Ketika audit datang, masalah biasanya bukan niat baik tim, melainkan bukti: siapa menyetujui apa, kapan, berdasarkan dokumen apa, dan apakah prosesnya konsisten. Di banyak perusahaan, persetujuan tersebar di email, chat, atau spreadsheet yang sulit ditelusuri, sehingga temuan audit berulang dan keputusan penting kerap diperdebatkan. Panduan ini membantu Anda membangun alur persetujuan internal yang rapi, terdokumentasi, dan mudah diaudit tanpa menambah birokrasi yang tidak perlu.
1) Tetapkan tujuan kepatuhan dan ruang lingkup sejak awal
Implementasi yang berhasil dimulai dari definisi “patuh” yang jelas untuk konteks organisasi Anda di Indonesia karena setiap industri memiliki tuntutan audit berbeda. Auditor internal, auditor eksternal, dan pemeriksa regulator biasanya menuntut konsistensi proses, pemisahan tugas, serta jejak persetujuan yang dapat diverifikasi.
Mulailah dengan memilih 3–5 proses yang paling material dan paling sering menimbulkan risiko. Contoh: persetujuan pengadaan, pembayaran vendor, perubahan data master (rekening vendor, limit kredit), diskon penjualan di atas ambang tertentu, atau permintaan akses ke sistem keuangan. Tentukan juga bukti minimum untuk tiap proses, seperti dokumen pendukung, penilai risiko, dan otorisasi berjenjang.
Buat matriks sederhana: proses, risiko utama, pihak bertanggung jawab, bukti wajib, dan periode retensi dokumen. Dari sana Anda bisa menyelaraskan workflow dengan kebijakan internal dan kebutuhan audit tanpa terpaku pada desain yang berlebihan.
2) Rancang alur persetujuan yang memperkuat kontrol, bukan memperlambat
Workflow yang baik menyeimbangkan kontrol dan kecepatan. Prinsipnya sederhana: semakin besar dampak finansial atau risiko, semakin kuat pembuktian dan tingkat persetujuannya. Untuk proses rutin, gunakan ambang batas dan pengecualian jelas agar tim tidak terbebani oleh approval untuk hal kecil.
Elemen yang sering diuji auditor adalah pemisahan tugas dan otorisasi yang tepat. Misalnya, orang yang membuat permintaan pembelian tidak boleh menjadi pihak terakhir yang menyetujui pembayaran untuk vendor yang sama. Perubahan rekening bank vendor sebaiknya memerlukan verifikasi tambahan dari pihak independen, seperti finance ops atau compliance.
Tetapkan RACI (Responsible, Accountable, Consulted, Informed) untuk tiap tahapan. Pastikan pemegang “Accountable” benar-benar memiliki wewenang sesuai delegasi, sedangkan “Responsible” menjalankan tugas dan melampirkan bukti.
Jaga agar alur tetap ringkas dengan langkah minimum berikut:
- Permintaan (request) dengan data wajib dan lampiran.
- Validasi kelengkapan (otomatis atau oleh admin proses).
- Persetujuan berjenjang berdasarkan nilai atau risiko.
- Eksekusi oleh fungsi yang terpisah.
- Rekonsiliasi atau post-review untuk transaksi tertentu.
Tambahkan aturan eskalasi untuk mencegah bottleneck. Misalnya: jika tidak di-approve dalam 2 hari kerja, otomatis mengingatkan atasan atau dialihkan ke delegasi terdaftar. Auditor biasanya menilai eskalasi sebagai bukti bahwa proses Anda terkendali, bukan bergantung pada satu orang.
3) Kunci audit trail: data, log, dan integritas bukti
Dalam audit, yang dicari bukan sekadar “ada approval”, melainkan integritas jejaknya. Pastikan sistem mencatat jejak yang sulit dimanipulasi: siapa melakukan tindakan, timestamp, perubahan status, data yang berubah, dan tautan ke dokumen pendukung.
Checklist audit trail yang kuat biasanya mencakup:
- Identitas unik transaksi dan versi dokumen.
- Timestamp konsisten (termasuk zona waktu) untuk setiap event.
- Log perubahan (before/after) untuk field kritikal: nilai, vendor, rekening, termin.
- Alasan persetujuan atau penolakan dan catatan pengecualian.
- Kontrol akses berbasis peran (role-based access control) dan catatan perubahan role.
- Retensi dan kebijakan arsip yang dapat dibuktikan.
Pastikan dokumen pendukung tidak hanya “terlampir”, tetapi mudah ditelusuri: versi final kontrak, justifikasi pemilihan vendor, bukti penerimaan barang atau jasa, dan korespondensi formal jika relevan. Untuk detail teknis yang sering ditanyakan auditor TI, Anda bisa merujuk pada checklist audit trail teknis untuk memastikan kepatuhan sistem persetujuan internal agar tim IT dan GRC berbicara dalam bahasa yang sama.
Perhatikan integritas bukti: batasi kemampuan menghapus catatan, terapkan penandaan revisi, dan sediakan mekanisme read-only setelah persetujuan. Jika perubahan pasca-approval diperbolehkan, misalnya koreksi pajak, maka perubahan itu harus membuat event baru dengan alasan dan persetujuan yang sesuai, bukan menimpa catatan lama.
4) Operasionalisasi: tata kelola, sosialisasi, dan pengujian berkala
Banyak workflow gagal bukan karena desain, melainkan karena tidak dipraktikkan konsisten. Bentuk tata kelola yang ringan namun tegas: process owner, admin konfigurasi, dan pengawas seperti internal audit atau compliance yang melakukan sampling rutin. Tetapkan indikator yang mudah dipantau, seperti persentase transaksi yang mengikuti alur, tingkat pengecualian, dan waktu siklus persetujuan.
Sosialisasi sebaiknya fokus pada skenario kerja nyata, bukan definisi panjang. Latih tim pengadaan kapan harus melampirkan pembanding harga, dan latih tim finance menangani perubahan rekening vendor yang tiba-tiba dan rawan fraud. Buat panduan satu halaman untuk tiap peran: pemohon, approver, dan eksekutor, agar orang tidak mengandalkan interpretasi pribadi.
Setelah berjalan, lakukan pengujian berkala seperti mini-audit internal. Ambil sampel transaksi bernilai tinggi dan sampel acak transaksi rutin, lalu periksa kelengkapan bukti, pemisahan tugas, dan konsistensi log. Temuan kecil seperti alasan approval kosong atau dokumen tanpa versi sering menjadi akar masalah saat audit eksternal, jadi tangani lewat perbaikan proses dan konfigurasi.
Pada saat ada perubahan organisasi, kebijakan delegasi, atau struktur otorisasi, perlakukan itu sebagai perubahan terkontrol. Simpan catatan perubahan (change log), alasan, tanggal berlaku, serta siapa yang menyetujui perubahan kebijakan, karena auditor sering menguji “kontrol atas kontrol” ini.
Dengan ruang lingkup yang tepat, desain alur yang proporsional, audit trail yang kuat, dan disiplin operasional, persetujuan internal menjadi aset kepatuhan yang memudahkan audit sekaligus mempercepat keputusan.
Jika diperlukan, jadwalkan review lintas fungsi untuk menilai celah kontrol dan prioritas perbaikan.
Pelajari lebih lanjut tentang solusi kami di Epruvo