Blog ReconHub erhält SOC 1 Type 2 Report: Was das für deine Finanzberichterstattung bedeutet

Abrantix AG hat für ReconHub erfolgreich eine System and Organization Controls (SOC) 1^® Type 2 Prüfung abgeschlossen. Dieser unabhängige Bericht eines zertifizierten Wirtschaftsprüfers bestätigt, dass die internen Kontrollen von ReconHub über einen Zeitraum von zwölf Monaten hinweg wirksam konzipiert und umgesetzt wurden.

Warum das für dich als CFO, Controller oder Leiter Rechnungswesen relevant ist? Weil es um mehr geht als nur um ein Stück Papier. Es geht um Vertrauen, Compliance und die Integrität deiner Finanzprozesse.

Was bedeutet SOC 1^® Type 2 konkret?

Der Begriff System and Organization Controls bezeichnet eine Prüfungsmethodik der American Institute of Certified Public Accountants (AICPA). Die SOC 1^®  Prüfung konzentriert sich speziell auf Kontrollen, die für die Finanzberichterstattung der Nutzer eines Dienstleisters relevant sind.

Type 2 bedeutet: Der Prüfer hat nicht nur die Konzeption der Kontrollen bewertet, sondern auch deren tatsächliche Wirksamkeit über einen definierten Zeitraum – in diesem Fall zwölf Monate – getestet.

Für ReconHub als Payment Reconciliation System (PRS) ist das besonders bedeutsam. Warum? Weil ReconHub als Subsystem zwischen deinen operativen Transaktionssystemen (Kassen, Zahlungsdienstleister) und deiner Hauptbuchhaltung vermittelt. Die Qualität und Verlässlichkeit dieser Abstimmungsprozesse wirkt sich unmittelbar auf deine Finanzberichterstattung aus.

Ein SOC 1^® Type 2 Report gibt dir und deinem Wirtschaftsprüfer die Gewissheit, dass unter anderem:

• Die Datenverarbeitung in ReconHub zuverlässig funktioniert
• Kontrollmechanismen wirksam implementiert sind
• Änderungen am System kontrolliert erfolgen
• Zugriffe angemessen beschränkt und überwacht werden
• Datensicherheit und -integrität gewährleistet sind

Warum das für dein Unternehmen wichtig ist

Wenn du ReconHub für deine Zahlungsabstimmung nutzt, lagert ihr faktisch einen Teil eures internen Kontrollsystems (IKS) an einen Dienstleister aus. Rechtlich und praktisch bleibt die Verantwortung für die Finanzberichterstattung jedoch bei dir.

Hier liegt das Dilemma: Du musst deinem Wirtschaftsprüfer nachweisen, dass auch die ausgelagerten Prozesse ordnungsgemäß kontrolliert werden. Aber wie prüfst du Systeme und Kontrollen, auf die du keinen direkten Zugriff hast?

Genau hier setzt der SOC 1^® Type 2 Report an. Er dient als Brücke zwischen dir als Nutzer und ReconHub als Dienstleister. Statt dass jeder einzelne Kunde ReconHub individuell prüfen lässt (was weder wirtschaftlich noch praktikabel wäre), beauftragt ReconHub einmal jährlich einen unabhängigen Wirtschaftsprüfer mit einer umfassenden Prüfung.

Das Ergebnis – der SOC 1^® Report – steht dann allen Kunden zur Verfügung und kann in ihre Jahresabschlussprüfung einbezogen werden.

Konkrete Vorteile für dein Unternehmen

Effizienzgewinn bei der Jahresabschlussprüfung: Dein Wirtschaftsprüfer kann sich auf den SOC 1^® Report stützen, statt ReconHub selbst prüfen zu müssen. Das spart Zeit und damit Prüfungskosten.

Reduzierung des Prüfungsrisikos: Die dokumentierte Wirksamkeit der Kontrollen bei ReconHub reduziert das inhärente Risiko in deiner Finanzberichterstattung. Dein Prüfer muss weniger kompensatorische Kontrollen auf deiner Seite testen.

Compliance-Nachweis: Für regulierte Branchen oder börsennotierte Unternehmen ist der Nachweis wirksamer Kontrollen bei kritischen Dienstleistern oft verpflichtend. Der SOC 1^® Report erfüllt diese Anforderung.

Vertrauen in die Datenqualität: Du weißt, dass die Abstimmungsergebnisse aus ReconHub auf Basis kontrollierter Prozesse entstehen – nicht durch undokumentierte Black-Box-Logik.

Risikomanagement: Der Report identifiziert auch die sogenannten Complementary User Entity Controls (CUEC) – das sind Kontrollen, die du als Nutzer implementieren solltest, um zusammen mit ReconHubs Kontrollen ein vollständiges Kontrollumfeld zu schaffen.

Was der SOC 1^® Type 2 Report umfasst

Der Report beschreibt detailliert das ReconHub-System und dessen Kontrollumgebung. Er gliedert sich typischerweise in mehrere Abschnitte:

• Systembeschreibung: Wie funktioniert ReconHub? Welche Schnittstellen existieren? Welche Daten werden verarbeitet? Diese Beschreibung hilft deinem Prüfer, das System zu verstehen.

• Kontrollziele: Was soll durch die Kontrollen erreicht werden? Typische Ziele sind beispielsweise die Vollständigkeit und Richtigkeit der Datenverarbeitung, angemessene Zugriffsbeschränkungen oder die Nachvollziehbarkeit von Änderungen.

• Kontrollaktivitäten: Welche konkreten Kontrollen werden durchgeführt? Das können automatisierte Systemkontrollen sein (etwa Validierungsregeln bei Datenimporten), aber auch manuelle Kontrollen (wie Reviews von Konfigurationsänderungen).

• Prüfungsergebnis: Der Wirtschaftsprüfer beschreibt seine Tests und kommt zu einem Urteil, ob die Kontrollen wirksam konzipiert und über den Prüfungszeitraum wirksam umgesetzt wurden.

• Complementary User Entity Controls (CUEC): Eine Liste von Kontrollen, die du als Nutzer implementieren solltest. Beispielsweise die Überprüfung der Vollständigkeit hochgeladener Daten oder die Plausibilisierung von Abstimmungsergebnissen.

Die Bedeutung für deinen Order-to-Cash-Prozess

Moderne Unternehmen haben erkannt, dass der Order-to-Cash-Prozess (O2C) nicht mit der Auftragserfassung endet und auch nicht mit der Rechnungsstellung. Er endet erst, wenn das Geld auf dem Konto ist – korrekt verbucht, vollständig abgestimmt, lückenlos dokumentiert.

Genau hier wird ReconHub zur kritischen Komponente. Das System übernimmt die Abstimmung zwischen Verkaufsdaten, Zahlungsdienstleister-Abrechnungen und Bankgutschriften. Es identifiziert Differenzen, kategorisiert Ausnahmen und bereitet die Daten für die Verbuchung im ERP-System vor.

Was passiert, wenn diese Kontrollen versagen?

Ein reales Beispiel aus der Praxis: Ein internationaler Einzelhändler verließ sich auf ein selbst entwickeltes Abstimmungssystem. Nach einem Software-Update führte eine fehlerhafte Schnittstelle über Wochen zu Doppelbuchungen. Umsätze wurden zu hoch ausgewiesen, die Liquiditätsplanung war verzerrt. Entdeckt wurde der Fehler erst bei der Jahresabschlussprüfung – mit erheblichem Korrekturaufwand und Reputationsschaden.

Mit einem SOC 1^® Type 2 geprüften System wie ReconHub wäre dieses Risiko deutlich minimiert. Die Prüfung umfasst explizit Change Management Kontrollen, die sicherstellen, dass Software-Updates kontrolliert durchgeführt und getestet werden.

SOC 1^® vs. SOC 2^®: Was ist der Unterschied?

Vielleicht hast du auch von SOC 2® Prüfungen gehört. Hier liegt oft Verwirrung – deshalb eine klare Abgrenzung:

SOC 1^® fokussiert auf Kontrollen, die für die Finanzberichterstattung der Nutzer relevant sind. Die Prüfung orientiert sich an den International Standards on Auditing (ISA), speziell SSAE 18 bzw. ISAE 3402. Der Report ist primär für Wirtschaftsprüfer gedacht.

SOC 2^® hingegen bewertet Kontrollen in Bezug auf die Trust Services Criteria: Security, Availability, Processing Integrity, Confidentiality und Privacy. Diese Prüfung ist breiter angelegt und adressiert oft IT-Sicherheit und Datenschutz.

Für Payment Reconciliation Systeme wie ReconHub ist SOC 1^® die relevante Prüfung, weil es um die Integrität der Finanzberichterstattung geht. SOC 2^® kann ergänzend sinnvoll sein, ist aber ein anderes Prüfungsziel.

Die Rolle von Complementary User Entity Controls

Ein wichtiger Aspekt des SOC 1^® Reports sind die Complementary User Entity Controls (CUEC). Diese beschreiben Kontrollen, die du als Nutzer von ReconHub implementieren solltest.

Warum ist das notwendig?

ReconHub kann nicht alle Kontrollrisiken allein abdecken. Einige Kontrollen liegen in der Verantwortung des Nutzers. Ein Beispiel:

• ReconHub stellt sicher, dass hochgeladene Daten korrekt verarbeitet werden. Aber ReconHub kann nicht überprüfen, ob die hochgeladenen Daten vollständig sind. Diese Kontrolle – die Überprüfung der Vollständigkeit vor dem Upload – liegt bei dir.

• Oder: ReconHub gleicht Transaktionen automatisch ab und identifiziert Ausnahmen. Aber die finale Entscheidung, wie mit einer Ausnahme umgegangen wird (z.B. eine Differenz als Verlust ausbuchen oder weiter recherchieren), liegt beim Nutzer.

Das sind nur zwei von mehreren solchen Kontrollen. Der SOC 1^® Report listet diese CUEC transparent auf. Dein Wirtschaftsprüfer wird prüfen, ob du diese Kontrollen tatsächlich implementiert hast. Nur wenn sowohl ReconHubs Kontrollen als auch deine CUEC wirksam sind, ergibt sich ein vollständiges Kontrollumfeld.

Praktische Schritte: Wie du den SOC 1^® Report nutzt

Als ReconHub-Nutzer solltest du den SOC 1^® Type 2 Report aktiv in deine Jahresabschlussprüfung einbeziehen. Hier ein praktischer Leitfaden:

1. Report anfordern Fordere den aktuellen SOC 1^® Report bei ReconHub an. Als Kunde hast du Anspruch darauf. Der Report unterliegt typischerweise Vertraulichkeitsbedingungen und darf nicht weitergegeben werden.
2. Report an Wirtschaftsprüfer übergeben Stelle den Report deinem Wirtschaftsprüfer zur Verfügung. Dieser wird ihn im Rahmen seiner Prüfungsplanung berücksichtigen.
3. CUEC identifizieren Gehe die Liste der Complementary User Entity Controls durch. Welche Kontrollen sind für dein Unternehmen relevant? Hast du sie bereits implementiert?
4. Kontrolllücken schließen Falls du CUEC identifizierst, die noch nicht umgesetzt sind, implementiere diese. Dokumentiere die Kontrollen so, dass dein Prüfer ihre Wirksamkeit testen kann.
5. Jährliche Aktualisierung Der SOC 1^® Report wird jährlich aktualisiert. Stelle sicher, dass du immer die neueste Version vorliegen hast und dein Prüfer diese erhält.

Ausblick: Kontinuierliche Verbesserung

Der SOC 1^® Type 2 Report ist kein statisches Dokument. Er entwickelt sich weiter, genau wie ReconHub selbst.

Bei Abrantix verstehen wir die Prüfung nicht als einmalige Compliance-Übung, sondern als kontinuierlichen Verbesserungsprozess. Die jährliche Prüfung zwingt uns, unsere Kontrollen kritisch zu hinterfragen, Schwachstellen zu identifizieren und Prozesse zu optimieren.

Was bedeutet das für dich?

Du profitierst von einem System, das nicht nur heute kontrolliert arbeitet, sondern sich kontinuierlich verbessert. Neue Kontrollen werden hinzugefügt, bestehende werden geschärft, und das gesamte Kontrollumfeld wird an veränderte Risiken angepasst. Das Ziel: ReconHub als vertrauenswürdige, geprüfte Plattform für geschäftskritische Finanzprozesse zu etablieren.

Fazit: Vertrauen durch unabhängige Prüfung

Die erfolgreiche Durchführung der SOC 1^® Type 2 Prüfung für ReconHub ist mehr als ein Compliance-Meilenstein. Sie ist ein klares Signal: ReconHub nimmt seine Rolle als kritische Komponente in deinem Finanzprozess ernst.

Für dich als Nutzer bedeutet das konkrete Vorteile bei der Jahresabschlussprüfung, reduzierte Risiken in der Finanzberichterstattung und die Gewissheit, dass deine Zahlungsabstimmung auf einer soliden, geprüften Basis steht.

In einer Zeit, in der Vertrauen in digitale Finanzprozesse zunehmend hinterfragt wird, schafft der SOC 1^® Report Transparenz – und das ist keine Standardaussage. Denn kein System gleicht dem anderen: Welche Kontrollen geprüft werden, wie tief der Scope geht und was der Report am Ende aussagt, hängt direkt davon ab, wie ein Unternehmen aufgestellt ist. Was bleibt, ist die Substanz dahinter – dass die relevanten Kontrollen funktionieren, die Daten verlässlich sind und der Prozess nachweislich sicher ist. 

Wenn du mehr über den SOC 1^® Type 2 Report für ReconHub erfahren möchtest oder Fragen zur Einbindung in deine Jahresabschlussprüfung hast, kontaktiere uns. Wir unterstützen dich gerne dabei, das volle Potenzial dieser unabhängigen Bestätigung zu nutzen.