
In een vergaderzaal liggen twee jaarrekeningen naast elkaar. Onze omzet, hun omzet. Onze klantenlijst, hun klantenlijst. Het past. Een handtekening, een persbericht, een integratie-traject van negentig dagen.
Wat erbij hoort wordt zelden naast elkaar gelegd: jullie ICT-architectuur, hún ICT-architectuur. Jullie back-up-discipline, hún back-up-discipline. Jullie leveranciersbeheer, hún leveranciersbeheer. Jullie cybersecurityraamwerk, hún cybersecurityraamwerk — als jullie er een hebben, en als zij er een hebben.
In negen van de tien MKB-overnames hebben beide partijen weinig tot niets. En de optelsom van weinig is, op de dag van de overdracht, een hoop wat niemand overziet.
Een overname is een vermenigvuldiging
Geen optelling.
Wat de ander niet beheerst, krijgt jij er aan nieuwe leveranciers bij die jij niet kende. Nieuwe systemen die jij niet hebt geïnstalleerd. Nieuwe medewerkers met toegangsrechten die niemand heeft herzien. Een oude back-up-procedure die misschien werkt, of misschien al twee jaar niet meer.
Je groeit niet alleen in omzet. Je groeit ook in blinde vlekken.
En de wonderlijke vondst van het jaar na de overdracht: het is niet per definitie dat de nieuwe bedrijven de problemen met zich mee brachten. Het is dat de bestaande organisatie nu meer ruimte had om dezelfde patronen door te zetten of veilige patronen te verslappen. Wat eerst een paar onbeheerste verwerkingen waren, werden er een paar honderd. Met snelheid.
Wat dit voor de bestuurder betekent
Een bestuurder die een overname tekent, neemt aansprakelijkheid voor de overgenomen organisatie over — niet alleen voor wat morgen gebeurt, ook voor wat de afgelopen jaren is opgebouwd. Een datalek dat zes maanden na overdracht bovenkomt, wordt gemeld op jouw briefpapier. Een leverancier waarvan niemand wist dat hij toegang had tot persoonsgegevens, valt opeens onder jouw verantwoordelijkheid.
Dat hoeft je niet te verlammen — maar het hoort wel in een gesprek vóór de overdracht, niet erna.
Wat je toevoegt
Geen extra organisatie-onderdeel. Geen nieuwe afdeling. Eén vraag op de due diligence-agenda, naast de financiële en juridische:
Welke ICT-systemen, leveranciers, persoonsgegevensverwerkingen en bekende kwetsbaarheden nemen we over? En wie tekent ervoor dat we ze kennen?
Minimaal een halve dag, één keer per overname. Geen perfect overzicht — wel een eerste foto. En een foto is genoeg om de eerste honderd dagen na de overdracht een paar dingen niet meer ad hoc te doen.
Wat dit niet is
Dit is geen pleidooi om geen overnames te doen. Geen oproep om elke transactie door een externe partij te laten beoordelen. Geen verhaal dat tegen groei is.
Het is een waarschuwing tegen blinde groei. Niemand gelooft dat twee onbeheerste organisaties samen vanzelf beheersbaar worden — het punt is dat de cyberkant bij een overname helemaal niet wordt opgeteld. Die kolom staat niet op de balans, naast omzet en klanten.
En wat je niet optelt, beheers je niet. Het wordt niet beheersbaarder. Het wordt sneller.
Wat het wél doet
Een overname met een halve dag aandacht voor de cyber-werkelijkheid van de andere partij is geen vertraging — het is de enige integratie die de eerste honderd dagen overleeft. Anders ga je die honderd dagen branden blussen die je had kunnen zien.
Je verdubbelt je omzet. Je verdubbelt je blinde vlekken niet — als je weet wat je overneemt.