Od roku 2016 vedu COREDO přes desítky vyšetřování, tematických kontrol a rozhovorů s regulátory v EU, Spojeném království, Singapuru a SAE. Během té doby tým COREDO doprovázel klienty při získávání licencí v oblasti kryptoměn, plateb, forexu a bankovnictví, а také při následném dohledu, včetně kritických situací: od AML‑vyšetřování a sankčních otázek až po žádosti týkající se přeshraničních transakcí. Tento článek: koncentrát praxe: jak připravit Chief Compliance Officer (CCO) a MLRO na výslech, co očekávat, jaká práva hájit a jaké dokumenty předkládat, aby prošli kontrolou profesionálně, udrželi důvěru regulátora a kontrolovaně snížili rizika.
Praxe COREDO potvrzuje: výslech regulátorem je řízený proces, pokud začít přípravu včas, zajistit transparentní strategii komunikace a upevnit disciplínu dokumentování. Níže je pracovní struktura, kterou osobně používám, když společně s klientem vybudovávám obranu, komunikaci a plnění požadavků dozorových orgánů.
Spuštění plánu reakce
První signál – žádost o dokumenty, pozvání na rozhovor nebo supervisory notice. V této fázi je důležité zajistit procesní spravedlnost (procedural fairness): potvrdit převzetí oznámení, upřesnit rámec předmětu prověrky, dohodnout termíny a formát spolupráce, včetně souhlasu se záznamem rozhovoru a účasti externího advokáta. Řešení, vyvinuté v COREDO, začíná risk triage: určení rozsahu dotčených jurisdikcí, použitelných norem (AMLD5/AMLD6, FATF, Wolfsberg), kategorií údajů (GDPR) a seznamu zapojených rolí.
Role a odpovědnosti CCO, MLRO, CEO
Práva a povinnosti Compliance Officera při kontrole musí být písemně upraveny. CCO a MLRO odpovídají za úplnost faktické části a správnost odkazů na politiku, CEO — za postoj společnosti a strategii spolupráce s kontrolními orgány, a představenstvo za dohled a schválení klíčových rozhodnutí, včetně plánu nápravy a rozpočtu na externí poradce a forenzní šetření.
Právní privilegium a ochrana dat: dokumenty
Nakládání s dokumenty, dodržování privilegia a opatření na ochranu dat určují, které materiály mají být předány a jak je během sporu bezpečně uchovávat. Dále rozebereme předávání dokumentů (document production), právní zajištění uchování (legal hold) a praktické uplatnění pravidel privilegia, abychom upřesnili kroky a minimalizovali rizika.
Dokumenty, právní zajištění uchování (legal hold) a privilegium
GDPR: DPIA a přeshraniční žádosti
Přeshraniční otázky a přeshraniční žádosti často vyvolávají otázky souladu s GDPR při předávání dat regulátorům. V COREDO připravujeme DPIA předem, určujeme právní základ pro předávání (například plnění právní povinnosti), uplatňujeme minimalizaci údajů a šifrování. Při MLAT (mutual legal assistance) ověřujeme soulad s místním právem a výjimkami z bankovního tajemství a také zajišťujeme důvěrnost klienta (client confidentiality) při zapojení více dozorčích orgánů.
Příprava CCO a MLRO na pohovor
Považuji přípravu za vícestupňový program. Nejprve provádíme přípravu na rozhovor týkající se právně významných výpovědí: vytváříme strukturovaný protokol rozhovoru a šablonové odpovědi, nacvičujeme scénáře otázek regulátora ohledně sankcí, AML a KYC, postupů SAR/STR a monitoringu. Poté provádíme simulované rozhovory (mock interview) a stresové testy pro přípravu na výslechy, včetně roleplay scénářů a hodnocení způsobilosti svědka.
Otázky týkající se AML/KYC/sankcí/transakcí
Regulátoři často prověřují hloubku přístupu založeného na riziku. Připravujeme odpovědi na otázky regulátora týkající se transakcí: spárování transakcí a analýza monitorování, metodiky snižování falešných pozitiv, využití automatizovaného AML monitoringu a strojového učení v transakčním monitoringu. Pokud se používá externí software, uvádíme poskytovatele AML softwaru a prověřování dodavatelů, výsledky nezávislého testování a monitorování a testování AML kontrol.
Forenzika a elektronické důkazy
V složitých případech zapojujeme využití externího forenzního experta, elektronickou expertízu a e‑discovery, včetně vyhledávání e‑mailů a analýzy firemní pošty. Forenziku a obnovu smazaných dat provádíme s dodržením řetězce zachování důkazů; práci s daty provádíme v zabezpečených místnostech pro rozhovory a v bezpečných místnostech, zejména když materiály obsahují osobní údaje nebo bankovní tajemství.
Zmírňující okolnosti a nápravná opatření
Oznámení o vyšetřování a samoohlášení, obtížné rozhodnutí, ale často poskytující úlevu za spolupráci (strategie dobrovolného zveřejnění a úleva za spolupráci). V praxi COREDO existuje případ platební společnosti v jedné ze zemí EU, kde včasné zveřejnění a bezodkladný nápravný plán s následnou verifikací oprav a nezávislým auditem opatření pro dodržování předpisů umožnily vyhnout se pokutě a omezit se na oficiální varování.
Spolupráce s dodavateli
Rozšiřování procesu přípravy v globální společnosti vyžaduje řízení třetích stran a dodavatelů při vyšetřováních. Tým COREDO vypracoval kritéria prověrek třetích stran Due Diligence a hodnocení rizik dodavatelů, stejně jako smlouvy s externími konzultanty a odborníky, kde jsou jasně vymezeny povinnosti týkající se důvěrnosti, informační bezpečnosti a lhůt reakce.
Kontrolní seznam dodržování předpisů pro rozhovor s regulátorem
Tento kontrolní seznam není abstrakcí, ale výtahem našeho přístupu. Před rozhovorem tým projde celý seznam a zaznamenává plnění v systému řízení incidentů a trackingu (incident management):
- Potvrdit rámec kontroly: dohledové oznámení, předmět, termíny, formát záznamu a účast advokáta.
- Zavést litigation hold, určit rozsah legal hold, sestavit privilege log a jmenovat custodiany.
- Stanovit strategii interního vs externího právního zástupce, volbu strategie a hranice privilegia.
- Provést gap analýzu, připravit plán nápravy a dohodnout jej s představenstvem.
- Potvrdit dodržení GDPR/DPIA, kanály přenosu, šifrování, přeshraniční mechanismy a bankovní tajemství.
- Organizovat document production: chain of custody, audit trail, verze dokumentů a kontrolu přístupu.
- Provést mock interview a stresové testy, zhodnotit psychickou připravenost a náhradní svědky.
- Vytvořit strukturovaný protokol odpovědí a šablony pro odpověď regulátoru.
- Zkontrolovat sankční a AML/KYC oblasti: OFAC/EU/UN, zveřejnění skutečných vlastníků (BO disclosure), SAR/STR, automatizované monitorování.
- Připravit executive summary šetření pro regulátora a materiály k judikatuře.
- Nastavit secure rooms/videokonference, získat souhlas se záznamem rozhovoru a zaznamenat rizika.
- Provést vendor screening (AML software, forensics), potvrdit ISO 27001/SOC 2.
- Dohodnout mediální politiku, D&O, eskalační matici a plány BCP na období prověrky.
- Vypočítat náklady na přípravu a ekonomickou efektivitu, poměr externího konzultanta a interního týmu.
- Stanovit KPI a ROI přípravy na regulační výslechy, time to resolution a recovery metriky.
Zásady záznamů a politika uchovávání
Zásady vedení záznamů a politika uchovávání jsou základem důkazní báze. Zavádíme politiku uchovávání a harmonogram likvidace s výjimkami pro právní zadržení, zaznamenáváme protokol přístupů, a v rámci školení – pravidla dokumentování rozhovorů a vytváření přepisu. Virtuální rozhovory a bezpečné videokonference musí splňovat požadavky na nahrávání: získání souhlasu a právní rizika, uchovávání a přístup v souladu s GDPR.
Tempo a ekonomika škálování
Náklady na přípravu a ekonomická efektivita — to není jen otázka rozpočtu, ale i rychlosti rozhodování. Analýza nákladů na externí konzultanty oproti internímu týmu umožňuje vytvořit hybridní model: interní sběr faktů a zachování právního privilegia, externí právní strategie a forenzika. V COREDO plánujeme zdroje pro vyšetřování (plánování zdrojů), stanovujeme SLA pro odpovědi a používáme řazení otázek podle priority a rizika, abychom netrávili čas na méně důležitá témata.
Typické scénáře dotazů
Při výslechu AML‑důstojníka (MLRO) může regulátor přejít k podrobnostem konkrétních alertů, opožděné eskalaci nebo absenci SAR/STR. Zde by CCO měl uvést metodiku hodnocení rizik, frekvenci monitorování a kontrolní funkci druhé linie, stejně jako implementovaná zlepšení po incidentu. Pokud jde o sankce, ukazujeme kontrolu podle OFAC/EU/UN, zesílené spouštěče a vyhodnocení po události.
Případy z praxe COREDO
V jedné evropské jurisdikci tým COREDO asistoval při výslechu CCO platební organizace po sérii sankčních upozornění, která se spustila na klienta z třetí země. Potvrdili jsme správné nastavení seznamů, ukázali snížení počtu false positives díky přeškolení pravidel, a také předložili protokoly pravidelného monitorování. Výsledek – nařízení posílit due diligence pro určitou kategorii klientů bez ukládání pokut.
Předprocesní dialog regulátorů
Nejlepší postupy přípravy CCO pro evropské regulátory zahrnují včasný předprocesní dialog, transparentní demonstraci metodologií (AMLD5/6, FATF, Wolfsberg), strukturované výkonné shrnutí vyšetřování a pečlivou odkazovou bázi na politiky a postupy. Je důležité nesporit o formu, ale dohodnout se na rozumných termínech a postupech, přičemž chránit privilegia a dodržovat požadavky GDPR.
Závěry
COREDO za roky práce v EU, ve Velké Británii, v Estonsku, na Kypru, v Česku a na Slovensku, v Singapuru a v Dubaji vybudovala předvídatelný, transparentní přístup, který pomáhá klientům projít kontrolami, získat licence a rozvíjet se. Pokud potřebujete strategii komunikace s regulátorem, doprovod výslechu externím právníkem, e‑discovery nebo nezávislý audit compliance opatření, tým COREDO nabídne řešení přizpůsobené vašemu obchodnímu modelu a jurisdikcím. Jsem přesvědčen: připravený CCO je nejlepší argument pro důvěru ve vaši společnost a její udržitelný růst.