V posledních letech částky pokut za porušení AML compliance v EU stabilně přesahují 6–7 mld. EUR ročně, přičemž významná část nároků regulátorů nesouvisí s „kriminálními“ transakcemi, ale s banálními mezerami v dokumentech a slabou přípravou na AML audit. V COREDO pravidelně vidíme, jak firmy s pevně fungujícím byznysem ztrácejí účty, licence a měsíce „odmrazují“ operace jen proto, že v okamžiku AML kontroly nemají systematický checklist dokumentů.
Pokud se rozšiřujete v EU, vstupujete do Asie nebo rozvíjíte byznys v zemích SNS, klíčová otázka nezní „projde společnost AML auditem“, ale: „jaká bude škoda, pokud vstoupíte do auditu nepřipravení?“ Ztracené měsíce, blokace, zmrazené platby partnerům, zrušené obchody a přehodnocení rizik bankami — to je realita, se kterou se můj tým setkává v případech klientů každý kvartál.
V tomto průvodci rozeberu, jaké dokumenty jsou potřeba před AML auditem v roce 2025, jak vybudovat pracovní AML audit checklist podle požadavků FATF AML standards, 6AMLD, AMLR a budoucího nadnárodního regulátora AMLA, a ukážu na reálných případech COREDO, jak se příprava na audit mění z formality na nástroj strategického řízení rizik.
Kontrolní seznam auditu proti praní špinavých peněz
Minimální soubor dokumentů, který očekávám u společnosti před interním nebo external AML auditem v Evropě, Asii nebo SNS, obvykle zahrnuje:
– politika AML / CFT a postupy CDD/EDD
– KYC dokumenty o klientech (fyzických i korporátních)
– dokumenty o skutečných vlastnících (UBO) a vlastnické struktuře
– rejstřík skutečných vlastníků / rejstřík kontrolních osob (tam, kde je povinný)
– záznamy monitoringu transakcí a pravidla pro detekci anomálií transakcí
– záznamy SAR (suspicious activity reports) a korespondence s regulátory/bankami
– identifikace PEP a seznam sankcí / zprávy o negativních médiích (adverse media)
– výsledky risk assessment s popisem přístupu AML založeného na riziku
– záznamy školení pro zaměstnance o AML postupech
– dokumentace audit trail k klíčovým compliance rozhodnutím.
V COREDO pro přehlednost strukturyjeme toto do tabulky (zjednodušená verze):
| Dokument/artefakt | Cíl v AML auditu | Riziko v případě absence |
|————————————–|—————————————————–|———————————————-|
| Politika AML / CFT | Prokázat existenci udržitelného compliance rámce | Pokuty, nároky vůči vedení |
| Postupy CDD/EDD | Ukázat, jak uplatňujete FATF AML standardy | Zařazení jako instituce s vysokým rizikem |
| KYC soubory klientů | Potvrdit správný onboarding workflow | Zablokování účtů/licencí |
| Rejstřík UBO / skutečných vlastníků (beneficial owners) | Odkrytí vlastnické struktury | Podezření z obcházení sankcí/daní |
| Záznamy monitoringu transakcí | Potvrzení následného monitoringu | Obvinění z neodhalení podezřelých transakcí |
| Zprávy SAR (Suspicious Activity Reports) | Prokázání komunikace s FIU | Dotazy ohledně „neoznamování“ při zřejmých rizicích |
| Zprávy PEP / sanctions screening | Kontrola osob a jurisdikcí s vysokým rizikem | Sankční a reputační rizika |
| Risk assessment / model rizik | Odůvodnění přístupu AML založeného na riziku | „tick-box“ obvinění od auditorů |
| Zprávy o školení a interním auditu | Potvrzení maturity AML programu | Závěry o formálním dodržování compliance |
Dále rozebereme každý blok podrobněji.
AML audit: co to je a proč připravovat dokumenty
Pod pojmem AML audit vždy rozumím nejen formální kontrolu, ale i stres-test celého vašeho systému řízení rizik legalizace výnosů z trestné činnosti a financování terorismu:
– interní AML audit (internal AML audit): vlastní kontrola nebo audit objednaný u nezávislého konzultanta před příchodem regulátora nebo banky;
– external AML audit: kontrola licenčního orgánu, AMLA / národního dozoru, centrální banky nebo auditora akreditovaného regulátorem.
V podstatě je AML audit kontrolou, do jaké míry váš compliance framework odpovídá FATF recommendations, požadavkům 6AMLD, budoucím AMLR regulacím a národním AML zákonům.
– snižuje riziko falešně pozitivních alertů (false positives), protože můžete kalibrovat pravidla, provést revizi modelu rizik a auditorovi vysvětlit logiku filtrů;
– snižuje riziko falešně negativních výsledků (false negatives) — při interní kontrole COREDO často nachází klienty nebo transakce, které by externí audity později určitě vytáhly.
Podle údajů evropských bankovních asociací je až 40 % blokací podnikových účtů v EU spojeno s nedostatečně úplným KYC a nestrukturovanými daty klientů, nikoli s reálnými porušeními AML. To je oblast, kterou důkladná příprava na AML audit plně kontroluje.
Dokumenty pro AML audit a KYC
Každý AML audit checklist začíná KYC dokumenty. To je základ, na který se opírá celá AML kontrola.
Základní soubor KYC verifikačních dokumentů:
– pro fyzické osoby:
– pas / ID;
– doklad o adrese (účtenka za služby, bankovní výpis, eID);
– zdroj příjmů / verifikace zdroje prostředků (mzda, dividendy, prodej aktiv);
– pro společnosti:
– zakladatelské dokumenty, registrační osvědčení;
– stanovy / articles of association;
– seznam ředitelů a akcionářů;
– licence (bankovní, platební, investiční, kryptoměnové atd.);
– údaje o UBO.
Abychom klientům zjednodušili strukturu, v COREDO používáme tabulku:
| Typ klienta |Povinné dokumenty | Formát ukládání |
|————————–|————————————————–|—————————————–|
| Fyzická osoba | Pas, doklad o adrese, SOF/SOW | PDF/skan + strukturovaná pole v CRM |
| Korporátní klient | Reg. dokumenty, stanovy, licence, údaje UBO | DMS + propojená karta v AML systému |
| Trust / fond | Listina trustu, údaje zřizovatele/příjemců | DMS + samostatný UBO / modul AML pro skutečné majitele |
Příprava na AML audit podle přístupu založeného na riziku
Současný AML audit se opírá o přístup AML založený na riziku. Regulační orgány a AMLA očekávají, že vy:
– rozdělíte klienty podle rizik (pomocí skórování rizika klienta);
– zohledňujete geografické profilování rizik (jurisdikce s vysokým rizikem v Asii, offshore centra, země se speciálními sankčními režimy);
– dokumentujete verifikaci zdrojů prostředků a rozšířené Due Diligence (EDD) u zvýšených rizik.
Praxe COREDO ukázala: firmy, které zdokumentují risk assessment v samostatném balíčku pro AML audit (samostatný soubor s modelem rizik, protokoly jeho přezkoumání, zápisy z výborů), snáze procházejí externím AML auditem. Auditorovi je jednodušší vidět ne «ideální svět», ale váš promyšlený model řízení rizik.
Klasický cyklus:
- Primární KYC / CDD při onboardingu.
- Zvýšená prověrka (EDD) pro klienty s vysokým rizikem (PEP, složitá struktura, jurisdikce s vysokým rizikem).
- Průběžný monitoring po onboardingu (transaction monitoring, adverse media, sankce).
- Periodické přezkoumání modelu rizik a aktualizace KYC dokumentů.
Trend roku 2025: přechod na digitální onboarding, eKYC pro AML a biometrická identifikace, zejména ve fintechu, platebních společnostech, krypto službách, v online bankovnictví.
Samostatný blok, na kterém tým COREDO nyní pracuje nejčastěji: jak připravit KYC dokumenty na AML kontrolu 2025 s ohledem na eIDAS, 6AMLD a očekávané AMLR:
- zajistit právní význam eKYC (elektronické podpisy, ověřitelné identifikátory);
- nastavit ukládání KYC s korektní normalizací dat (jednotné formáty jmen, adres, identifikátorů pro následný screening);
- integrovat API pro AML screening s hlavními sankčními watchlisty a negativními médii (adverse media).
eKYC dokumenty pro AML audit nebankovních společností
U nebankovních společností (realitní kanceláře, investiční platformy, PSP, venture fondy) jsou požadavky na eKYC dokumenty často méně formalizované, ale praktická odpovědnost je stejná.
V jednom z projektů COREDO pro velký realitní holding v EU jsme sestavovali seznam dokumentů pro interní AML audit realitních kanceláří s ohledem na eKYC:
– skeny ID + selfie / videoidentifikace;
– ověření adresy přes utility API;
– potvrzení zdroje prostředků pro velké transakce (investiční migrace, nákup přes SPV);
– logy verifikace přes API pro AML screening (PEP, sankce, adverse media).
Сравнение přístupů:
| Metoda | Výhody | Požadavky 6AMLD / 2025 |
|—————–|———————————————–|———————————-|
| Tradiční KYC | Srozumitelný regulatorům, jednoduchý v auditu | Měla by existovat digitalizace a audit trail |
| eKYC | Rychlost, škálovatelnost, digitální onboarding | Spolehlivá identifikace, ochrana dat, audit trail |
Skuteční majitelé, boj proti praní špinavých peněz a rejstřík skutečných majitelů
– úplnost zveřejňování ultimate beneficial owners (UBO);
– vedení a aktualizaci beneficial ownership rejstříku;
– dokumentaci řetězce vlastnictví, včetně trustů, fondů a SPV.
V COREDO často provádíme pro klienty corporate structure audit před AML auditem: vytváříme mapu vlastnictví, kontrolujeme sankční rizika na každé úrovni, analyzujeme pravidlo 50 % ve vztahu k sankcím. Pro podniky z СНГ už neodhalení UBO v EU a Velké Británii vede k:
- odmítnutí otevření účtů;
- odmítnutí licencí;
- blokaci při pokusu o M&A nebo investiční migraci.
Váš AML audit checklist by měl určitě zahrnovat:
- aktuální rejstříky akcionářů;
- dokumenty o struktuře skupin;
- protokoly o aktualizaci údajů UBO;
- soulad s národními rejstříky (tam, kde jsou povinné).
Kontrolní seznam k auditu souladu s předpisy proti praní špinavých peněz
Pro udržitelný byznys vždy rozděluji dvě úrovně kontroly:
- interní AML audit, pravidelná sebekontrola, která umožní odhalit mezery dříve než regulátor nebo banka;
- externí AML audit / soulad s AML audit – audity regulátorů, AMLA, centrálních bank, licenčních orgánů, a také nezávislých externích auditorů.
Dobře nastavený interní AML audit: je to nástroj pro minimalizaci regulačních pokut a růstu zralosti AML programu.
– podíl false positives v AML screeningu a jejich pokles;
– doba zpracování alertu a eskalace;
– podíl případů, pro které se vytvářejí suspicious activity reports (SAR);
– průměrná doba přípravy SAR;
– počet zjištěných porušení při testovacím auditu vs. externím AML auditu.
Pro realitní kanceláře, fintech platformy, platební společnosti stavíme interní AML audit kolem dokumentů a logů.
| Kategorie | Příklady dokumentů | Frekvence kontroly |
|——————————|———————————————–|————————-|
| Politiky a postupy | AML politika, KYC/CDD/EDD, postupy pro SAR | Ročně / při změnách |
| Klientská dossié (KYC) | KYC balíčky, risk scoring, údaje UBO | Výběrově čtvrtletně |
| monitoring transakcí | logy monitoringu transakcí, kontroly rychlosti | Měsíčně |
| Screening & PEP | PEP screening, AML reporty, sankční seznamy | Nepřetržitě + výběr |
| Třetí strany | hodnocení rizik třetích stran u poskytovatelů | Ročně |
| Školení | Záznamy školení, testy zaměstnanců | Ročně|
| Interní zjištění | Zprávy interního AML auditu | Čtvrtletně |
Navíc prověřujeme detekci anomálií transakcí – jak jsou nastaveny pravidla, jaké typy scénářů se používají, jak je dokumentováno ruční přehodnocení.
Příprava SAR zpráv před AML auditem
Pro mnoho společností je slabým místem blok SAR. Regulátoři a banky sledují nejen skutečnost podání hlášení o podezřelých aktivitách (SAR), ale i:
– kvalitu popisu případů;
– odůvodnění podezření;
– propojení между záznamy monitoringu transakcí a přijatým rozhodnutím;
– dostupnost dokumentace audit trail pro každý SAR případ.
Úkol, se kterým k COREDO často přicházejí: příprava SAR zpráv před externím AML auditem a vybudování standardu, který odpovídá doporučením FATF a požadavkům FIU v různých jurisdikcích.
– AI nástroje a grafové neuronové sítě (GNN) pro analýzu vazeb a vzorců;
– zavádění velocity checks a behaviorálních scénářů;
– kalibraci pravidel ke snížení false positives při zachování nízkého počtu false negatives.
Požadavky AML 2025: 6AMLD, AMLR, AMLA
– Požadavky 6AMLD posilují trestní odpovědnost a rozšiřují seznam predicate offences;
– Nařízení AMLR převádějí část požadavků z direktiv (minimální harmonizace) do přímých nařízení (jednotná pravidla pro všechny země EU);
– Vzniká AMLA (Anti-Money Laundering Authority), která získá dohled nad velkými finančními institucemi a bude nastavovat standardy AMLA guidelines a AMLA compliance checklist.
Pro společnosti to znamená: kontrolní seznam dokumentů před AML auditem v EU přestává být lokální – potřebujete jednotný standard, který obstojí při prověrce v několika zemích současně (multi-jurisdictional compliance).
Když v COREDO provádíme přípravu na hypotetickou kontrolu AMLA, zaměřujeme se na změny v kontrolním seznamu:
| Regulační blok | Nový požadavek | Dokumenty v kontrolním seznamu |
|————————|————————————-|———————————————|
| 6AMLD | Rozšířený seznam trestných činů | Aktualizované posouzení rizik, politika |
| AMLR | Jednotné minimální standardy CDD | Unifikované postupy a šablony KYC |
| AMLA | Centralizovaný dohled | Mezijurisdikční zprávy o rizicích |
Vítězí zde společnosti, které již zavedly:
- jednotný compliance framework pro všechny země působení;
- standardizovaný AML audit checklist;
- centrální úložiště dat s kvalitní audit trail dokumentací.
Prověřování PEP, AML a sankční seznamy
Blok PEP screeningu, AML a kontroly sankcí je jedním z prvních, na které se podívá kterýkoli auditor.
Kvalitní proces zahrnuje:
- identifikaci PEP s ohledem na místní a mezinárodní seznamy;
- průběžný screening vůči sanctions watchlist (OFAC, EU, UK, OSN apod.);
- sledování adverse media s ohledem na vícejazyčný screening dat (zejména důležité pro Asii a SNS);
- použití fuzzy logic screeningu pro hledání variant psaní jmen.
– explainable AI v AML pro vysvětlení, proč systém označil toho či onoho klienta;
– nástroje, které pomáhají snížit falešně pozitivní alarmy bez zvýšení slepých zón.
Optimalizace před AML auditem
Když objem transakcí roste, manuální řízení AML rizik se stává nepřiměřeně nákladným.
V praxi tým COREDO kombinuje:
- No-Code AML integraci – vizuální konstruktory pro rychlé změny pravidel bez zásahu vývojářů;
- API pro AML screening – připojení k sankčním, PEP a adverse media databázím;
- continual learning v AML a GNN modely, adaptace pravidel s příchodem nových dat;
- homomorfní šifrování (FHE): tam, kde je vyžadována společná analytika s partnery bez odhalení surových dat.
Cílem je současně:
- snížit zátěž na tým;
- snížit falešně pozitivní alerty;
- připravit systém na špičkové zatížení při auditu (dotazy regulátorů, kontroly bank).
V jedné z asijských fintech skupin, se kterou tým COREDO spolupracoval, přechod na kombinaci No-Code AML a explainable AI ve screeningu umožnil:
- snížit false positives více než o 35%;
Metriky KPI a testování AML
Každá automatizace bez metrik rychle ztrácí ovladatelnost. Před vážným regulačním AML auditem stanovujeme:
- metriky KPI pro hodnocení AML postupů před auditem:
- míra falešně pozitivních výsledků a její vývoj;
- průměrný čas zpracování alertu;
- podíl alertů, které přešly do SAR;
- SLA pro aktualizaci sankčních seznamů;
- testování AML postupů před regulačním auditem: v podstatě generálka na externí AML audit.
Jak se připravit na AML audit v roce 2025
Abych teorii převedl do srozumitelného plánu akcí, používám strukturu, se kterou v COREDO přistupujeme k projektům v EU, Asii a SNS.
| Krok | Termín (orientačně) | Odpovědný |
|————————————–|————————–|——————————|
| Diagnostika aktuálního AML rámce| 2–4 týdny | Compliance / externí konzultanti |
| Aktualizace politik podle 6AMLD/AMLR | 2–3 týdny | Compliance + právníci |
| Inventarizace KYC / UBO souborů | 3–6 týdny | AML / provozní oddělení |
| Nastavení eKYC a screeningu | 4–8 týdny | IT + AML |
| Optimalizace monitoringu transakcí| 4–6 týdny | AML / řízení rizik |
| Pilotní interní AML audit | 3–4 týdny | Interní audit / COREDO |
| Korekční opatření | 4–8 týdny | Vedení + funkce |
| Příprava na externí audit | 2–4 týdny | Compliance + externí konzultanti |
V praxi v COREDO upravujeme tento plán podle rozsahu společnosti, typu licencí (krypto, platební, investiční, forex, bankovní) a jurisdikcí (EU, Velká Británie, Singapur, Dubaj, Česko, Slovensko, Estonsko a další).
Klíčové závěry a doporučení
Pokud shrneme desítky projektů, které tým COREDO realizoval v Evropě, Asii a SNS, obraz je takový:
- Úplný a živý AML audit checklist: váš nejlepší nástroj proti pokutám a blokacím. Zrychluje registrace a licencování, snižuje riziko tvrdých otázek od regulátorů a bank.
- Pravidelný interní AML audit s jasným souborem dokumentů a KPI zvyšuje zralost vašeho AML programu a činí externí audit zvládnutelnou událostí, nikoli krizí.
- Investovat do eKYC, No-Code AML a vysvětlitelné AI v AML dnes znamená získat flexibilitu a návratnost investic v horizontu 3–5 let, zejména při růstu transakcí v Asii a multijurisdikčním byznysu.
Pokud potřebujete praktický checklist AML auditu pro konkrétní jurisdikci nebo plánujete licencování a rozšíření do EU, Singapur, Dubaj nebo jiné regiony, tým COREDO pro vás může provést expresní diagnostiku, sestavit individuální AML checklist a provést testovací audit před regulátorem.