Ketika ada temuan audit yang menanyakan “siapa menyetujui apa, kapan, dan berdasarkan dokumen yang mana”, banyak tim baru sadar bahwa jejak bukti mereka tersebar di email, chat, dan spreadsheet. Situasi ini membuat klarifikasi memakan waktu, rentan terhadap versi yang berbeda, dan membuka ruang perdebatan. Tulisan ini membantu Anda merancang proses persetujuan internal yang menghasilkan audit trail rapi, dapat ditelusuri, dan mudah diuji.
Audit trail yang kuat: bukti yang bisa ditelusuri, bukan sekadar catatan
Audit trail adalah rangkaian bukti yang menunjukkan alur transaksi atau keputusan dari awal sampai akhir, lengkap dengan konteks dan perubahan. Di Indonesia, auditor biasanya menelusuri permintaan, persetujuan, pelaksanaan, dan pencatatan akuntansi, lalu mencocokkannya dengan kebijakan dan kontrol yang berlaku. Tanpa keterlacakan ini, pengujian jadi sulit.
Banyak organisasi memang punya catatan, tetapi tidak memenuhi standar audit trail. Misalnya, ada email persetujuan tanpa lampiran final, atau dokumen akhir tanpa bukti siapa yang menyetujui versinya. Itu membuat bukti sulit diandalkan.
Sederhananya, audit trail yang baik memiliki tiga ciri: bukti melekat pada transaksi, format bukti konsisten, dan jejak waktu yang jelas. Desain persetujuan internal penting karena persetujuan sering menjadi titik kontrol utama dalam pengujian.
Elemen approval yang membuat jejak persetujuan tahan uji
Persetujuan yang hanya berupa kata “OK” tidak memadai, terutama untuk pengeluaran, kontrak, dan perubahan data master. Agar kuat saat diuji, persetujuan harus menyertakan metadata dan konteks, bukan sekadar hasil keputusan.
Mulailah dengan memetakan informasi minimal yang wajib ada pada setiap approval. Berikut elemen yang biasanya paling berpengaruh untuk keterlacakan:
- Identitas pemohon dan penyetuju (nama, jabatan, unit, dan bila perlu pengganti/acting).
- Timestamp yang konsisten (tanggal dan jam) untuk dibuat, diajukan, disetujui/ditolak, serta dieksekusi.
- Nomor referensi unik yang mengikat permintaan, dokumen pendukung, dan pencatatan di sistem akuntansi.
- Versi dokumen (misalnya kontrak v3) dan riwayat perubahan yang menjelaskan apa yang berubah.
- Dasar persetujuan seperti batas otorisasi (approval matrix), anggaran, atau kebijakan yang dirujuk.
- Status dan alasan untuk penolakan, revisi, atau eskalasi.
Elemen-elemen ini menutup pertanyaan auditor: apakah orang yang tepat menyetujui sesuai kewenangan dengan informasi yang cukup. Contohnya, reimbursement perjalanan dinas lebih mudah diverifikasi jika approval mencantumkan batas per hari dan lampiran bukti pengeluaran, bukan hanya persetujuan di chat.
Selain itu, terapkan segregation of duties yang masuk akal. Pemohon sebaiknya tidak menjadi penyetuju akhir untuk transaksi yang sama, dan perubahan vendor atau rekening bank idealnya memerlukan persetujuan terpisah dari fungsi lain untuk mengurangi risiko fraud.
Menyelaraskan alur persetujuan dengan kontrol internal dan risiko operasional
Persetujuan yang memperkuat audit trail tidak berarti semuanya harus berlapis. Yang penting adalah alur proporsional terhadap risiko, sehingga bukti yang terkumpul memadai tanpa menghambat operasional. Kebijakan yang berimbang mempercepat proses dan tetap menjaga kontrol.
Banyak tim keuangan menerapkan tingkatan otorisasi berdasarkan nilai, jenis transaksi, dan sensitivitas. Misalnya, pembelian di bawah Rp10 juta cukup satu level, sementara pengadaan berulang dengan vendor baru memerlukan verifikasi vendor dan persetujuan dua level. Aturan seperti ini membantu menyelaraskan kecepatan dan pengendalian risiko.
Perhatikan konsistensi antara kebijakan tertulis, praktik sehari-hari, dan jejak yang tersimpan. Sering muncul ketidakkonsistenan ketika kebijakan meminta “minimal dua penawaran” tetapi audit trail tidak menunjukkan permintaan penawaran atau alasan pemilihan vendor.
Jika Anda meninjau opsi digitalisasi alur persetujuan, manfaat dan area penghematan biasanya lebih jelas bila dipetakan ke bukti audit yang dibutuhkan. Ulasan tentang alur persetujuan perusahaan dan dampaknya terhadap waktu proses bisa dibaca di panduan aplikasi persetujuan internal untuk efisiensi proses, lalu bandingkan dengan kebutuhan kontrol di organisasi Anda.
Contoh praktis: pada proses pembayaran vendor, audit trail idealnya menghubungkan purchase request, purchase order, penerimaan barang/jasa (GRN/BAST), invoice, persetujuan pembayaran, dan bukti transfer. Jika salah satu mata rantai tidak terikat oleh nomor referensi yang sama, penelusuran melambat dan risiko salah bayar atau bayar ganda meningkat.
Standarisasi, akses, dan retensi: kunci agar audit trail tetap utuh
Audit trail sering rusak bukan karena niat buruk, tetapi karena standar dokumentasi tidak jelas dan akses file tidak terkelola. Dokumen yang tersimpan di laptop individu atau folder bersama tanpa struktur mudah hilang atau tertimpa versi baru, sehingga integritas bukti sulit dipastikan.
Standarisasi bisa dimulai dari hal kecil: template permintaan, penamaan file yang konsisten, dan daftar lampiran wajib per jenis transaksi. Dengan pola ini, anggota tim baru juga bisa mengikuti langkah yang sama, dan auditor dapat melakukan sampling tanpa menebak lokasi bukti.
Berikut kontrol teknis dan administratif yang biasanya relevan untuk menjaga audit trail:
- Kontrol akses berbasis peran (role-based access) agar hanya pihak berwenang yang dapat menyetujui atau mengubah data.
- Log aktivitas untuk pembuatan, perubahan, persetujuan, pembatalan, dan eskalasi.
- Aturan versi dan lampiran final agar persetujuan selalu merujuk pada dokumen yang sama.
- Retensi dokumen sesuai kebutuhan audit, kontrak, dan kebijakan internal, termasuk pengarsipan setelah periode aktif.
- Jejak pengecualian untuk kondisi darurat (misalnya approval di luar jam kerja) lengkap dengan justifikasi.
Di Indonesia, masa simpan dokumen tergantung jenis dokumen dan kebutuhan kepatuhan, misalnya kontrak atau dokumen pajak. Oleh karena itu, kebijakan retensi sebaiknya ditetapkan lintas fungsi (keuangan, legal, dan TI) dan dijalankan konsisten, bukan hanya dibuat tertulis.
Terakhir, lakukan uji telusur berkala seperti mini audit internal. Ambil beberapa transaksi acak dan ukur waktu yang dibutuhkan tim untuk menunjukkan bukti end-to-end; hasilnya sering jadi indikator paling jujur tentang kualitas audit trail Anda.
Jika elemen bukti, otorisasi, dan retensi sudah selaras, audit trail biasanya menjadi lebih cepat ditelusuri dan lebih sulit diperdebatkan.
Jadwalkan satu sesi singkat untuk memetakan bukti wajib pada 3 proses paling berisiko minggu ini.
Pelajari dampak kontrol keuangan dengan Epruvo di https://epruvo.com