Organization Anatomy EP.05 — Three Lines Model + GRC: ใครทำ ใครกำกับ ใครตรวจ

📚 EP นี้เป็นตอนที่ 5 ของ mini-series Organization Anatomy 101 — สารบัญรวม อยู่ที่นี่

ถ้าจำได้แค่ EP เดียวจากซีรีส์นี้ — ขอให้จำตอนนี้ครับ

เพราะ Three Lines Model เป็น mental model หลัก ที่อธิบาย org chart ของบริษัทใหญ่ทั่วโลก — เห็น chart ของ Goldman Sachs, ปตท., หรือ Microsoft — pattern เดียวกันหมด

Three Lines Model — concept สั้นๆ#

ทุกบริษัทใหญ่มี 3 ชั้น ของคนที่ทำงานเกี่ยวกับ control:

ชั้น	บทบาท	ใคร
Line 1	คนทำ	ทุก department ที่ทำงานจริง (ops, sales, finance, IT)
Line 2	คนกำกับ	Risk, Compliance, CISO, DPO
Line 3	คนตรวจ	Internal Audit (ใต้ CAE)

ทั้ง 3 ชั้นรายงานขึ้น Board — แต่คนละทาง:

Line 1 + Line 2 → ผ่าน CEO ขึ้น Board
Line 3 → ตรง Audit Committee (ไม่ผ่าน CEO)

ฟังเหมือนซับซ้อน แต่จริงๆ ง่ายมาก — ลองยกตัวอย่างจริงให้ดู

Scenario: บริษัทขายของออนไลน์ มี risk เรื่อง fraud (โดนสวมรอย, ใช้บัตรเครดิตปลอม)

Line 1 (ทำ) — ทีม Payment Operations:

ทุก transaction > 50,000 บาท → ต้องมี 2FA + manual review
รัน control นี้ทุกวัน
รับผลกระทบโดยตรงเมื่อมีปัญหา

Line 2 (กำกับ) — ทีม Risk + Fraud Prevention:

ตั้ง policy: fraud loss ต้องไม่เกิน 0.1% ของ volume
จัดหา tooling (fraud detection model)
Aggregate report ทุกเดือนขึ้น Risk Committee
ไม่ได้ทำ control เอง — แต่บอก Line 1 ว่า control ที่ดีคือยังไง

Line 3 (ตรวจ) — Internal Audit:

ทุกปี audit Line 1 ว่าทำตาม policy จริงไหม
ทุก 2 ปี audit Line 2 ว่า framework + tooling พอไหม
ออก audit report → Audit Committee
ไม่ได้ทำ control + ไม่ได้กำกับ — แค่ประเมิน

3 ชั้นทำคนละอย่าง ไม่ทับซ้อน ไม่ตรวจตัวเอง

Line 1 — คนทำ#

ใคร: ทุก department ที่ทำงานจริง — IT ops, sales, finance, HR, manufacturing, customer service ฯลฯ

ทำอะไร:

เป็นเจ้าของ process + risk ของงานตัวเอง
Design + run controls ใน daily work
รับผลโดยตรงเมื่อ control fail

ตัวอย่าง control:

ฝ่ายบัญชี: “จ่ายเงิน > 100,000 ต้อง 2 คนเซ็น”
IT Ops: “deploy production ต้อง peer review”
ฝ่ายขาย: “ลูกค้าใหม่ต้อง KYC ก่อน”

Mindset: “ฉันรับผิดชอบป้องกันปัญหาในงานฉันก่อน — ไม่รอให้ audit มาจับ”

ตำแหน่งใน C-Suite: CEO, COO, CFO, CIO, CTO, CHRO, CMO ส่วนใหญ่อยู่ Line 1

Line 2 — คนกำกับ#

ใคร: Risk function (CRO), Compliance, Information Security (CISO), Privacy (DPO), Quality

ทำอะไร:

Set framework — risk appetite, security policy, compliance program
Aggregate risk จากทุก department ขึ้น board
Provide guidance — บอก Line 1 ว่า control ที่ดีคือยังไง
Monitor — ดูว่า Line 1 ทำตามไหม
Challenge — ตั้งคำถามกับ Line 1

Mindset: “ฉันไม่ใช่คนทำ ไม่ใช่คนตรวจ — ฉันคือคู่คิดของ Line 1 ที่มี expertise + รายงานภาพรวมให้ board”

Independence: ไม่ใช่ pure independent — เป็น management ที่ specialty ใน oversight (ต่างจาก Line 3)

ตัวอย่าง:

ธนาคาร: Risk Management department = Line 2 — set credit policy, monitor exposure
Software company: CISO + InfoSec team = Line 2 — set security standard, advisory ให้ DevOps

Line 3 — คนตรวจ#

ใคร: Internal Audit (under CAE)

ทำอะไร:

Independent assurance ต่อ board ว่า governance + risk + control work
ประเมินว่า Line 1 + Line 2 ทำตามที่ policy บอกจริงรึเปล่า
ไม่ design control เอง — แค่ประเมิน (mantra: “audit, not consult”)

Mindset: “ฉันเป็นตาที่สามให้ board”

Independence rule (เข้มที่สุด):

ห้าม design / run control ที่กำลังตรวจ — ตรวจตัวเองทันที
ห้ามรายงาน CEO / CIO / CFO functional
รายงาน Audit Committee ตรง
5 ปีต่อครั้งต้องมี External Quality Assessment (กฎ IIA)

+ External Auditor#

ไม่ใช่พนักงาน — เป็น CPA firm ภายนอก (Big 4: PwC, EY, Deloitte, KPMG)

ทำอะไร:

ตรวจงบการเงินรายปี
ออก audit opinion (clean / qualified / adverse / disclaimer)
รายงานต่อ Audit Committee + shareholder

หลังเคส Enron — ห้าม audit firm ทำทั้ง audit + consulting พร้อมกัน + audit partner ต้อง rotate ทุก 5-7 ปี

ทำไมต้องแยก 3 ชั้น?#

ตอบสั้นๆ: independence + accountability

Line 1 ตรวจตัวเอง = ไม่น่าเชื่อ → ต้องมี Line 2
Line 2 ตรวจตัวเอง = ไม่น่าเชื่ออีก → ต้องมี Line 3
Line 3 อิสระจาก Line 1+2 = ตรวจได้จริง
แล้ว Line 3 ตรวจตัวเองล่ะ? → ต้องมี External Quality Assessment ทุก 5 ปี — กลายเป็น recursive 555+

ผิดเสมอ vs ถูกเสมอ#

ผิด	ถูก
CISO รายงาน CIO	CISO รายงาน CEO หรือ Risk Committee
Internal Audit ใต้ CFO	Internal Audit ตรง Audit Committee
CRO ใต้ CFO	CRO รายงาน CEO + dotted Risk Committee
Line 3 design control	Line 3 แค่ประเมิน
Line 2 = Line 3	Line 2 advise / Line 3 audit — คนละหน้าที่

GRC = Governance + Risk + Compliance#

Three Lines บอก ใคร ทำหน้าที่อะไร — GRC บอก เรื่องอะไร ที่ต้องทำ

Governance#

“ใครตัดสินใจ + accountability”

Board structure
Decision rights (ใครอนุมัติอะไร)
Policy framework
Performance measurement

Risk#

“ความเสี่ยง + วิธีจัดการ”

5 ขั้นตอน:

Identify — risk อะไรบ้าง
Assess — likelihood × impact
Treat — Avoid / Mitigate / Transfer / Accept
Monitor — ติดตาม
Report — risk register, heat map

ประเภท risk ที่บริษัททั่วไปต้องบริหาร: Strategic / Operational / Financial / Cyber / Compliance / Reputational / ESG / Geopolitical

Compliance#

“ตามกฎ” — มี 4 ระดับ:

กฎหมาย — PDPA, GDPR, SOX (สูงสุด)
Regulation — ก.ล.ต., ธปท., คปภ.
Industry standard — ISO 27001, PCI DSS, NIST
Internal policy — Code of Conduct, IT policy

GRC × Three Lines = Matrix#

	Governance (G)	Risk (R)	Compliance (C)
Line 1 (do)	implement policy	identify + control risk	follow regulation
Line 2 (oversee)	set policy framework	ERM + risk register	compliance officer
Line 3 (audit)	audit governance	audit risk mgmt	audit compliance
Board	own governance	own risk appetite	accountable to regulator

ใช้ matrix นี้ทำอะไร:

ออกแบบ org chart — ดูว่าบริษัทเรามีคนทำครบทุก cell ไหม
Audit plan — Internal Audit เลือก area ที่จะตรวจ
Job description — เขียน JD ให้ชัดว่าตำแหน่งนี้อยู่ cell ไหน

ในธนาคาร — เคสที่เข้มที่สุด#

ธนาคารเป็น industry ที่ regulator (ธปท. + Basel) บังคับ Three Lines เข้มสุด:

ต้องมี CRO ตรง Risk Committee
CISO/CIO แยก
Internal Audit independent
External Auditor rotate
รายงาน regulator รายไตรมาส
on-site exam ทุกปี

ทำไมเข้มขนาดนี้? เพราะธนาคารเอาเงินคนอื่น (deposit) ไป leverage 10-15 เท่า — ผิดเล็กกระทบเศรษฐกิจระดับชาติเลย

สรุป EP นี้#

Three Lines: Line 1 ทำ / Line 2 กำกับ / Line 3 ตรวจ
GRC: Governance / Risk / Compliance — เรื่องที่ต้องบริหาร
GRC × Three Lines = matrix ที่ออกแบบ org chart ได้
Independence rule: Line 3 ห้ามทำ control ที่ตัวเองตรวจ, CISO ห้ามใต้ CIO, IA ห้ามใต้ CFO

EP ต่อไปคือตอนสุดท้าย — เคสจริงที่ governance ล้ม Enron, Wirecard, FTX, Theranos, Wells Fargo — pattern เดียวกันที่จะใช้ judge บริษัทอื่นได้ในอนาคต

ตอนต่อไป: EP.06 — Conflict + Failure Cases: เมื่อ governance ล้ม

ตอนก่อนหน้า: EP.04 — C-Suite Anatomy