Om de ontwikkelingen in onze vakgebieden nauwkeurig te blijven volgen, interviewen wij iedere maand een expert uit de praktijk. In een serie gesprekken met eindverantwoordelijken voor audit, risk en/of compliance en stellen wij de vraag: welke ontwikkelingen zie je en hoe ga je daarmee om? In deze ARC Vakpraat spreken we met Jeroen Bisseling, Audit & Risk Manager bij EDSN. Jeroen heeft ongeveer 20 jaar ervaring in het vakgebied, in vaste dienst én als zelfstandig professional. Jeroen heeft de afgelopen twee jaar binnen EDSN opmerkelijke veranderingen meegemaakt.
Welke rol speelt EDSN binnen de energiesector en welke uitdagingen spelen er?
EDSN staat voor Energie Data Services Nederland en faciliteert de energietransitie binnen Nederland door de energiemarkt zoveel mogelijk te digitaliseren, gegevensuitwisseling te faciliteren en het IT-landschap te moderniseren. Dat doen we voor het energie ecosysteem in Nederland, bestaande uit regionale en landelijke netbeheerders en tal van andere aangesloten partijen. EDSN speelt daar een centrale rol in. Denk hierbij aan het aanmelden van zonnepanelen; dat gebeurt via de infrastructuur van EDSN, maar ook het inzichtelijk krijgen van de netcongestie.
Er spelen heel veel uitdagingen voor EDSN en om de energietransitie mogelijk te maken wordt er ontzettend veel van ons gevraagd. Waar we enkele jaren terug nog met minder dat FTE werkten, zijn wij inmiddels in de laatste paar jaren significant gegroeid. In 2023 hebben wij 87 nieuwe collega’s mogen verwelkomen. Binnen ons team zijn er drie nieuwe vaste collega’s ingestroomd. Dat is voor EDSN natuurlijk een mooie groei. Deze groei geldt ook voor de applicaties die we beheren. Dat betekent dat we de groei moeten kunnen bijbenen, maar ook met een hoog niveau van dienstverlening, want er worden steeds hogere eisen gesteld aan security, privacy, etc.
Welke rol speelt de afdeling Audit & Risk hierin en welke uitdagingen spelen er specifiek voor de afdeling? Hoe blijf je relevant als afdeling?
We dragen bij aan het behalen van de doelstellingen; er is geen weerstand tegen 2e en 3e lijnsrollen, zoals ik dat in het verleden bij andere organisaties wel eens heb meegemaakt. Omdat we diensten naar een hoger niveau moeten tillen, zie je dat risk daar een faciliterende rol in heeft. Bijvoorbeeld door een gedegen controlframework neer te zetten om betrouwbare processen te waarborgen. Dit gebeurt samen met de 1e lijn.
Audit zit, uiteraard, in een meer toetsende rol om eventuele pijnpunten bloot te leggen. Soms is het inzetten van de 2elijn beter, soms de derde lijn. Vorig jaar is overigens het eerste jaar dat wij echt audits zijn gaan uitvoeren. Voorheen liepen risk en audit meer door elkaar heen.
Wat opvalt is dat internal audit en riskmanagement zijn gecombineerd. Kun je iets meer vertellen over de gedachte hierachter?
Dit is historisch zo gegroeid. Audit en risk vormen in de praktijk één team, omdat het anders te klein wordt om efficiënt aan te sturen. Een aparte chef audit en chef risk zou te veel zijn, en deze combinatie is niet ongewoon in de energiesector. Zoals gezegd zijn we het afgelopen jaar meer audits gaan uitvoeren, waarmee er ook natuurlijker een splitsing tussen is ontstaan.
Planning was geen reden van samenwerking: we werken agile dat vooral goed werkt voor audit. Risk is meer faciliterend en moet mee in de planning van de operationele teams. Beide vakgebieden regelen dit zelf.
Aanvullend: welke onderwerpen zul je alleen aantreffen bij EDSN en niet bij andere audit & riskafdelingen?
De basis voor audit ligt in General IT controls en applications controls. We testen met name IT-applicaties, gezien de basis van EDSN als IT-bedrijf in de energiesector. Wat bijzonder is, is dat we vaak in de keten werken, dus samen met de netbeheerders. Dat zie je in andere sectoren nog beperkt gebeuren. Dit geldt ook voor risk. De onderwerpen zijn niet uniek. Dat geldt wel voor de omvang en complexiteit van ons IT-landschap.
Hoe identificeert en beheert de afdeling de specifieke risico’s die verband houden met de activiteiten van EDSN, met name in de context van cybersecurity en operationele betrouwbaarheid?
Vanuit veiligheidsoverwegingen kan ik hier niet al te veel over zeggen. Wat ik wel kan zeggen is dat we recent hebben meegedaan ISIDOOR IV: een landelijke oefening waar, naast de Rijksoverheid, gemeenten en veiligheidsregio’s, medewerkers van elektriciteitsnetbeheerder Tennet, energie- en drinkwaterbedrijven en internetproviders aan mee deden. Onze crisis-casus was om EDSN gebouwd. Doelstelling is om te kijken in hoeverre je weerbaar bent tegen cyberrisks. Het was een nuttige oefening. We hebben veel geleerd en onze interne documentatie en procedures kunnen aanscherpen. Dat is positief. We zijn nu veel beter voorbereid.
Hoe houd je rekening met de steeds veranderende technologische omgeving en welke impact hebben nieuwe technologieën op uw interne auditpraktijken? Is er voldoende kennis binnen de afdeling hiervoor om deze te beoordelen?
EDSN werkt aan het ontvlechten en modulair maken van grote systemen met enorme databases. Daar komt veel nieuwe technologie bij kijken. Hier proberen we als team, met name risk, bij te ondersteunen. Opleidingen en samenwerkingen met teams borgen dat we klaar zijn voor de toekomst. Indien wenselijk maken we eventueel gebruik van guest auditors uit de business om het kennisniveau op peil te brengen en te houden. Uiteraard houden wij er rekening mee dat deze guest auditor niet zijn eigen werk beoordeelt.
Dus de transitie naar duurzame energie en andere veranderingen in de energievoorziening hebben geen invloed gehad op de auditkalender?
Dat klopt niet helemaal. We hebben software gekocht die congestie managet en verhandelt. Dus omdat er congestie is en er gehandeld wordt in energie, komt dit platform wel op de auditkalender. De audituniverse wordt daarmee groter. Het blijft echter gericht op het risico gebaseerd beoordelen van IT en dataverwerking.
EDSN werkt samen met auditafdelingen van netbeheerders. Waarom is dat en hoe werkt dat?
Samenwerken met de keten is best innovatief. Dit doen we zowel met audit- als met riskmanagement. We werken via een samenwerkings operating model met de regionale netbeheerders en daarin is zowel een risicomanagement- als een audit capability opgenomen. We werken samen met de teams van bijvoorbeeld Stedin, Enexis en Alliander. Onlangs hebben we een onderzoek afgerond, waarbij we kijken naar de hele keten en naar de voor- en achterkant van de dataverwerking. Alle partijen zijn enthousiast over de samenwerking, ook de auditees.
We zijn altijd benieuwd naar innovatieve activiteiten binnen onze drie vakgebieden. Waar vind jij dat jullie als afdeling vernieuwend in zijn?
Zoals gezegd vind ik de samenwerking met de keten echt uniek en vormt een meerwaarde. Daarnaast werken wij inmiddels agile. Of dat nu nog innovatief is, is de vraag. Veel afdelingen werken zo, denk ik.
EDSN beheert en faciliteert de uitwisseling van energiegegevens binnen de Nederlandse energiemarkt. Data is key. In hoeverre maakt de afdeling gebruik van geavanceerde technologieën, zoals data-analyse en AI, om efficiëntie te verbeteren en diepere inzichten te verkrijgen?
Dat is nog beperkt, maar als we dat gaan doen maken we gebruik van een slimme collega uit de business. Onze operationele teams maken uiteraard volop gebruik van data-analyse en automatisering van repeterende werkzaamheden.
Welke veranderingen voorzie je in de werkzaamheden voor audit & risk de komende jaren?
De bekende steeds toenemende digitalisering en daardoor de enorme toename van cyberrisico’s. IT-auditors zijn schaars en moeilijk om binnen te halen. Ook CSRD is een belangrijke pijler. Ik zie om me heen dat auditafdelingen leeg getrokken worden om daarin een rol te spelen.
Ik zie ook dat audit en risk zeker blijvertjes zijn. Waar eerst nog wel eens werd gedacht dat we onszelf overbodig konden maken en dat IT-audit en risk kon vervallen, ben ik er heilig van overtuigd dat dat niet gaat gebeuren.