ผู้เชี่ยวชาญด้าน DevSecOps ที่ผันตัวมาเปิดบริษัทที่ปรึกษาให้องค์กรวางระบบความปลอดภัยในกระบวนการพัฒนาซอฟต์แวร์ มักถนัดเรื่องเทคนิคแต่ยังไม่แน่ใจว่าควรจดทะเบียนธุรกิจแบบไหนและวางระบบบัญชีอย่างไรให้รองรับรายได้ค่าที่ปรึกษาที่มาจากหลายรูปแบบสัญญา บทความนี้สรุปขั้นตอนตั้งแต่จดทะเบียนจนถึงระบบบัญชีที่ควรมี

DevSecOps Consulting คือธุรกิจแบบไหน

DevSecOps (Development, Security, Operations) คือแนวทางการผนวกความปลอดภัยเข้าไปในทุกขั้นตอนของการพัฒนาซอฟต์แวร์ ตั้งแต่การเขียนโค้ด การทดสอบ ไปจนถึงการนำระบบขึ้นใช้งานจริง บริษัทที่ปรึกษาสายนี้มักให้บริการ 3 รูปแบบหลัก คือ (1) ที่ปรึกษาวางระบบ CI/CD Pipeline ที่มีการตรวจสอบความปลอดภัยอัตโนมัติ (2) ตรวจสอบช่องโหว่ความปลอดภัย (Security Audit/Penetration Testing) และ (3) ฝึกอบรมทีมพัฒนาให้เขียนโค้ดปลอดภัย รายได้จึงมีทั้งแบบโครงการระยะสั้น สัญญาบริการรายเดือน และค่าฝึกอบรมเป็นครั้งคราว

ความท้าทายด้านบัญชีของธุรกิจนี้คือรายได้แต่ละประเภทมีรอบการรับรู้รายได้และภาระภาษีที่ต่างกัน หากไม่วางระบบแยกให้ชัดเจนตั้งแต่ต้น จะทำให้การปิดงบและยื่นภาษีประจำปีสับสนและอาจคำนวณรายได้ผิดงวด

ควรจดทะเบียนธุรกิจแบบไหน: บุคคลธรรมดา หรือ นิติบุคคล

ผู้เชี่ยวชาญ DevSecOps ที่เพิ่งเริ่มรับงานที่ปรึกษาจำนวนไม่มาก อาจเริ่มต้นในนามบุคคลธรรมดาได้ แต่เมื่อรับงานจากองค์กรขนาดใหญ่ ธนาคาร หรือหน่วยงานที่ต้องทำสัญญาแบบมีเงื่อนไขความรับผิด (Liability) และมาตรฐานความปลอดภัยสูง ลูกค้าส่วนใหญ่มักต้องการทำสัญญากับนิติบุคคลมากกว่าบุคคลธรรมดา เพราะสะดวกต่อการตรวจสอบและมีความน่าเชื่อถือด้านการรับผิดชอบทางกฎหมาย

การจดทะเบียนเป็นบริษัทจำกัดยังช่วยให้ได้สิทธิประโยชน์ภาษี SME สำหรับกิจการที่มีทุนจดทะเบียนชำระแล้วไม่เกิน 5 ล้านบาทและรายได้ไม่เกิน 30 ล้านบาทต่อปี ซึ่งได้รับยกเว้นภาษีสำหรับกำไรสุทธิ 300,000 บาทแรก และเสียอัตรา 15% สำหรับกำไรสุทธิส่วนที่เกิน 300,000 บาทแต่ไม่เกิน 3,000,000 บาท ส่วนที่เกินเสียอัตราปกติ 20%

ขั้นตอนจดทะเบียนบริษัทที่ปรึกษา DevSecOps

  • จองชื่อนิติบุคคล ผ่านระบบของกรมพัฒนาธุรกิจการค้า (DBD) และตรวจสอบว่าไม่ซ้ำหรือคล้ายกับชื่อที่จดทะเบียนแล้ว
  • จดทะเบียนหนังสือบริคณห์สนธิและจัดตั้งบริษัท ระบุวัตถุประสงค์ให้ครอบคลุมงานที่ปรึกษาด้านเทคโนโลยีสารสนเทศ ความปลอดภัยไซเบอร์ และการฝึกอบรม
  • ขอเลขประจำตัวผู้เสียภาษีอากรนิติบุคคล จากกรมสรรพากรทันทีหลังจดทะเบียนบริษัท
  • พิจารณาจดทะเบียนภาษีมูลค่าเพิ่ม หากคาดว่ารายได้จะเกิน 1.8 ล้านบาทต่อปี หรือจดทะเบียนล่วงหน้าเพื่อความสะดวกในการออกใบกำกับภาษีให้ลูกค้าองค์กร
  • เปิดบัญชีธนาคารในนามนิติบุคคล แยกจากบัญชีส่วนตัวโดยเด็ดขาด เพื่อให้การกระทบยอดบัญชีทำได้ง่ายและถูกต้อง
  • วางระบบบัญชีและแต่งตั้งผู้ทำบัญชี ตามที่กฎหมายกำหนดสำหรับนิติบุคคลทุกแห่ง

วางระบบบัญชีตามประเภทรายได้ของ DevSecOps Consulting

เนื่องจากรายได้ของธุรกิจนี้มาจากหลายรูปแบบสัญญา ควรวางผังบัญชีแยกประเภทรายได้อย่างชัดเจนดังนี้

ประเภทรายได้ลักษณะการรับรู้รายได้ประเด็นที่ต้องระวัง
ค่าที่ปรึกษารายโครงการ (Project-based)รับรู้ตามความคืบหน้าของงานหรือเมื่อส่งมอบงานแต่ละงวดต้องมีสัญญาระบุขอบเขตงานและงวดการรับเงินชัดเจน
ค่าบริการดูแลรายเดือน (Retainer/SLA)รับรู้รายได้ตามงวดเดือนที่ให้บริการจริงควรออกใบแจ้งหนี้และใบกำกับภาษีตรงตามรอบเดือน ไม่รวมยอดข้ามงวด
ค่าฝึกอบรม/Workshopรับรู้รายได้เมื่อจัดอบรมเสร็จสิ้นแต่ละครั้งแยกจากรายได้ที่ปรึกษาหลักเพื่อวิเคราะห์ความสามารถทำกำไรแต่ละบริการ

VAT และภาษีหัก ณ ที่จ่ายที่ต้องจัดการ

เมื่อรายได้รวมเกิน 1.8 ล้านบาทต่อปี บริษัทต้องจดทะเบียน VAT และออกใบกำกับภาษีในอัตรา 7% (ควรตรวจสอบอัตราปัจจุบันกับกรมสรรพากรทุกครั้งที่ยื่นภาษี) สำหรับค่าบริการทุกประเภทที่เรียกเก็บจากลูกค้าในไทย

ในทางกลับกัน เมื่อลูกค้าองค์กรจ่ายค่าที่ปรึกษาให้บริษัท DevSecOps ลูกค้าส่วนใหญ่มีหน้าที่หักภาษี ณ ที่จ่ายจากค่าบริการก่อนโอนเงิน บริษัทจึงควรขอหนังสือรับรองการหักภาษี ณ ที่จ่าย (50 ทวิ) จากลูกค้าทุกครั้ง เพื่อนำมาเครดิตภาษีเงินได้นิติบุคคลตอนยื่นแบบ ภ.ง.ด.50 ประจำปี อัตราหัก ณ ที่จ่ายที่ถูกต้องขึ้นอยู่กับลักษณะสัญญาและประเภทบริการ ควรตรวจสอบกับผู้เชี่ยวชาญด้านภาษีหรือกรมสรรพากรก่อนตกลงเงื่อนไขสัญญากับลูกค้า

หากบริษัทว่าจ้างผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ต่างประเทศมาช่วยงานเฉพาะโครงการ ต้องพิจารณาเรื่องภาษีเงินได้ของผู้รับเหมาต่างชาติและอนุสัญญาภาษีซ้อนร่วมด้วย ซึ่งมีความซับซ้อนสูงและควรปรึกษาผู้เชี่ยวชาญก่อนทำสัญญา

ข้อผิดพลาดที่พบบ่อยของบริษัทที่ปรึกษา DevSecOps

  • ไม่แยกรายได้ตามประเภทสัญญาในผังบัญชี: ทำให้วิเคราะห์กำไรของแต่ละบริการไม่ได้ และเสี่ยงรับรู้รายได้ผิดงวดบัญชี
  • ลืมขอใบหัก ณ ที่จ่ายจากลูกค้าองค์กรใหญ่: ทำให้เสียสิทธิ์เครดิตภาษีตอนยื่นแบบประจำปีและต้องจ่ายภาษีเต็มจำนวน
  • ทำสัญญาค่าบริการรายเดือนแบบไม่ระบุขอบเขตงานชัดเจน: ทำให้ตกลงอัตราหัก ณ ที่จ่ายผิดประเภทและมีปัญหาภายหลัง
  • ไม่จดทะเบียน VAT ทั้งที่รายได้เกินเกณฑ์แล้ว: เพราะคิดว่าเป็นธุรกิจที่ปรึกษาขนาดเล็กไม่ต้องจด ซึ่งเป็นความเข้าใจที่ผิด
  • ไม่มีระบบติดตามใบแจ้งหนี้ค้างชำระของลูกค้าองค์กร: ธุรกิจที่ปรึกษามักมีรอบชำระเงินยาว ทำให้กระแสเงินสดตึงตัวหากไม่ติดตามอย่างเป็นระบบ

ตัวอย่างสถานการณ์จริง

บริษัทที่ปรึกษา DevSecOps แห่งหนึ่งมีรายได้จาก 3 ทาง คือ ค่าที่ปรึกษาวางระบบ CI/CD ให้ลูกค้าธนาคารแบบโครงการ 1.5 ล้านบาท ค่าบริการตรวจสอบความปลอดภัยรายเดือนให้ลูกค้าอีคอมเมิร์ซ 40,000 บาทต่อเดือน และค่าฝึกอบรมทีมพัฒนาซอฟต์แวร์ให้บริษัทเทคโนโลยี 300,000 บาทต่อปี รวมรายได้ทั้งปีประมาณ 2.28 ล้านบาท ทำให้ต้องจดทะเบียน VAT เพราะเกินเกณฑ์ 1.8 ล้านบาท และต้องขอใบหัก ณ ที่จ่ายจากลูกค้าทั้ง 3 รายเพื่อนำมาเครดิตภาษีตอนยื่น ภ.ง.ด.50 ประจำปี

คำแนะนำเชิงปฏิบัติ

บริษัทที่ปรึกษา DevSecOps ควรวางผังบัญชีแยกตามประเภทรายได้ตั้งแต่วันแรก จัดทำระบบติดตามใบแจ้งหนี้และใบหัก ณ ที่จ่ายให้ครบทุกสัญญา และตรวจสอบเกณฑ์ VAT อย่างสม่ำเสมอเมื่อรายได้เติบโต หากมีแผนรับงานจากองค์กรขนาดใหญ่หรือผู้เชี่ยวชาญต่างประเทศ ควรปรึกษาผู้เชี่ยวชาญด้านบัญชีและภาษีตั้งแต่ร่างสัญญา เพื่อป้องกันปัญหาภาษีย้อนหลังที่อาจเกิดขึ้นจากความเข้าใจผิดเรื่องอัตราหัก ณ ที่จ่าย

ใช้บทความนี้กับธุรกิจของคุณอย่างไร

เนื้อหาเรื่อง บริษัทที่ปรึกษา DevSecOps จดทะเบียนวางระบบบัญชีไง ควรนำไปใช้ตรวจสอบกับเอกสารและตัวเลขจริงของกิจการ ไม่ใช่อ่านเพื่อจำคำศัพท์ เพราะแนวทางบัญชีและภาษีขึ้นกับข้อเท็จจริง เอกสาร และรอบเวลาที่เกิดรายการของแต่ละธุรกิจ

เช็กลิสต์ก่อนนำไปใช้

  • รวบรวมเอกสารรายรับ รายจ่าย ภาษีซื้อ-ขาย และรายการธนาคารให้ครบตามรอบเดือน
  • ตรวจว่าธุรกรรมที่เกี่ยวข้องบันทึกบัญชีถูกต้องและมีหลักฐานรองรับครบถ้วน
  • หากไม่แน่ใจเรื่องภาษี ควรปรึกษาผู้ทำบัญชีหรือที่ปรึกษาภาษีก่อนตัดสินใจ

แหล่งอ้างอิงที่ใช้ทบทวน

คำถามที่พบบ่อย (FAQ)

บริษัทที่ปรึกษา DevSecOps ควรจดทะเบียนเป็นบุคคลธรรมดาหรือนิติบุคคล

หากรับงานจากองค์กรขนาดใหญ่หรือธนาคารที่ต้องการทำสัญญากับนิติบุคคล ควรจดทะเบียนเป็นบริษัทจำกัดเพื่อความน่าเชื่อถือและได้สิทธิประโยชน์ภาษี SME เช่น ยกเว้นภาษีกำไรสุทธิ 300,000 บาทแรก

รายได้ค่าที่ปรึกษาแบบโครงการกับแบบรายเดือนบันทึกบัญชีต่างกันอย่างไร

ค่าที่ปรึกษารายโครงการรับรู้รายได้ตามความคืบหน้างานหรือเมื่อส่งมอบงานแต่ละงวด ส่วนค่าบริการรายเดือนควรรับรู้รายได้ตามงวดเดือนที่ให้บริการจริง เพื่อให้สอดคล้องกับหลักการรับรู้รายได้ตามมาตรฐานบัญชี

บริษัทที่ปรึกษาความปลอดภัยไซเบอร์ต้องจด VAT เมื่อไร

ต้องจดทะเบียนภาษีมูลค่าเพิ่มเมื่อรายได้จากการให้บริการรวมเกิน 1.8 ล้านบาทต่อปี ควรตรวจสอบเกณฑ์ปัจจุบันกับกรมสรรพากรและติดตามยอดรายได้สะสมอย่างสม่ำเสมอ

ลูกค้าองค์กรหักภาษี ณ ที่จ่ายจากค่าที่ปรึกษา DevSecOps ต้องทำอย่างไร

ควรขอหนังสือรับรองการหักภาษี ณ ที่จ่าย (50 ทวิ) จากลูกค้าทุกครั้งที่ถูกหัก เพื่อนำมาเครดิตภาษีเงินได้นิติบุคคลตอนยื่นแบบ ภ.ง.ด.50 ประจำปี หากไม่เก็บไว้จะเสียสิทธิ์เครดิตภาษี

ว่าจ้างผู้เชี่ยวชาญความปลอดภัยไซเบอร์ต่างประเทศ ต้องหักภาษีอย่างไร

กรณีนี้มีความซับซ้อนเรื่องภาษีเงินได้ของผู้รับเหมาต่างชาติและอนุสัญญาภาษีซ้อน ควรปรึกษาผู้เชี่ยวชาญด้านภาษีก่อนทำสัญญาเพื่อกำหนดอัตราและวิธีนำส่งภาษีที่ถูกต้อง

ค่าฝึกอบรมทีมพัฒนาซอฟต์แวร์ควรบันทึกเป็นรายได้ประเภทเดียวกับค่าที่ปรึกษาหรือไม่

ควรแยกบัญชีรายได้ค่าฝึกอบรมออกจากค่าที่ปรึกษาหลัก เพื่อให้วิเคราะห์ความสามารถทำกำไรของแต่ละบริการได้ชัดเจนและวางแผนธุรกิจได้แม่นยำขึ้น

บริษัทที่ปรึกษา DevSecOps ขนาดเล็กจำเป็นต้องมีผู้ทำบัญชีทันทีหรือไม่

จำเป็น เพราะกฎหมายกำหนดให้นิติบุคคลทุกแห่งต้องมีผู้ทำบัญชีที่มีคุณสมบัติตามที่กำหนดตั้งแต่เริ่มดำเนินกิจการ ไม่ว่าขนาดรายได้จะมากหรือน้อย