ปัจจุบันหลายองค์กรพึ่งพาระบบดิจิทัล ในการจัดทำบัญชี ออกใบกำกับภาษี และเก็บข้อมูลลูกค้า ความถูกต้องและความปลอดภัยของข้อมูลจึงมีความสำคัญสูงสุด แต่หลายองค์กรกลับมองข้าม “การตรวจสอบระบบ IT (IT Audit)” เพราะเข้าใจว่าเป็นเรื่องของฝ่ายเทคนิคเท่านั้น ความจริงแล้ว การไม่ตรวจสอบระบบสารสนเทศ อาจทำให้องค์กร เผชิญความเสี่ยงทางบัญชีและภาษี ที่ส่งผลร้ายแรงต่อทั้งชื่อเสียง กฎหมาย และงบการเงินของบริษัทได้
5 ความเสี่ยงทางบัญชีและภาษี หากไม่มี IT Audit
ความเสี่ยงที่ 1 : ข้อมูลบัญชีผิดพลาดโดยไม่รู้ตัว (Data Integrity Risk)
“ข้อมูลผิดเพียง 1 ตัวเลข อาจทำให้ทั้งงบการเงินผิดไปทั้งเล่ม” ในระบบบัญชีดิจิทัล เช่น ERP หรือโปรแกรมบัญชีออนไลน์ หากไม่มีการตรวจสอบระบบอย่างสม่ำเสมอ อาจเกิดปัญหาดังนี้
– ระบบไม่ตรวจสอบการป้อนข้อมูล (Input Validation)
– มีการบันทึกซ้ำหรือบันทึกข้ามบัญชี
– ไม่มีระบบ Audit Trail ตรวจสอบการแก้ไขข้อมูลย้อนหลัง
ผลลัพธ์คือข้อมูลทางบัญชีไม่ถูกต้อง นำไปสู่การจัดทำงบการเงินที่คลาดเคลื่อน และผู้สอบบัญชีภายนอกอาจไม่สามารถรับรองงบได้
การตรวจสอบระบบ IT จะช่วย ตรวจสอบความถูกต้องของข้อมูลบัญชี (Data Accuracy) และความสมบูรณ์ของระบบควบคุมภายในทางเทคโนโลยี (IT General Controls)
ความเสี่ยงที่ 2 : ความเสี่ยงจากการทุจริตภายในระบบ (Fraud Risk)
เมื่อระบบไม่มีการตรวจสอบสิทธิ์การเข้าถึง (Access Control) หรือการแยกหน้าที่ (Segregation of Duties) ที่เหมาะสม ผู้ใช้งานบางรายอาจสามารถ สร้าง แก้ไข และอนุมัติรายการบัญชีได้ในคนเดียว — ซึ่งเป็นช่องทางหลักของการทุจริต
ตัวอย่างที่พบบ่อย เช่น
– การแก้ไขข้อมูลรายจ่ายหรือยอดขายย้อนหลัง
– การสร้างเอกสารเทียม เช่น ใบกำกับภาษีปลอม
– การโอนเงินผ่านระบบโดยไม่มีผู้อนุมัติที่แท้จริง
การตรวจสอบระบบ IT จะช่วย ตรวจสอบสิทธิ์ผู้ใช้งาน (User Access Review) และระบบอนุมัติ (Approval Flow) เพื่อให้มั่นใจว่าไม่มีผู้ใดสามารถควบคุมธุรกรรมได้เพียงลำพัง
ความเสี่ยงที่ 3: ความผิดพลาดด้านภาษีอิเล็กทรอนิกส์ (e-Tax Risk)
เมื่อองค์กรใช้ระบบ e-Tax Invoice หรือ e-Receipt โดยไม่มีการตรวจสอบระบบ IT ที่เหมาะสม อาจเกิดกรณีต่อไปนี้ได้:
– ใบกำกับภาษีถูกออกซ้ำ / ไม่ตรงกับข้อมูลขายจริง
– ระบบจัดเก็บข้อมูลภาษีไม่มีการเข้ารหัส หรือเข้าถึงได้โดยไม่ได้รับอนุญาต
– การส่งข้อมูลภาษีไปกรมสรรพากรไม่ครบถ้วน
ผลคือองค์กรอาจถูกตรวจสอบย้อนหลัง หรือโดนค่าปรับและเบี้ยปรับภาษีจำนวนมากจากข้อมูลไม่ตรงกัน
การตรวจสอบระบบ IT จะช่วย ทดสอบกระบวนการทำงานของระบบ e-Tax ให้สอดคล้องตามข้อกำหนดของกรมสรรพากร และตรวจสอบระบบบันทึกข้อมูลภาษีให้ปลอดภัยตามกฎหมาย PDPA
ความเสี่ยงที่ 4: การละเมิด PDPA และกฎหมายไซเบอร์ (Compliance Risk)
ข้อมูลลูกค้า คู่ค้า และพนักงานที่ถูกจัดเก็บในระบบบัญชีและภาษี ล้วนถือเป็น “ข้อมูลส่วนบุคคล” ตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA)
หากไม่มีการควบคุมระบบสารสนเทศที่ดีพอ เช่น
– ไม่มีการเข้ารหัส (Encryption)
– ไม่มีการจำกัดสิทธิ์เข้าถึงข้อมูล
– ไม่มีการเก็บ Log การเข้าถึงระบบ
องค์กรอาจละเมิด PDPA โดยไม่รู้ตัว และถูกปรับสูงสุดถึง 5 ล้านบาทต่อกรณี หรือในบางกรณีอาจมีความผิดตาม พระราชบัญญัติความมั่นคงปลอดภัยไซเบอร์ อีกด้วย
การตรวจสอบระบบ IT จะช่วย ตรวจสอบให้มั่นใจว่าระบบ IT ขององค์กรปฏิบัติตามกฎหมายและข้อกำหนดด้านความมั่นคงปลอดภัยสารสนเทศ
ความเสี่ยงที่ 5: การสูญหายของข้อมูลและระบบหยุดชะงัก (Business Continuity Risk)
ไม่มีอะไรสร้างความเสียหายได้มากเท่าการ “สูญหายของข้อมูลบัญชีและภาษี” เนื่องจากไม่มีการสำรองข้อมูล (Backup) และการทดสอบการกู้คืน (Recovery) ที่เหมาะสม หลายองค์กรพบว่าข้อมูลสำคัญถูกลบโดยไม่ได้ตั้งใจ หรือถูกโจมตีด้วย Ransomware ทำให้ไม่สามารถออกงบหรือยื่นภาษีได้ตามกำหนด
การตรวจสอบระบบ IT จะช่วย ตรวจสอบระบบสำรองข้อมูล (Backup & Recovery) รวมถึงแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan) เพื่อให้แน่ใจว่าองค์กรสามารถฟื้นฟูระบบได้ทุกเมื่อ
สรุป: การไม่มี IT Audit คือ “ช่องโหว่ใหญ่ที่สุดขององค์กรยุคดิจิทัล”
การทำบัญชีและภาษีในยุคนี้ไม่ใช่แค่เรื่องของตัวเลข แต่คือเรื่องของ “ระบบและความปลอดภัยของข้อมูล”หากองค์กรไม่มีการตรวจสอบ IT Audit อย่างต่อเนื่อง ข้อมูลที่สำคัญที่สุดอาจกลายเป็นช่องโหว่ของความเสียหายทั้งทาง การเงิน กฎหมาย และชื่อเสียง ดังนั้นองค์กรควรทำ IT Audit อย่างน้อยปีละ 1 ครั้ง เพื่อประเมินความปลอดภัยของระบบและลดความเสี่ยงในทุกมิติ
โทรศัพท์ : (02) 596-0500
โทรสาร : (02) 596-0539
อีเมล์ : group@dharmniti.co.th
