Mapování compliance rizik pro mezinárodní holdingy

V mezinárodním podnikání se strategie růstu dnes nevyhnutelně naráží na compliance: registrace společností v EU a v Asii, finanční licence, KYC/AML, sankční compliance, přeshraniční operace: to vše se proměňuje v jednotný úkol řízení compliance rizik na úrovni skupiny, nikoli jednotlivých právních osob.

Za deset let práce COREDO s holdingy z Evropy, Asie a SNS jsem se přesvědčil: dokud skupina nemá jasnou mapu compliance rizik a zavedené mapování compliance rizik, každá nová jurisdikce, licence nebo banka nepřináší obchodní příležitosti, ale slabá místa.

Jak prakticky přistoupit k mapování compliance rizik pro mezinárodní holdingy: co považovat za riziko, jak vytvářet mapu, jak ji provázat s apetitem k riziku představenstva a licencováním, a která řešení se v praxi osvědčila v projektech COREDO.

Mapa rizik kompliance holdingu

Если у вас:

• společnosti v několika zemích EU, Asie a SNS;
• licence (nebo plány) pro platby, forex, kryptoměny, EMI, investiční služby;
• vlastnická struktura vícestupňová, s trusty, SPV, samostatnými holdco;

то ваш ключевой ресурс: не только korporátní struktura, а průhlednost и možnost řízení compliance‑rizik.

• de‑risking bank и odmítnutí obsluhy: banky vidí „nejasnou“ strukturu, slabé KYC/AML, nepřipravenost na sankční audit;
• blocking & freezing of assets kvůli sankčním porušením nebo chybám při práci s PEP/vysoko‑rizikovými jurisdikcemi;
• poškození reputace a růst nákladů kapitálu, investoři a partneři začínají do ocenění započítávat vysoké náklady z nedodržování předpisů;
• dlouhotrvající kontroly regulátorů v EU a Asii, omezení v oblasti licencí, dodatečný kapitál a výkaznictví.

Когда команда COREDO заходит в холдинг на этапе масштабирования, большинство проблем сводится к одному: compliance‑systém не успевает за географией и продуктом. Нет централизованного registr rizik, нет vlastníků rizik, комплаенс воспринимается как набор документов, а не как инструмент řízení podnikových rizik для международных групп.

Riziko compliance v mezinárodním kontextu

Cíle compliance v globálním holdingu nejsou pouze «absence pokut». Patří sem:

• udržení přístupu k bankovní infrastruktuře a platebním poskytovatelům;
• ochrana před sankčními a AML incidenty;
• dodržování licencí (payment, EMI, crypto, MiFID‑podobné, místní režimy v Asii);
• přijatelná úroveň reputačního rizika pro investory a partnery.

• jednotná taxonomie rizik pro compliance;
• formalizovaný proces identifikace, hodnocení, zpracování a monitorování compliance rizik;
• zdokumentovaná zpráva o hodnocení rizik (risk assessment report) a registr rizik (risk register).

Když v COREDO provádíme compliance risk assessment v nadnárodní skupině, rozdělujeme rizika na:

• regulatorní (regulatorní compliance v EU a v Asii, licence, reporting);
• sankční a AML rizika pro holdingy;
• provozní (KYC/AML procesy, onboarding, monitoring, IT GRC);
• právní (smlouvy, transparentnost skutečných majitelů, CRS/FATCA, ESG compliance);
• reputační (incidenty, vyšetřování, mediální kontext, stížnosti klientů).

Mapa rizik v oblasti dodržování předpisů: metodologie

Metodologie vytváření mapy compliance rizik vychází z detailního porozumění tomu, jak je podnik uspořádán a kde přesně v jeho procesech vznikají zranitelnosti. Na základě mapy podnikání postupujeme krok za krokem k vytvoření strukturované mapy compliance rizik, která ukazuje, jaká porušení, v kterých bodech a s jakou pravděpodobností se mohou vyskytnout.

Mapa podnikání a mapa rizik

Další kroky:

1. Procesní přístup k mapování compliance
   Jasně popisujeme klíčové procesy:
   prodeje, onboarding klientů (KYC/KYB), platby, operace na účtech, práce s dodavateli a agenty, HR, IT, reporting.
   Na tomto základě se vytváří mapa compliance rizik podle podnikových procesů.
2. Identifikace zón rizika
   Pro každý proces vymezíme:
   • body generování sankčních rizik a AML rizik;
   • zóny přeshraničních compliance rizik (platby, převody mezi jurisdikcemi, použití různých měn, korespondenční účty);
   • kontakt s regulátory, bankami, platebními systémy, auditory.
3. Sběr dat a incidentů
   Tým COREDO obvykle vytváří centralizovaný risk register compliance incidentů:
   žádosti regulátorů, blokace plateb, dotazy bank, zjištěná porušení, varovné signály (red flags).
   To poskytuje reálnou statistiku pro ocenění pravděpodobnosti.

Pravděpodobnost (likelihood) a dopad (impact) podle ISO 31000
Klasická otázka: jak měřit compliance riziko, přes pravděpodobnost nebo přes závažnost následků?

V praxi COREDO s holdingy používáme dvourozměrné hodnocení:

• pravděpodobnost, frekvence výskytu: od „vzácně“ do „často“;
• dopad, vliv na: licence, přístup k bankám, finanční výsledek, reputaci, osobní odpovědnost.

Je důležité rozlišovat:

• pravděpodobnost jako expertní hodnocení na základě incidentů a specifik;
• probability jako přísnější, kvantitativní ukazatel (tam, kde jsou data).

Apetit k riziku a vlastnictví rizik
Bez provázání s apetitem k riziku představenstva zůstává mapa rizik akademickým dokumentem.

Co dělám na úrovni governance:

• představenstvo formuluje apetít k riziku v oblasti compliance:
  jaké sankční, AML, regulatorní, provozní rizika jsou přijatelné a která nikoliv;
• stanoví se risk tolerance – přijatelné rozsahy pro klíčové KRI (např. počet zamítnutých plateb z důvodu sankcí, frekvence požadavků regulátorů);
• jsou jmenováni vlastníci rizik (risk owners) – obvykle vedoucí obchodních jednotek, a ne pouze compliance officery.

Centralizované, decentralizované a hybridní compliance modely

V mezinárodních holdingových skupinách vidím tři vzory řízení compliance.

Centrum kompetencí
Centrum kompetencí pro compliance v centrále:

• jednotná metodika vytváření mapy compliance rizik;
• centralizovaný registr rizik a zpráva o hodnocení rizik;
• jednotné politiky: sankční compliance, AML, KYC/KYB, TPRM, ESG, ochrana dat;
• jedno jádro IT GRC a compliance infrastruktury (RegTech, case-management, monitoring).

Decentralizovaný model systému
Lokální compliance oficíři v dceřiných společnostech:

• vlastní matice compliance rizik pro holdingovou skupinu v každé zemi;
• silná adaptace na regulatorní compliance v EU a Asii (místní regulátoři, reporting, jazyky);
• vlastní praxe interakce s bankami, platebními institucemi, finanční rozvědkou.

Hybridní model
Ve většině projektů COREDO prosazuji hybridní model řízení compliance rizik ve skupině:

• centrála: centrum metodiky, governance, risk & compliance (GRC přístup), obecná mapa rizik pro holding;
• dceřiné společnosti: adaptace a detailizace mapy compliance rizik pro holding s aktivy v Evropě a Asii podle jejich procesů;
• jednotné standardy (ISO přístup, politiky, KYC/AML rámec), ale lokální postupy tam, kde to vyžaduje regulátor.

Sankční a AML rizika ve víceúrovňových strukturách

Sankční a AML rizika ve víceúrovňových strukturách se zvyšují kvůli složitým řetězcům vlastnictví, křížovým podílům a účasti beneficiářů z různých jurisdikcí. Aby se zabránilo skrytému vystavení omezením a nárokům regulátorů, potřebuje podnik systematický sankční audit a podrobnou mapu sankčních rizik, pokrývající každou úroveň struktury.

Sankční audit a mapa rizik
Pro skupiny s privátním kapitálem a složitou vlastnickou strukturou tým COREDO často začíná sankčním auditem a sankčním Due Diligence:

• analýza transparentnosti skutečného vlastnictví (beneficial ownership): kdo jsou skuteční vlastníci a na kterých úrovních;
• hodnocení víceúrovňových vlastnických struktur, trustů, fondů, SPV, offshore entit;
• mapování přeshraničních řetězců: platby, dividendy, financování mezi společnostmi.

Na tomto základě vytváříme:

• sankční rizika a mapu rizik holdingu:
  • riziko zařazení na sankční seznamy;
  • compliance rizika při práci s PEP a vysoce rizikovými jurisdikcemi;
  • riziko nepřímého vlastnictví/vztahů se subjekty SDN;
• «červené vlajky / red flags» pro interní systémy:
  • anomální řetězce plateb;
  • noví kontrahenti z vysoce rizikových zemí;
  • netypické změny vlastnické struktury.

Integrace AML systémů do mapy rizik
Klasická chyba: budovat AML systém odděleně od celkové mapy compliance rizik.

Řešení, které COREDO úspěšně realizovala v holdincích s platebními a kryptolicencemi:

• integrace AML systémů do celkové mapy compliance rizik holdingu;
• použití přístupu založeného na riziku (risk-based approach) při vytváření mapy compliance rizik:
  • segmentace klientů podle rizika;
  • risk-based KYC a diferencované postupy;
• nastavení AML systému pro monitorování transakcí jako zdroje KRI:
  • podíl transakcí v ruční kontrole;
  • počet zjištěných red flags;
  • počet hlášení finanční rozvědce.

Digitální infrastruktura: IT GRC a RegTech

V holdincích s velkým počtem jurisdikcí, licencí a bankovních vztahů přestává být ruční mapování rizik v oblasti compliance zvládnutelné.

Proto považuji digitální platformy pro řízení compliance rizik (RegTech, GRC systémy) za jádro compliance infrastruktury:

• IT GRC a compliance pro mezinárodní holdingy poskytují:
  • centralizovaný registr rizik a registr incidentů;
  • řízení případů (case‑management) u compliance incidentů;
  • dokumentace procesů a audit‑trail;
  • řídicí panely a dashboards / scorecards pro vedení.

• Integrace AML/KYC s GRC:
  • data lineage a kvalita dat v AML/KYC‑systémech;
  • možnost propojit případy klientů, protistran a incidenty s konkrétními riziky na mapě;
  • monitorování klíčových indikátorů rizik (KRI) v režimu téměř reálného času.

Tým COREDO v několika projektech působil jako architekt:
popisovali jsme compliance‑infrastrukturu, formulovali požadavky na RegTech‑řešení a poté je integrovali s bankovními, platebními a CRM‑systémy.

Mapa compliance‑rizik a korporátní řízení

Mapa compliance‑rizik se stává praktickým nástrojem, který propojuje korporátní řízení s reálnými oblastmi odpovědnosti a kontroly ve společnosti, ukazující, kde přesně a jak mohou vznikat porušení. Skrze tuto souvislost model «tří linií obrany» pomáhá vytvořit průhledné rozdělení rolí, od provozní úrovně po představenstvo, a zajistit jednotný systém řízení compliance‑rizik.

Tři linie obrany v bance
Efektivní compliance‑systém jako nástroj řízení rizik nefunguje izolovaně:

1. První linie, obchodní útvary a provozní personál.
   Jsou to klíčoví vlastníci rizik (risk owners), právě zde vznikají a jsou řízena primární rizika.
2. Druhá linie: právní, rizikové a compliance funkce.
   Jejich úkolem je metodologie, monitoring, aktualizace mapy compliance‑rizik a kontrola.
3. Třetí linie, interní audit.
   Ten validuje mapu compliance‑rizik, ověřuje realističnost hodnocení, existenci kontrol a efektivitu procesů.

V jednom z projektů COREDO pro holdingu s licencemi v EU a v Asii jsme začali tím, že společně s interním auditem „přeprogramovali“ mapu rizik:
část rizik, která byla považována za nízká, se v praxi ukázala jako kritická kvůli přeshraničním (cross‑border) specifikám a požadavkům konkrétních regulátorů.

Tone at the top a compliance kultura
Bez tone at the top a compliance kultury se každá mapa rizik promění v byrokracii.

• schválit apetít k riziku (risk appetite) a toleranci rizika (risk tolerance);
• zařadit compliance‑KPI na úrovni top‑managementu;
• podporovat pravidelné revize mapování compliance rizik a zprávy o KRI;
• vyčleňovat prostředky na compliance školení a programy zvyšující povědomí (awareness‑programy).

Praxe COREDO ukazuje: když se compliance‑KPI stanou součástí bonusového systému managementu, zbytkové riziko začne skutečně klesat.

Mapování compliance rizik v mezinárodním holdingu

Právě ten «krok za krokem» plán, který tým COREDO používá v typickém projektu pro skupinu s aktivy v Evropě a Asii.

1. Diagnostika
   • analýza jurisdikcí, licencí, bankovních a platebních vztahů;
   • hodnocení zralosti současné compliance funkce a IT prostředí;
   • sběr incidentů, požadavků regulátorů a bank, sankčních a AML případů.
2. Taxonomie rizik a procesy
   • tvorba struktury compliance rizik mezinárodních holdingů;
   • popisy procesů (onboardingu, plateb, TPRM, HR, IT, výkaznictví);
   • vymezení přeshraničních řetězců a oblastí sankčního/AML rizika.
3. Hodnocení a sestavení mapy
   • compliance risk assessment podle ISO přístupu: pravděpodobnost a dopad;
   • vytvoření registru rizik a zprávy z hodnocení rizik;
   • vizuální mapu rizik / heat mapu pro představenstvo.
4. Propojení s úrovní přijatelnosti rizika (risk appetite) a governance
   • sjednání úrovní rizika s představenstvem;
   • jmenování vlastníků rizik a rolí;
   • výběr modelu: centralizovaný, decentralizovaný, hybridní.
5. Integrace s vnitřním kontrolou a auditem
   • nastavení vazby «mapa rizik: kontrolní postupy – prověrky»;
   • účast interního auditu na validaci hodnocení a scénářové analýze;
   • stress‑testing compliance systému a scénářová analýza rizik.
6. Digitalizace a RegTech
   • určení požadavků na GRC platformu a AML/KYC řešení;
   • integrace s CRM, platebními, bankovními a účetními systémy;
   • spuštění dashboardů a automatizovaného compliance monitoringu.
7. Průběžný monitoring a přezkum mapy rizik
   • pravidelná aktualizace mapy compliance rizik (minimálně jednou ročně, a při zásadních regulatorních změnách: častěji);
   • analýza nových jurisdikcí, produktů, partnerů;
   • úprava KRI a procesů.

Mapa rizik nedodržování předpisů: návratnost investic (ROI) a efekt

Z praxe COREDO vidím několik stabilních efektů:

• Snížení nákladů z nedodržení compliance
  Méně pokut, méně blokací, méně odmítnutí ze strany bank.
  Pro fintechové a holdingové skupiny to přímo ovlivňuje náklady na získání kapitálu a ocenění firmy.
• Urychlení vstupu na nové jurisdikce a získávání licencí
  Když máte vybudované řízení compliance v mezinárodním byznysu, regulátoři a banky se na holding dívají jinak – jako na předvídatelného a srozumitelného hráče.
• Snížení reputačních rizik
  Jasná mapa compliance-rizik, scénářová analýza, správně nastavený sankční a AML-compliance snižují pravděpodobnost událostí, které mohou narušit důvěru trhu.
• Řízení růstu
  Při rozšiřování na nové trhy, u M&A transakcí, při spuštění nových produktů se mapa rizik stává filtrem:
  co lze dělat, kde je potřeba dodatečná kontrola, kde je lepší se tomu vyhnout.

V jednom z případů COREDO pro skupinu s aktivy v EU a Asii vedlo zavedení mapy compliance-rizik a GRC-platformy:

• snížilo počet problémových dotazů od bank více než dvojnásobně;
• snížilo podíl manuální kontroly transakcí díky lepší kalibraci založené na riziku;
umožnilo regulátorovi schválit rozšíření licence na základě předložené zprávy o hodnocení rizik a řídící struktury.

Co je právě pro vás důležité zvážit.

1. Má skupina formalizovanou mapu kompliance‑rizik, nebo jen soubor roztříštěných politik?
2. Rozumí představenstvo a vrcholové vedení své toleranci k riziku právě v oblasti kompliance a sankcí?
3. Jsou vaše IT‑systémy, AML/KYC a procesy navázány na jednotný GRC‑přístup, nebo každá právnická osoba žije svým vlastním životem?

Команда COREDO за последние годы сопровождала холдинги в ЕС, Великобритании, Чехии, Словакии, на Кипре, в Эстонии, Сингапуре и Дубае – от регистрации юридических лиц и получения финансовых лицензий до построения комплексных комплаенс‑систем и risk map на уровне группы. Этот опыт убеждает меня в одном:

Vaše mapa kompliance‑rizik – это по сути strategическая карта устойчивости холдинга. И чем сложнее ваша география и лицензии, тем важнее, чтобы эта карта была не только нарисована, но и реально работала каждый день.