Podle údajů českého Financial Analytical Unit (FAU) se в drtivé většině kontrol, přibližně v 80 % – zjišťují nedostatky v KYC/CDD, monitoringu transakcí a vedení dokumentace, i у společností, které jsou přesvědčeny o formálním dodržování AML. V jazyce byznysu to znamená: zablokované účty, zadržované platby, zvýšenou pozornost bank a citelné reputační ztráty.
Klienti
COREDO nejčastěji přicházejí se stejnou bolestí: byznys v EU nebo v Česku funguje transparentně, obchody jsou srozumitelné, ale banka najednou žádá dodatečné dokumenty, zdržuje platby a následně se odkazuje na AML v Česku a na interní hodnocení rizik. V některých případech to končí ukončením bankovní smlouvy bez šance na obnovení dialogu.
V praxi COREDO pravidelně vidí, jak nedostatky v AML procesech vedou k pokutám za nedodržování AML v Česku, zvýšené pozornosti FAU a v kritických situacích i k hrozbě odnětí licence u fintechových a VASP společností.
Zákon č. 253/2008 Sb. (český AML zákon, harmonizovaný s evropskými směrnicemi AMLD) stanoví přísné požadavky na KYC v Česku, identifikaci skutečného majitele, monitorování podezřelých operací a vnitřní AML kontrolu.
Navrhuji nahlížet na AML audit v Česku не как на формální povinnost, а как на říditelný projekt rizik: jej lze strukturovat, předpovědět důsledky a získat hmatatelný ROI ze správných investic. V tomto průvodci rozeberu, co FAU odhaluje v 80 % případů, jak projít kontrolou FAU Česko bez pokut a jak vybudovat systém, ve kterém AML compliance pracuje в zájmu byznysu.
Pokud odpovídáte za mezinárodní platby, fintechové licence nebo VASP struktury z Evropy, Asie nebo SNS, doporučuji si článek přečíst až do konce: získáte konkrétní kontrolní seznamy, matici varovných signálů a srozumitelný soubor kroků, které výrazně snižují riziko blokací a pokut.
AML-audit v Česku: co kontroluje FAU a 80 % zjištění
kontrola FAU v Česku, это не только запрос отдельных досье клиентов. В большинстве случаев регулятор оценивает всю систему: от формулировок AML policy до того, как контактное лицо AML объясняет конкретные решения по KYC и CDD.
На стороне COREDO мы условно разделяем типовые находки FAU на три блока, которые и формируют «те самые» 80%:
- Nedostatečné KYC/CDD a slabá identifikace skutečného vlastníka (Beneficial Owner).
- Nedostatečně nastavený vnitřní kontrola AML a monitorování podezřelých operací v Česku.
- Mezery v dokumentaci, ukládání dat a kompetencích odpovědných osob.
Je důležité rozumět: FAU se především nedívá na dokonalost formulářů, ale na logičnost a prokazatelnost rizikově orientovaného přístupu (risk‑based approach) k AML. Pokud společnost dokáže předvést soudržnou logiku rozhodnutí, regulátor je mnohem ochotnější vstoupit do dialogu i při jednotlivých nedostatcích.
Časté chyby KYC a CDD při auditu v Česku
Практика COREDO и обзоры FAU показывают: именно KYC и CDD ошибки при аудите формируют около трети всех нарушений.
Классический набор проблем:
- Skutečný vlastník «na papíře», но ne v realitě. Dokumenty o beneficárním vlastníkovi jsou, ale chybí ověření skutečného vlastnictví (Beneficial Ownership) přes české a evropské rejstříky, není provedené porovnání struktury s reálnými peněžními toky. V одном из кейсов COREDO финтех‑клиенту пришлось срочно пересобирать досье BO после того, как FAU указало на несовпадение декларируемой структуры с данными зарубежного реестра.
- Povrchní CDD a EDD pro klienty s vysokým rizikem. Společnostem s klienty ze zemí Asie a Afriky často chybí hloubka prověrek source of funds a source of wealth: jsou přítomny obecné potvrzení a deklarace, ale chybí dokumentovaná historie původu prostředků, zvláště u velkých přeshraničních převodů.
- Stejný KYC‑přístup ke všem klientům. Velký korporátní klient s mezinárodními transakcemi a lokální SME jsou hodnoceni podle jedné rizikové matice. FAU to vnímá jako absenci risk‑based approach.
- Neúplný balík dokumentů pro FAU. Když začne kontrola, společnosti stráví týdny hledáním základních KYC formulářů, potvrzení o adrese, smluv a korespondence. To zvyšuje podezření regulátora a prodlužuje kontrolu.
В ответ на это команда COREDO обычно выстраивает для клиента простой, но жесткий чек‑лист KYC в Чехии под AML audit:
- ověření identity a adresy klienta s využitím důvěryhodných zdrojů (eID, notářské kopie, mezinárodní databáze);
- verifikace skutečného vlastníka přes EU/české rejstříky a porovnání s reálnou strukturou aktiv;
- dokumentovaná metodika prověřování source of funds/source of wealth;
- oddělené postupy CDD a rozšířené prověrky (EDD) pro PEP a jurisdikce s vysokým rizikem, včetně analýzy sankčních seznamů a PEP screeningu.
Takový kontrolní seznam nejenže pokrývá klíčové otázky FAU, ale také snižuje riziko blokací ze strany bank, které stále častěji trestají chyby KYC blokací účtů a odmítnutím otevření účtu v Česku kvůli AML varovným signálům.
Vnitřní AML kontrola: nedostatečné monitorování operací
Второй крупный блок нарушений, внутренний контроль AML и мониторинг подозрительных операций в Чехии.
Типовые слабые места:
- Nedostatek SAR/STR. Společnost má aktivní mezinárodní činnost, ale za rok podá nula hlášení o podezřelých transakcích (SAR/STR). Pro FAU je to jasný signál: buď monitorování transakcí formální, nebo podezřelé operace nejsou rozpoznávány.
- Neupravená pravidla monitorování a lavina false positives. Ve společnostech, kde je nasazena základní automatizace AML a AI‑monitoring transakcí, se často vyskytuje vysoký podíl false positives (až 15–20 % alertů), které nejsou vyšetřovány nebo jsou uzavírány rutinně. Pro regulátora to znamená absenci doladění pravidel sledování transakcí a slabou forenzní analytiku.
- Chybí screening sankcí v reálném čase. Kontrola sankčních seznamů se provádí periodicky, nikoli v režimu reálného času. Pro cross‑border compliance je to kritické riziko, zejména při práci s jurisdikcemi s vysokým rizikem.
- Fragmentární audit trail a data lineage. Záznamy v AML systémech neumožňují zjistit, kdo a na jakém základě rozhodl o alertu. V očích FAU to vypadá jako absence kontrolovatelného procesu.
Řešení vyvinuté v COREDO obvykle zahrnuje vytvoření heatmapy AML control gaps – vizuální mapy problematických zón v monitorování, kde pro každou skupinu rizik (sankce, PEP, geografické rozložení, typ produktů) je vidět, která pravidla fungují, a která vytvářejí buď „slepé zóny“, nebo nadměrné množství false positives. To se stává základem pro přepracování scénářového monitoringu a přechod k průběžnému monitorování souladu.
Typická porušení AML v Česku — pět nejčastějších zjištění FAÚ
Opírajíc se o veřejné zprávy dozorových orgánů EU a praxi FAU, tým COREDO vyčleňuje pět kategorií, které tvoří základ těch 80 % nálezů při AML auditu v Česku:
| Porušení |
Odhadovaný podíl v rámci 80% kontrol |
Obvyklé důsledky |
| Nedostatečné KYC/CDD |
~30% |
Zablokování účtů, opatření FAU |
| Nedostatečný monitoring transakcí |
~25% |
Pokuty, zvýšený dohled |
| Neefektivní nebo formální kontaktní osoba pro AML |
~15% |
Požadavky na výměnu, opatření |
| Špatné uchovávání dat a klientských spisů |
~5% |
Riziko odejmutí licence, pokuty |
| Ignorování sankcí a PEP rizik |
~5% |
Poškození reputace, de‑risking |
K těmto bodům se přidávají méně časté, ale nebezpečné problémy: neaktualizování politiky AML, ignorování nových požadavků AML 2025 v Česku a slabá koordinace s interním auditem.
Pokuty za porušení AML v Česku
Zákon č. 253/2008 Sb. a související předpisy přímo stanoví odpovědnost vedení za AML v Česku. Ve většině případů se jedná o správní pokuty až do milionů CZK, ale při hrubých a systémových porušeních není vyloučena ani trestní odpovědnost.
Z toho, co COREDO pravidelně zaznamenává:
- Ředitelé a členové představenstva nesou osobní odpovědnost za zavedení efektivní interní kontroly AML, jmenování kompetentní kontaktní osoby a schválení politiky AML.
- Účetní a auditoři se dostávají do hledáčku FAU jako „povinné osoby“ s oddělenými požadavky na AML, zejména pokud pracují s klienty z vysoce rizikových sektorů nebo jurisdikcí.
Praktickou odpovědí na to se stává systematické reportování AML na úrovni představenstva: vedení pravidelně dostává přehled klíčových KPI (počet SAR/STR, podíl vysoce rizikových klientů, statistika falešně pozitivních výsledků, stav plánu nápravy podle opatření FAU) a má zdokumentovaný obraz AML risk appetite a risk tolerance. Interní audit v takovém modelu nejen odškrtává položky, ale vytváří nezávislou úroveň AML assurance, se kterou je snazší vstoupit do dialogu s regulátorem.
Kontrola FAU Česko 2025: jak projít
Trend let 2024–2025: zpřísnění požadavků FAU na kvalitu vnitřní AML kontroly, kvalifikaci kontaktní osoby a pravidelnou aktualizaci postupů s ohledem na změny v legislativě a DORA (operační odolnost pro fintech).
COREDO v takových projektech používá dvoufázový přístup:
- Předběžný AML audit «jako u FAU», ale z pohledu konzultanta, nikoli dozorového orgánu.
- Vypracování a realizace nápravného plánu pro dodržování předpisů, který odpovídá na konkrétní rizika a zjištění.
Požadavky na kontaktní osobu AML v Česku
Kontaktní osoba AML je jedním z klíčových kontrolovaných prvků. Regulátor posuzuje nejen formální jmenování, ale i:
- zkušenosti osoby v KYC/CDD, EDD pro PEP a vysoce rizikové klienty;
- pochopení přístupu založeného na riziku a schopnost vysvětlit prakticky uplatňovanou úroveň rizika (risk appetite) společnosti v oblasti AML;
- schopnost komunikovat s FAU, včas podávat SAR/STR a korektně odpovídat na procedurální požadavky FAU.
Od roku 2025 je v EU a Česku trendem zvyšování požadavků na kvalifikaci AML pracovníků, včetně potřeby pravidelného vzdělávání, potvrzování znalostí aktuálních AML požadavků pro rok 2025 v Česku a ovládání nástrojů automatizovaného monitoringu.
Tým COREDO v takových případech:
- pomáhá připravit kontaktní osobu AML na kontrolu FAU v roce 2025 prostřednictvím cíleného školení (případy FAU, typické otázky, rozbor chybných odpovědí);
- vytváří cross-functional AML komisi, aby AML pracovník nezůstal s riziky sám, ale mohl se opřít o právníky, IT a řízení rizik.
Příprava na FAU audit: kontrolní seznam a dokumenty
Když FAU zašle žádost, čas začne pracovat proti společnosti. Proto vždy připravujeme klienta na to, že příprava na FAU audit není jednorázová záležitost, ale průběžný proces.
Základní kontrolní seznam, který COREDO používá v projektech:
- aktuální AML policy s jasným popisem přístupu založeného na riziku (risk-based approach), postupů CDD/EDD a scénářového monitoringu transakcí;
- matice AML red flags a scoring modelů pro hodnocení klientů a transakcí;
- úplný přehled dokumentů, které FAU obvykle vyžaduje: KYC spisy, logy monitoringu, SAR/STR, zápisy z jednání AML výboru, zprávy interního auditu;
- audit trail a data lineage pro klíčová rozhodnutí o zablokování nebo povolení transakcí;
- data retention policy, která odráží doby uchovávání AML dat (pro některé sektory, např. provozovatele hazardních her: až 10 let).
Důležitý prvek: předem připravená šablona nápravného plánu pro dodržování předpisů: pokud FAU zjistí porušení, okamžitě předkládáte strukturovaný plán nápravných opatření s termíny, odpovědnými osobami a KPI. Takový přístup podle zkušeností COREDO výrazně zmírňuje reakci regulátora a snižuje riziko přísných sankcí.
Pokuty AML v Česku: jak minimalizovat
Pokuty a sankce AML v Česku jsou téma, které se pro mnoho klientů stává „vstupním bodem“. Ve veřejných případech v EU a Česku dosahují pokuty milionů CZK, a pro licencované subjekty (platební instituce, investiční společnosti, VASP) se reálným rizikem stává pozastavení nebo odnětí licence.
Kлючевые последствия:
- administrativní pokuty za nedodržení AML v Česku;
- omezení některých typů operací;
- požadavek na rozsáhlou nápravu pod dohledem FAU;
- poškození reputace, které ovlivňuje vztahy s partnerskými bankami a protistranami.
Chyby při AML prověrce FAU a blokování účtů
Často se první „sankcí“ nestávají pokuty, ale kroky bank: blokace účtů, odmítnutí otevření nového účtu, zpřísnění interních limitů.
COREDO se pravidelně setkává s těmito ne příliš zřejmými, ale typickými příčinami:
- nesrovnalosti mezi deklarovaným obchodním modelem a skutečnými transakcemi (např. je deklarován obchod se zbožím v EU, ale na účtu probíhají platby za marketingové služby z jurisdikcí s vysokým rizikem);
- časté změny struktury skutečných majitelů bez srozumitelného vysvětlení a dokumentálního potvrzení;
- nedostatek jasné logiky v KYC profilech (klienti s velmi odlišným rizikovým profilem jsou popsáni jednotným způsobem).
Abychom snížili riziko blokace účtů kvůli AML prověrce, v COREDO vytváříme pro klienty matici AML varovných signálů právě z pohledu bank a napojujeme ji na interní monitoring: pokud transakce „rozsvítí“ červený signál u banky, měla by jej rozsvítit i uvnitř společnosti, s předem popsaným pracovním postupem vyšetřování.
Automatizace AML v Česku: AI-monitorování a návratnost investic (ROI)
Pro společnosti s mezinárodními platbami, a zejména pro fintech a kryptospolečnosti v Česku, se automatizace AML‑procesů a AI‑monitorování přestaly být volbou „do budoucna“: jde o podmínku přežití a dodržení DORA.
Praxe COREDO ukazuje: správně nastavené automatizované systémy monitorování transakcí pro SME v Česku přinášejí téměř garantovaný ROI, pokud je nepoužíváte jako „černou skříňku“, ale jako nástroj řízeného snižování rizik.
Interní AML politiky a rizikově orientovaný přístup
Klíčovým prvkem úspěšné automatizace je obsah zakotvený v AML politice. V ní by mělo být:
- formalizovaný rizikově‑orientovaný přístup: segmentace klientů, jurisdikcí a produktů podle úrovní rizika;
- scénářový monitoring (scenario-based transaction monitoring) s srozumitelnými pravidly spouštění a prioritizace;
- KPI a ROI pro AML‑projekty: podíl false positives, průměrná doba vyšetřování SAR, počet transakcí zastavených před fází incidentu.
Podle výsledků implementací, které prováděl tým COREDO, typické KPI vypadají takto:
| KPI pro ROI automatizace |
Před projektem |
Po zavedení AI‑monitorování |
Ekonomický efekt |
| Podíl false positives |
~15% alertů |
~3% |
až −80 % času na vyřízení SAR |
| Průměrná doba vyšetřování alertu |
3–5 pracovních dní |
1 den |
urychlení obratu, méně backlogs |
| Vyhnuté pokuty a ztráty |
0 |
až 5 mil. CZK (odhadem) |
ROI 200–300 % v horizontu 12–18 měsíců |
Když v COREDO společně s klientem nastavujeme ladění pravidel transaction monitoring a systémy case management pro SAR/STR, cíl je vždy dvojí: snížit objem „šumu“ a zároveň zabránit nárůstu false negatives. K tomu se používá scénářová analýza rizik a periodické stresové testy AML procedur.
Přeshraniční dodržování předpisů pro Asii a Afriku
Pro holdingy se sídlem v Česku, které expandují do zemí s vysokým rizikem (část regionů Asie a Afriky), stojí otázka centralizace nebo rozdělení AML funkcí.
Zkušenost COREDO ukazuje následující model:
- strategický AML‑framework, risk appetite a klíčové politiky jsou formovány centralizovaně v Česku;
- operační KYC/CDD a monitoring místních klientů posilují místní týmy nebo spolehliví poskytovatelé, přičemž zůstává jednotný standard AML assurance a jednotný systém reportování.
Klíčovým faktorem úspěchu je cross-jurisdictional information sharing: výměna informací mezi jurisdikcemi o klientech, incidentech a sankčních rizicích, vybudovaná s ohledem na interakci Data protection & GDPR s AML reportingem. Zde je důležité nejen dodržovat mlčenlivost o datech, ale umět regulátorům odůvodnit zákonnost takové výměny.
Šablony a kontrolní seznamy pro podniky
Na závěr – praktická úroveň, s níž v COREDO obvykle začínají projekty na přípravu na AML audit v Česku.
Co musí být v provozuschopném stavu:
- Postupy identifikace beneficientů (BO). Popis metodiky ověřování skutečných vlastníků (Beneficial Ownership verification) přes rejstříky EU/ČR, pravidla pravidelné aktualizace údajů a kontroly při spouštěčích (velké transakce, změna struktury, nové vysoce rizikové jurisdikce).
- Klientská spisová dokumentace a politika uchovávání dat. Standardy vedení customer lifecycle monitoring, od onboardingu po offboarding, s jasným seznamem dokumentů v každé fázi a dobami retence (včetně až 10 let pro některá odvětví). Politika uchovávání dat by měla být sladěna jak s AML, tak s odvětvovými pravidly.
- Šablona plánu nápravných opatření pro regulatorní nápravu. Hotová šablona plánu nápravných opatření pro zjištění FAU: seznam porušení, hodnocení rizika, konkrétní kroky, termíny a odpovědné osoby, metriky kontroly (například snížení podílu nevyplněných polí KYC na <1%, zvýšení podílu EDD‑spisů u PEP na 100%).
- Outsourcing vs interní AML. Pro malé společnosti a outsourcingové účetní firmy je rozumné svěřit část funkcí (monitorování sankcí, aktualizace regulatorních požadavků, vendor due diligence pro AML‑technologie) profesionálnímu poskytovateli, přičemž strategická rozhodnutí ponechat na úrovni představenstva. Taková rovnováha snižuje provozní riziko a zjednodušuje řízení regulatorních změn (regulatory change management).
Klíčové závěry a kroky pro vedoucí pracovníky
Kdybych měl shrnout své zkušenosti do tří praktických kroků, které nejvíce snižují AML rizika v Česku:
- Jmenovat skutečně kvalifikovanou osobu odpovědnou za AML a vytvořit meziodborový AML výbor. Ujistit se, že kontaktní osoba pro AML splňuje požadavky pro rok 2025, rozumí přístupu založenému na riziku a dokáže sebejistě komunikovat s FAU.
- Zavést nebo doladit automatizaci AML monitoringu se zaměřením na návratnost investic (ROI). Využívat umělou inteligenci a pravidla scénářového monitoringu tak, aby se snížil počet falešně pozitivních případů, zrychlilo vyšetřování a posílilo řízení případů pro SAR/STR.
- Provést předběžný AML audit podle standardu FAU a připravit plán nápravy. To umožní dopředu zjistit, jaká porušení AML FAU v Česku nejčastěji odhaluje právě ve vašem podnikání, jak při auditu prokázat řádnou identifikaci beneficienta a které dokumenty si regulátor vyžádá jako první.
Když tyto prvky fungují synchronně, AML audit v Česku přestává být loterií. Stává se prověřením řízeného systému a společnost se stává předvídatelným a srozumitelným partnerem pro regulátory a banky. Právě k takovému stavu COREDO konzistentně vede své klienty v Evropě, Asii a SNS.
