913 คำ
5 นาที
Organization Anatomy EP.04 — C-Suite: ทุกตำแหน่ง Chief ที่ควรรู้จัก
2026-05-09
เรื่องราวธุรกิจ
เปิดบริษัท หัดทำธุรกิจ
ธุรกิจ
/
การจัดการ
/
governance
/
organization-anatomy
สารบัญ
CEO — Chief Executive Officer COO — Chief Operating Officer CFO — Chief Financial Officer CIO — Chief Information Officer CTO — Chief Technology Officer CISO — Chief Information Security Officer Reporting (สำคัญที่สุด!) CHRO — Chief Human Resources Officer CMO — Chief Marketing Officer CRO — Chief Risk Officer CLO — Chief Legal Officer / General Counsel DPO — Data Protection Officer CAE — Chief Audit Executive Reporting (strict กว่า CISO!) ตำแหน่งใหม่ๆ ที่เริ่มเห็น สรุปตารางทั้งหมด Mental Map ภาพ 1: เส้นบังคับบัญชาปกติ (CEO ลงมา) ภาพ 2: ตำแหน่ง oversight (ไม่ผ่าน CEO) สรุป EP นี้

📚 EP นี้เป็นตอนที่ 4 ของ mini-series Organization Anatomy 101 — สารบัญรวม อยู่ที่นี่

ทุกครั้งที่ดูข่าวบริษัท หรืออ่าน LinkedIn — เราจะเจอตำแหน่ง C-อะไรไม่รู้เต็มไปหมด CEO ก็พอเข้าใจ แต่ COO ต่างจาก CEO ยังไง? CIO กับ CTO เหมือนกันไหม? แล้ว CISO อีกล่ะ?

ตอนนี้ผมพา walk-through ทุกตำแหน่ง C-level สำคัญ — สั้นๆ ไม่ลึกเกินจำเป็น เน้น “ใครทำอะไร” + “ใครห้ามรายงานใคร”

CEO — Chief Executive Officer#

หัวหน้า management — คนที่บริหารบริษัทรายวัน

ทำอะไร:

  • กำหนด strategy + execute
  • แต่งตั้ง C-Suite
  • รับผิดชอบ result ต่อ board

รายงานใคร: Board

Compensation: ขึ้นกับขนาดบริษัท — Fortune 500 CEO เฉลี่ย $15-50M/ปี อัตราส่วน CEO-pay-to-worker = 300-500x (controversial)

COO — Chief Operating Officer#

Number 2 — รองจาก CEO ดูแล operation ในบริษัท

ทำอะไร:

  • บริหาร operation รายวัน
  • ทำให้ strategy ของ CEO เกิดขึ้นจริง
  • มัก oversee revenue-generating side (sales, manufacturing, supply chain)

บริษัทแบบไหนมี COO?

  • บริษัทใหญ่ที่ CEO โฟกัส strategy + investor — ทำงาน operation ไม่ทันคนเดียว
  • Tech company ที่ CEO เป็น product/visionary (เช่น Sheryl Sandberg ที่ Meta)

บริษัทแบบไหนไม่มี: บริษัทเล็ก/กลาง ที่ CEO ทำเอง — หรือ founder-CEO ที่อยากคุม operation เอง

รายงานใคร: CEO

CFO — Chief Financial Officer#

หัวหน้าฝ่ายการเงิน — ตำแหน่งที่ regulator จับตามากสุดรองจาก CEO

ทำอะไร:

  1. Financial reporting — ออกงบการเงิน (เซ็นรับรอง — ฝ่าฝืน = อาญา ตาม SOX 302)
  2. Treasury — บริหาร cash, การเงิน, หุ้นกู้
  3. FP&A — Financial Planning & Analysis (budget, forecast)
  4. Tax — ภาษี, transfer pricing
  5. Investor Relations — คุยกับ shareholder + analyst
  6. Compliance financial — ตามกฎ ก.ล.ต./ตลาด

รายงาน:

  • Solid line: CEO
  • Dotted line: Audit Committee — เพราะ CFO รับผิดชอบงบที่ Audit Committee ตรวจ

ทำไม dotted line? เพื่อให้ CFO แจ้ง Audit Committee ตรงได้ ถ้า CEO กดดันให้ตกแต่งงบ — เป็นช่อง escalate ที่ไม่ผ่าน CEO

CIO — Chief Information Officer#

หัวหน้า IT operation — ดูแล tech ที่ทำให้บริษัทเดิน

ทำอะไร:

  • Run IT infrastructure + applications
  • กำหนด IT strategy
  • บริหาร IT budget (มัก 3-7% ของ revenue)
  • Vendor management (เลือก/บริหาร vendor IT)

Mindset: “ทำให้ทุกอย่าง work + ปลอดภัย + cost-effective”

รายงาน: CEO หรือ COO (แล้วแต่บริษัท)

โดยอุตสาหกรรม:

  • ธนาคาร/insurance: CIO มีอำนาจสูงมาก IT คือ operation หลัก
  • Manufacturing: CIO ระดับกลาง — IT support ไม่ใช่ core
  • Retail: CIO เริ่มสำคัญขึ้นจาก omnichannel

CTO — Chief Technology Officer#

หัวหน้า technology development — ออกแบบ tech, build product

CIO vs CTO:

CIOCTO
โฟกัสใช้ tech ทำให้ business เดินสร้าง tech เป็น product
Mindsetreliability + costinnovation + product
Customerinternal usersend customer
ตัวอย่างhead of corporate IThead of engineering

ในบริษัท non-tech (ธนาคาร, retail): CTO อาจไม่มี — รวมเป็น CIO อย่างเดียว

ในบริษัท tech (Meta, Google, Salesforce): CIO + CTO แยกชัด — CIO ดู corporate IT, CTO ดู product engineering

CISO — Chief Information Security Officer#

หัวหน้า cybersecurity — กำกับ security ทั่วบริษัท

ทำอะไร:

  • Security policy + strategy
  • Threat detection + incident response
  • Compliance (ISO 27001, SOC 2, PCI DSS)
  • Awareness training
  • Security operations center (SOC)
  • รายงาน security risk ต่อ board

Reporting (สำคัญที่สุด!)#

ห้ามรายงาน CIO ครับ — กฎเหล็ก

ทำไม? เพราะ:

  • CIO มี KPI = “ระบบ work, on time, on budget”
  • CISO มี KPI = “ระบบปลอดภัย”
  • 2 KPI ขัดกันโดยธรรมชาติ — security ทำให้ project ช้าลง + แพงขึ้น
  • ถ้า CISO ใต้ CIO → CIO กดดันให้ลด security findings → vulnerabilities ไม่ถูกปิด

ห้ามรายงาน CTO เช่นกัน — เหตุผลเดียวกัน (delivery vs security)

ห้ามรายงาน CFO — CFO อาจกดดันให้ลด budget security

ควรรายงาน:

  • CEO ตรงๆ (best)
  • CRO (Risk Committee)
  • หรือ Risk Committee ของ board (ดีที่สุดในยุคใหม่)

นี่ไม่ใช่กฎที่ผมแต่งเอง — NIST, ISO, ISACA ทุก standard เขียนแบบนี้หมด

CHRO — Chief Human Resources Officer#

หัวหน้า HR — บริหาร “ทรัพยากรที่แพงที่สุดของบริษัท คือคน”

ทำอะไร:

  • Talent strategy (recruit, retain, develop)
  • Compensation + benefits design
  • Performance management
  • Culture + engagement
  • Labor relations (สหภาพ, กฎหมายแรงงาน)

Trend หลังปี 2020:

  • Hybrid work — บริษัทไหนเอา remote ไหน on-site
  • DEI (Diversity, Equity, Inclusion)
  • Mental health benefits
  • AI in HR (recruiting automation)

รายงาน: CEO

CMO — Chief Marketing Officer#

หัวหน้า marketing + brand

ทำอะไร:

  • Brand strategy
  • Campaign + advertising
  • Digital marketing
  • Customer insight + research
  • PR + communications

ความท้าทาย: ROI วัดยาก — “ใช้เงินแล้วได้อะไร” ตอบยากกว่า department อื่น เลย CMO ในหลายบริษัทอายุงานสั้นที่สุดใน C-Suite (เฉลี่ย 3-4 ปี)

CRO — Chief Risk Officer#

หัวหน้า risk management ระดับองค์กร

ทำอะไร:

  • กำหนด enterprise risk framework
  • maintain risk register
  • challenge management on risk
  • รายงาน risk ต่อ Risk Committee + board

บริษัทแบบไหนมี: ธนาคาร, insurance, บริษัทใหญ่ที่ regulator เข้ม

รายงาน:

  • Solid line: CEO (หรือบางที่ CEO ผ่าน CFO — ไม่แนะนำ)
  • Dotted line: Risk Committee

CLO — Chief Legal Officer / General Counsel#

หัวหน้าฝ่ายกฎหมาย

ทำอะไร:

  • Contract review + negotiation
  • Litigation (ฟ้อง/โดนฟ้อง)
  • Regulatory affairs
  • M&A legal
  • Corporate secretary functions

รายงาน: CEO + dotted Audit Committee (เพราะมีเรื่อง compliance)

DPO — Data Protection Officer#

หัวหน้าข้อมูลส่วนบุคคล — ตำแหน่งใหม่หลังกฎ privacy เข้ม

ทำอะไร:

  • กำกับ PDPA / GDPR compliance
  • Privacy impact assessment
  • Data subject rights (ขอลบ, ขอแก้, etc.)
  • คุยกับ regulator (สคส. ในไทย)

ทำไมต้องอิสระ? GDPR Article 38 กำหนด — DPO ต้องอิสระจาก operations เพราะถ้า DPO ใต้ CIO/CTO/CMO ก็ตรวจตัวเอง

ใครต้องมี:

  • บริษัทใน EU (GDPR บังคับ)
  • บริษัทไทยที่ process ข้อมูลส่วนบุคคลเยอะ (PDPA แนะนำ)
  • บริษัทที่ทำ B2C scale ใหญ่

CISO ≠ DPO:

  • CISO = ดูแลความปลอดภัยข้อมูล (technical)
  • DPO = ดูแลสิทธิ์ของเจ้าของข้อมูล (legal)
  • รวมกันได้ในบริษัทเล็ก แต่ในบริษัทใหญ่ต้องแยก

CAE — Chief Audit Executive#

หัวหน้า Internal Audit

ทำอะไร:

  • ตรวจสอบ internal control + risk management ทั่วบริษัท
  • ออก audit report → recommendation
  • ติดตาม remediation
  • รายงาน assurance ต่อ Audit Committee

Reporting (strict กว่า CISO!)#

  • Functional: Audit Committee (ตรง ไม่ผ่าน CEO)
  • Administrative: CEO (เรื่อง HR, salary)

ห้ามรายงาน CFO — เพราะ CFO ถูกตรวจ ห้ามรายงาน CEO functional — เพราะ CEO อาจกดดัน findings

Sub-teams ใต้ CAE:

  • IT Audit
  • Financial Audit
  • Operational Audit
  • Compliance Audit
  • Fraud Audit / Investigation

ตำแหน่งใหม่ๆ ที่เริ่มเห็น#

  • CDO (Chief Data Officer) — ดู data analytics + data strategy
  • CSO (Chief Sustainability Officer) — ESG, sustainability
  • CAIO (Chief AI Officer) — AI strategy (เริ่มมีหลัง ChatGPT)
  • CXO (Chief Experience Officer) — customer experience

สรุปตารางทั้งหมด#

ตำแหน่งทำอะไรรายงานใครห้ามรายงาน
CEOบริหารบริษัทBoard(ทำงานสูงสุด)
COOoperation รายวันCEO-
CFOการเงินCEO + dotted Audit Committee-
CIOIT operationCEO/COO-
CTOtech productCEO-
CISOsecurityCEO หรือ Risk CommitteeCIO, CTO, CFO
CHROคนCEO-
CMObrandCEO-
CROriskCEO + dotted Risk CommitteeCFO
CLOกฎหมายCEO + dotted Audit Committee-
DPOprivacyindependentCIO, CTO, CMO
CAEinternal auditAudit Committee ตรงCEO functional, CFO

Mental Map#

อ่านยาวมาแล้ว — สรุปเป็นภาพสั้นๆ

ภาพ 1: เส้นบังคับบัญชาปกติ (CEO ลงมา)#

                Board of Directors
                      
                      │ จ้าง / ไล่
                      
                     CEO
        ┌────────┬────┴────┬─────────┐
        │        │         │         │
       COO      CFO       CIO       CHRO ...
        │        │         │
       ops    finance     IT

ทุก C-level ปกติ → รายงาน CEO เป็นเส้น solid line (สั่ง + ประเมิน + จ่ายเงินเดือน)

ภาพ 2: ตำแหน่ง oversight (ไม่ผ่าน CEO)#

              Board of Directors
                /         \
        Audit Committee   Risk Committee
              ▲                ▲
              │ solid          │ dotted
              │                │
             CAE              CRO ────► CEO (admin)
        (Internal Audit)

3 ตำแหน่งนี้ ไม่อยู่ใต้ CEO functional — เพราะตรวจ/กำกับ CEO + management:

  • CAE (Internal Audit) → solid line ขึ้น Audit Committee, admin ผ่าน CEO
  • CRO (Chief Risk Officer) → solid line CEO, dotted line Risk Committee
  • CISO (Security) → ปกติใต้ CEO หรือ CRO — ห้ามใต้ CIO/CTO/CFO

กฎสำคัญ 3 ข้อ:

  1. CAE → Audit Committee (ตรง — independence สูงสุด ไม่ผ่าน CEO functional)
  2. CISO ≠ ใต้ CIO/CTO/CFO — ต้องเป็น peer ไม่ใช่ใต้ คนที่ตัวเองตรวจ
  3. DPO ต้องอิสระจาก operations — privacy ≠ security ≠ marketing — รวมในคนเดียวกับ CISO/CMO ไม่ได้

สรุป EP นี้#

  • C-Suite = ระดับ executive ที่ board แต่งตั้ง บริหารบริษัทรายวัน
  • ตำแหน่ง core: CEO, CFO, COO
  • ตำแหน่ง tech: CIO (run IT), CTO (build product), CISO (security)
  • ตำแหน่ง support: CHRO, CMO, CLO
  • ตำแหน่ง oversight: CRO (risk), DPO (privacy), CAE (audit)
  • กฎทอง: CISO/CAE/CRO/DPO ต้องไม่อยู่ใต้คนที่ตัวเองตรวจ — ไม่งั้นเสีย independence

EP ต่อไปเจาะ Three Lines Model + GRC — framework ที่อธิบายว่าทำไมต้องแยก function แบบนี้

ตอนต่อไป: EP.05 — Three Lines Model + GRC: ใครทำ ใครกำกับ ใครตรวจ

ตอนก่อนหน้า: EP.03 — Board Committees

Ciel
interviewed by Ciel
JustNotOrdinary's Chief-of-Staff →
Organization Anatomy EP.03 — Board Committees: sub-team ของ board
Organization Anatomy EP.05 — Three Lines Model + GRC: ใครทำ ใครกำกับ ใครตรวจ
© 2026 Just Not Ordinary. All Rights Reserved. / Sitemap