems II e a Lei de Proteção de Informações Pessoais da China). O efeito dessa abordagem, no entanto, pode ser inadvertidamente deslocar os riscos para outras regiões geográficas (o chamado “efeito espremer o balão”).
Talvez uma empresa multinacional decida evitar riscos em um país transferindo um data center existente para outra região (a qual, todavia, também terá riscos geopolíticos específicos). Ou talvez as ações de mitigação criem complexidades e custos que superem seus benefícios. Por exemplo, uma empresa de bens de consumo acabou construindo mais de 80 data centers para evitar riscos geopolíticos locais, uma situação altamente fragmentada que criou enorme complexidade operacional e mostrou-se insustentável.
Basear o reequilíbrio em uma análise clara dos custos e benefícios
Do mesmo modo que os CFOs contabilizam riscos incorporando seus custos ao planejamento financeiro, os CIOs devem calcular os riscos potenciais e as estratégias de mitigação de modo a permitir uma análise criteriosa dos custos e benefícios. Utilizando modelagens financeiras e análises de dados, o CIO pode colaborar com o CFO, o diretor de segurança das informações, o diretor de RH e os líderes de infraestrutura para juntos identificarem quais estratégias de mitigação fazem mais sentido em termos de custos e benefícios. Essas práticas provavelmente exigirão que as empresas abram mão de parte dos ganhos de eficiência da TI com a globalização em troca não apenas de maior resiliência, mas também de mais flexibilidade estratégica.
Embora seja irrealista esperar que essa análise produza cálculos perfeitos, seu valor está em oferecer uma visão clara e consistente das ações mais adequadas para um determinado conjunto de riscos. Por meio da experiência, as empresas certamente conseguirão refinar e aprimorar essas análises.
Incorporar flexibilidade ao parque de TI
Atualizar o parque de TI pode ser dispendioso. Por isso, em qualquer programa de reequilíbrio, os CIOs precisam agir com precisão cirúrgica, sem exageros, e investir tempo em determinar quais componentes devem ser customizados ou padronizados, levando em conta não só as imposições dos riscos, mas também as tecnologias disponíveis (como APIs e microsserviços). De modo geral, é recomendável buscar a padronização dos principais sistemas de infraestrutura e modelos de implantação, e ao mesmo tempo aumentar a variabilidade na criação de plataformas e produtos de dados com base nas regulamentações regionais.
Um aspecto fundamental dessa capacidade é uma arquitetura de plataforma composta por componentes que as equipes locais possam configurar ou conectar por meio de interfaces padronizadas desenvolvidas de forma centralizada (como APIs). O sucesso desse modelo depende de haver alinhamento em torno do equilíbrio certo entre capacidades globais e locais, e também da existência de estruturas de governança que definam claramente os direitos de decisão.
Por exemplo, certa multinacional de bens de consumo com uma arquitetura técnica globalizada descobriu que, devido ao cenário regulatório altamente instável da China, tornava-se cada vez mais difícil oferecer aos clientes, de modo eficiente, uma experiência local de alto nível. Para superar esse entrave, formou uma equipe de suporte dedicada e criou um stack de tecnologias que respeitavam os regulamentos locais, mas aproveitavam as funcionalidades da plataforma global (como APIs). Com isso, a empresa conseguiu atender melhor às necessidades dos consumidores chineses e manter-se em conformidade com a legislação local.
Por mais laborioso que seja desenhar uma arquitetura local em conformidade com as exigências locais, esta foi a parte mais fácil para a empresa. O verdadeiro desafio foi separar criteriosamente os dados comerciais e os dos usuários de modo a garantir um ambiente global de privacidade de dados mais seguro, com regras claras para a agregação e residência de dados nas diversas regiões do mundo em que ela atua.
Temos as pessoas e os processos de governança certos para agir?
Pode até parecer banal afirmar que os modelos tradicionais de correlação dos riscos de TI já não conseguem dar conta dos riscos geopolíticos. Contudo, as implicações disso são muito mais complexas do que simplesmente adicionar tais ameaças como um item a mais dos programas existentes de gerenciamento de riscos. Desenvolver a capacidade de lidar com riscos geopolíticos exige um novo tipo de disciplina em torno dos riscos de TI que esclareça as funções, as responsabilidades e quaisquer possíveis ameaças geopolíticas (Quadro 4).
Os riscos geopolíticos são intrinsecamente interconectados. Diversas partes de uma empresa podem ser impactadas por um único evento geopolítico, de modo que a capacidade de enfrentá-los precisa ser incorporada a todas as funções e práticas. Um elemento dessa integração reside na própria TI, onde as funções tradicionais envolvendo riscos tecnológicos são geridas de forma independente (por exemplo, disponibilidade e resiliência, segurança cibernética, proteção de dados e de propriedade intelectual, suscetibilidade regulatória e concentração de talentos tecnológicos). A complexidade dos riscos geográficos será exacerbada se as empresas não souberem ao certo onde seus fornecedores estão concentrados e onde os fornecedores desses fornecedores estão concentrados (o chamado “risco da enésima parte”).
É preciso que haja um organismo unificado de gerenciamento de ativos e serviços para supervisionar essas funções. Esse organismo será responsável por mensurar e reportar os riscos existentes em cada componente, agregar um perfil desses riscos e traduzir as questões pendentes em termos de negócios.
A integração também precisa ocorrer no nível da organização como um todo. Infelizmente, nossa experiência mostra que, mesmo que a empresa tenha um programa de enfrentamento de riscos geopolíticos, este tende a focar questões da cadeia de suprimentos, não de TI. Os CIOs não estão plenamente conectados às práticas organizacionais de gerenciamento dos riscos geopolíticos e, como resultado, carecem de uma estrutura que lhes possibilite identificar, gerir e monitorar esses riscos como parte de um programa mais amplo que abranja a empresa inteira.
Para ser um líder eficaz do programa de gerenciamento de riscos da organização, o CIO deve formar uma equipe pequena e dedicada que monitore os eventos geopolíticos, avalie suas implicações e impactos, e ofereça recomendações aos líderes em tempo hábil para que possam agir. É aqui que um organismo unificado de gestão de ativos e serviços se torna fundamental.
A empresa deve incorporar essa equipe às funções existentes de gerenciamento de riscos, de tal modo que inclua catálogos de riscos e planos de enfrentamento devidamente estruturados, com protocolos claros, para entender como e onde as operações envolvendo dados e tecnologias contribuem para cada nó específico da cadeia de valor do negócio. O contexto geopolítico pode mudar a qualquer momento e a organização precisa sempre atualizar suas análises e respostas a riscos. CIOs e CTOs precisam avaliar constantemente os riscos geopolíticos.
As forças geopolíticas que moldam os negócios e a economia permanecem fluidas e dinâmicas. Poucos podem prever com segurança para onde a maré poderá virar, mas há uma boa chance de que a incerteza e a intensificação dos riscos geopolíticos serão a norma no futuro próximo. Os líderes de tecnologia que conseguirem domar essa volatilidade não apenas protegerão suas empresas, como estarão em posição de superar seus concorrentes.