Een zwakke ICT-strategie kondigt zich zelden groots aan. Meestal begint het met kleine fricties: een verstoring die langer duurt dan verwacht, een koppeling die kwetsbaarder blijkt dan gedacht, een leverancier die iets anders belooft dan een andere leverancier, of een directie die merkt dat er veel afhankelijkheid is maar weinig overzicht. Juist daardoor wordt het probleem vaak onderschat.

Toch is dat een misvatting. Wat op operationeel niveau oogt als een reeks losse ICT-vragen, blijkt op directieniveau meestal iets anders te zijn: een gebrek aan bestuurbaarheid. Het gaat dan niet in de eerste plaats mis omdat er ergens één systeem faalt, maar omdat informatievoorziening niet in voldoende mate wordt gestuurd op regie, ritme, risico en herstelvermogen. De organisatie functioneert nog wel, maar zij doet dat onder oplopende spanning.

Dat is precies waarom het negeren van ICT-strategie grotere gevolgen heeft dan veel bedrijven denken. Niet omdat techniek op zichzelf centraal zou moeten staan, maar omdat continuïteit, leverbetrouwbaarheid en besluitvorming er inmiddels direct van afhankelijk zijn. Voor groeiende groothandels geldt dat extra sterk: orders, logistiek, voorraad, facturatie en ketenkoppelingen vormen samen geen verzameling losse tools, maar één bedrijfskritische informatieketen. Als die keten niet bestuurbaar is, ontstaan vier risico’s die uiteindelijk altijd bij de directie terugkomen.

Het eerste risico is continuïteitsverlies. Zolang informatievoorziening vooral reactief groeit, lijkt alles nog werkbaar. Maar naarmate een organisatie complexer wordt, nemen de gevolgen van verstoringen disproportioneel toe. Wat eerst een technisch incident leek, raakt dan direct orderverwerking, klantcommunicatie, leveringsafspraken en facturatie. Het werkelijke probleem is niet dat er een storing ontstaat, maar dat de organisatie onvoldoende heeft vastgelegd wat acceptabele uitval is, hoe herstel verloopt en wie daarin bestuurlijk de regie voert. Zonder die structuur blijft herstel afhankelijk van improvisatie.

Het tweede risico is verlies van bestuurlijke grip. In veel bedrijven is de techniek ergens belegd, maar is de besturing nergens echt expliciet georganiseerd. Daardoor ontstaat een situatie waarin de directie formeel eindverantwoordelijk blijft, terwijl overzicht, context en inhoudelijke afhankelijkheden versnipperd zijn over leveranciers, key-users en historische keuzes. Dan ontbreekt het aan één ritme waarin duidelijk wordt wat de grootste risico’s zijn, welke afwijkingen ontstaan en wat de komende periode prioriteit heeft. Het gevolg is niet alleen onduidelijkheid, maar ook bestuurlijke vertraging: besluiten worden later genomen, op basis van onvolledig zicht.

Het derde risico is leveranciersafhankelijkheid zonder sturing. Veel organisaties hebben in de praktijk geen geïntegreerd besturingsmodel, maar een verzameling partijen die elk hun eigen deel beheren. Zolang alles werkt, lijkt dat beheersbaar. Zodra er spanning ontstaat, verandert dat in ticket-pingpong. Leveranciers wijzen naar elkaar, technische context is verdeeld en de directie wordt het eindstation van escalatie. Dat is niet primair een inkoopprobleem, maar een governanceprobleem. Zonder expliciete leverancierssturing, eigenaarschap en escalatiepaden wordt afhankelijkheid onzichtbaar tot het moment dat zij schade veroorzaakt.

Het vierde risico is oplopende kosten van onvoorspelbaarheid. Niet alleen in geld, maar ook in managementtijd, reputatierisico en herstelcomplexiteit. Bedrijven zonder vast ritme van controle en verbetering schuiven kwetsbaarheden, technische schuld en prioriteitsvragen vaak voor zich uit zolang de operatie nog draait. Dat lijkt efficiënt, maar in werkelijkheid worden problemen duurder naarmate ze langer onzichtbaar blijven. Juist omdat digitale afhankelijkheid in groothandels toeneemt, wordt de prijs van uitstel hoger: onverwachte verstoringen, onverwachte ingrepen en onverwachte investeringen zijn zelden technisch toeval, maar meestal het gevolg van te weinig bestuurlijke voorspelbaarheid.

De bestuurlijke reactie op deze vier risico’s is niet méér techniek, maar een beter besturingsmechanisme. Zodra informatievoorziening bedrijfskritisch is, moet zij worden gestuurd zoals andere kritieke bedrijfsdomeinen ook worden gestuurd: met regie, ritme, expliciete verantwoordelijkheden, leverancierssturing en KPI’s die niet alleen prestaties tonen, maar ook afwijkingen en herstelvermogen zichtbaar maken. Dat is de reden waarom Motics 365 zijn strategische ruimte niet zoekt in generieke MSP-taal, maar in bestuurbare informatievoorziening: niet tickets als vertrekpunt, maar control, voorspelbaarheid en structurele verbetering als directiefunctie.

Daarmee verandert ook de bestuurlijke vraag. De relevante vraag is niet langer of systemen vandaag nog draaien. De relevante vraag is of de organisatie voldoende grip heeft om verstoring, groei en afhankelijkheid te dragen zonder telkens opnieuw in incidentgedrag te vervallen. Dáár zit de werkelijke scheidslijn tussen bedrijven die ICT vooral gebruiken en bedrijven die hun informatievoorziening daadwerkelijk besturen.

Wie phishing serieus neemt, organiseert het niet als campagne maar als onderdeel van governance.

Regie betekent dat directie expliciet vastlegt welke handelingen nooit op basis van één kanaal worden uitgevoerd. Financiële transacties, wachtwoordresets en datadeling vallen onder vaste escalatieregels.

Ritme betekent dat incidenten en pogingen structureel worden besproken op directieniveau. Niet om schuldigen aan te wijzen, maar om patronen te herkennen.

KPI-sturing betekent dat verificatie en meldgedrag meetbaar worden gemaakt. Niet om medewerkers te controleren, maar om afwijkingen zichtbaar te maken voordat zij schade veroorzaken.

Leverancierssturing betekent dat externe partijen onder dezelfde regels vallen. Een verzoek namens een leverancier wordt nooit buiten het verificatiekader behandeld.

Herstelvermogen betekent dat duidelijk is hoe snel accounts worden geblokkeerd, hoe snel communicatie plaatsvindt en wie beslist bij twijfel. Geen improvisatie, maar vooraf vastgelegde stappen.

In dat kader wordt phishing geen technische dreiging, maar een toets op bestuurlijke volwassenheid.

De centrale these is eenvoudig: phishing en social engineering slagen niet omdat technologie tekortschiet, maar omdat besluitvorming onder druk niet expliciet is georganiseerd.

De relevante bestuursvraag is daarom niet:
“Zijn onze medewerkers voldoende getraind?”

De vraag is:
Hebben wij onze besluitvorming zo ingericht dat manipulatie geen individuele inschatting meer is, maar een bestuurbare afwijking?