Podle údajů českého Financial Analytical Unit (FAU) se в drtivé většině kontrol, přibližně v 80 % – zjišťují nedostatky v KYC/CDD, monitoringu transakcí a vedení dokumentace, i у společností, které jsou přesvědčeny o formálním dodržování AML. V jazyce byznysu to znamená: zablokované účty, zadržované platby, zvýšenou pozornost bank a citelné reputační ztráty.
Zákon č. 253/2008 Sb. (český AML zákon, harmonizovaný s evropskými směrnicemi AMLD) stanoví přísné požadavky na KYC v Česku, identifikaci skutečného majitele, monitorování podezřelých operací a vnitřní AML kontrolu.
Navrhuji nahlížet na AML audit v Česku не как на формální povinnost, а как на říditelný projekt rizik: jej lze strukturovat, předpovědět důsledky a získat hmatatelný ROI ze správných investic. V tomto průvodci rozeberu, co FAU odhaluje v 80 % případů, jak projít kontrolou FAU Česko bez pokut a jak vybudovat systém, ve kterém AML compliance pracuje в zájmu byznysu.
Pokud odpovídáte za mezinárodní platby, fintechové licence nebo VASP struktury z Evropy, Asie nebo SNS, doporučuji si článek přečíst až do konce: získáte konkrétní kontrolní seznamy, matici varovných signálů a srozumitelný soubor kroků, které výrazně snižují riziko blokací a pokut.
AML-audit v Česku: co kontroluje FAU a 80 % zjištění
kontrola FAU v Česku, это не только запрос отдельных досье клиентов. В большинстве случаев регулятор оценивает всю систему: от формулировок AML policy до того, как контактное лицо AML объясняет конкретные решения по KYC и CDD.
- Nedostatečné KYC/CDD a slabá identifikace skutečného vlastníka (Beneficial Owner).
- Nedostatečně nastavený vnitřní kontrola AML a monitorování podezřelých operací v Česku.
- Mezery v dokumentaci, ukládání dat a kompetencích odpovědných osob.
Časté chyby KYC a CDD při auditu v Česku
Практика COREDO и обзоры FAU показывают: именно KYC и CDD ошибки при аудите формируют около трети всех нарушений.
Классический набор проблем:
- Skutečný vlastník «na papíře», но ne v realitě. Dokumenty o beneficárním vlastníkovi jsou, ale chybí ověření skutečného vlastnictví (Beneficial Ownership) přes české a evropské rejstříky, není provedené porovnání struktury s reálnými peněžními toky. V одном из кейсов COREDO финтех‑клиенту пришлось срочно пересобирать досье BO после того, как FAU указало на несовпадение декларируемой структуры с данными зарубежного реестра.
- Povrchní CDD a EDD pro klienty s vysokým rizikem. Společnostem s klienty ze zemí Asie a Afriky často chybí hloubka prověrek source of funds a source of wealth: jsou přítomny obecné potvrzení a deklarace, ale chybí dokumentovaná historie původu prostředků, zvláště u velkých přeshraničních převodů.
- Stejný KYC‑přístup ke všem klientům. Velký korporátní klient s mezinárodními transakcemi a lokální SME jsou hodnoceni podle jedné rizikové matice. FAU to vnímá jako absenci risk‑based approach.
- Neúplný balík dokumentů pro FAU. Když začne kontrola, společnosti stráví týdny hledáním základních KYC formulářů, potvrzení o adrese, smluv a korespondence. To zvyšuje podezření regulátora a prodlužuje kontrolu.
- ověření identity a adresy klienta s využitím důvěryhodných zdrojů (eID, notářské kopie, mezinárodní databáze);
- verifikace skutečného vlastníka přes EU/české rejstříky a porovnání s reálnou strukturou aktiv;
- dokumentovaná metodika prověřování source of funds/source of wealth;
- oddělené postupy CDD a rozšířené prověrky (EDD) pro PEP a jurisdikce s vysokým rizikem, včetně analýzy sankčních seznamů a PEP screeningu.
Vnitřní AML kontrola: nedostatečné monitorování operací
Второй крупный блок нарушений, внутренний контроль AML и мониторинг подозрительных операций в Чехии.
Типовые слабые места:
- Nedostatek SAR/STR. Společnost má aktivní mezinárodní činnost, ale za rok podá nula hlášení o podezřelých transakcích (SAR/STR). Pro FAU je to jasný signál: buď monitorování transakcí formální, nebo podezřelé operace nejsou rozpoznávány.
- Neupravená pravidla monitorování a lavina false positives. Ve společnostech, kde je nasazena základní automatizace AML a AI‑monitoring transakcí, se často vyskytuje vysoký podíl false positives (až 15–20 % alertů), které nejsou vyšetřovány nebo jsou uzavírány rutinně. Pro regulátora to znamená absenci doladění pravidel sledování transakcí a slabou forenzní analytiku.
- Chybí screening sankcí v reálném čase. Kontrola sankčních seznamů se provádí periodicky, nikoli v režimu reálného času. Pro cross‑border compliance je to kritické riziko, zejména při práci s jurisdikcemi s vysokým rizikem.
- Fragmentární audit trail a data lineage. Záznamy v AML systémech neumožňují zjistit, kdo a na jakém základě rozhodl o alertu. V očích FAU to vypadá jako absence kontrolovatelného procesu.
Typická porušení AML v Česku — pět nejčastějších zjištění FAÚ
Opírajíc se o veřejné zprávy dozorových orgánů EU a praxi FAU, tým COREDO vyčleňuje pět kategorií, které tvoří základ těch 80 % nálezů při AML auditu v Česku:
| Porušení | Odhadovaný podíl v rámci 80% kontrol | Obvyklé důsledky |
|---|---|---|
| Nedostatečné KYC/CDD | ~30% | Zablokování účtů, opatření FAU |
| Nedostatečný monitoring transakcí | ~25% | Pokuty, zvýšený dohled |
| Neefektivní nebo formální kontaktní osoba pro AML | ~15% | Požadavky na výměnu, opatření |
| Špatné uchovávání dat a klientských spisů | ~5% | Riziko odejmutí licence, pokuty |
| Ignorování sankcí a PEP rizik | ~5% | Poškození reputace, de‑risking |
K těmto bodům se přidávají méně časté, ale nebezpečné problémy: neaktualizování politiky AML, ignorování nových požadavků AML 2025 v Česku a slabá koordinace s interním auditem.
Pokuty za porušení AML v Česku
Zákon č. 253/2008 Sb. a související předpisy přímo stanoví odpovědnost vedení za AML v Česku. Ve většině případů se jedná o správní pokuty až do milionů CZK, ale při hrubých a systémových porušeních není vyloučena ani trestní odpovědnost.
Z toho, co COREDO pravidelně zaznamenává:
- Ředitelé a členové představenstva nesou osobní odpovědnost za zavedení efektivní interní kontroly AML, jmenování kompetentní kontaktní osoby a schválení politiky AML.
- Účetní a auditoři se dostávají do hledáčku FAU jako „povinné osoby“ s oddělenými požadavky na AML, zejména pokud pracují s klienty z vysoce rizikových sektorů nebo jurisdikcí.
Kontrola FAU Česko 2025: jak projít
Trend let 2024–2025: zpřísnění požadavků FAU na kvalitu vnitřní AML kontroly, kvalifikaci kontaktní osoby a pravidelnou aktualizaci postupů s ohledem na změny v legislativě a DORA (operační odolnost pro fintech).
COREDO v takových projektech používá dvoufázový přístup:
- Předběžný AML audit «jako u FAU», ale z pohledu konzultanta, nikoli dozorového orgánu.
- Vypracování a realizace nápravného plánu pro dodržování předpisů, který odpovídá na konkrétní rizika a zjištění.
Požadavky na kontaktní osobu AML v Česku
Kontaktní osoba AML je jedním z klíčových kontrolovaných prvků. Regulátor posuzuje nejen formální jmenování, ale i:
- zkušenosti osoby v KYC/CDD, EDD pro PEP a vysoce rizikové klienty;
- pochopení přístupu založeného na riziku a schopnost vysvětlit prakticky uplatňovanou úroveň rizika (risk appetite) společnosti v oblasti AML;
- schopnost komunikovat s FAU, včas podávat SAR/STR a korektně odpovídat na procedurální požadavky FAU.
- pomáhá připravit kontaktní osobu AML na kontrolu FAU v roce 2025 prostřednictvím cíleného školení (případy FAU, typické otázky, rozbor chybných odpovědí);
- vytváří cross-functional AML komisi, aby AML pracovník nezůstal s riziky sám, ale mohl se opřít o právníky, IT a řízení rizik.
Příprava na FAU audit: kontrolní seznam a dokumenty
Když FAU zašle žádost, čas začne pracovat proti společnosti. Proto vždy připravujeme klienta na to, že příprava na FAU audit není jednorázová záležitost, ale průběžný proces.
- aktuální AML policy s jasným popisem přístupu založeného na riziku (risk-based approach), postupů CDD/EDD a scénářového monitoringu transakcí;
- matice AML red flags a scoring modelů pro hodnocení klientů a transakcí;
- úplný přehled dokumentů, které FAU obvykle vyžaduje: KYC spisy, logy monitoringu, SAR/STR, zápisy z jednání AML výboru, zprávy interního auditu;
- audit trail a data lineage pro klíčová rozhodnutí o zablokování nebo povolení transakcí;
- data retention policy, která odráží doby uchovávání AML dat (pro některé sektory, např. provozovatele hazardních her: až 10 let).
Důležitý prvek: předem připravená šablona nápravného plánu pro dodržování předpisů: pokud FAU zjistí porušení, okamžitě předkládáte strukturovaný plán nápravných opatření s termíny, odpovědnými osobami a KPI. Takový přístup podle zkušeností COREDO výrazně zmírňuje reakci regulátora a snižuje riziko přísných sankcí.
Pokuty AML v Česku: jak minimalizovat
Pokuty a sankce AML v Česku jsou téma, které se pro mnoho klientů stává „vstupním bodem“. Ve veřejných případech v EU a Česku dosahují pokuty milionů CZK, a pro licencované subjekty (platební instituce, investiční společnosti, VASP) se reálným rizikem stává pozastavení nebo odnětí licence.
Kлючевые последствия:
- administrativní pokuty za nedodržení AML v Česku;
- omezení některých typů operací;
- požadavek na rozsáhlou nápravu pod dohledem FAU;
- poškození reputace, které ovlivňuje vztahy s partnerskými bankami a protistranami.
Chyby při AML prověrce FAU a blokování účtů
Často se první „sankcí“ nestávají pokuty, ale kroky bank: blokace účtů, odmítnutí otevření nového účtu, zpřísnění interních limitů.
COREDO se pravidelně setkává s těmito ne příliš zřejmými, ale typickými příčinami:
- nesrovnalosti mezi deklarovaným obchodním modelem a skutečnými transakcemi (např. je deklarován obchod se zbožím v EU, ale na účtu probíhají platby za marketingové služby z jurisdikcí s vysokým rizikem);
- časté změny struktury skutečných majitelů bez srozumitelného vysvětlení a dokumentálního potvrzení;
- nedostatek jasné logiky v KYC profilech (klienti s velmi odlišným rizikovým profilem jsou popsáni jednotným způsobem).
Automatizace AML v Česku: AI-monitorování a návratnost investic (ROI)
Pro společnosti s mezinárodními platbami, a zejména pro fintech a kryptospolečnosti v Česku, se automatizace AML‑procesů a AI‑monitorování přestaly být volbou „do budoucna“: jde o podmínku přežití a dodržení DORA.
Interní AML politiky a rizikově orientovaný přístup
Klíčovým prvkem úspěšné automatizace je obsah zakotvený v AML politice. V ní by mělo být:
- formalizovaný rizikově‑orientovaný přístup: segmentace klientů, jurisdikcí a produktů podle úrovní rizika;
- scénářový monitoring (scenario-based transaction monitoring) s srozumitelnými pravidly spouštění a prioritizace;
- KPI a ROI pro AML‑projekty: podíl false positives, průměrná doba vyšetřování SAR, počet transakcí zastavených před fází incidentu.
Podle výsledků implementací, které prováděl tým COREDO, typické KPI vypadají takto:
| KPI pro ROI automatizace | Před projektem | Po zavedení AI‑monitorování | Ekonomický efekt |
|---|---|---|---|
| Podíl false positives | ~15% alertů | ~3% | až −80 % času na vyřízení SAR |
| Průměrná doba vyšetřování alertu | 3–5 pracovních dní | 1 den | urychlení obratu, méně backlogs |
| Vyhnuté pokuty a ztráty | 0 | až 5 mil. CZK (odhadem) | ROI 200–300 % v horizontu 12–18 měsíců |
Přeshraniční dodržování předpisů pro Asii a Afriku
Pro holdingy se sídlem v Česku, které expandují do zemí s vysokým rizikem (část regionů Asie a Afriky), stojí otázka centralizace nebo rozdělení AML funkcí.
Zkušenost COREDO ukazuje následující model:
- strategický AML‑framework, risk appetite a klíčové politiky jsou formovány centralizovaně v Česku;
- operační KYC/CDD a monitoring místních klientů posilují místní týmy nebo spolehliví poskytovatelé, přičemž zůstává jednotný standard AML assurance a jednotný systém reportování.
Šablony a kontrolní seznamy pro podniky
Na závěr – praktická úroveň, s níž v COREDO obvykle začínají projekty na přípravu na AML audit v Česku.
Co musí být v provozuschopném stavu:
- Postupy identifikace beneficientů (BO). Popis metodiky ověřování skutečných vlastníků (Beneficial Ownership verification) přes rejstříky EU/ČR, pravidla pravidelné aktualizace údajů a kontroly při spouštěčích (velké transakce, změna struktury, nové vysoce rizikové jurisdikce).
- Klientská spisová dokumentace a politika uchovávání dat. Standardy vedení customer lifecycle monitoring, od onboardingu po offboarding, s jasným seznamem dokumentů v každé fázi a dobami retence (včetně až 10 let pro některá odvětví). Politika uchovávání dat by měla být sladěna jak s AML, tak s odvětvovými pravidly.
- Šablona plánu nápravných opatření pro regulatorní nápravu. Hotová šablona plánu nápravných opatření pro zjištění FAU: seznam porušení, hodnocení rizika, konkrétní kroky, termíny a odpovědné osoby, metriky kontroly (například snížení podílu nevyplněných polí KYC na <1%, zvýšení podílu EDD‑spisů u PEP na 100%).
- Outsourcing vs interní AML. Pro malé společnosti a outsourcingové účetní firmy je rozumné svěřit část funkcí (monitorování sankcí, aktualizace regulatorních požadavků, vendor due diligence pro AML‑technologie) profesionálnímu poskytovateli, přičemž strategická rozhodnutí ponechat na úrovni představenstva. Taková rovnováha snižuje provozní riziko a zjednodušuje řízení regulatorních změn (regulatory change management).
Klíčové závěry a kroky pro vedoucí pracovníky
Kdybych měl shrnout své zkušenosti do tří praktických kroků, které nejvíce snižují AML rizika v Česku:
- Jmenovat skutečně kvalifikovanou osobu odpovědnou za AML a vytvořit meziodborový AML výbor. Ujistit se, že kontaktní osoba pro AML splňuje požadavky pro rok 2025, rozumí přístupu založenému na riziku a dokáže sebejistě komunikovat s FAU.
- Zavést nebo doladit automatizaci AML monitoringu se zaměřením na návratnost investic (ROI). Využívat umělou inteligenci a pravidla scénářového monitoringu tak, aby se snížil počet falešně pozitivních případů, zrychlilo vyšetřování a posílilo řízení případů pro SAR/STR.
- Provést předběžný AML audit podle standardu FAU a připravit plán nápravy. To umožní dopředu zjistit, jaká porušení AML FAU v Česku nejčastěji odhaluje právě ve vašem podnikání, jak při auditu prokázat řádnou identifikaci beneficienta a které dokumenty si regulátor vyžádá jako první.