การโอนเงินผิดพลาดหรือทุจริตทางการเงินเพียงครั้งเดียวอาจสร้างความเสียหายมูลค่ามหาศาลให้กับบริษัท SME ระบบอนุมัติการเงินที่ดีจึงเป็นหัวใจของการควบคุมภายใน บทความนี้ตอบคำถามว่าใครควรมีสิทธิ์อนุมัติการโอนเงิน และวางระบบอย่างไรให้ปลอดภัย
ทำไมการควบคุมสิทธิ์การโอนเงินจึงสำคัญมากสำหรับ SME
ในบริษัท SME ขนาดเล็ก มักเกิดสถานการณ์ที่พนักงานบัญชีคนเดียวมีทั้งสิทธิ์สร้างคำสั่งโอนเงินและอนุมัติการโอนนั้นด้วยตนเอง นี่คือช่องโหว่ขนาดใหญ่ที่ทำให้เกิดการยักยอกเงินได้โดยง่าย รูปแบบที่พบบ่อยได้แก่การโอนเงินให้บัญชีตัวเองหรือบัญชีพวกพ้อง การปลอมแปลงใบแจ้งหนี้จากซัพพลายเออร์ปลอม หรือการเพิ่มยอดโอนเกินกว่าที่ตกลงกับคู่ค้า
สถิติระดับสากลจาก Association of Certified Fraud Examiners (ACFE) ชี้ว่าธุรกิจขนาดเล็กมักเสียหายจากทุจริตมากกว่าองค์กรขนาดใหญ่ เพราะขาดระบบการตรวจสอบ การวาง Internal Control ด้านการเงินจึงไม่ใช่เรื่องของบริษัทใหญ่เท่านั้น
หลักการพื้นฐาน: Dual Control และ Segregation of Duties
หลักการที่ธนาคารและองค์กรการเงินใช้มานานคือ Dual Control หรือการที่ทุกธุรกรรมต้องผ่านการอนุมัติจากอย่างน้อย 2 คนที่เป็นอิสระจากกัน สำหรับ SME อาจปรับใช้ดังนี้
- พนักงานบัญชีสร้างคำสั่งโอน (Maker)
- ผู้จัดการฝ่ายบัญชีหรือผู้อำนวยการฝ่ายการเงินตรวจสอบและอนุมัติ (Checker)
- เจ้าของหรือกรรมการอนุมัติขั้นสุดท้าย (Approver) สำหรับยอดที่เกินกำหนด
หลักการ Segregation of Duties กำหนดว่าคนที่จัดทำเอกสารไม่ควรเป็นคนเดียวกับที่อนุมัติ และคนที่อนุมัติไม่ควรเป็นคนเดียวกับที่มี Token หรือรหัสผ่านในการโอนเงิน
การกำหนด Authorization Matrix (ตารางอำนาจอนุมัติ)
บริษัท SME ควรกำหนด Authorization Matrix ที่ระบุว่าแต่ละระดับสามารถอนุมัติธุรกรรมได้ในวงเงินเท่าไหร่ ตัวอย่าง
| ระดับผู้อนุมัติ | วงเงินสูงสุดต่อรายการ | ตัวอย่างธุรกรรม |
|---|---|---|
| ผู้จัดการฝ่ายบัญชี | ไม่เกิน 50,000 บาท | ค่าใช้จ่ายประจำ เช่น ค่าน้ำ ค่าไฟ ค่าโทรศัพท์ |
| ผู้อำนวยการฝ่ายการเงิน | ไม่เกิน 500,000 บาท | ชำระหนี้การค้า ค่าจ้างผู้รับเหมา |
| กรรมการผู้จัดการ/เจ้าของ | ไม่มีขีดจำกัด | ธุรกรรมขนาดใหญ่ การลงทุน |
| กรรมการ 2 คน (ลงนามร่วม) | เกิน 1,000,000 บาท | ธุรกรรมพิเศษ การซื้อสินทรัพย์ถาวร |
ตาราง Authorization Matrix นี้ควรได้รับการอนุมัติจากคณะกรรมการบริษัทและทบทวนทุกปี
การจัดการสิทธิ์ Bank Access อย่างปลอดภัย
การควบคุมสิทธิ์ในการเข้าถึงระบบ Internet Banking ของบริษัทเป็นเรื่องละเอียดอ่อนมาก ข้อแนะนำที่ควรปฏิบัติ
- ไม่ควรให้พนักงานคนเดียวมีทั้ง User ID และ Token/OTP: ถ้าเป็นไปได้ ให้แยก Token ไว้กับผู้อนุมัติ และ User ID ไว้กับผู้จัดทำ
- เปิดใช้ Dual Authorization บน Internet Banking: ธนาคารพาณิชย์ส่วนใหญ่ในไทยมีฟีเจอร์นี้ที่กำหนดให้ต้องมีคน 2 คนยืนยันก่อนโอนเงิน ควรเปิดใช้เสมอ
- ตั้ง Daily Transfer Limit ที่เหมาะสม: กำหนดวงเงินโอนต่อวันให้พอดีกับความต้องการจริง ไม่ควรตั้งสูงเกินไปโดยไม่จำเป็น
- รับ SMS/Email Alert ทุกธุรกรรม: เจ้าของควรลงทะเบียนรับแจ้งเตือนทุกการโอนเงินโดยตรงที่โทรศัพท์ส่วนตัว
ขั้นตอนการอนุมัติการจ่ายเงิน (Payment Approval Process)
กระบวนการอนุมัติการจ่ายเงินที่ดีควรมีขั้นตอนดังนี้
- ขั้นที่ 1 — ตรวจสอบเอกสาร: ผู้รับใบแจ้งหนี้ (Invoice) ต้องตรวจสอบว่าตรงกับใบสั่งซื้อ (PO) และสินค้า/บริการที่ได้รับจริง ต้องมีลายเซ็นผู้รับสินค้าหรือบริการ
- ขั้นที่ 2 — จัดทำ Payment Voucher: ฝ่ายบัญชีจัดทำเอกสารการจ่ายเงิน แนบ Invoice, PO, และเอกสารประกอบครบถ้วน
- ขั้นที่ 3 — อนุมัติตาม Authorization Matrix: ส่งเอกสารให้ผู้มีอำนาจตามวงเงิน อนุมัติด้วยลายเซ็นจริงหรือลายเซ็นอิเล็กทรอนิกส์
- ขั้นที่ 4 — โอนเงินและบันทึกบัญชี: ฝ่ายบัญชีดำเนินการโอนตามเอกสารที่ได้รับอนุมัติ และบันทึกในบัญชีทันที
- ขั้นที่ 5 — ตรวจสอบ Bank Statement: ผู้บริหารควรตรวจ Bank Statement รายเดือนเปรียบเทียบกับบัญชีแยกประเภท
สิ่งที่ห้ามทำอย่างเด็ดขาดในการจัดการเงินของบริษัท
นอกจากสิ่งที่ควรทำ ยังมีสิ่งที่บริษัท SME ไม่ควรทำเด็ดขาดเพราะเพิ่มความเสี่ยงสูงมาก
- ห้ามใช้บัญชีส่วนตัวของเจ้าของหรือพนักงานในการรับ-จ่ายเงินของบริษัท
- ห้ามให้ใครเก็บ Token หรือรหัสผ่าน Internet Banking ไว้คนเดียวโดยไม่มีการตรวจสอบ
- ห้ามเซ็นเช็คเปล่าล่วงหน้าแม้จะไว้วางใจพนักงานมากแค่ไหน
- ห้ามอนุมัติการโอนเงินผ่านช่องทาง Line หรือโซเชียลมีเดียเพียงอย่างเดียว ต้องมีเอกสารประกอบเสมอ
การตรวจสอบและทบทวนระบบ
ระบบควบคุมที่ดีต้องมีการทบทวนอย่างสม่ำเสมอ ควรปฏิบัติดังนี้
- ผู้บริหารตรวจ Bank Statement ด้วยตนเองทุกเดือน ไม่ใช่รับแค่สรุปจากฝ่ายบัญชี
- ทบทวน Authorization Matrix ทุกปีหรือเมื่อมีการเปลี่ยนแปลงผู้บริหาร
- เพิกถอนสิทธิ์ Bank Access ของพนักงานที่ลาออกทันที ไม่รอถึงสิ้นเดือน
- ให้ผู้สอบบัญชีภายนอกหรือที่ปรึกษาตรวจสอบระบบการอนุมัติอย่างน้อยปีละครั้ง
ใช้บทความนี้กับธุรกิจของคุณอย่างไร
เนื้อหาเรื่อง Internal Control ด้านการอนุมัติการเงิน: ใครควรมีสิทธิ์อนุมัติการโอนเงินในบริษัท SME ควรนำไปใช้ตรวจสอบกับเอกสารและตัวเลขจริงของกิจการ ไม่ใช่อ่านเพื่อจำคำศัพท์ เพราะแนวทางบัญชีและภาษีขึ้นกับข้อเท็จจริง เอกสาร และรอบเวลาที่เกิดรายการของแต่ละธุรกิจ
เช็กลิสต์ก่อนนำไปใช้
- รวบรวมเอกสารรายรับ รายจ่าย ภาษีซื้อ-ขาย และรายการธนาคารให้ครบตามรอบเดือน
- ตรวจว่าธุรกรรมที่เกี่ยวข้องบันทึกบัญชีถูกต้องและมีหลักฐานรองรับครบถ้วน
- หากไม่แน่ใจเรื่องภาษี ควรปรึกษาผู้ทำบัญชีหรือที่ปรึกษาภาษีก่อนตัดสินใจ
แหล่งอ้างอิงที่ใช้ทบทวน
คำถามที่พบบ่อย (FAQ)
Dual Authorization ใน Internet Banking คืออะไร และทุกธนาคารในไทยมีหรือไม่?
Dual Authorization คือฟีเจอร์ที่กำหนดให้การโอนเงินต้องผ่านการยืนยันจาก 2 User ที่แยกกัน โดย User แรกสร้างคำสั่งโอนและ User ที่สองอนุมัติ ธนาคารพาณิชย์ขนาดใหญ่ในไทยส่วนใหญ่มีฟีเจอร์นี้สำหรับบัญชีนิติบุคคล ควรติดต่อธนาคารที่ใช้งานเพื่อเปิดใช้โดยเร็ว
บริษัทขนาดเล็กที่มีพนักงานบัญชีเพียงคนเดียวควรทำอย่างไร?
เจ้าของควรเป็นผู้อนุมัติการโอนเงินทุกรายการด้วยตนเอง แม้จะยุ่งก็ตาม อย่างน้อยควรตรวจสอบ Payment Voucher พร้อมเอกสารประกอบก่อนทุกครั้ง และรับ SMS Alert ทุกการโอนเงินที่โทรศัพท์ส่วนตัว เพื่อตรวจจับความผิดปกติได้ทันที
ควรเก็บ Token Internet Banking ไว้ที่ไหนให้ปลอดภัยที่สุด?
Token ควรอยู่กับผู้มีอำนาจอนุมัติโดยตรง เช่น เจ้าของหรือผู้บริหาร ไม่ใช่กับพนักงานบัญชีที่จัดทำเอกสาร ไม่ควรเก็บ Token ไว้ที่โต๊ะทำงานกลางหรือในลิ้นชักส่วนรวม และควรมีคนเพียงคนเดียวเท่านั้นที่รับผิดชอบ Token แต่ละอัน
การโอนเงินผ่านการอนุมัติทาง Line ถือว่าเพียงพอหรือไม่?
ไม่เพียงพอ การอนุมัติทาง Line ไม่มีหลักฐานที่ป้องกันการโต้แย้งได้ ควรมีเอกสาร Payment Voucher ที่มีลายเซ็นหรือการอนุมัติอิเล็กทรอนิกส์ที่ตรวจสอบย้อนหลังได้ Line สามารถใช้ประกอบการสื่อสารได้ แต่ต้องมีเอกสารหลักที่เป็นทางการเสมอ
ถ้าพนักงานลาออกควรทำอะไรกับสิทธิ์ Bank Access?
ต้องเพิกถอนสิทธิ์ทันทีในวันสุดท้ายของการทำงาน ไม่ควรรอถึงสิ้นเดือน นอกจากนี้ควรเปลี่ยนรหัสผ่านของบัญชีที่พนักงานคนนั้นเคยเข้าถึง และตรวจสอบประวัติการโอนเงินย้อนหลัง 3 เดือนก่อนที่พนักงานจะออกเพื่อหาความผิดปกติ
หากพบว่ามีการโอนเงินโดยไม่ได้รับอนุมัติ ต้องแจ้งกรมสรรพากรหรือไม่?
หากการโอนเงินนั้นถูกบันทึกเป็นค่าใช้จ่ายในบัญชีบริษัทโดยไม่ถูกต้อง อาจส่งผลต่อการคำนวณภาษีเงินได้นิติบุคคล บริษัทควรปรึกษาผู้สอบบัญชีและที่ปรึกษาภาษีเพื่อแก้ไขงบการเงินและยื่นแบบภาษีให้ถูกต้อง หากมีนัยสำคัญควรแจ้งกรมสรรพากร (rd.go.th) เพื่อหลีกเลี่ยงความรับผิดในอนาคต