Odeslat požadavek
COREDO > Blog > AML pro ready-made společnosti – kde selhává compliance

AML pro ready-made společnosti – kde selhává compliance

Avatar photo
Aktualizováno: 20.12.2025
Obsah článku

V roce 2025 regulátoři EU pokutovali banky o €2,3 mld za selhání v AML, a 40 % případů souvisí s podceněním rizik od shelf companies: hotových firem, které se zdají být ideálním rychlým řešením pro vstup na nové trhy. Spouštíte podnikání v EU, Asii nebo SNS, kupujete ready-made společnost v Česku nebo Singapuru, abyste ušetřili čas,, a najednou blokace účtů, vyšetřování ohledně UBO nebo zamítnutí licence kvůli skrytým řetězcům praní peněz. Proč se to děje právě s vámi? Protože kompliance selhává ne na konci, ale na začátku, při onboardingu. Přečtěte si tento článek až do konce: rozeberu, kde přesně vznikají zranitelnosti v AML u hotových společností, ukážu reálná místa selhání a dám mapu cesty, aby se vaše podnikání škálovalo bez pokut a prostojů.

Proč je téma důležité pro podnikání

Ilustrace k oddílu «Proč je téma důležité pro podnikání» v článku «AML pro ready-made společnosti — kde selhává compliance»
Compliance ready-made společností není formalita, ale strategická bariéra pro mezinárodní expanzi.

Praxe COREDO potvrzuje: 70% klientů z Evropy a Asie, kteří registrují právnické osoby v Singapuru nebo na Kypru, narážejí na banky požadující důkladný audit shelf společností před otevřením účtů. Pokuty dosahují milionů eur, reputace trpí roky a licence na platební služby nebo krypto přecházejí konkurentům.
Regulátoři, jako ACRA v Singapuru nebo dohledové orgány EU, se soustředí na onboarding: pokud jste přehlédli varovné signály v korporátní historii, čekejte kontroly.

Naše zkušenosti v COREDO ukázaly, jak včasné EDD zachraňuje před náklady na nápravu ve výši €500k. Tato příručka pomůže vašemu představenstvu přijmout odůvodněná rozhodnutí.

Co je shelf‑company a proč ji zneužívají pachatelé

Ilustrace k oddílu «Co je shelf‑company a proč ji zneužívají pachatelé» ve článku «AML pro ready-made společnosti- kde selhává compliance»
Shelf / hotová společnost na první pohled vypadá jako rychlý a pohodlný způsob „vstoupit na trh“ bez zbytečné byrokracie, ale právě tato připravenost k okamžitému použití dělá takové struktury zvlášť zajímavými pro pachatele. Abychom pochopili, kde leží hranice mezi legálním nástrojem a rizikovým schématem, je důležité rozebrat, co jsou shelf, shell a hybridní konstrukce typu shelf/shell, čím se liší a jak se používají v praxi.

Police vs skořápka vs police/skořápka: rozdíly

Shelf company – to je zaregistrovaná, ale neaktivní firma, připravená k rychlému převzetí, na rozdíl od shell company, která je často prázdná skořápka bez historie.
Hotové společnosti jsou populární v EU (Česko, Estonsko) a v Asii (Singapur), kde ACRA umožňuje rezervovat názvy za minuty. Tým COREDO často pracuje s Pte Ltd v Singapuru, minimální kapitál 1 SGD, registrace za 3 dny, ale bez provozní historie jsou ideální pro layering.

Rozdíl je kritický: shelf s “čistou” minulostí se zdá bezpečný, ale skrývá UBO-řetězce.

Typické zneužití: vrstvení, strukturování

Pachatelé používají shelf pro typy praní peněz: layering přes řetězce transakcí v Dubaji nebo Singapuru, strukturování pomocí drobných plateb nebo fiktivních ředitelů.
V Asii hromadné registrace přes BizFile+ maskují hromadné zakládání – stovky společností na jednu adresu. Řešení vyvinuté v COREDO odhalilo taková schémata: náhlá výměna ředitelů nebo anomálie v rejstřících ACRA signalizují rizika.

Kde compliance selhává na cestě klienta

Ilustrace k oddílu «Kde compliance selhává na cestě klienta» v článku «AML pro ready-made společnosti — kde compliance selhává»
Na každém kroku cesty klienta jsou místa, kde compliance „selhává“: na první pohled neviditelné detaily se mění v hlavní zranitelnosti v cestě klienta a ovlivňují jak rizika, tak konverzi. Zvláště bolestně se to projevuje v prvním rozhodnutí o riziku, během onboarding procesu, kde je cena jakékoli chyby nejvyšší.

Chyby v onboardingovém procesu

Riziko od shelf companies při KYC/KYB vzniká na startu: 60% AML selhání jsou v onboarding risk assessment, kde jsou společnosti klasifikovány jako nízkorizikové bez prověření historie.

Banky v EU ignorují anomálie jako dormant status, například v ACRA pro „spící“ Pte Ltd.

Nedostatečná posílená náležitá péče u starších nebo složitých hotových společností

Nezbytnost EDD pro staré shelf companies je zřejmá: firmy starší 5 let vyžadují enhanced Due Diligence, ale klienti přehlížejí forenzní analýzu dokumentů. Praxe COREDO potvrzuje: bez EDD se řetězce UBO vytrácejí.

Problémy poskytovatelů třetích stran a anonymita v dodavatelském řetězci

Riziko třetích stran a anonymita dodavatelského řetězce narušují compliance: poskytovatelé v Singapuru subkontraktují a skrývají hromadné registrace.
Monitorování hromadného zakládání (bulk formation monitoring) odhalí 50+ firem na jedné IP — červená vlajka podle FATF.

Problémy zastaralých systémů a únavy z upozornění

Únava z upozornění způsobená falešně pozitivními signály v roztříštěném AML stacku, běžné: zastaralé systémy neintegrují TM se sanctions screeningem. V COREDO jsme viděli, jak to zdvojnásobuje TCO.

Jak hodnotit riziko shelf-společností při KYC/KYB

Ilustrace k oddílu «Jak hodnotit riziko shelf-společností při KYC/KYB» v článku «AML pro ready-made společnosti — kde selhává compliance»
Jak správně hodnotit riziko shelf-společností při KYC/KYB: metodika a kontrolní body — nejde o formální zaškrtávací políčko v dotazníku, ale o vybudovaný tříúrovňový model, který umožňuje zachytit základní riziko, prověřit scénáře a nepromeškat změny v dynamice. Níže rozebere, jak krok za krokem začlenit takovou metodiku do KYC/KYB procesů a které kontrolní body učinit povinnými na každé úrovni.

Tříúrovňový model hodnocení rizika

Začínejte základním ohodnocením rizika podle country risk (Singapur nízké, ale Asie střední), poté vrstvení scénářů. Mapování přeshraničního jurisdikčního rizika integruje data ACRA.

Kdy použít EDD: kontrolní seznam (smlouvy, účty)

Jak provádět EDD pro nabytou shelf company v EU?

Kontrolní seznam: smlouvy >2 let, bankovní výpisy, výroční výkazy v ACRA. Dokumenty potvrzují provozní činnost: bez nich je EDD povinné.

Ověření UBO: integrace rejstříků a obohacení dat

Zveřejnění UBO pro ready-made společnosti přes rejstříky ACRA a EU: obohacení dat s PEP/negativními médii odhalí 30% skrytých vazeb. Analýza grafů propojuje ředitele.

Technologie pro snižování mezer v dodržování předpisů

Ilustrace k sekci „Technologie snižování mezer v compliance“ v článku „AML pro ready-made společnosti – kde compliance selhává“
Technologie a procesy, které skutečně snižují mezery v compliance, umožňují automatizovat rutinní kontroly a minimalizovat lidské chyby, čímž zvyšují celkovou efektivitu compliance systému. Zavedení takových řešení, jako integrovaný AML stack, již v reálných případech fintechu a bank ukazuje snížení nákladů až o 90%.

Integrovaná sada AML: KYC, sankce, monitorování transakcí

Integrovaný AML-stack snižuje downstream riziko díky jednotnému okruhu KYC, prověřování sankcí v reálném čase a monitoringu transakcí (TM).

Klíčová výhoda — absence přerušení mezi onboardingem shelf-společnosti a jejím dalším chováním. Při takovém přístupu jsou KYC údaje automaticky předávány do sankčního a transakčního monitoringu a aktualizace seznamů (EU, OFAC, UN, local) se aplikují bez prodlev. V COREDO je taková architektura používána jako standard: jednotný profil rizika, průběžná aktualizace a automatické spouštěče při změně statusu beneficienta nebo kontrolních osob.

RegTech: externí dodavatel nebo interní řešení?

Volba mezi poskytovatelem RegTech (AML SaaS) a interním řešením by neměla záviset na ceně licence, ale na celkovém TCO: zavedení, podpoře, aktualizacích regulatorních požadavků a škálování. Pro externí KYC/KYB dodavatele jsou kritické jasné SLA: MTTR maximálně 24 hodin, podíl false positives pod 15 %, transparentní logika skóringu a možnost audit trailu. In-house má smysl při vysokých objemech a nestandardních typologiích, ale vyžaduje vlastní tým, pravidelnou aktualizaci pravidel a právní odpovědnost za shodu s regulací.

Umělá inteligence a strojové učení, analýza grafů a typologická simulace k odhalení skrytého vlastnictví

AI/ML modely se používají k odhalování složitých schémat vlastnictví a k testování typology simulation ve fázi analýzy shelf-struktur.
Graph analytics umožňuje vytvářet sítě vazeb mezi právnickými osobami, direktory, nominačními zástupci a transakcemi, odhalující skryté UBO i při vícestupňovém layeringu — v praxi to přináší odhalení beneficiářů až v ~80 % případů.

Typology simulation se používá k prověření odolnosti pravidel vůči novým schématům obcházení, a pravidelné stresové testování zabrání degradaci modelu při změnách behaviorálních vzorců.

Pravidla sledování hromadných požadavků

Hromadné registrace a dotazy na shelf-společnosti představují samostatnou zónu rizika.

Klíčové triggery zahrnují frekvenci (>10 právnických osob za měsíc na jednoho poskytovatele nebo kontakt), opakující se ředitelé/adresy a jednotné jurisdikce. Algoritmy behaviorálního monitoringu agregují tyto signály do dynamického rizikového profilu, což umožňuje odlišit legitimní korporátní servis od továren na schránkové společnosti. Při překročení prahů se automaticky aktivuje enhanced due diligence (EDD) s prohloubenou kontrolou řetězce vlastnictví a zdrojů prostředků.

Soulad s ROI a TCO

Provozní metriky: to je jazyk, kterým se nejjednodušeji prokáže ekonomická opodstatněnost kompliance a přejde se od abstraktních rizik k srozumitelným číslům ROI a TCO kompliance. Prostřednictvím ukazatelů, jako jsou MTTR alerts, procento false positives, cost per case a remediation cost, se funkce compliance stává transparentní pro představenstvo a porovnatelná s jinými obchodními iniciativami z hlediska efektivity investic.

KPI pro představenstvo: MTTR, falešná pozitiva, náklady

Pro představenstvo není klíčový samotný fakt souladu, ale řízení funkce compliance pomocí měřitelných KPI.
MTTR alerts <48 hodin ukazuje schopnost týmu rychle snižovat regulační tlak a neblokovat obchodní procesy. Úroveň false positives <10% přímo ovlivňuje vytížení analytiků a provozní náklady: každé zbytečné upozornění je ztracený čas a peníze. Cost per case na úrovni ~€500 tvoří jasný benchmark, který umožňuje porovnat compliance s alternativními investicemi.

Při takových ukazatelích dosahuje typický ROI investic do compliance 3:1 díky snížení rizika pokut, zrychlení onboardingu a snížení manuální práce.

TCO automatizovaného EDD vs ručních expertíz

Porovnání TCO automatizovaného EDD a ruční expertízy odhaluje rozdíl nejen v přímých nákladech, ale také ve škálovatelnosti. Ruční EDD vychází v průměru na €8–10k na společnost s ohledem na hodiny analytiků, právní prověrky a opakované požadavky na data. RegTech-řešení snižují TCO o 40 % a více: průměrné náklady €2–3k na společnost zahrnují automatický sběr dat, sankční a adverse media screening, stejně jako opětovné využití profilů. Další efekt — snížení MTTR a provozního rizika při růstu objemů.

Kdy rozšiřovat interně a kdy využít outsourcing?

Volba mezi in-house a outsourcingem závisí na objemu a předvídatelnosti toku.

Při zátěži nad ~50 shelf-společností ročně je ekonomicky odůvodněné rozšíření in-house s API integrací KYC/KYB a vlastními pravidly scoringu. To dává kontrolu nad daty a flexibilitu typologií. Při menších objemech zůstává outsourcing optimální, protože nevyžaduje fixní náklady na tým a infrastrukturu. V typických scénářích se škálování compliance-funkce vyplatí v horizontu do 6 měsíců díky snížení TCO a zrychlení time-to-decision.

Regulační požadavky pro kontroly

regulační požadavky a důkazní základ pro kontroly vytvářejí rámec, v němž musí společnosti TCSP nastavovat procesy KYC, hodnocení rizik a dokumentaci přijatých rozhodnutí. V této části rozebereme, jak standardy FATF, místní pokyny pro TCSP a konkrétní požadavky na zveřejnění UBO se přeměňují v praktický důkazní základ pro absolvování kontrol a dialog s regulátorem.

GAFI: pokyny pro poskytovatele služeb trustů a společností a pro skutečné konečné vlastníky

Základem požadavků pro TCSP zůstávají doporučení FATF (především Rec. 10, 22, 24) a odvětvové pokyny (Wolfsberg, místní příručky pro TCSP).

Regulátor očekává ne formální označení beneficienta, ale prokazatelné zveřejnění úplného UBO s ověřitelným řetězcem vlastnictví až k fyzické osobě. Použití oficiálních rejstříků (např. ACRA a jejich analogů) by mělo být doplněno nezávislými zdroji a analýzou založenou na riziku. Zvláštní pozornost se věnuje hromadnému monitoringu (bulk monitoring): masové registrace, opakující se struktury a nominální ředitelé jsou považováni za zvýšené riziko a vyžadují zesílené postupy (EDD) a zdokumentovanou logiku rozhodování.

Co regulátoři hledají při nápravě

V průběhu kontrol se regulátoři zaměřují nejen na aktuální stav compliance, ale také na kvalitu nápravy minulých porušení.

Klíčovým prvkem je důkazní báze: auditní stopa, logy kontrol, historie alertů a rozhodnutí v konkrétních případech. Selhání jsou téměř vždy spojena s fází onboardingu, proto je kritické uchovávat řízení případů s časovou osou akcí, zdroji dat a zdůvodněním hodnocení rizika. Absence propojení mezi zjištěným incidentem a nápravnými opatřeními je vnímána jako systémová vada, nikoli ojedinělá chyba.

GDPR a omezení UBO mezi jurisdikcemi

GDPR a jeho místní analogy omezují přeshraniční výměnu dat o UBO, zejména při přenosu mimo EU.

Regulátoři očekávají dodržování zásad minimalizace dat (data minimisation), omezení účelu (purpose limitation) a existence právního důvodu — souhlasu, legitimního zájmu nebo smluvních závazků. V praxi to znamená uchovávání pouze relevantních atributů UBO a jasnou politiku přístupu. V asijských jurisdikcích platí vlastní režimy (PDPA a jejich analogy), které jsou často přísnější v oblasti lokalizace dat, což vyžaduje přizpůsobení architektury KYC a oddělené ukládání informací.

Plán implementace vylepšení na 90/180/365 dní

Praktická roadmapa zavedení vylepšení (akční plán na 90/180/365 dní) pomáhá nejen vymezit strategické cíle, ale i rozložit je na srozumitelné, proveditelné kroky s jasnými termíny a odpovědnostmi. Níže je zaměření na prvních 90 dní, kdy sbíráme „rychlá vítězství“ a spouštíme klíčové změny, které okamžitě ovlivňují kvalitu procesů a snižování rizik.

90 dní: rychlá vítězství v hromadném formování

Prvních 90 dní je fáze „rychlých vítězství“, kde cílem je razantně snížit zjevná rizika bez složitých transformací.

Prioritou je audit poskytovatelů a zavedení hromadného monitorování: odhalování hromadných registrací, opakujících se ředitelů, adres a šablonových struktur.

Odpovědnost nese CCO, metrika úspěchu — absence neidentifikovaných masových případů a snížení rizikové expozice minimálně o 20 %. Současně se zavádějí unifikované SLA a kontrolní seznamy EDD pro vysokorizikové případy, což snižuje ruční práci a přináší přímou provozní úsporu přibližně €50k za čtvrtletí díky omezení opakovaných kontrol a urychlení rozhodnutí.

Integrace UBO, RegTechu a rizikového skórování za 180 dní

Horizont 180 dní — přechod od dílčích vylepšení k systémové architektuře. Hlavní fokus — obohacení dat o UBO a API integrace RegTech řešení do existujících procesů KYC/KYB. Všechny zdroje dat se konsolidují do jednotného rizikového profilu a skórování se stává reprodukovatelným a auditovatelným.

Klíčová metrika — pokrytí UBO nejméně 95 % a snížení MTTR díky automatizaci. Ekonomický efekt se projevuje jako ROI přibližně 2:1 díky snížení TCO kontrol a menší závislosti na ruční expertíze.

365 dní: typologie, ML, governance a KPI pro představenstvo

Za 12 měsíců compliance funkce přechází do zralé fáze, zaměřené na proaktivní řízení rizik. Zavádějí se simulace typologií a prvky strojového učení (ML) pro testování odolnosti pravidel vůči novým schématům, a governance model se přenáší na úroveň představenstva.

Vytváří se formální prohlášení o apetitu k riziku, pravidelné zprávy o KPI a scénářové projednávání rizik představenstvem. Při takovém přístupu se compliance stává strategickým nástrojem, nikoli nákladovým střediskem, s měřitelným ROI až 4:1 díky předejitým incidentům, předvídatelnosti rozhodnutí a důvěře regulátorů.

Případy chyb a ponaučení

Případ 1: Selhání onboardingu. Klient koupil shelf v Česku: přehlédli jsme výměny ředitelů. Pokuta €1 milion. Poučení: EDD by odhalilo anomálie.

Případ 2: Hromadné registrace. Poskytovatel v Singapuru: 200 firem za měsíc. COREDO zablokoval, čímž ušetřil €300k.

Případ 3: Analýza grafů zachraňuje. V Asii odhalili UBO-řetězec pomocí analýzy vazeb – licence získána včas.

Otázky poskytovateli a pověřenci pro dodržování předpisů

Kategorie Otázky pro poskytovatele/compliance officera
EDD Jaké dokumenty potvrzují skutečnou činnost shelf? Používáte automatizované EDD?
SLA/KPI Jaký je MTTR alertů? % falešně pozitivních <10%?
UBO Integrujete rejstříky ACRA a adverse media?
Audit trail Uchováváte logy pro kontroly FATF?
Third-party Jak monitorujete bulk formation a sub-letting?
GDPR Splňuje výměna UBO dat zásadu minimalizace údajů?

Praktické závěry a doporučení

  1. Zavést EDD pro všechny shelf >3 let (nízké úsilí, vysoký dopad).
  2. Proveďte audit poskytovatelů na bulk formation.
  3. Integrujte graph analytics pro UBO.
  4. Nastavte KPI: false positives <10%.
  5. Testujte typology simulation čtvrtletně.
  6. RFP pro RegTech se SLA <24 h.
  7. Přezkum rizikového apetitu představenstvem.

Šablony a metriky pro tendry RFP

Požadavek Minimální Pokročilé Žádoucí
SLA MTTR 48 h 24 h 12 h
Funkce KYC + sankce + TM, grafová analytika + simulace typologií, API
Zdroje Rejstříky ACRA + PEP/adverse + platformy regulací v reálném čase
Metriky Falešné pozitivy 20 % 10 % 5 %, sledování ROI

Tyto kroky z praxe COREDO zajistí soulad s předpisy. Pro hloubkovou due diligence vaší shelf nás kontaktujte, tým je připraven provést audit.

ZANECHTE NÁM KONTAKTNÍ ÚDAJE
A ZÍSKEJTE KONZULTACI

    Kontaktováním nás souhlasíte s tím, že vaše údaje budou použity pro účely zpracování vaší žádosti v souladu s naší Zásadou ochrany osobních údajů.

    +420 228 886 867

    K Červenému dvoru 3269/25a, Praha, 130 00, Česká republika

    Mapa stránek    © 2025 Copyright © RES JUDICATA s.r.o. Všechna práva vyhrazena | llms.txt