ผู้เชี่ยวชาญด้าน DevSecOps ที่ผันตัวมาเปิดบริษัทที่ปรึกษาให้องค์กรวางระบบความปลอดภัยในกระบวนการพัฒนาซอฟต์แวร์ มักถนัดเรื่องเทคนิคแต่ยังไม่แน่ใจว่าควรจดทะเบียนธุรกิจแบบไหนและวางระบบบัญชีอย่างไรให้รองรับรายได้ค่าที่ปรึกษาที่มาจากหลายรูปแบบสัญญา บทความนี้สรุปขั้นตอนตั้งแต่จดทะเบียนจนถึงระบบบัญชีที่ควรมี
DevSecOps Consulting คือธุรกิจแบบไหน
DevSecOps (Development, Security, Operations) คือแนวทางการผนวกความปลอดภัยเข้าไปในทุกขั้นตอนของการพัฒนาซอฟต์แวร์ ตั้งแต่การเขียนโค้ด การทดสอบ ไปจนถึงการนำระบบขึ้นใช้งานจริง บริษัทที่ปรึกษาสายนี้มักให้บริการ 3 รูปแบบหลัก คือ (1) ที่ปรึกษาวางระบบ CI/CD Pipeline ที่มีการตรวจสอบความปลอดภัยอัตโนมัติ (2) ตรวจสอบช่องโหว่ความปลอดภัย (Security Audit/Penetration Testing) และ (3) ฝึกอบรมทีมพัฒนาให้เขียนโค้ดปลอดภัย รายได้จึงมีทั้งแบบโครงการระยะสั้น สัญญาบริการรายเดือน และค่าฝึกอบรมเป็นครั้งคราว
ความท้าทายด้านบัญชีของธุรกิจนี้คือรายได้แต่ละประเภทมีรอบการรับรู้รายได้และภาระภาษีที่ต่างกัน หากไม่วางระบบแยกให้ชัดเจนตั้งแต่ต้น จะทำให้การปิดงบและยื่นภาษีประจำปีสับสนและอาจคำนวณรายได้ผิดงวด
ควรจดทะเบียนธุรกิจแบบไหน: บุคคลธรรมดา หรือ นิติบุคคล
ผู้เชี่ยวชาญ DevSecOps ที่เพิ่งเริ่มรับงานที่ปรึกษาจำนวนไม่มาก อาจเริ่มต้นในนามบุคคลธรรมดาได้ แต่เมื่อรับงานจากองค์กรขนาดใหญ่ ธนาคาร หรือหน่วยงานที่ต้องทำสัญญาแบบมีเงื่อนไขความรับผิด (Liability) และมาตรฐานความปลอดภัยสูง ลูกค้าส่วนใหญ่มักต้องการทำสัญญากับนิติบุคคลมากกว่าบุคคลธรรมดา เพราะสะดวกต่อการตรวจสอบและมีความน่าเชื่อถือด้านการรับผิดชอบทางกฎหมาย
การจดทะเบียนเป็นบริษัทจำกัดยังช่วยให้ได้สิทธิประโยชน์ภาษี SME สำหรับกิจการที่มีทุนจดทะเบียนชำระแล้วไม่เกิน 5 ล้านบาทและรายได้ไม่เกิน 30 ล้านบาทต่อปี ซึ่งได้รับยกเว้นภาษีสำหรับกำไรสุทธิ 300,000 บาทแรก และเสียอัตรา 15% สำหรับกำไรสุทธิส่วนที่เกิน 300,000 บาทแต่ไม่เกิน 3,000,000 บาท ส่วนที่เกินเสียอัตราปกติ 20%
ขั้นตอนจดทะเบียนบริษัทที่ปรึกษา DevSecOps
- จองชื่อนิติบุคคล ผ่านระบบของกรมพัฒนาธุรกิจการค้า (DBD) และตรวจสอบว่าไม่ซ้ำหรือคล้ายกับชื่อที่จดทะเบียนแล้ว
- จดทะเบียนหนังสือบริคณห์สนธิและจัดตั้งบริษัท ระบุวัตถุประสงค์ให้ครอบคลุมงานที่ปรึกษาด้านเทคโนโลยีสารสนเทศ ความปลอดภัยไซเบอร์ และการฝึกอบรม
- ขอเลขประจำตัวผู้เสียภาษีอากรนิติบุคคล จากกรมสรรพากรทันทีหลังจดทะเบียนบริษัท
- พิจารณาจดทะเบียนภาษีมูลค่าเพิ่ม หากคาดว่ารายได้จะเกิน 1.8 ล้านบาทต่อปี หรือจดทะเบียนล่วงหน้าเพื่อความสะดวกในการออกใบกำกับภาษีให้ลูกค้าองค์กร
- เปิดบัญชีธนาคารในนามนิติบุคคล แยกจากบัญชีส่วนตัวโดยเด็ดขาด เพื่อให้การกระทบยอดบัญชีทำได้ง่ายและถูกต้อง
- วางระบบบัญชีและแต่งตั้งผู้ทำบัญชี ตามที่กฎหมายกำหนดสำหรับนิติบุคคลทุกแห่ง
วางระบบบัญชีตามประเภทรายได้ของ DevSecOps Consulting
เนื่องจากรายได้ของธุรกิจนี้มาจากหลายรูปแบบสัญญา ควรวางผังบัญชีแยกประเภทรายได้อย่างชัดเจนดังนี้
| ประเภทรายได้ | ลักษณะการรับรู้รายได้ | ประเด็นที่ต้องระวัง |
|---|---|---|
| ค่าที่ปรึกษารายโครงการ (Project-based) | รับรู้ตามความคืบหน้าของงานหรือเมื่อส่งมอบงานแต่ละงวด | ต้องมีสัญญาระบุขอบเขตงานและงวดการรับเงินชัดเจน |
| ค่าบริการดูแลรายเดือน (Retainer/SLA) | รับรู้รายได้ตามงวดเดือนที่ให้บริการจริง | ควรออกใบแจ้งหนี้และใบกำกับภาษีตรงตามรอบเดือน ไม่รวมยอดข้ามงวด |
| ค่าฝึกอบรม/Workshop | รับรู้รายได้เมื่อจัดอบรมเสร็จสิ้นแต่ละครั้ง | แยกจากรายได้ที่ปรึกษาหลักเพื่อวิเคราะห์ความสามารถทำกำไรแต่ละบริการ |
VAT และภาษีหัก ณ ที่จ่ายที่ต้องจัดการ
เมื่อรายได้รวมเกิน 1.8 ล้านบาทต่อปี บริษัทต้องจดทะเบียน VAT และออกใบกำกับภาษีในอัตรา 7% (ควรตรวจสอบอัตราปัจจุบันกับกรมสรรพากรทุกครั้งที่ยื่นภาษี) สำหรับค่าบริการทุกประเภทที่เรียกเก็บจากลูกค้าในไทย
ในทางกลับกัน เมื่อลูกค้าองค์กรจ่ายค่าที่ปรึกษาให้บริษัท DevSecOps ลูกค้าส่วนใหญ่มีหน้าที่หักภาษี ณ ที่จ่ายจากค่าบริการก่อนโอนเงิน บริษัทจึงควรขอหนังสือรับรองการหักภาษี ณ ที่จ่าย (50 ทวิ) จากลูกค้าทุกครั้ง เพื่อนำมาเครดิตภาษีเงินได้นิติบุคคลตอนยื่นแบบ ภ.ง.ด.50 ประจำปี อัตราหัก ณ ที่จ่ายที่ถูกต้องขึ้นอยู่กับลักษณะสัญญาและประเภทบริการ ควรตรวจสอบกับผู้เชี่ยวชาญด้านภาษีหรือกรมสรรพากรก่อนตกลงเงื่อนไขสัญญากับลูกค้า
หากบริษัทว่าจ้างผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ต่างประเทศมาช่วยงานเฉพาะโครงการ ต้องพิจารณาเรื่องภาษีเงินได้ของผู้รับเหมาต่างชาติและอนุสัญญาภาษีซ้อนร่วมด้วย ซึ่งมีความซับซ้อนสูงและควรปรึกษาผู้เชี่ยวชาญก่อนทำสัญญา
ข้อผิดพลาดที่พบบ่อยของบริษัทที่ปรึกษา DevSecOps
- ไม่แยกรายได้ตามประเภทสัญญาในผังบัญชี: ทำให้วิเคราะห์กำไรของแต่ละบริการไม่ได้ และเสี่ยงรับรู้รายได้ผิดงวดบัญชี
- ลืมขอใบหัก ณ ที่จ่ายจากลูกค้าองค์กรใหญ่: ทำให้เสียสิทธิ์เครดิตภาษีตอนยื่นแบบประจำปีและต้องจ่ายภาษีเต็มจำนวน
- ทำสัญญาค่าบริการรายเดือนแบบไม่ระบุขอบเขตงานชัดเจน: ทำให้ตกลงอัตราหัก ณ ที่จ่ายผิดประเภทและมีปัญหาภายหลัง
- ไม่จดทะเบียน VAT ทั้งที่รายได้เกินเกณฑ์แล้ว: เพราะคิดว่าเป็นธุรกิจที่ปรึกษาขนาดเล็กไม่ต้องจด ซึ่งเป็นความเข้าใจที่ผิด
- ไม่มีระบบติดตามใบแจ้งหนี้ค้างชำระของลูกค้าองค์กร: ธุรกิจที่ปรึกษามักมีรอบชำระเงินยาว ทำให้กระแสเงินสดตึงตัวหากไม่ติดตามอย่างเป็นระบบ
ตัวอย่างสถานการณ์จริง
บริษัทที่ปรึกษา DevSecOps แห่งหนึ่งมีรายได้จาก 3 ทาง คือ ค่าที่ปรึกษาวางระบบ CI/CD ให้ลูกค้าธนาคารแบบโครงการ 1.5 ล้านบาท ค่าบริการตรวจสอบความปลอดภัยรายเดือนให้ลูกค้าอีคอมเมิร์ซ 40,000 บาทต่อเดือน และค่าฝึกอบรมทีมพัฒนาซอฟต์แวร์ให้บริษัทเทคโนโลยี 300,000 บาทต่อปี รวมรายได้ทั้งปีประมาณ 2.28 ล้านบาท ทำให้ต้องจดทะเบียน VAT เพราะเกินเกณฑ์ 1.8 ล้านบาท และต้องขอใบหัก ณ ที่จ่ายจากลูกค้าทั้ง 3 รายเพื่อนำมาเครดิตภาษีตอนยื่น ภ.ง.ด.50 ประจำปี
คำแนะนำเชิงปฏิบัติ
บริษัทที่ปรึกษา DevSecOps ควรวางผังบัญชีแยกตามประเภทรายได้ตั้งแต่วันแรก จัดทำระบบติดตามใบแจ้งหนี้และใบหัก ณ ที่จ่ายให้ครบทุกสัญญา และตรวจสอบเกณฑ์ VAT อย่างสม่ำเสมอเมื่อรายได้เติบโต หากมีแผนรับงานจากองค์กรขนาดใหญ่หรือผู้เชี่ยวชาญต่างประเทศ ควรปรึกษาผู้เชี่ยวชาญด้านบัญชีและภาษีตั้งแต่ร่างสัญญา เพื่อป้องกันปัญหาภาษีย้อนหลังที่อาจเกิดขึ้นจากความเข้าใจผิดเรื่องอัตราหัก ณ ที่จ่าย
ใช้บทความนี้กับธุรกิจของคุณอย่างไร
เนื้อหาเรื่อง บริษัทที่ปรึกษา DevSecOps จดทะเบียนวางระบบบัญชีไง ควรนำไปใช้ตรวจสอบกับเอกสารและตัวเลขจริงของกิจการ ไม่ใช่อ่านเพื่อจำคำศัพท์ เพราะแนวทางบัญชีและภาษีขึ้นกับข้อเท็จจริง เอกสาร และรอบเวลาที่เกิดรายการของแต่ละธุรกิจ
เช็กลิสต์ก่อนนำไปใช้
- รวบรวมเอกสารรายรับ รายจ่าย ภาษีซื้อ-ขาย และรายการธนาคารให้ครบตามรอบเดือน
- ตรวจว่าธุรกรรมที่เกี่ยวข้องบันทึกบัญชีถูกต้องและมีหลักฐานรองรับครบถ้วน
- หากไม่แน่ใจเรื่องภาษี ควรปรึกษาผู้ทำบัญชีหรือที่ปรึกษาภาษีก่อนตัดสินใจ
แหล่งอ้างอิงที่ใช้ทบทวน
คำถามที่พบบ่อย (FAQ)
บริษัทที่ปรึกษา DevSecOps ควรจดทะเบียนเป็นบุคคลธรรมดาหรือนิติบุคคล
หากรับงานจากองค์กรขนาดใหญ่หรือธนาคารที่ต้องการทำสัญญากับนิติบุคคล ควรจดทะเบียนเป็นบริษัทจำกัดเพื่อความน่าเชื่อถือและได้สิทธิประโยชน์ภาษี SME เช่น ยกเว้นภาษีกำไรสุทธิ 300,000 บาทแรก
รายได้ค่าที่ปรึกษาแบบโครงการกับแบบรายเดือนบันทึกบัญชีต่างกันอย่างไร
ค่าที่ปรึกษารายโครงการรับรู้รายได้ตามความคืบหน้างานหรือเมื่อส่งมอบงานแต่ละงวด ส่วนค่าบริการรายเดือนควรรับรู้รายได้ตามงวดเดือนที่ให้บริการจริง เพื่อให้สอดคล้องกับหลักการรับรู้รายได้ตามมาตรฐานบัญชี
บริษัทที่ปรึกษาความปลอดภัยไซเบอร์ต้องจด VAT เมื่อไร
ต้องจดทะเบียนภาษีมูลค่าเพิ่มเมื่อรายได้จากการให้บริการรวมเกิน 1.8 ล้านบาทต่อปี ควรตรวจสอบเกณฑ์ปัจจุบันกับกรมสรรพากรและติดตามยอดรายได้สะสมอย่างสม่ำเสมอ
ลูกค้าองค์กรหักภาษี ณ ที่จ่ายจากค่าที่ปรึกษา DevSecOps ต้องทำอย่างไร
ควรขอหนังสือรับรองการหักภาษี ณ ที่จ่าย (50 ทวิ) จากลูกค้าทุกครั้งที่ถูกหัก เพื่อนำมาเครดิตภาษีเงินได้นิติบุคคลตอนยื่นแบบ ภ.ง.ด.50 ประจำปี หากไม่เก็บไว้จะเสียสิทธิ์เครดิตภาษี
ว่าจ้างผู้เชี่ยวชาญความปลอดภัยไซเบอร์ต่างประเทศ ต้องหักภาษีอย่างไร
กรณีนี้มีความซับซ้อนเรื่องภาษีเงินได้ของผู้รับเหมาต่างชาติและอนุสัญญาภาษีซ้อน ควรปรึกษาผู้เชี่ยวชาญด้านภาษีก่อนทำสัญญาเพื่อกำหนดอัตราและวิธีนำส่งภาษีที่ถูกต้อง
ค่าฝึกอบรมทีมพัฒนาซอฟต์แวร์ควรบันทึกเป็นรายได้ประเภทเดียวกับค่าที่ปรึกษาหรือไม่
ควรแยกบัญชีรายได้ค่าฝึกอบรมออกจากค่าที่ปรึกษาหลัก เพื่อให้วิเคราะห์ความสามารถทำกำไรของแต่ละบริการได้ชัดเจนและวางแผนธุรกิจได้แม่นยำขึ้น
บริษัทที่ปรึกษา DevSecOps ขนาดเล็กจำเป็นต้องมีผู้ทำบัญชีทันทีหรือไม่
จำเป็น เพราะกฎหมายกำหนดให้นิติบุคคลทุกแห่งต้องมีผู้ทำบัญชีที่มีคุณสมบัติตามที่กำหนดตั้งแต่เริ่มดำเนินกิจการ ไม่ว่าขนาดรายได้จะมากหรือน้อย