สารบัญ
📚 EP นี้เป็นตอนที่ 6 (ตอนสุดท้าย) ของ mini-series Organization Anatomy 101 — สารบัญรวม อยู่ที่นี่
ทุก EP ก่อนนี้พูดถึง “ควรเป็นยังไง” — EP สุดท้ายนี้พูดถึง “ผิดพลาดยังไงเมื่อไม่ทำตาม”
ผมจะเล่าเคสจริง 6 เคสในประวัติศาสตร์ — ทั้งหมดล้มเพราะ governance ผิด pattern เดียวกัน รู้ pattern แล้วใช้ judge บริษัทอื่นได้
กฎทอง — เมื่อไหร่ที่ห้ามรวมตำแหน่ง
ห้ามรวม เมื่อ 2 ตำแหน่งมี:
- Oversight relationship — ตำแหน่งหนึ่งกำกับอีกตำแหน่ง
- Audit relationship — ตำแหน่งหนึ่งตรวจอีกตำแหน่ง
- Conflicting incentives — KPI ขัดกัน
Combinations ที่ห้าม
| รวมไม่ได้ | เพราะ |
|---|---|
| CIO + CISO | CISO ต้องกำกับ CIO — รวม = กำกับตัวเอง |
| CIO + CAE | CAE ตรวจ CIO — รวม = ตรวจตัวเอง |
| CEO + CAE | CAE ตรวจ CEO |
| CFO + CAE | CAE ตรวจ CFO |
| CISO + DPO (GDPR) | DPO ต้องอิสระจาก security ops |
| CFO + Treasurer (บริษัทใหญ่) | Cash management vs financial reporting |
Combinations ที่รวมได้
| รวมได้ | เพราะ |
|---|---|
| CIO + CTO | ไม่ขัด — เสริมกัน |
| CFO + COO | ไม่มี oversight ของกันและกัน |
| CEO + Chairman | controversial แต่ไม่ผิดกฎ |
| CLO + DPO | กฎหมาย + privacy เสริมกัน |
Reporting lines ที่ห้าม
| Reporting | ผิดเพราะ |
|---|---|
| CISO → CIO | run vs oversight conflict |
| CISO → CTO | delivery vs security conflict |
| CAE → CEO functional | CEO กดดัน findings |
| CAE → CFO | CFO ถูกตรวจ |
| External Auditor → CFO | CFO ถูกตรวจ |
| CRO → CFO | CFO กดดันลด risk findings |
6 เคสที่ governance ล้มจริง
ทุกเคสนี้ root cause มาจาก governance failure — ไม่ใช่แค่ “ผู้บริหารโกง” แต่ ระบบไม่ได้ออกแบบให้จับเรื่องโกงได้
1. Enron (2001) — auditor + consultant คนเดียวกัน
สิ่งที่เกิด:
- บริษัทพลังงานใหญ่อันดับ 7 ของอเมริกา (revenue $100B+)
- ใช้ off-balance-sheet entities ซ่อนหนี้
- หุ้น 0.26 ใน 1 ปี ล้มละลาย พนักงาน 20,000 ตกงาน
Governance failure:
- Arthur Andersen (auditor) ทำทั้ง audit + consulting — audit fee 27M = ไม่กล้า qualify opinion
- Audit Committee weak — ไม่ challenge management
- Internal Audit ใต้ CFO (Andrew Fastow ที่ออกแบบ scheme เอง)
Outcome:
- Sarbanes-Oxley Act 2002 ออก — บังคับแยก audit จาก consulting, CEO/CFO เซ็นรับรอง, Audit Committee 100% ID
- Arthur Andersen ล้มทั้ง firm
- PCAOB ตั้งขึ้นเพื่อกำกับ audit firm
2. Wirecard (2020) — €1.9B ที่ไม่มีอยู่จริง
สิ่งที่เกิด:
- บริษัท fintech เยอรมัน เคยอยู่ DAX 30
- งบบอกมี cash €1.9B ใน escrow ที่ฟิลิปปินส์
- ความจริง — เงินไม่มีอยู่จริง
- หุ้นตก 99% ใน 1 สัปดาห์
Governance failure:
- EY confirm บัญชีฟิลิปปินส์ผ่าน letter โดยไม่ตรวจของจริง 3 ปีติด
- BaFin (regulator) ปกป้องบริษัทแทนที่จะตรวจ
- Whistleblower ถูกเพิกเฉย
Outcome:
- EY ห้ามรับ audit ใหม่ในเยอรมัน 2 ปี
- BaFin หัวหน้าลาออก
- Audit firm rotation บังคับใหม่
3. FTX (2022) — ไม่มี governance เลย
สิ่งที่เกิด:
- crypto exchange อันดับ 2 ของโลก valuation $32B
- Sam Bankman-Fried ใช้เงินลูกค้าไป gamble ที่ Alameda
- ล้มภายใน 1 สัปดาห์
Governance failure? เอาตรงๆ ก็ทุกอย่างนั่นแหละ 555+
- ไม่มี board functional — board มี SBF + พ่อ + เพื่อน
- ไม่มี CFO
- ไม่มี Internal Audit
- ไม่มี risk management
- ไม่มี compliance officer
- ไม่มี separation customer fund vs company fund
- External Auditor (Prager Metis) firm เล็ก ไม่มีประสบการณ์ crypto
John Ray III (Liquidator คนเดียวกับ Enron) ถึงขั้นพูดว่า “ไม่เคยเจอ corporate failure ที่ไม่มี governance ขนาดนี้มาก่อน”
Outcome:
- SBF ติดคุก 25 ปี
- เงินลูกค้า ~$8B หาย
4. Theranos — board ที่ดังแต่ไม่มีความรู้
สิ่งที่เกิด:
- Startup อ้างจะตรวจเลือดได้ 200 อย่างจาก finger prick
- valuation $9B
- Technology ไม่ work — ตรวจผิดผู้ป่วยเป็นพันๆคน
Governance failure:
- Board มีแต่คนดัง — Henry Kissinger, James Mattis, George Shultz, William Perry
- ไม่มีแพทย์, ไม่มี biotech expert ใน board
- Whistleblower (หลานของ board member) ถูก Elizabeth Holmes ข่มขู่
- CFO ที่ตั้งคำถามถูกไล่ออก
Outcome:
- Holmes ติดคุก 11 ปี
- Sunny Balwani (COO) ติดคุก 13 ปี
- Lesson: board composition ต้อง match กับ business — ไม่ใช่แค่ดัง
5. Wells Fargo (2016) — culture + incentive ผิด
สิ่งที่เกิด:
- ธนาคารใหญ่อันดับ 3 ของอเมริกา
- พนักงานเปิดบัญชี + บัตรเครดิต 3.5 ล้านบัญชี ในชื่อลูกค้าโดยไม่ขออนุญาต
Governance failure:
- Sales incentive system (“8 products per customer”) กดดันพนักงานสุดโต่ง
- Tone-at-the-top ผิด — management รู้แต่ไม่แก้
- Internal control fail — บัญชี dormant 3.5M ไม่ trigger alert
- Whistleblower 5,300 คนถูก retaliated against
Outcome:
- $3B settlement
- Fed cap asset growth — ห้ามโตเลย 5+ ปี (asset cap ยังอยู่จนถึง 2025!)
- CEO 2 คน + 5,300 พนักงานถูกไล่ออก
6. Lehman Brothers (2008) — leverage + auditor ปิดตา
สิ่งที่เกิด:
- Investment bank อายุ 158 ปี ล้มในวันเดียว
- Trigger global financial crisis
- ใช้ “Repo 105” ซ่อนหนี้ในไตรมาส-end
Governance failure:
- Leverage 30:1 — ไม่มี risk challenge
- Auditor (E&Y) รู้แต่ approve
- Risk officer ที่ raise concern ถูก demote
Outcome:
- Trigger Basel III + Dodd-Frank
- Stress test (CCAR) ของ Fed
- ห้าม Repo 105
Common Pattern ของทุกเคส
ลอง pattern match — ทุกเคสมี อย่างน้อย 3 ใน 5 ของอาการนี้:
- Founder/CEO มีอำนาจล้น — ไม่มีคน challenge ได้
- Board weak — ไม่ independent หรือไม่มี expertise relevant
- Internal Audit / CRO / CISO อ่อน — หรือถูก co-opted
- External Auditor มี conflict — หรือไม่ทำงานจริง
- Whistleblower ถูก retaliated against — หรือเพิกเฉย
เห็นบริษัทไหนมี 3+ ของอาการนี้ — สงสัยไว้ก่อนเลยครับ
นี่ไม่ใช่ทฤษฎีเลื่อนลอย — pattern นี้เอาไป judge บริษัทจริงที่จะเอาเงินไปลงทุนได้เลย
ใช้ความรู้นี้ยังไง
สำหรับ entrepreneur
- ตอนตั้งบริษัท คิด structure ตั้งแต่แรก ไม่ต้องรอใหญ่
- ตั้ง board ที่มี diverse expertise — ไม่ใช่แค่เพื่อน
- ออก policy ตั้งแต่ stage 3-4 ก่อนปัญหาจะมา
สำหรับ employee / candidate
- ดู org chart ก่อนไปสมัคร — มี CISO ไหม? CISO รายงานใคร?
- ถามใน interview — “บริษัทมี Audit Committee ไหม?” “Internal Audit รายงานใคร?”
- คำตอบจะบอก culture และ governance maturity
สำหรับ investor
- ก่อนซื้อหุ้น ดู governance ก่อน
- Board มีแต่เพื่อน CEO กับญาติๆ — เออ สัญญาณอันตราย
- เรื่องนี้สำคัญพอๆ กับงบการเงิน
สำหรับนักศึกษา
- กรอบนี้ใช้กับ project ใหญ่ๆ ก็ได้ — แม้ scope เล็กกว่า
- เข้าใจ governance ทำให้ได้เปรียบเวลาทำงานในบริษัทใหญ่
5 Mental Models ที่จะติดตัวไปตลอด
1. Run vs Oversight vs Audit = Three Lines
ทุก function ในบริษัทตอบได้ว่าตัวเองอยู่ Line ไหน
2. Solid vs Dotted Reporting
- Solid line = สั่ง + ประเมิน + จ่ายเงินเดือน
- Dotted line = แจ้ง + escalation
- CISO solid → CEO, dotted → Risk Committee
- CAE solid → Audit Committee, admin → CEO
3. Conflict of Interest = ตรวจ/กำกับซึ่งกันและกัน
2 ตำแหน่งห้ามรวมเมื่อ:
- A กำกับ B (oversight)
- A ตรวจ B (audit)
- KPI ขัดกัน (incentive)
4. Independence = Structural ไม่ใช่ Physical
- Internal Audit มี desk ในบริษัทเดียวกัน — แต่รายงาน Audit Committee = independent
- External Auditor ไม่ใช่พนักงาน — แต่ถ้าทำ consulting ด้วย = ไม่ independent
5. Governance ≠ Management
- Governance = กำกับ — Board, Committee, owner
- Management = บริหาร — CEO + C-Suite
- 2 layer แยกกัน ไม่งั้น = ตรวจตัวเอง
ปิดบท
นี่คือ EP สุดท้ายของ Organization Anatomy 101 — หวังว่าซีรีส์นี้จะช่วยให้เห็นภาพว่าบริษัทใหญ่ทำงานยังไง
ครั้งหน้าเวลาดูข่าว corporate scandal — ลองใช้ pattern นี้วิเคราะห์ดู: 5 อาการของ governance failure อยู่ครบไหม?
ครั้งหน้าเวลาไปสมัครงานบริษัทใหญ่ — ลองถามคำถามที่ผมเขียน: CISO รายงานใคร? Internal Audit รายงานใคร? คำตอบจะบอกเยอะ
ครั้งหน้าเวลาคิดจะลงทุน — ก่อนดูงบ ดู governance ก่อน
หวังว่าจะมีประโยชน์ครับ เขียนไม่ลึกพอตรงไหน หรือเขียนผิด — ทักท้วงได้เลยครับ
ตอนก่อนหน้า: EP.05 — Three Lines Model + GRC
กลับหน้าสารบัญ: Organization Anatomy 101
