Saat auditor meminta bukti persetujuan, versi dokumen terakhir, dan alasan perubahan, tim sering membuang waktu mencari jejaknya di email, chat, atau spreadsheet yang tersebar. Pola kerja seperti ini tidak hanya melelahkan, tetapi juga meningkatkan risiko temuan karena bukti tidak konsisten. Dengan alur persetujuan yang terstruktur, Anda bisa membuat audit trail rapi, pelaporan cepat, dan kontrol internal lebih mudah dijaga.
Kenapa audit dan pelaporan sering macet di proses persetujuan
Hambatan biasanya bukan pada niat, melainkan pada desain proses: siapa menyetujui apa, kapan, dan berdasarkan dokumen versi mana. Di banyak organisasi, keputusan terjadi di kanal berbeda, sementara bukti akhirnya dirangkum manual menjelang audit.
Masalah yang paling sering muncul adalah celah antara praktik operasional dan kebutuhan pembuktian. Dalam praktik tata kelola di Indonesia, auditor internal maupun eksternal umumnya meminta bukti yang menunjukkan kronologi, otorisasi, dan pemisahan tugas yang memadai.
- Jejak persetujuan tercecer karena dilakukan lewat email/WA tanpa pencatatan terpusat.
- Versi dokumen tidak terkunci sehingga angka di laporan bisa berbeda dari yang disetujui.
- Role dan limit tidak jelas, misalnya approver merangkap pembuat transaksi.
- Pelaporan memakan waktu karena data harus ditarik dan direkonsiliasi manual.
- Perubahan tidak terdokumentasi (siapa mengubah, alasan, dan dampaknya).
Begitu satu titik lemah ini terjadi pada proses rutin seperti purchase request, perubahan scope, reimburse, atau persetujuan vendor, efeknya meluas ke laporan bulanan dan kesiapan audit.
Elemen inti workflow yang memperkuat audit trail
Tujuan Anda bukan sekadar menaruh tombol approve, tetapi membangun bukti yang bisa diperiksa ulang melalui approval workflow system. Workflow yang baik membuat setiap keputusan bisa ditelusuri lengkap dengan konteksnya tanpa bergantung pada ingatan orang.
Mulailah dari elemen yang paling sering ditanyakan auditor, lalu pastikan sistem menyimpannya sebagai data terstruktur, bukan catatan bebas. Empat elemen berikut biasanya memberi dampak terbesar pada kesiapan audit.
1) Otorisasi berbasis peran dan batasan (SoD)
Definisikan pemisahan tugas (segregation of duties) sejak awal: pembuat pengajuan, pemeriksa, dan penyetuju tidak boleh orang yang sama untuk transaksi berisiko. Untuk tim IT/PMO, ini berarti memetakan role ke grup (misalnya AD/SSO) dan menerapkan approval matrix berdasarkan nilai, jenis pengeluaran, atau kategori risiko.
Contoh praktis: pengajuan pembelian di atas Rp50.000.000 wajib mendapat persetujuan dua tingkat (Manager dan Finance Controller). Jika sistem hanya mengandalkan siapa yang sedang online, kontrol ini mudah bocor.
2) Audit trail lengkap dan sulit dimanipulasi
Audit trail sebaiknya otomatis merekam siapa, kapan, aksi apa, pada objek apa, dan hasilnya (approved/rejected/returned). Tambahkan alasan penolakan atau revisi sebagai field terstruktur agar bisa dilaporkan, bukan sekadar komentar panjang yang sulit dianalisis.
Pastikan jejak ini punya kebijakan retensi dan aturan akses yang jelas. Di banyak perusahaan, kemampuan menghapus atau mengubah log harus dibatasi ketat dan idealnya tidak tersedia bagi admin operasional harian.
3) Kontrol versi dokumen dan lampiran yang konsisten
Pelaporan sering gagal karena dokumen berubah setelah disetujui. Terapkan aturan: setelah sebuah tahap disetujui, sistem menyimpan snapshot versi dokumen atau lampiran yang menjadi dasar keputusan, termasuk nomor versi atau hash file bila diperlukan.
Untuk perubahan scope proyek, approver perlu melihat ringkasan perbedaan (nilai kontrak lama vs baru, dampak timeline) dan sistem menyimpan keduanya. Dengan begitu, saat audit Anda tidak perlu membuktikan secara manual bahwa file yang diaudit sama dengan yang disetujui dulu.
4) Jalur eskalasi dan SLA yang bisa diaudit
Bottleneck persetujuan sering memicu bypass informal yang mengorbankan bukti. Buat eskalasi otomatis saat SLA terlewati, dan simpan catatan eskalasi sebagai bagian dari audit trail, termasuk siapa yang menerima eskalasi dan kapan keputusan dibuat.
Jika organisasi Anda memakai kalender kerja Indonesia (misalnya cuti bersama), pastikan perhitungan SLA mengikuti definisi hari kerja yang disepakati agar laporan kepatuhan SLA tidak menyesatkan.
Menyusun pelaporan yang siap audit: dari event log ke dashboard
Workflow yang rapi baru terasa manfaatnya saat bisa diterjemahkan menjadi laporan yang konsisten. Rancang data untuk menjawab pertanyaan yang sering muncul di rapat kontrol dan audit, lalu pastikan field yang diperlukan benar-benar ada di form dan log.
Biasanya ada tiga lapis pelaporan yang dibutuhkan: operasi harian, kontrol internal bulanan, dan paket audit periodik. Agar tidak menumpuk kerja manual, rapikan definisi metrik sejak implementasi.
- Status dan aging: berapa banyak pengajuan di tiap tahap, berapa hari tertahan, dan di mana bottleneck terjadi.
- Kepatuhan matrix: apakah approver sesuai role/limit, termasuk kasus override dan alasannya.
- Rework rate: persentase dikembalikan untuk revisi, alasan terbanyak, dan unit yang paling sering perlu perbaikan.
- Exception log: perubahan setelah submit, pembatalan, atau persetujuan darurat, lengkap dengan justifikasi.
- Traceability: tautan dari transaksi ke dokumen pendukung dan keputusan yang relevan.
Untuk tim project dan PMO, rework rate dan exception log biasanya cepat menunjukkan masalah desain form atau SOP. Jika Anda ingin membuat baseline efisiensi sebelum dan sesudah perbaikan, gunakan pendekatan pengukuran yang sistematis seperti pada panduan mengukur efisiensi proses persetujuan internal, lalu adaptasikan metriknya ke proses yang diaudit.
Dari sisi implementasi IT, pastikan Anda punya kemampuan export atau API untuk kebutuhan audit sampling. Auditor sering meminta sampel transaksi beserta jejak persetujuan dan lampirannya; proses ekstraksi harus bisa diulang dan menghasilkan output yang konsisten.
Terakhir, definisikan kontrol akses laporan: laporan audit trail biasanya sensitif karena memuat identitas, keputusan, dan alasan. Batasi akses berdasarkan kebutuhan kerja, dan dokumentasikan siapa yang berhak melihat level detail tertentu.
Jika elemen role, audit trail, kontrol versi, dan pelaporan dirancang sejak awal, proses audit berubah dari kegiatan “mencari bukti” menjadi “memverifikasi bukti”. Hasilnya bukan hanya lebih cepat saat audit, tetapi juga membuat laporan manajemen lebih dapat dipercaya karena sumber datanya konsisten.
Mulailah dengan memetakan satu proses berisiko tinggi dan cek apakah bukti persetujuannya sudah bisa ditelusuri end-to-end.
Pelajari Epruvo lebih lanjut: https://epruvo.com