Nevíte, zda se vás AML týká?
Nejprve zjistěte, zda vaše firma patří mezi povinné osoby — a teprve pak řešte systém vnitřních zásad.
Obsah článku
Co je systém vnitřních zásad AML?
Systém vnitřních zásad (SVZ) je interní dokument — v praxi de facto AML manuál — který definuje, jak vaše firma plní povinnosti vyplývající z AML zákona (zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu).
SVZ není pouhý formální papír do šuplíku. Je to živý provozní dokument, který popisuje konkrétní postupy identifikace klientů, hodnocení rizik, screeningu, oznamování podezřelých obchodů a školení zaměstnanců. Musí odrážet realitu vašeho podnikání — ne obecné šablony stažené z internetu.
Povinnost mít zpracovaný SVZ platí pro všechny povinné osoby bez rozdílu velikosti firmy. Platí pro realitního makléře se dvěma zaměstnanci stejně jako pro velkou finanční instituci.
Zákonný základ: § 21 AML zákona
Povinnost zpracovat systém vnitřních zásad ukládá přímo § 21 zákona č. 253/2008 Sb. Zákon stanoví, že povinná osoba musí zavést a uplatňovat vnitřní zásady, postupy a kontrolní opatření k předcházení legalizaci výnosů z trestné činnosti a financování terorismu.
Tyto vnitřní zásady musí zejména zahrnovat:
- Postupy pro identifikaci a kontrolu klienta (KYC/CDD)
- Hodnocení rizik na úrovni firmy i na úrovni jednotlivých obchodních vztahů
- Postupy pro oznamování podezřelých obchodů Finančnímu analytickému úřadu (FAÚ)
- Pravidla pro uchovávání dokumentace
- Program školení zaměstnanců
- Určení pověřené osoby odpovědné za AML agendu
SVZ musí být přizpůsoben konkrétní povaze, rozsahu a charakteru podnikání dané povinné osoby. Generické šablony, které nerespektují specifika vašeho oboru, nesplňují zákonný standard — a při kontrole FAÚ to vyjde najevo.
Co musí SVZ povinně obsahovat?
Zákon ani prováděcí předpisy nestanovují pevnou strukturu SVZ, nicméně praxe a metodické pokyny FAÚ definují, co by funkčně zpracovaný SVZ měl zahrnovat. Zde je přehled klíčových oblastí:
1. Identifikace a hodnocení rizik
SVZ musí obsahovat popis toho, jak firma hodnotí rizika praní peněz a financování terorismu. To zahrnuje přístup na úrovni firmy (business-level risk assessment) i přístup k hodnocení jednotlivých klientů a obchodních případů (client-level risk assessment).
2. Postupy KYC a CDD
SVZ musí jasně definovat, jak probíhá identifikace klientů — u fyzických osob z dokladu totožnosti, u právnických osob z obchodního rejstříku. Součástí jsou i postupy pro zjišťování skutečného majitele (UBO — Ultimate Beneficial Owner) u firemních klientů.
3. Rozšířená kontrola (EDD)
Pro vysoce rizikové klienty, PEP osoby (politicky exponované osoby) nebo klienty ze třetích zemí s vysokým rizikem musí SVZ definovat postupy zesílené kontroly (Enhanced Due Diligence).
4. Screening a průběžné monitorování
Dokument musí popisovat, jak firma prověřuje klienty vůči sankčním seznamům (EU, OSN, OFAC), PEP registrům a negativním médiím — a jak toto monitorování probíhá průběžně, ne jen při vstupu klienta.
5. Oznamování podezřelých obchodů (OPO)
SVZ musí obsahovat jasný postup: kdo a jak vyhodnocuje podezřelé indikátory, kdo rozhoduje o podání oznámení a jak se podezřelý obchod hlásí FAÚ. Tento postup musí být prakticky použitelný, ne jen obecně popsaný.
6. Uchovávání dokumentace
SVZ specifikuje, jaké dokumenty se uchovávají, po jakou dobu (zákon požaduje 5–10 let) a v jakém formátu. Dokumentace musí být dostupná pro kontrolu ze strany FAÚ.
7. Školení zaměstnanců
SVZ musí definovat program průběžného vzdělávání zaměstnanců v oblasti AML — obsah, frekvenci a způsob ověřování. Zákon požaduje pravidelná školení minimálně jednou ročně.
8. Určení odpovědné osoby
SVZ musí jasně určit, kdo ve firmě nese odpovědnost za AML agendu — tzv. pověřenou osobu (compliance officer). U menších firem tuto roli typicky plní člen statutárního orgánu.
Hodnocení rizik AML jako základ systému
Hodnocení rizik AML je páteří celého systému vnitřních zásad. Bez funkčního hodnocení rizik není možné nastavit přiměřená opatření — a to zákon přímo vyžaduje (tzv. risk-based approach).
Hodnocení rizik probíhá na dvou úrovních:
- Firemní úroveň (business risk assessment): Celkové posouzení rizik vaší firmy s ohledem na typ klientů, geografii, produkty a distribuční kanály.
- Klientská úroveň (client risk assessment): Individuální hodnocení každého klienta a obchodního případu — přiřazení rizikového skóre (nízké / střední / vysoké riziko).
Klíčové rizikové faktory, které musíte hodnotit, zahrnují:
- Geografii — odkud klient pochází a kde operuje (rizikové jurisdikce dle FATF, EU šedé/černé listiny)
- Typ klienta — fyzická osoba, právnická osoba, PEP, skutečný majitel
- Produkty a služby — jaký typ obchodu nebo vztahu je navazován
- Distribuční kanály — přímý kontakt vs. zprostředkovaný onboarding
- Původ prostředků — odkud klient přináší peníze do transakce
- Složitost vlastnické struktury — řetězce firem, offshore struktury
Výsledkem hodnocení rizik je dokumentované zdůvodnění, proč konkrétnímu klientovi bylo přiděleno konkrétní rizikové hodnocení — a proč byla nebo nebyla uplatněna zesílená kontrola.
Kdo odpovídá za SVZ ve firmě?
AML zákon stanovuje, že za plnění AML povinností odpovídá povinná osoba jako celek — tedy právnická osoba nebo fyzická osoba podnikající. Za splnění povinností spojených se systémem vnitřních zásad odpovídají ve společnosti konkrétní osoby:
- Člen statutárního orgánu — musí být pověřen plnou odpovědností za AML program. Tato odpovědnost musí být formálně zdokumentována.
- Pověřená osoba (compliance officer) — osoba, která denně řeší AML operativu: prověřuje klienty, vyhodnocuje podezřelé obchody, koordinuje školení. Musí být zaregistrována u FAÚ (do 30 dnů od vzniku, změny do 15 dnů).
- Zaměstnanci — každý zaměstnanec, který přichází do kontaktu s klienty nebo transakcemi, musí být proškolen a vědět, jak postupovat při identifikaci podezřelých situací.
U malých firem je běžné, že člen statutárního orgánu zastává zároveň roli pověřené osoby. Neznamená to ale, že odpovědnosti splývají — obě role musí být v SVZ jasně popsány.
Jak udržovat SVZ aktuální?
SVZ není jednorázový dokument. Je to živý systém, který musí odrážet aktuální stav vašeho podnikání i změny v legislativě. FAÚ při kontrolách velmi sleduje, zda je SVZ aktuální — nebo zda jde o dokument vytvořený jednou a od té doby ležící v šuplíku.
SVZ byste měli přezkoumat a příp. aktualizovat vždy když:
- dojde ke změně v AML legislativě nebo metodických pokynech FAÚ
- rozšíříte nebo změníte svůj předmět podnikání nebo produktové portfolio
- vstoupíte na nové geografické trhy nebo získáte nové kategorie klientů
- se změní odpovědné osoby (pověřená osoba, člen statutárního orgánu)
- FAÚ nebo jiný orgán provede kontrolu a vydá doporučení
- provedete interní audit AML procesů a zjistíte mezery
Jako minimální standard se doporučuje provádět řádnou revizi SVZ alespoň jednou ročně a každou revizi dokumentovat — včetně data a osoby, která revizi provedla.
Nejčastější chyby při zpracování SVZ
Při kontrolách FAÚ se opakovaně vyskytují stejné typy pochybení. Znalost nejčastějších chyb vám pomůže jim předejít:
- Generická šablona bez přizpůsobení: Stažená šablona, která nebyla upravena pro konkrétní typ podnikání, nesplňuje zákonný požadavek přiměřenosti. FAÚ to pozná okamžitě.
- Chybějící nebo formální hodnocení rizik: Hodnocení rizik, které pouze konstatuje, že riziko je nízké, bez jakéhokoli odůvodnění a metodologie, je nedostatečné.
- Zastaralý dokument: SVZ platný k roku 2021, který nebyl aktualizován po novelách zákona nebo změnách v podnikání, bude při kontrole vyhodnocen jako nevyhovující.
- Nereálné postupy: SVZ popisuje postupy, které firma v praxi vůbec neprovádí. Nesoulad mezi dokumentem a realitou je pro FAÚ červenou vlajkou.
- Absence školení: SVZ popisuje školení zaměstnanců, ale firma nemůže doložit, že ke školením skutečně dochází — chybí záznamy, prezenční listiny nebo testy.
- Nejasné určení pověřené osoby: SVZ nespecifikuje konkrétní osobu zodpovědnou za AML, nebo tato osoba není zaregistrována u FAÚ.
Sankce za chybějící nebo nedostatečný SVZ
Absence systému vnitřních zásad nebo jeho hrubé nedostatky jsou přestupkem podle AML zákona. FAÚ může za toto pochybení udělit pokutu až do výše 1 milionu Kč. V závažnějších případech nebo při opakovaném porušení mohou sankce dosáhnout vyšších částek — nebo může dojít k zákazu výkonu příslušné činnosti.
Přehled relevantních sankcí:
- Absence SVZ nebo hodnocení rizik: pokuta až 1 mil. Kč
- Neurčení nebo neregistrování pověřené osoby: pokuta až 1 mil. Kč
- Nedostatečná identifikace klientů: pokuta až 10 mil. Kč
- Neschopnost prokázat školení: pokuta až 5 mil. Kč
- Neoznámení podezřelého obchodu: pokuta až 5 mil. Kč, při opakování až 30 mil. Kč
Důležité: Sankce nejsou podmíněny tím, že firma skutečně usnadnila praní špinavých peněz. Stačí prokázat, že povinnosti nebyly formálně plněny — i když se žádný podezřelý případ nevyskytl.
Závěr a praktická doporučení
Systém vnitřních zásad AML je zákonnou povinností každé povinné osoby — a zároveň vaší nejlepší obranou při kontrole FAÚ. Dobře zpracovaný SVZ, který reálně odpovídá vašemu podnikání a je průběžně aktualizován, vám dává jistotu: víte, co máte dělat, a dokážete to doložit.
Praktická doporučení na závěr:
- Zpracujte SVZ na míru svému podnikání — ne podle generické šablony.
- Zajistěte, aby SVZ obsahoval všechny zákonem požadované oblasti — od hodnocení rizik po školení.
- Určete a zaregistrujte pověřenou osobu u FAÚ.
- Provádějte a dokumentujte pravidelná školení zaměstnanců.
- Kontrolujte SVZ alespoň jednou ročně a při každé relevantní změně.
- Zajistěte doložitelnost všech AML kroků — od identifikace klientů po hodnocení rizik.
AML PROOF vám pomůže zvládnout celý SVZ — od hodnocení rizik přes identifikaci klientů až po přípravu na kontrolu FAÚ — v jednom přehledném nástroji.