Di banyak perusahaan, keputusan kecil seperti menyetujui pembelian atau pembayaran sering menjadi sumber temuan audit jika buktinya tercecer. Saat persetujuan tersebar lewat email, chat, dan tanda tangan manual, jejak keputusan sulit dilacak dan kontrol bergantung pada ingatan orang. Pembahasan ini membantu Anda merancang alur persetujuan yang rapi, menghasilkan audit trail kuat, dan lebih siap menghadapi audit internal maupun eksternal di Indonesia, termasuk penggunaan software approval internal.
Audit trail yang dapat diaudit: apa yang perlu terekam
Audit trail bukan sekadar riwayat klik, melainkan bukti yang bisa diuji: siapa menyetujui apa, kapan, berdasarkan dokumen apa, dan atas kewenangan apa. Auditor biasanya membandingkan kebijakan internal, transaksi di sistem akuntansi, dan dokumen pendukung seperti PO, kontrak, dan invoice.
Secara praktis, audit trail yang baik minimal mencatat identitas pengguna, timestamp, langkah proses (submit, review, approve, reject), versi dokumen, serta catatan saat ada perubahan. Jika nominal atau vendor berubah setelah persetujuan awal, sistem harus memaksa re-approval dan menyimpan versi sebelumnya agar kronologi tetap jelas.
Di konteks Indonesia, ketertelusuran ini penting saat pemeriksaan pajak atau penelusuran biaya. Dokumen pembukuan dan bukti pendukung perlu bisa ditunjukkan lengkap. Banyak perusahaan mengacu pada ketentuan pembukuan dalam UU KUP yang umumnya mewajibkan penyimpanan dokumen hingga 10 tahun.
Rancang alur persetujuan yang memperkuat kontrol tanpa menghambat
Nilai utama software persetujuan muncul ketika alur mencerminkan kontrol internal: otorisasi berjenjang, pemisahan tugas, dan batas kewenangan. Jika alur terlalu longgar, risiko fraud naik; jika terlalu kaku, operasional tersendat dan orang mencari jalan pintas di luar sistem.
Mulailah dari peta proses yang sering memicu temuan, misalnya purchase-to-pay dan reimburse. Tetapkan pemicu yang jelas: siapa harus menyetujui berdasarkan jenis transaksi, nominal, departemen, kategori biaya, dan status vendor.
Berikut contoh aturan yang sering efektif dan mudah diaudit:
- Persetujuan berlapis berdasarkan threshold nominal (misalnya < Rp10 juta, Rp10–50 juta, > Rp50 juta).
- Pemisahan tugas: peminta tidak boleh sekaligus menyetujui dan memproses pembayaran.
- Vendor baru wajib verifikasi data (NPWP, rekening, alamat) sebelum transaksi di-approve.
- Perubahan data penting (rekening vendor, nilai kontrak, termin) memicu persetujuan ulang.
- Pengeluaran di luar anggaran memerlukan justifikasi dan otorisasi tambahan.
Di tahap desain, pastikan definisi final approver jelas dan tidak ada celah bypass. Banyak organisasi juga menambahkan eskalasi otomatis jika approver tidak merespons dalam SLA tertentu, sehingga kontrol tetap berjalan tanpa menumpuk pekerjaan.
Jika Anda sedang mengevaluasi bagaimana aplikasi persetujuan bisa menjaga konsistensi proses dari awal hingga akhir, penjelasan pada bagaimana aplikasi approval perusahaan menjamin operasional dapat membantu memetakan titik kontrol yang sering terlewat.
Fitur kepatuhan yang prioritas: akses, bukti, dan integritas data
Dalam audit, kontrol yang bagus harus tertanam di sistem, bukan hanya di kebijakan. Selain alur, nilai sistem ada pada fitur yang menjaga integritas data dan mencegah perubahan tanpa jejak.
Fokus pada tiga area: kontrol akses, kelengkapan bukti, dan kemampuan pelacakan. Kontrol akses idealnya berbasis peran dengan prinsip least privilege, sehingga staf hanya melihat dan melakukan yang diperlukan untuk tugasnya.
Berikut checklist ringkas yang biasanya relevan untuk fungsi finance dan compliance:
- Role dan matriks otorisasi yang dapat diaudit (siapa boleh approve kategori/nominal tertentu).
- Immutable log: riwayat tidak bisa diedit, termasuk perubahan master data terkait persetujuan.
- Attachment wajib dan template dokumen (PO, invoice, kontrak, bukti penerimaan) dengan validasi minimal.
- Jejak versi dokumen dan komentar persetujuan (alasan approve/reject, permintaan revisi).
- Retensi dan arsip yang jelas, termasuk ekspor bukti untuk audit atau pemeriksaan.
- Integrasi atau rekonsiliasi dengan ERP/akuntansi agar tidak ada perbedaan angka antara approval dan pencatatan.
Praktik baik lain adalah menerapkan kontrol pada akses administratif; misalnya perubahan matriks otorisasi harus disetujui dan tercatat, bukan dilakukan sepihak. Untuk kebutuhan perpajakan, pastikan dokumen dapat ditelusuri dan disajikan saat diminta; referensi resmi terkait layanan dan informasi perpajakan dapat dilihat di Direktorat Jenderal Pajak.
Implementasi aman: dari pilot, pelatihan, sampai siap audit
Kesalahan umum adalah langsung mengubah semua proses tanpa fase uji, lalu tim kembali ke cara lama. Pendekatan yang lebih aman adalah pilot pada 1–2 proses berisiko tinggi sambil menyiapkan SOP, matriks otorisasi, dan format bukti yang seragam.
Selama pilot, ukur dua hal: kepatuhan proses (berapa transaksi yang benar-benar lewat jalur approval) dan kualitas audit trail (apakah bukti lengkap tanpa permintaan tambahan dari pengguna). Dari situ Anda bisa mengurangi titik friksi, misalnya langkah berlebih untuk transaksi kecil atau validasi yang kurang untuk vendor baru.
Setelah stabil, kunci proses dengan kebijakan sederhana: transaksi tanpa approval di sistem tidak boleh diproses. Untuk kesiapan audit, lakukan review berkala atas user access, sampling transaksi, dan log perubahan matriks otorisasi, lalu dokumentasikan hasilnya sebagai bagian dari kontrol internal.
Dengan alur kerja yang tepat, kontrol akses yang kuat, dan bukti yang konsisten, persetujuan internal bisa berubah dari beban administratif menjadi fondasi kepatuhan yang terukur.
Mulailah dari satu proses berisiko tinggi dan rapikan buktinya sebelum memperluas ke proses lainnya.
Pelajari Epruvo lebih lanjut: https://epruvo.com