Organization Anatomy 101 — สารบัญ: บริษัทใหญ่ทำงานยังไง

เขียนซีรีส์ CISA มา อ้าว เจอเรื่องนึงที่กลับมาทุก domain เลย — โครงสร้างขององค์กร

CISO รายงานใคร? Three Lines Model คืออะไร? ทำไม board ต้องมี audit committee? ทำไม CIO กับ CTO รวมกันได้แต่ CIO กับ CISO รวมกันไม่ได้?

เรื่องพวกนี้ไม่ได้อยู่ใน CRM ของ ISACA โดยตรง — มันเป็น business knowledge ระดับฐาน ที่ทุกคนน่าจะรู้ ไม่ใช่แค่คนสอบ CISA แต่เป็น entrepreneur, employee, investor, นักศึกษา หรือใครก็ตามที่อยากเข้าใจว่าบริษัทใหญ่ๆ มันทำงานยังไง

ผมเลยเขียนเป็น mini-series 6 ตอน — แต่ละตอนสั้น เน้นภาพรวม + เข้าใจง่าย ไม่ต้องเป็นคน IT ก็ตามได้

📚 สารบัญ 6 ตอน#

EP.01 — บริษัทโตจาก 1 คน ไปยัง Conglomerate ยังไง #

ภาพรวม 7 stage ของวิวัฒนาการบริษัท — จากเถ้าแก่คนเดียว → ทีมเล็ก → department → multi-department → enterprise → public company → conglomerate group แต่ละ stage มีอะไรเพิ่มและทำไมต้องเพิ่ม

EP.02 — Shareholder + Board: เจ้าของจริง vs คนตัดสินใจ #

ใครเป็นเจ้าของบริษัทจริงๆ? ทำไม shareholder ไม่บริหารเอง? Board คือใคร มี 3 ประเภท (ED / NED / ID) Chairman vs CEO ต่างกันยังไง

EP.03 — Board Committees: sub-team ของ board #

Audit Committee (สำคัญสุด), Risk Committee, Nomination, Compensation, IT/Cyber, ESG — ทำไม board ต้องตั้ง committee สมาชิกใครได้บ้าง

EP.04 — C-Suite Anatomy: ทุกตำแหน่ง Chief ที่ควรรู้จัก #

CEO, COO, CFO, CIO, CTO, CISO, CHRO, CMO, CRO, CLO, DPO, CAE — ใครทำอะไร, ใครรายงานใคร, ทำไม CISO ห้ามรายงาน CIO

EP.05 — Three Lines Model + GRC: ใครทำ ใครกำกับ ใครตรวจ #

Mental model หลักที่อธิบาย org chart ของบริษัทใหญ่ทั้งโลก: Line 1 ทำ / Line 2 กำกับ / Line 3 ตรวจ + GRC framework

EP.06 — Conflict-of-Interest + เคสที่ governance ล้ม #

กฎเหล็กของ conflict of interest + 6 เคสจริง: Enron, Wirecard, FTX, Theranos, Wells Fargo, Lehman + pattern ที่ใช้ judge บริษัทอื่นได้

ทำไมต้องเข้าใจเรื่องนี้#

สำหรับ entrepreneur: ตอนบริษัทเล็ก คิดยังไงก็ได้ครับ แต่พอบริษัทโตปุ๊บจะเริ่มเจอปัญหาที่ตอนเล็กๆ ไม่เคยมี — รู้โครงสร้างไว้ก่อน เตรียมตัวได้ทันก่อนปัญหามา

สำหรับ employee: เข้าใจว่าตัวเองอยู่ตรงไหนใน big picture — ดู org chart แล้วรู้ว่าใครมีอำนาจอะไร ใครรายงานใคร ทำงานอย่างเข้าใจมากขึ้น

สำหรับ investor: ก่อนซื้อหุ้นบริษัทไหน ดู governance ของมันก่อน บริษัทที่ board มีแต่เพื่อน CEO กับญาติๆ — เออ สัญญาณอันตรายเลยครับ จริงๆ เรื่องนี้สำคัญพอๆ กับงบการเงิน

สำหรับนักศึกษา: เข้าใจ governance ทำให้ได้เปรียบเวลาทำงานในบริษัทใหญ่ — เห็นภาพ, ถามคำถามได้, ตอบ interview ได้ดีกว่า

สำหรับคนสอบ CISA / CIA / CPA: เป็น foundation ที่ทุก domain ต้องใช้ จำได้ดี → ตอบข้อสอบเร็วขึ้นมาก

5 Mental Models ที่จะติดตัวไปตลอด#

ถ้าจำได้แค่ 5 อย่าง — ขอให้จำ 5 อย่างนี้:

Model 1: Run vs Oversight vs Audit = Three Lines#

ทุก function ในบริษัทตอบได้ว่าตัวเองอยู่ Line ไหน

Line 1 (run): ทำงาน
Line 2 (oversee): กำกับ + framework
Line 3 (audit): ตรวจ + assurance

Model 2: Solid vs Dotted Reporting#

Solid line = สั่ง + ประเมิน + จ่ายเงินเดือน
Dotted line = แจ้ง + escalation channel
CISO: solid → CEO, dotted → Risk Committee
CAE: solid → Audit Committee, admin → CEO

Model 3: Conflict of Interest = ตรวจ/กำกับซึ่งกันและกัน#

2 ตำแหน่งห้ามรวมเมื่อ:

A กำกับ B (oversight)
A ตรวจ B (audit)
KPI ขัดกัน (incentive conflict)

Model 4: Independence = Structural ไม่ใช่ Physical#

Internal Audit มี desk ในบริษัทเดียวกัน — แต่รายงาน Audit Committee = independent
External Auditor ไม่ใช่พนักงาน — แต่ถ้าทำ consulting ด้วย = ไม่ independent
Independence อยู่ที่ โครงสร้าง reporting ไม่ใช่ระยะทางทางกายภาพ

Model 5: Governance ≠ Management#

Governance = กำกับ — Board, Committee, owner
Management = บริหาร — CEO + C-Suite
2 layer แยกกันชัด ไม่งั้น = ตรวจตัวเอง

เริ่มอ่านจากตรงไหนดี?#

อยากเข้าใจภาพใหญ่ก่อน: อ่านตามลำดับ EP.01 → EP.06
มีคำถามเฉพาะเรื่อง: เปิดตอนที่เกี่ยวข้องตรงๆ
แค่อยากรู้ว่า CISO รายงานใคร: ไป EP.04 เลย
อยากเข้าใจ Three Lines: ไป EP.05 ตรงๆ
อยากเห็นเคสที่ governance ล้ม: ไป EP.06

หวังว่าซีรีส์นี้จะมีประโยชน์ครับ เขียนผิดตรงไหนหรือไม่ชัด ทักท้วงได้เลย — เนื้อหาเยอะขนาดนี้มี blind spot แน่นอน