Ein Audit Trail (lat. audire: hören) ist ein Werkzeug der Qualitätssicherung und dient der Kontrolle und Aufzeichnung von Änderungen, die in Prozessen vorgenommen werden.[1] Im Vergleich zu bekannten Monitoring-Systemen, die bestimmte Prozesse durchgehend überwachen, liegt bei Audit-Trails der Fokus auf Überwachung von Änderungs- und Löschungshandlungen der Benutzer. Somit sind Eingriffe in Prozesse für nachgelagerte Ebenen in Liefer- und Wertschöpfungsketten verständlich, kontrollierbar und lückenlos einsehbar.

Aufbau

Aufgezeichnete Audit-Protokolle sollten folgende Informationen enthalten:[2]

Anwender: Anwender sind die Personen, die für die Erstellung, Änderung oder Löschung von Daten verantwortlich sind. Im System wird die Nutzer-ID dem Änderungsprozess zugewiesen, um Verantwortlichkeiten zu dokumentieren und später zuweisen zu können.

Ereignis: Als Ereignis definiert sich im Audit Trail eine Änderung des Normalzustandes, ein aktiver Eingriff in das System oder Fehlermeldungen. Praktisch gesehen umfasst es alles, was eine Abweichung von den festgelegten Parametern und Toleranzen bedeutet.

Daten: Die Daten beziehen sich auf ein zuvor eingetretenes Ereignis (s. o.). Das Audit-Trail-System speichert die veränderten Daten.

Zeitstempel: Zeitstempel werden vom Audit-System automatisch bei Eingriffen des Anwenders gesetzt. Hierfür wird die Systemzeit in regelmäßigen Abständen über einen „Time Server“ aktualisiert.

System/Gerät: Neben dem Datum und der Uhrzeit des Anwendereingriffs, muss, sofern mehrere Geräte auf eine Log-Datei schreiben, das genutzte Gerät zu jeder Zeit eindeutig identifizierbar sein. Hierfür werden neben dem Geräte-/Systemnamen meist zusätzlich IP-Adresse und Session mitgespeichert.

Begründungen: Vom System werden Anwender-ID, Systemdaten, Art der Änderung, Änderungsdaten und der Zeitpunkt der Änderung automatisch eingetragen. Manuell müssen vom Anwender meist nur eine Begründung für die Änderung/Löschung verfasst werden. Begründungen verschaffen Dritten bei Einsicht der Log-Datei schnell Überblick, warum Änderungen vorgenommen wurden.

Einsatz in der Praxis

Das zunehmende Verlangen der Industrie und des Handels nach mehr Transparenz über die komplette Lieferkette in Kombination mit der eindeutigen Klärung der Verantwortlichkeiten für Eingriffe und Veränderungen führt besonders in der Pharma- und der Automobilindustrie dazu, Eingriffe genau überwachen zu wollen. Besonders in der Pharmaindustrie haben Eingriffe und Veränderungen bei hochempfindlichen Gütern und Stoffen teilweise extreme Auswirkungen auf den Zustand und die Güte. Um Qualitätsverluste in Bezug auf Wirksamkeit und Verunreinigung zu minimieren und aufdecken zu können, sind im Audit Trail aufgezeichnete Eingriffsprotokolle für nachgelagerte Stufen in der Lieferkette jederzeit anforderbar und einsehbar. Manipulationen sind aufgrund der Qualifizierung vor Inbetriebnahme der Systeme nicht möglich.

Einzelnachweise

  1. Definition: Audit Trail. In: Gabler Wirtschaftslexikon Online. (gabler.de [abgerufen am 9. Juli 2018]).
  2. Johner Institut: Audit-Trail: Was Sie als Medizinproduktehersteller wissen sollten. In: Wissen zu medizinischer Software. 12. Juli 2016 (johner-institut.de [abgerufen am 9. Juli 2018]).