ERP-løsningene standardiseres, mens systemlandskapet fragmenteres - hva dette betyr for virksomheten?

Gjennom å flytte virksomhetens kjerneprosesser “i skyen” i den nye generasjonens ERP-løsninger, muliggjøres forbedret styring og kontroll. Skyløsningene vil i mindre grad enn i dagens løsninger kunne tilpasses. Dette tvinger frem mer standardiserte forretningsprosesser, og derigjennom økes potensialet for effektivitet og kontroll i ERP. Imidlertid ser vi at systemlandskap i sin helhet blir stadig mer fragmenterte, med fremveksten av nisjeapplikasjoner som er løselig tilknyttet arkitekturmessig. Dette skaper utfordringer fra et kontrollperspektiv. Disse trendene - som isolert sett drar i hver sin retning - medfører et økt behov for å holde kontroll over hvilke prosesser som kjøres i hvilke systemer, og hvilke data som er “sanne”.

For noen uker siden arrangerte vi en samling i Oslo med PwCs fremste globale ERP-eksperter. Formålet var todelt; å utveksle erfaringer og diskutere ERP på strategisk nivå og å utvikle produkter og metodikk som det jobbes videre med i etterkant av samlingen. Vi utnytter styrken som oppstår når våre fremste eksperter samles, ved å sikre at ideene bunner ut i faktisk tjenesteutvikling. På strategisk nivå brukte vi mye tid på å diskutere hovedtrendene som påvirker vårt fagområde.

ERP i skyen

Hovedtrendene vi ser på ERP-området er en standardisering av kjernefunksjonaliteten i ERP, mens det samtidig vokser frem nisjeprodukter - «microservices» - som er mer løselig tilknyttet arkitekturmessig. Disse to trendene drar i hver sin retning.

Det å flytte ERP-systemet i skyen vil bidra til at virksomhetenes forretningsprosesser blir mer standardiserte, da skyløsningene er vesentlig mindre tilpassede enn de «gamle» ERP-løsningene. Fra et internkontrollperspektiv vil dette gi større mulighet for å innarbeide effektive automatiske kontroller i virksomhetens kontrolldesign, og det vil kreve mindre vedlikehold å sørge for at disse fungerer effektivt.

Microservices, på den annen side, er mer fleksible løsninger som gjerne er laget for å håndtere et spesifikt formål. Dette gir uante muligheter med tanke på å kunne innarbeide innovative, fleksible og kostnadseffektive løsninger i virksomheten. Fremveksten av mange slike tjenester vil imidlertid føre til et vesentlig mer uoversiktlig systemlandskap, som vil være utfordrende sett fra et kontrollperspektiv. Det blir stadig viktigere å holde orden i sysakene, holde kontroll på prosesser i og på tvers av systemer, og legge gode føringer for hvilke systemer som inneholder «sannheten» for transaksjonelle data og masterdata. I det hele tatt fordrer det at det legges inn større innsats for å opprettholde kontroll og oversikt over virksomhetens prosesser.

Nye sikkerhetsutfordringer

Med å flytte ERP i skyen, og følgende overgang fra servere plassert i kjelleren til virksomheten til en global gigant som f.eks. Oracle, Microsoft eller Google, følger det også nye sikkerhetsutfordringer.

Mens sikkerhetsoppdateringer vil komme inn mer eller mindre sømløst, vil ERP-systemene fortsatt ha grensesnitt til andre systemer det er viktig å sikre. Tilgangsstyring blir enda mer sentralt, da man ønsker å skjerme tilgang til sensitiv data i ERP-systemene som nå potensielt er tilgjengelig for et mye større publikum dersom det ikke sikres. Vi ser ved fremveksten av fremtidens SAP-løsning, S4HANA, at roller og autorisasjoner faktisk blir mer komplisert enn tidligere. Mens det på applikasjonsnivået tidligere var tilstrekkelig å skjerme tilgang til transaksjoner og tabeller i grensesnittet, må man nå i tillegg ta hensyn til nye front-end Fiori «apper» som lett kan utvikles og tilpasses til spesifikke formål. De egenutviklede appene har sitt eget lag med autorisasjoner, noe som gjør at man må ta hensyn til flere nivåer i tilgangsstyringen. Det er derfor viktig for virksomheter å være klar over dette ved designet av autorisasjonskonseptet, slik at man ikke jobber seg inn i en kompleks struktur som er vanskelig å vedlikeholde og der risikoen for utilsiktede kombinasjoner av tilganger er stor. Dette er et også et område der vi som revisor og rådgiver har et ansvar for å hjelpe våre kunder.

Vi har allerede sett flere eksempler på sensitive data som har kommet på avveie som følge av at serverdriften har blitt utkontraktert, der resultatet har vært store medieoppslag. Med fremveksten av Software-as-a-Service løsninger, der hele applikasjonen og den bakenforliggende teknologien er styrt og vedlikeholdt av en tredjepart, er det enda viktigere å sørge for at mekanismer innarbeides for at bedriftshemmeligheter og annen sensitiv data skjermes.

Overgangen fra “gammel” til “ny” løsning

I en overgangsfase vil virksomhetene besitte systemer både innen kategoriene «ny» og «gammel» IT, der utfordringene vil være vidt forskjellige. Dette gjelder utfordringer knyttet til drift og vedlikehold av IT-systemer, men det går også et skille på i hvor stor grad IT er knyttet opp mot forretningsutviklingen i virksomheten. Vi ser det vokser frem avdelinger for digitalisering i mange virksomheter, som i større grad jobber med forretningssiden i virksomhetene enn det de gamle IT-avdelingen gjør og gjorde før trendene som omfatter det digitale skiftet dukket om.

Selv om fremveksten av disse fremoverlente forretningsenhetene er svært positivt, er det samtidig viktig at fokus på tradisjonell drift og vedlikehold av systemer opprettholdes. Disse oppgavene må håndteres på en god måte, slik de store risikoene som ligger i drift og vedlikehold av ERP og andre IT-systemer adresseres.

Raskere og mer effektiv prosessering av data

Et annet viktig utviklingstrekk innenfor ERP er tett knyttet opp mot utviklingen innen database- og serverområdet, som fasiliterer for betydelig raskere og mer effektiv prosessering av data. Dette åpner for prosessering av større mengder data direkte i ERP-systemets brukergrensesnitt i realtid, noe som gjør at det er mulig å erstatte eksisterende, tradisjonelle datavarehusløsninger.

Som et eksempel her vil vi trekke frem SAPs HANA-løsning, der databasearkitekturen fasiliteter for svært rask prosessering av data. Dette skjer ved at behandlingen av data foregår ved hjelp av PC-ens minne, i en såkalt «in memory»-database. Resultatet av dette er at det er mulighet for å utvikle analyser som bearbeider betydelig større mengde data raskt både på ad hoc og periodisk basis. For eksempel vil det være mulig å designe bedre kompenserende kontroller i virksomhetens internkontroll innenfor forretningsprosessene og på IT-siden. På tilgangsstyringsnivået kan man eksempelvis kjøre analyser på endringslogger over hva brukerne faktisk har gjort på svært kort tid, noe som tidligere har vært praktisk talt umulig uten å bruke script som har tatt lang tid å kjøre. Det vil også være mulig å sette opp fleksible og gode analyseløsninger som leser data direkte fra databasen på en rask og smidig måte, samt å bearbeide data raskere ved hjelp av datavarehusløsning som kjører på ny databaseteknologi. Vi mener det ligger store ubenyttede muligheter for virksomheter innenfor dette området, som vil materialisere seg når stadig flere virksomheter går over til neste generasjons ERP – løsninger.

Tiden vil vise hvilken av hovedtrendene som vil få størst påvirkning, og hvordan virksomhetene vil håndtere utfordringene ved og benytte seg av mulighetene i overgangen fra “gammel” til “ny” IT. Vi går spennende tider i møte!