รับจ้าง Penetration Testing แบบฟรีแลนซ์ต้องออกเอกสารอะไรให้ลูกค้า และเสียภาษีแบบไหน คำตอบสั้นๆ คือรายได้จัดเป็นเงินได้จากการรับจ้างทำของหรือวิชาชีพอิสระตามลักษณะงานจริง ต้องยื่นภาษีเงินได้บุคคลธรรมดา อาจถูกหัก ณ ที่จ่าย และต้องจด VAT หากรายได้เกิน 1.8 ล้านบาทต่อปี บทความนี้อธิบายขั้นตอนออกใบแจ้งหนี้ ใบเสร็จ และการวางระบบเอกสารให้ผู้ว่าจ้างองค์กรตรวจสอบได้

งาน Penetration Testing ฟรีแลนซ์ เข้าเงินได้ประเภทไหน

Penetration Testing หรือการทดสอบเจาะระบบเพื่อหาช่องโหว่ด้านความปลอดภัยไซเบอร์ เป็นงานที่บริษัทองค์กร ธนาคาร และหน่วยงานที่ต้องปฏิบัติตามมาตรฐานความปลอดภัยข้อมูลนิยมจ้างผู้เชี่ยวชาญอิสระหรือทีมเล็กมาทำเป็นโครงการ (project-based) มากกว่าจ้างประจำ เพราะต้องการความเชี่ยวชาญเฉพาะทางในช่วงเวลาสั้นๆ

ในทางภาษี รายได้จากงานนี้มักถูกจัดเป็นเงินได้ตามมาตรา 40(2) เงินได้จากการรับจ้างทำงานให้ หรือมาตรา 40(8) เงินได้จากการรับจ้างทำของ/ประกอบธุรกิจ ขึ้นอยู่กับลักษณะสัญญาจริง เช่น หากทำงานในลักษณะให้บริการเป็นครั้งคราวตามคำสั่งของผู้ว่าจ้างโดยไม่มีการลงทุนอุปกรณ์หรือทีมงานของตัวเอง มักเข้าเงินได้ 40(2) แต่ถ้ามีการวางระบบทดสอบ มีทีมงาน มีต้นทุนดำเนินการของตัวเอง อาจเข้าลักษณะ 40(8) ซึ่งหักค่าใช้จ่ายได้ต่างกัน จุดนี้ควรตรวจสอบกับผู้เชี่ยวชาญด้านภาษีเพื่อจัดประเภทให้ตรงกับลักษณะงานจริงของแต่ละสัญญา

ต้องออกเอกสารอะไรให้ผู้ว่าจ้าง

บริษัทที่ว่าจ้างผู้เจาะระบบอิสระ โดยเฉพาะองค์กรขนาดใหญ่หรือธนาคาร มักต้องการเอกสารครบถ้วนเพื่อใช้เป็นหลักฐานค่าใช้จ่ายและปฏิบัติตามข้อกำหนดด้านการตรวจสอบภายใน เอกสารหลักที่ควรเตรียมมีดังนี้

  • ใบเสนอราคา: ระบุขอบเขตงาน (scope) เช่น ทดสอบ web application, network, mobile app จำนวนวันทำงาน และราคา
  • สัญญาว่าจ้าง (Statement of Work): ระบุขอบเขต วันเริ่ม-สิ้นสุด เงื่อนไขการรักษาความลับ (NDA) และเงื่อนไขการรับผิดชอบหากทดสอบแล้วระบบมีปัญหา
  • ใบแจ้งหนี้ / ใบวางบิล: ออกเมื่อถึงกำหนดชำระตามสัญญา
  • ใบเสร็จรับเงิน: ออกเมื่อได้รับชำระเงินแล้ว
  • ใบกำกับภาษี: จำเป็นเฉพาะกรณีที่จดทะเบียน VAT แล้วเท่านั้น หากยังไม่ได้จด VAT จะออกได้เพียงใบเสร็จรับเงินหรือใบแจ้งหนี้ธรรมดา

เมื่อไหร่ต้องจดทะเบียน VAT

ผู้ประกอบการหรือบุคคลธรรมดาที่มีรายได้จากการให้บริการเกิน 1,800,000 บาทต่อปี มีหน้าที่ต้องจดทะเบียนภาษีมูลค่าเพิ่มกับกรมสรรพากรภายในระยะเวลาที่กฎหมายกำหนด (ควรตรวจสอบรายละเอียดกำหนดเวลาที่แน่นอนกับกรมสรรพากรหรือผู้เชี่ยวชาญด้านภาษี) เมื่อจดแล้วต้องเรียกเก็บ VAT จากลูกค้าในอัตราตามที่กฎหมายกำหนด (ปัจจุบัน 7% แต่ควรตรวจสอบอัตราล่าสุดก่อนออกใบกำกับภาษีทุกครั้ง) และยื่นแบบ ภ.พ.30 เป็นรายเดือน

ฟรีแลนซ์ Penetration Testing ที่รับงานหลายโครงการต่อปีควรประเมินรายได้รวมล่วงหน้า เพราะหากรายได้ใกล้เกณฑ์ 1.8 ล้านบาท การวางแผนจดหรือไม่จด VAT มีผลต่อราคาที่เสนอลูกค้าและกระแสเงินสดโดยตรง

ภาษีหัก ณ ที่จ่าย ที่ลูกค้าองค์กรมักหักไว้

เมื่อบริษัทที่เป็นนิติบุคคลว่าจ้างฟรีแลนซ์ให้บริการ โดยทั่วไปผู้ว่าจ้างมีหน้าที่หักภาษี ณ ที่จ่ายก่อนจ่ายเงิน อัตราที่ใช้ขึ้นอยู่กับประเภทเงินได้และสถานะของผู้รับเงิน (บุคคลธรรมดาหรือนิติบุคคล) ซึ่งอัตราที่ถูกต้องควรตรวจสอบกับผู้เชี่ยวชาญด้านภาษีหรือกรมสรรพากรโดยตรง เพราะอัตราอาจแตกต่างกันระหว่างค่าจ้างทำงาน ค่าบริการ และค่าจ้างทำของ ผู้รับจ้างควรขอหนังสือรับรองการหักภาษี ณ ที่จ่ายทุกครั้งเพื่อนำไปใช้เป็นเครดิตภาษีตอนยื่นแบบประจำปี

เปรียบเทียบรูปแบบการดำเนินงานและภาระเอกสาร

เพื่อให้เห็นภาพชัดขึ้น ตารางต่อไปนี้สรุปความแตกต่างของแต่ละสถานะการดำเนินธุรกิจของผู้รับงาน Penetration Testing

สถานะผู้รับงานเอกสารที่ออกได้ภาระภาษีหลักจุดที่ต้องระวัง
บุคคลธรรมดา ยังไม่จด VATใบแจ้งหนี้ ใบเสร็จรับเงินภาษีเงินได้บุคคลธรรมดา ยื่นปีละครั้ง (และอาจต้องยื่นครึ่งปีตามประเภทเงินได้)ต้องติดตามยอดรายได้สะสมไม่ให้เกิน 1.8 ล้านบาทโดยไม่รู้ตัว
บุคคลธรรมดา จด VAT แล้วใบกำกับภาษี ใบเสร็จรับเงินภาษีเงินได้บุคคลธรรมดา รวมกับ VAT ที่ต้องยื่นรายเดือน (ภ.พ.30)ต้องยื่น VAT ตรงเวลาทุกเดือนแม้เดือนใดไม่มีรายได้
นิติบุคคล (บริษัท/หจก.)ใบกำกับภาษี ใบเสร็จรับเงินในนามบริษัทภาษีเงินได้นิติบุคคล รวมกับ VAT และภาษีหัก ณ ที่จ่ายที่บริษัทต้องนำส่งเมื่อจ่ายพนักงานหรือผู้รับจ้างช่วงต้องทำบัญชีและปิดงบการเงินประจำปีตามกฎหมาย

ตัวอย่างสถานการณ์จริง

สมมติผู้เชี่ยวชาญด้าน Cybersecurity รับงานทดสอบเจาะระบบให้บริษัทฟินเทคแห่งหนึ่ง มูลค่าโครงการ 150,000 บาท ระยะเวลา 2 สัปดาห์ หากยังไม่ได้จดทะเบียน VAT (เพราะรายได้รวมทั้งปียังไม่ถึง 1.8 ล้านบาท) ผู้รับจ้างจะออกใบแจ้งหนี้และใบเสร็จรับเงินตามยอด 150,000 บาท โดยไม่มี VAT ส่วนบริษัทผู้ว่าจ้างจะหักภาษี ณ ที่จ่ายตามอัตราที่กฎหมายกำหนดก่อนโอนเงิน แล้วออกหนังสือรับรองหัก ณ ที่จ่ายให้ผู้รับจ้างเก็บไว้เป็นหลักฐาน เมื่อสิ้นปีผู้รับจ้างนำรายได้ทั้งหมดไปรวมยื่นภาษีเงินได้บุคคลธรรมดา และนำภาษีที่ถูกหักไว้มาเครดิตคืนหรือหักลบภาษีที่ต้องชำระ หากผู้รับจ้างรับงานลักษณะนี้ปีละหลายโครงการจากหลายบริษัท ควรรวมยอดรายได้ทั้งหมดไว้ในสมุดบันทึกเดียว เพื่อประเมินได้ทันทีว่าใกล้ถึงเกณฑ์ต้องจด VAT หรือยัง

ข้อผิดพลาดที่พบบ่อย

  • ไม่ขอหนังสือรับรองหัก ณ ที่จ่าย: ทำให้เสียสิทธิ์นำภาษีที่ถูกหักไปแล้วมาเครดิตคืนตอนยื่นภาษีประจำปี
  • ไม่ติดตามยอดรายได้สะสมทั้งปี: รับงานหลายโครงการจากหลายบริษัทโดยไม่รวมยอด ทำให้พลาดกำหนดจดทะเบียน VAT เมื่อรายได้เกินเกณฑ์
  • ออกใบกำกับภาษีทั้งที่ยังไม่ได้จด VAT: เป็นความผิดตามกฎหมาย ควรออกเพียงใบแจ้งหนี้หรือใบเสร็จรับเงินจนกว่าจะจดทะเบียนแล้ว
  • ไม่แยกรายได้งานฟรีแลนซ์กับรายได้ประจำ: ทำให้คำนวณฐานภาษีและค่าลดหย่อนผิดพลาดตอนยื่นแบบประจำปี
  • ไม่เก็บสัญญาและ scope งานเป็นลายลักษณ์อักษร: หากถูกตรวจสอบภาษีย้อนหลัง จะไม่มีหลักฐานยืนยันลักษณะงานเพื่อจัดประเภทเงินได้ให้ถูกต้อง

คำแนะนำเชิงปฏิบัติสำหรับผู้เจาะระบบอิสระ

ผู้ที่รับงาน Penetration Testing เป็นอาชีพหลักควรพิจารณาว่าจะดำเนินงานในนามบุคคลธรรมดาต่อไป หรือจดทะเบียนเป็นนิติบุคคลเพื่อประโยชน์ด้านภาษีและความน่าเชื่อถือกับลูกค้าองค์กรขนาดใหญ่ ทั้งสองรูปแบบมีข้อดีข้อเสียต่างกัน การตัดสินใจควรพิจารณาจากปริมาณรายได้ ต้นทุนดำเนินงาน และแผนขยายทีมในอนาคต ควรปรึกษาผู้ทำบัญชีหรือที่ปรึกษาภาษีเพื่อวางระบบเอกสารตั้งแต่รับงานแรก จะช่วยลดความเสี่ยงเมื่อรายได้เติบโตขึ้นในอนาคต

ใช้บทความนี้กับธุรกิจของคุณอย่างไร

เนื้อหาเรื่อง รับจ้าง Penetration Testing ฟรีแลนซ์ ออกใบกำกับอย่างไร ควรนำไปใช้ตรวจสอบกับเอกสารและตัวเลขจริงของกิจการ ไม่ใช่อ่านเพื่อจำคำศัพท์ เพราะแนวทางบัญชีและภาษีขึ้นกับข้อเท็จจริง เอกสาร และรอบเวลาที่เกิดรายการของแต่ละธุรกิจ

เช็กลิสต์ก่อนนำไปใช้

  • รวบรวมเอกสารรายรับ รายจ่าย ภาษีซื้อ-ขาย และรายการธนาคารให้ครบตามรอบเดือน
  • ตรวจว่าธุรกรรมที่เกี่ยวข้องบันทึกบัญชีถูกต้องและมีหลักฐานรองรับครบถ้วน
  • หากไม่แน่ใจเรื่องภาษี ควรปรึกษาผู้ทำบัญชีหรือที่ปรึกษาภาษีก่อนตัดสินใจ

แหล่งอ้างอิงที่ใช้ทบทวน

คำถามที่พบบ่อย (FAQ)

รับจ้าง Penetration Testing ต้องจดทะเบียนภาษีมูลค่าเพิ่มเมื่อไหร่

เมื่อรายได้จากการให้บริการรวมทั้งปีเกิน 1,800,000 บาท มีหน้าที่ต้องจดทะเบียนภาษีมูลค่าเพิ่มกับกรมสรรพากร ควรติดตามยอดรายได้สะสมทุกเดือนเพื่อไม่ให้พลาดกำหนดเวลาจดทะเบียน

ยังไม่ได้จด VAT ออกใบกำกับภาษีให้ลูกค้าได้ไหม

ไม่ได้ หากยังไม่ได้จดทะเบียนภาษีมูลค่าเพิ่ม ต้องออกเป็นใบแจ้งหนี้หรือใบเสร็จรับเงินธรรมดาเท่านั้น การออกใบกำกับภาษีทั้งที่ไม่มีสิทธิ์ถือเป็นความผิดตามกฎหมาย

บริษัทที่ว่าจ้างต้องหักภาษี ณ ที่จ่ายหรือไม่

โดยทั่วไปนิติบุคคลที่จ่ายเงินค่าบริการให้ผู้รับจ้างมีหน้าที่หักภาษี ณ ที่จ่ายตามประเภทเงินได้ อัตราที่ถูกต้องควรตรวจสอบกับผู้เชี่ยวชาญด้านภาษีหรือกรมสรรพากรตามลักษณะสัญญาแต่ละกรณี

งาน Penetration Testing จัดเป็นเงินได้ประเภทใดตามกฎหมายภาษี

ขึ้นอยู่กับลักษณะงานจริง อาจเป็นเงินได้มาตรา 40(2) หากรับจ้างทำงานให้ตามคำสั่งผู้ว่าจ้าง หรือมาตรา 40(8) หากมีลักษณะประกอบธุรกิจรับจ้างทำของที่มีต้นทุนดำเนินการเอง ควรปรึกษาผู้เชี่ยวชาญเพื่อจัดประเภทให้ถูกต้อง

ควรทำงานในนามบุคคลธรรมดาหรือจดทะเบียนบริษัทดีกว่ากัน

ขึ้นอยู่กับปริมาณรายได้และแผนธุรกิจ หากรายได้เติบโตต่อเนื่องและต้องการทำงานกับองค์กรขนาดใหญ่ที่ต้องการความน่าเชื่อถือสูง การจดทะเบียนนิติบุคคลอาจช่วยเรื่องภาษีและภาพลักษณ์ ควรปรึกษาผู้ทำบัญชีเพื่อเปรียบเทียบก่อนตัดสินใจ

หากลืมขอหนังสือรับรองหัก ณ ที่จ่ายจากลูกค้า ทำอย่างไรได้บ้าง

ควรติดต่อลูกค้าเพื่อขอออกหนังสือรับรองหัก ณ ที่จ่ายย้อนหลังโดยเร็วที่สุด เนื่องจากเป็นหลักฐานสำคัญในการนำภาษีที่ถูกหักไว้มาเครดิตคืนตอนยื่นแบบภาษีเงินได้ประจำปี

เก็บเอกสารสัญญาและใบแจ้งหนี้นานแค่ไหน

ควรเก็บเอกสารทางบัญชีและภาษี เช่น สัญญา ใบแจ้งหนี้ ใบเสร็จ และหนังสือรับรองหัก ณ ที่จ่าย ไว้อย่างน้อยตามระยะเวลาที่กฎหมายกำหนดสำหรับการเก็บเอกสารทางบัญชี เพื่อรองรับการตรวจสอบย้อนหลังจากกรมสรรพากร