Obsah článku
- Co je AML hodnocení rizik a proč je povinné?
- Kdo musí hodnocení rizik vypracovat písemně?
- Čtyři povinné oblasti hodnocení rizik podle MP FAÚ č. 11
- Inherentní vs. reziduální riziko: klíčový rozdíl
- Riziková matice: jak se počítá výsledné rizikové skóre?
- Jak rizikové skóre ovlivňuje práci s klientem?
- Comply or explain: proč nestačí napsat „klient je nízkorizikový“
- Kdy a jak hodnocení rizik aktualizovat?
- Nejčastější chyby v hodnocení rizik podle FAÚ
- Co musí hodnocení rizik doložit při kontrole FAÚ — checklist
- Jak hodnocení rizik vypadá v praxi: realitní makléř vs. účetní
- Co říká NRA 2020–2024 o rizicích nefinančního sektoru?
- Nejčastější dotazy o hodnocení rizik
Co je AML hodnocení rizik a proč je povinné?
Hodnocení rizik praní špinavých peněz a financování terorismu (ML/TF) je zákonnou povinností zakotvenou v § 21a zákona č. 253/2008 Sb. (AML zákon). Je to interní analytický dokument, v němž povinná osoba identifikuje a posoudí rizika, jimž je vystavena z titulu svých klientů, produktů, způsobu práce a zeměpisného zaměření.
Hodnocení rizik není formální cvičení — je to základ, na němž musí být postaven celý systém vnitřních zásad (SVZ). Bez hodnocení rizik nelze platně sestavit SVZ, a bez SVZ nelze správně nastavit postupy pro identifikaci a kontrolu klientů.
Zákon nepředepisuje vzor ani strukturu. MP FAÚ č. 11, platný od 5. 9. 2025 a určený zejména povinným osobám z nefinančního sektoru, však závazně vymezuje minimální obsah hodnocení rizik a metodiku, podle níž musí být sestaveno.
Kdo musí hodnocení rizik vypracovat písemně?
Povinnost vypracovat hodnocení rizik v písemné podobě mají dotčené povinné osoby dle § 21a odst. 2 AML zákona — stejná skupina jako u písemného SVZ:
| Typ povinné osoby | Písemné hodnocení rizik |
|---|---|
| Úvěrové instituce — § 2/1/a | Povinné |
| Finanční instituce — § 2/1/b | Povinné* |
| Provozovatelé hazardních her — § 2/1/c | Povinné* |
| Realitní zprostředkovatelé, dražebníci — § 2/1/d | Povinné* |
| Poskytovatelé trustových a společnostních služeb — § 2/1/h | Povinné* |
| Účetní, daňoví poradci, auditoři — § 2/1/e | Písemně nepovinné — silně doporučené |
| Advokáti, notáři — § 2/1/g | Písemně nepovinné — silně doporučené |
*Výjimka platí při absenci zaměstnanců nebo při výkonu AML činnosti výhradně pro jednu jinou povinnou osobu (§ 21 odst. 3 a 4 AML zákona).
Hodnocení rizik musí být schváleno statutárním orgánem povinné osoby a průběžně aktualizováno.
Čtyři povinné oblasti hodnocení rizik podle MP FAÚ č. 11
MP FAÚ č. 11 vymezuje čtyři oblasti, v nichž povinná osoba identifikuje rizikové faktory ML/TF. Každá oblast musí být zpracována konkrétně — ne obecnými formulacemi.
Oblast 1: Klient a obchodní vztahy
Typ klienta je nejsilnějším rizikovým faktorem. Hodnocení musí rozlišovat mezi fyzickými osobami nepodnikajícími, OSVČ, právnickými osobami, PEP, cizinci z třetích zemí, klienty z rizikových jurisdikcí nebo klienty s nestandardním chováním. Zohledňuje se účel, pravidelnost a délka obchodního vztahu.
Oblast 2: Produkty a služby
Každý produkt nebo služba povinné osoby musí být posouzena z hlediska toho, jak konkrétně může být zneužita k praní peněz. Nestačí konstatovat „je riziková“ — hodnocení musí popisovat scénář zneužití a opatření, která ho zmírňují.
Oblast 3: Zeměpisné riziko
Hodnocení zohledňuje původ klienta, destinace plateb a polohu provozoven. Vysoce rizikovými zeměmi jsou ty uvedené na seznamu FATF a EU, k dispozici na stránkách FAÚ. Geografický faktor se zapracovává jak do klientské kategorizace, tak do transakčních znaků podezřelosti.
Oblast 4: Distribuční kanály
Způsob, jakým povinná osoba s klientem komunikuje a uzavírá obchody, je samostatným rizikovým faktorem. Distanční identifikace, online kanály nebo zprostředkování přes třetí osobu zvyšují riziko oproti osobní přítomnosti klienta.
Inherentní vs. reziduální riziko: klíčový rozdíl
MP FAÚ č. 11 rozlišuje dva typy rizik, které musí hodnocení zachytit:
- Inherentní riziko je úroveň rizika ML/TF před zavedením jakýchkoli zmírňujících opatření. Jde o „surové“ riziko vyplývající z charakteru klienta, produktu nebo způsobu práce.
- Reziduální riziko je úroveň rizika, která zůstane po zavedení AML opatření. Zbytkové riziko = inherentní riziko minus účinek kontrolních opatření.
Praktický příklad: klient — cizinec s bydlištěm ve vysoce rizikové třetí zemi — má vysoké inherentní riziko. Po provedení zesílené identifikace (§ 9a AML zákona), ověření zdrojů prostředků a průběžném monitoringu klesá jeho reziduální riziko na střední nebo zvládnutelnou úroveň. Toto posouzení musí být v hodnocení rizik doložitelné.
Nechte AML PROOF spočítat rizikové skóre za vás — automaticky při každé kontrole
AML PROOF používá interní WAR model (Weighted Average Risk), který při každém případu vypočítá výsledné rizikové skóre ze čtyř zákonných oblastí — a automaticky určí, zda případ vyžaduje standardní postup nebo zesílenou kontrolu (EDD).
Vyzkoušet WAR model zdarmaRiziková matice: jak se počítá výsledné rizikové skóre?
MP FAÚ č. 11 doporučuje hodnotit rizika na 3–4 stupňové škále. AML PROOF implementuje tuto logiku prostřednictvím WAR modelu (Weighted Average Risk) — váženého průměru rizikových faktorů vypočítaného automaticky při každé kontrole klienta.
| Dopad nízký | Dopad střední | Dopad vysoký | |
|---|---|---|---|
| Pravděpodobnost nízká | Nízké | Nízké | Střední |
| Pravděpodobnost střední | Nízké | Střední | Vysoké |
| Pravděpodobnost vysoká | Střední | Vysoké | Vysoké |
Každý klient obdrží výsledné WAR skóre, které kombinuje hodnocení ze čtyř oblastí: klient, produkt, geografie a distribuční kanál. Váhy jednotlivých faktorů jsou nastaveny v souladu s Národním hodnocením rizik (NRA, schváleno usnesením vlády č. 3 ze dne 5. 1. 2026) a metodickými pokyny FAÚ.
Výsledné rizikové skóre zařadí klienta do jedné z kategorií:
- Nízké riziko — standardní postup, možnost zjednodušené kontroly klienta (§ 13 AML zákona).
- Střední riziko — standardní postup se zvýšenou pozorností při průběžném monitoringu.
- Vysoké riziko — aktivuje zesílenou identifikaci a kontrolu klienta (EDD) dle § 9a AML zákona.
- Nepřijatelné riziko — zamítnutí obchodu nebo ukončení obchodního vztahu (§ 15 AML zákona).
Jak rizikové skóre ovlivňuje práci s klientem?
Výsledné rizikové skóre není jen interní číslo — přímo určuje rozsah povinností při práci s konkrétním klientem:
Nízké a střední skóre (standardní případ)
Identifikace proběhla řádně dle § 7–8 AML zákona, kontrola dle § 9, klient jedná na vlastní účet, žádný PEP, žádný sankční hit, zdroj prostředků jasný. Případ může finalizovat každý proškolený pracovník.
Vysoké skóre (EDD — zesílená kontrola)
Automaticky se spouští rozšířený proces dle § 9a AML zákona. EDD může spustit každý zaměstnanec, ale schválit nebo zamítnout EDD může výhradně pověřená osoba (MLRO) — zákonný požadavek dle § 9a odst. 3 písm. d) AML zákona.
Sankční nebo PEP hit
Parciální shoda (NON_CRITICAL_HIT) může být rozhodnuta standardním pracovníkem. Plná shoda (MAJOR_HIT) vyžaduje rozhodnutí výhradně MLRO — a zpravidla vede k podání OPO.
Comply or explain: proč nestačí napsat „klient je nízkorizikový“
MP FAÚ č. 11 zavádí pro hodnocení rizik zásadu comply or explain — povinná osoba musí u každého rizikového faktoru buď prokázat, že zavedená opatření riziko dostatečně zmírňují, nebo zdůvodnit, proč daný faktor ve svém konkrétním případě hodnotí jako nižší.
To má přímý dopad na praxi: FAÚ při kontrole odmítá hodnocení, která obsahují pouze obecná tvrzení jako „naši klienti jsou fyzické osoby s nízkým rizikem“. Správné hodnocení rizik musí obsahovat:
- Konkrétní popis scénáře zneužití pro každý typ klienta nebo produktu.
- Odůvodnění, proč zvolená opatření tento scénář dostatečně pokrývají.
- U nízkorizikových kategorií zevrubné zdůvodnění, proč klient nebo produkt nízkorizikový je — ne jen konstatování.
Pokud hodnocení rizik neobsahuje dostatečné odůvodnění, FAÚ ho při kontrole odmítne jako nedostatečné — a může uložit opatření k nápravě nebo zahájit přestupkové řízení.
Kdy a jak hodnocení rizik aktualizovat?
Hodnocení rizik není jednorázový dokument — § 21a AML zákona výslovně ukládá povinné osobě hodnocení rizik pravidelně aktualizovat. MP FAÚ č. 11 upřesňuje konkrétní triggery pro aktualizaci:
Povinná aktualizace nastává vždy při:
- Vydání nebo aktualizaci Národního hodnocení rizik (NRA), pokud má dopad na činnost povinné osoby.
- Vydání nových metodických pokynů FAÚ nebo aktualizaci SNRA.
- Zahájení poskytování nových produktů nebo služeb.
- Zavádění nových technologií, které mohou mít vliv na ML/TF rizika.
- Změně obchodního modelu nebo klientského portfolia.
Jak aktualizaci provést:
- Přezkoumat, zda stávající rizikové kategorie stále odpovídají realitě.
- Aktualizovat riziková skóre tam, kde se podmínky změnily.
- Zdokumentovat důvody změn a datum aktualizace.
- Nechat aktualizaci schválit statutárním orgánem.
- Zajistit proškolení zaměstnanců o případných změnách (§ 23 odst. 3 AML zákona).
Nejčastější chyby v hodnocení rizik podle FAÚ
MP FAÚ č. 11 i dohledová praxe FAÚ opakovaně identifikují tyto nedostatky:
- Šablonové hodnocení bez individualizace: dokument zkopírovaný z internetu nebo generovaný bez znalosti konkrétního obchodního modelu.
- Chybějící hodnocení distribučních kanálů: povinné osoby pracující distančně tuto oblast často opomíjejí.
- Neprovázanost hodnocení rizik a SVZ: hodnocení říká, že klient je vysokorizikový, ale SVZ neobsahuje odpovídající postup.
- Zastaralé hodnocení: dokument bez aktualizace po vydání nového NRA nebo MP FAÚ č. 11.
- Neodůvodněné nízkorizikové kategorie: tvrzení, že všichni klienti jsou nízkorizikoví, bez comply or explain analýzy.
Co musí hodnocení rizik doložit při kontrole FAÚ — checklist
FAÚ při kontrole hodnotí hodnocení rizik nejen z hlediska existence, ale především doložitelnosti jednotlivých závěrů. Projděte si, zda váš dokument obstojí:
Formální náležitosti
- Hodnocení rizik je součástí písemného SVZ nebo je na něj výslovně navázáno.
- Dokument je schválen statutárním orgánem (podpis + datum).
- Je k dispozici předchozí verze s datem aktualizace a důvodem změny.
- Hodnocení zohledňuje aktuální NRA (schváleno usnesením vlády č. 3 ze dne 5. 1. 2026).
Obsah — čtyři oblasti
- Klient: jsou rozlišeny kategorie s odůvodněním přiřazeného rizikového skóre?
- Produkt/služba: je u každého produktu popsán scénář konkrétního zneužití k ML/TF?
- Geografie: jsou zapracovány vysoce rizikové třetí země do klientské kategorizace i transakčních znaků podezřelosti?
- Distribuční kanál: je odlišeno riziko distanční vs. osobní identifikace?
Riziková kategorizace
- Je ke každé kategorii klienta přiřazeno rizikové skóre?
- U nízkorizikových kategorií je přítomno odůvodnění dle zásady comply or explain?
- Jsou nízkorizikové kategorie podloženy analýzou, nikoli jen tvrzením?
Propojení na SVZ a praxi
- SVZ obsahuje odpovídající postup pro každou rizikovou kategorii.
- Opatření zmírňující riziko jsou konkrétní — ne jen „zvýšený monitoring“.
- Je uveden interval aktualizace hodnocení rizik.
Jak hodnocení rizik vypadá v praxi: realitní makléř vs. účetní
Hodnocení rizik musí odpovídat konkrétnímu oboru podnikání. Níže jsou klíčové rozdíly mezi dvěma nejčastějšími typy povinných osob z nefinančního sektoru:
Realitní makléř (§ 2 odst. 1 písm. d) AML zákona)
Realitní sektor patří z hlediska NRA 2020–2024 mezi středně až vysoce rizikové oblasti. Typické rizikové faktory a jejich dopad na hodnocení:
| Oblast | Typické riziko | Doporučené skóre |
|---|---|---|
| Klient — PO s neprůhlednou vlastnickou strukturou | Zastření skutečného majitele | Vysoké |
| Klient — cizinec z rizikové jurisdikce | Přeshraniční praní peněz | Vysoké |
| Klient — kupující platící celou cenu hotovostí | Hotovostní praní | Vysoké až nepřijatelné nad 10 000 EUR |
| Produkt — zprostředkování prodeje nemovitosti | Nadhodnocení/podhodnocení ceny | Střední |
| Geografie — klient z post-sovětského prostoru | ML přes nemovitostní trh | Vysoké |
| Distribuční kanál — distanční identifikace bez FtF | Riziko odcizené identity | Střední až vysoké |
Klíčová povinnost při EDD: zjistit zdroj peněžních prostředků použitých na koupi a přijmout přiměřená opatření ke zjištění původu majetku (§ 9 odst. 2 písm. e) a f) AML zákona).
Účetní (§ 2 odst. 1 písm. e) AML zákona)
Účetní nepodléhají povinnosti mít písemné hodnocení rizik ze zákona — ale FAÚ ho při kontrole zpravidla vyžaduje a absence ho hodnotí jako přitěžující okolnost. Typické rizikové faktory:
| Oblast | Typické riziko | Doporučené skóre |
|---|---|---|
| Klient — PO zakládaná účelově | Zneužití pro ML struktury | Vysoké |
| Klient — OSVČ s neprůhlednou strukturou příjmů | Zakrývání zdrojů příjmů | Střední |
| Produkt — vedení účetnictví pro klienta s hotovostními obchody | Zastření původu prostředků | Vysoké |
| Produkt — daňové poradenství pro zahraniční transakce | Daňové úniky + ML | Střední |
| Geografie — klient s přeshraničními transakcemi do rizikových zemí | Přeshraniční ML | Vysoké |
| Distribuční kanál — výhradně online komunikace s klientem | Riziko odcizené identity | Střední |
Klíčový rozdíl oproti makléři: účetní typicky udržují dlouhodobý obchodní vztah, což znamená povinnost průběžné kontroly klienta a monitoring vývoje jeho obchodní aktivity v čase.
Co říká NRA 2020–2024 o rizicích nefinančního sektoru?
Národní hodnocení rizik ML/TF pro období 2020–2024 (NRA, schváleno usnesením vlády ČR č. 3 ze dne 5. 1. 2026) je závazným podkladem, který musí každá povinná osoba zohlednit při sestavování hodnocení rizik dle § 21a odst. 1 AML zákona.
NRA identifikuje čtyři rizikové modely praní špinavých peněz v ČR. Pro nefinanční sektor jsou nejrelevantnější:
- Rizikový model 1 — podvodná činnost: pachatelé zneužívají důvěru obětí k získání prostředků, které jsou následně vkládány do finančního systému.
- Rizikový model 3 — ostatní majetková a hospodářská trestná činnost: korupce, tunelování a insolvenční řízení. Klíčový model pro TCSP, realitní sektor a daňové poradce.
- Rizikový model 4 — trestná činnost se zahraničním prvkem: přibližně 25–30 % neoprávněně nabytých prostředků pochází z predikativní trestné činnosti se zahraničním přesahem.
Nové fenomény identifikované v NRA pro období 2020–2024, které musíte zohlednit:
- Zásadní přesun podvodné činnosti do kyberprostoru — sociální inženýrství, deepfake, AI-generovaný obsah.
- Etablování virtuálních aktiv a nárůst jejich zneužívání pro ML.
- Zastřené zprostředkování zaměstnání spojené s krácením daňových povinností.
- Nové sankční obcházení v návaznosti na konflikt na Ukrajině.
Tyto fenomény musí být výslovně zohledněny v hodnocení rizik každé povinné osoby — nestačí obecný odkaz na NRA. FAÚ při kontrole posuzuje, zda povinná osoba přijala konkrétní opatření reagující na identifikované trendy.
Neveřejnou verzi NRA, která obsahuje podrobnější typologické informace pro konkrétní sektory, si povinné osoby mohou vyžádat přímo na FAÚ.
Nejčastější dotazy o hodnocení rizik
Existuje vzor hodnocení rizik od FAÚ?
Ne. FAÚ žádný vzor hodnocení rizik nezveřejnil a ani to neplánuje — hodnocení musí být vždy zpracováno individuálně pro konkrétní povinnou osobu.
Musí hodnocení rizik schválit jednatel?
Ano. Hodnocení rizik je součástí SVZ, který musí schválit statutární orgán povinné osoby dle § 21 odst. 2 AML zákona.
Jak podrobně musím popisovat rizika jednotlivých klientů?
Hodnocení rizik je typologický dokument — popisuje kategorie, ne konkrétní osoby. Konkrétní klient obdrží rizikový profil při identifikaci a kontrole.
Co je to nízkorizikový klient a jak ho mohu identifikovat?
Zákon v § 13 AML zákona umožňuje zjednodušenou kontrolu klienta tehdy, kdy hodnocení rizik prokazatelně dokládá nízké riziko ML/TF. Samotné tvrzení nestačí.
Musím v hodnocení rizik zohledňovat výsledky NRA?
Ano, jde o zákonnou povinnost dle § 21a odst. 1 AML zákona. Aktuální NRA bylo schváleno usnesením vlády ČR č. 3 ze dne 5. 1. 2026.
Co když se mé podnikání výrazně změní — musím hodnocení rizik přepsat?
Ne nutně celé — ale musíte posoudit, zda stávající kategorizace stále platí, a aktualizovat části, kterých se změna dotkla. Každou aktualizaci zdokumentujte s datem a důvodem.
Hodnocení rizik zabudované do každé kontroly — ne jako statický dokument
AML PROOF propočítává rizikové skóre (WAR) automaticky při každém případu. Výsledek se ukládá do auditní stopy, určuje postup pro daného klienta a tvoří podklad pro hodnocení rizik celé vaší organizace.
Začít zdarma