Audit-Trail (Prüfpfad)
Ein Audit-Trail ist eine chronologische und unveränderliche Aufzeichnung aller Aktionen, Entscheidungen und Ereignisse im Zusammenhang mit einem Dokumentenprüfungsprozess. Er dient als formaler Nachweis, dass jeder Prüfungsschritt in Übereinstimmung mit den regulatorischen Anforderungen durchgeführt wurde, und ermöglicht die vollständige Rekonstruktion des Prüfungsverlaufs im Falle einer Inspektion.
Im Rahmen der KYC/AML-Compliance ist der Audit-Trail nicht nur ein technisches Protokoll — er ist eine regulatorische Pflicht. Regulierte Unternehmen müssen gegenüber Aufsichtsbehörden (BaFin in Deutschland, FMA in Österreich) nachweisen können, dass sie angemessene Prüfungen bei jedem Kunden durchgeführt haben, wann diese stattfanden, welche Ergebnisse erzielt wurden und welche Entscheidungen daraufhin getroffen wurden. Fehlende oder unzureichende Audit-Trails können zu erheblichen Bußgeldern führen.
Ein vollständiger Audit-Trail zeichnet jedes Ereignis mit einem präzisen Zeitstempel auf: Dokumenteneinreichung, Identität des Benutzers, der die Prüfung eingeleitet hat, Ergebnisse jeder automatisierten Prüfung (OCR, Echtheit, Konsistenz), zugewiesene Konfidenzwerte, automatische oder manuelle Entscheidung, Identität des menschlichen Prüfers gegebenenfalls, sowie alle nachträglichen Statusänderungen. Jeder Eintrag wird kryptographisch signiert, um die Integrität zu gewährleisten und nachträgliche Manipulation zu verhindern.
CheckFile generiert automatisch einen umfassenden Audit-Trail für jede Prüfung. Er ist über die REST-API und das Dashboard zugänglich, in den Formaten PDF und JSON für regulatorische Berichte exportierbar und wird für die gesetzlich vorgeschriebene Dauer aufbewahrt (mindestens 5 Jahre in Deutschland für KYC-Pflichten). Das System garantiert die Unveränderlichkeit der Einträge: Einmal aufgezeichnet, können keine Daten mehr verändert oder gelöscht werden, gemäß den WORM-Prinzipien (Write Once Read Many).
Vorschriften
Praxisbeispiele
- 1.Bei einer BaFin-Prüfung legt eine Bank den vollständigen Audit-Trail eines markierten Kunden vor: Der Prüfer kann jede seit der Kontoeröffnung durchgeführte Prüfung, die erzielten Konfidenzwerte und die bei jedem Schritt getroffenen Entscheidungen nachvollziehen.
- 2.Eine Wirtschaftsprüfungsgesellschaft exportiert monatlich die Audit-Trails ihrer Mandantenprüfungen im PDF-Format, um sie den Compliance-Unterlagen beizufügen und die Einhaltung der Sorgfaltspflichten nachzuweisen.
- 3.Nach einem Betrugsverdacht prüft das Compliance-Team eines Versicherers den Audit-Trail und stellt fest, dass das Identitätsdokument bei der ursprünglichen Zeichnung nur einen Konfidenzwert von 68 % erhalten hatte, ein Sachbearbeiter den Vorgang jedoch manuell freigegeben hatte — diese Information wird an die zuständigen Behörden weitergeleitet.