Obsah článku
- Co je AML hodnocení rizik a preč je povinné?
- Kdo musí hodnocení rizik vypracovat písemně?
- Čtyři povinné oblasti hodnocení rizik podľa MP FIIT č. 11
- Inherentní vs. reziduální riziko: klíčový rozdíl
- Riziková matice: jak sa počítá výsledné rizikové skóre?
- Jak rizikové skóre ovlivňuje práci s klientem?
- Comply or explain: preč nestačí napsat „klient je nízkorizikový“
- Kdy a jak hodnocení rizik aktualizovat?
- Nejčastější chyby v hodnocení rizik podľa FIIT
- Co musí hodnocení rizik doložit pri kontrole FIIT — checklist
- Jak hodnocení rizik vypadá v praxi: realitní makléř vs. účetní
- Co říká NRA 2020–2024 o rizicích nefinančního sektoru?
- Nejčastější dotazy o hodnocení rizik
Co je AML hodnocení rizik a preč je povinné?
Hodnocení rizik praní špinavých peněz a financování terorismu (ML/TF) je zákonnou povinností zakotvenou v § 21a zákona č. 297/2008 Z.z. (AML zákon). Je to interní analytický dokument, v němž povinná osoba identifikuje a posoudí riziká, jimž je vystavena z titulu svých klientů, produktů, způsobu práce a zeměpisného zaměření.
Hodnocení rizik není formální cvičení — je to základ, na němž musí byť postaven celý program vlastnej činnosti (PVC). Bez hodnocení rizik nelze platně sestavit PVC, a bez PVC nelze správně nastavit postupy pre identifikáciu a due diligence klientov.
Zákon nepředepisuje vzor ani strukturu. MP FIIT č. 11, platný od 5. 9. 2025 a určený zejména povinným osôbám z nefinančního sektoru, však závazně vymezuje minimální obsah hodnocení rizik a metodiku, podľa níž musí byť sestaveno.
Kdo musí hodnocení rizik vypracovat písemně?
Povinnost vypracovat hodnocení rizik v písemné podobě mají dotčené povinné osoby podľa § 21a odst. 2 AML zákona — stejná skupina jako u písemného PVC:
| Typ povinné osoby | Písemné hodnocení rizik |
|---|---|
| Úvěrové instituce — § 2/1/a | Povinné |
| Finanční instituce — § 2/1/b | Povinné* |
| Provozovatelé hazardních her — § 2/1/c | Povinné* |
| Realitní zprostředkovatelé, dražebníci — § 2/1/d | Povinné* |
| Poskytovatelé trustových a společnostních služeb — § 2/1/h | Povinné* |
| Účetní, daňoví poradci, auditoři — § 2/1/e | Písemně nepovinné — silně doporučené |
| Advokáti, notáři — § 2/1/g | Písemně nepovinné — silně doporučené |
*Výjimka platí pri absenci zaměstnanců alebo pri výkonu AML činnosti výhradně pre jednu jinou povinnou osobu (§ 21 odst. 3 a 4 AML zákona).
Hodnocení rizik musí byť schváleno statutárním orgánem povinné osoby a průběžně aktualizované.
Čtyři povinné oblasti hodnocení rizik podľa MP FIIT č. 11
MP FIIT č. 11 vymezuje čtyři oblasti, v nichž povinná osoba identifikuje rizikové faktory ML/TF. Každá oblast musí byť zpracována konkrétně — nie obecnými formulacemi.
Oblast 1: Klient a obchodní vztahy
Typ klienta je nejsilnějším rizikovým faktorem. Hodnocení musí rozlišovat mezi fyzickými osobami nepodnikajícími, OSVČ, právnickými osobami, PEP, cizinci z třetích zemí, klientov z rizikových jurisdikcí alebo klientov s nestandardním chováním. Zohledňuje sa účel, pravidelnost a délka obchodního vztahu.
Oblast 2: Produkty a služby
Každý produkt alebo služba povinné osoby musí byť posouzena z hlediska toho, jak konkrétně môže byť zneužita k praní peněz. Nestačí konstatovat „je riziková“ — hodnocení musí popisovat scénář zneužití a opatření, která ho zmírňují.
Oblast 3: Zeměpisné riziko
Hodnocení zohledňuje původ klienta, destinace plateb a polohu provozoven. Vysoce rizikovými zeměmi sú ty uvedené na seznamu FATF a EU, k dispozici na stránkách FIIT. Geografický faktor sa zapracovává jak do klientské kategorizace, tak do transakčních znaků podezřelosti.
Oblast 4: Distribuční kanály
Způsob, jakým povinná osoba s klientem komunikuje a uzavírá obchody, je samostatným rizikovým faktorem. Distanční identifikácia, online kanály alebo zprostředkování cez třetí osobu zvyšují riziko oproti osobní přítomnosti klienta.
Inherentní vs. reziduální riziko: klíčový rozdíl
MP FIIT č. 11 rozlišuje dva typy rizik, které musí hodnocení zachytit:
- Inherentní riziko je úroveň riziká ML/TF pred zavedením jakýchkoli zmírňujících opatření. Ide o „surové“ riziko vyplývající z charakteru klienta, produktu alebo způsobu práce.
- Reziduální riziko je úroveň riziká, která zůstane po zavedení AML opatření. Zbytkové riziko = inherentní riziko minus účinek kontrolních opatření.
Praktický příklad: klient — cizinec s bydlištým vo vysoce rizikové třetí zemi — má vysoké inherentní riziko. Po provedení zesílené identifikácia (§ 9a AML zákona), ověření zdrojů prostředků a průběžném monitoringu klesá jeho reziduální riziko na střední alebo zvládnutelnou úroveň. Toto posouzení musí byť v hodnocení rizik doložitelné.
Nechte AML PROOF spočítat rizikové skóre za vás — automaticky pri každé kontrole
AML PROOF používá interní WAR model (Weighted Average Risk), který pri každém případu vypočítá výsledné rizikové skóre zo čtyř zákonných oblastí — a automaticky určí, zda případ vyžaduje standardní postup alebo zesílenou kontrolu (EDD).
Vyzkoušet WAR model zdarmaRiziková matice: jak sa počítá výsledné rizikové skóre?
MP FIIT č. 11 doporučuje hodnotiť riziká na 3–4 stupňové škále. AML PROOF implementuje tuto logiku prostřednictvím WAR modelu (Weighted Average Risk) — váženého průměru rizikových faktorů vypočítaného automaticky pri každé due diligence klienta.
| Dopad nízký | Dopad střední | Dopad vysoký | |
|---|---|---|---|
| Pravděpodobnost nízká | Nízké | Nízké | Střední |
| Pravděpodobnost střední | Nízké | Střední | Vysoké |
| Pravděpodobnost vysoká | Střední | Vysoké | Vysoké |
Každý klient obdrží výsledné WAR skóre, které kombinuje hodnocení zo čtyř oblastí: klient, produkt, geografie a distribuční kanál. Váhy jednotlivých faktorů sú nastaveny v souladu s Národním hodnoteniem rizik (NRA, schváleno usnesením vlády č. 3 zo dne 5. 1. 2026) a metodickými pokyny FIIT.
Výsledné rizikové skóre zařadí klienta do jedné z kategorií:
- Nízké riziko — standardní postup, možnost zjednodušené due diligence klienta (§ 13 AML zákona).
- Střední riziko — standardní postup sa zvýšenou pozorností pri průběžném monitoringu.
- Vysoké riziko — aktivuje zesílenou identifikáciu a due diligence klienta (EDD) podľa § 9a AML zákona.
- Nepřijatelné riziko — zamítnutí obchodu alebo ukončení obchodního vztahu (§ 15 AML zákona).
Jak rizikové skóre ovlivňuje práci s klientem?
Výsledné rizikové skóre není jen interní číslo — priamo určuje rozsah povinností pri práci s konkrétním klientem:
Nízké a střední skóre (standardní případ)
Identifikácia proběhla řádně podľa § 7–8 AML zákona, kontrola podľa § 9, klient jedná na vlastní účet, žádný PEP, žádný sankční hit, zdroj prostředků jasný. Případ môže finalizovat každý preškolený pracovník.
Vysoké skóre (EDD — zesílená kontrola)
Automaticky sa spouští rozšířený proces podľa § 9a AML zákona. EDD môže spustit každý zaměstnanec, ale schváliť alebo zamietnuť EDD môže výhradně určená osoba (MLRO) — zákonný požadavek podľa § 9a odst. 3 písm. d) AML zákona.
Sankční alebo PEP hit
Parciální shoda (NON_CRITICAL_HIT) môže byť rozhodnuta standardním pracovníkem. Plná shoda (MAJOR_HIT) vyžaduje rozhodnutí výhradně MLRO — a zpravidla vede k podání NBO.
Comply or explain: preč nestačí napsat „klient je nízkorizikový“
MP FIIT č. 11 zavádí pre hodnocení rizik zásadu comply or explain — povinná osoba musí u každého rizikového faktoru buď prokázat, že zavedená opatření riziko dostatečně zmírňují, alebo zdůvodnit, preč daný faktor vo svém konkrétním případě hodnotí jako nižší.
To má přímý dopad na praxi: FIIT pri kontrole odmítá hodnocení, která obsahují pouze obecná tvrzení jako „naši klienti sú fyzické osoby s nízkým rizikem“. Správné hodnocení rizik musí obsahovat:
- Konkrétní popis scénáře zneužití pre každý typ klienta alebo produktu.
- Odůvodnění, preč zvolená opatření tento scénář dostatečně pokrývají.
- U nízkorizikových kategorií zevrubné zdůvodnění, preč klient alebo produkt nízkorizikový je — nie jen konstatování.
Ak hodnocení rizik neobsahuje dostatečné odůvodnění, FIIT ho pri kontrole odmítne jako nedostatečné — a môže uložit opatření k nápravě alebo zahájit přestupkové řízení.
Kdy a jak hodnocení rizik aktualizovat?
Hodnocení rizik není jednorázový dokument — § 21a AML zákona výslovně ukládá povinné osôbě hodnocení rizik pravidelně aktualizovat. MP FIIT č. 11 upřesňuje konkrétní triggery pre aktualizaci:
Povinná aktualizace nastává vždy pri:
- Vydání alebo aktualizaci Národního hodnocení rizik (NRA), ak má dopad na činnost povinné osoby.
- Vydání nových metodických pokynů FIIT alebo aktualizaci SNRA.
- Zahájení poskytování nových produktů alebo služeb.
- Zavádění nových technologií, které mohou mať vliv na ML/TF riziká.
- Změně obchodního modelu alebo klientského portfolia.
Jak aktualizaci provést:
- Přezkoumat, zda stávající rizikové kategorie stále odpovídají realitě.
- Aktualizovat riziková skóre tam, kde sa podmínky změnily.
- Zdokumentovat důvody změn a dátum aktualizace.
- Nechat aktualizaci schváliť statutárním orgánem.
- Zajistit preškolení zaměstnanců o případných změnách (§ 23 odst. 3 AML zákona).
Nejčastější chyby v hodnocení rizik podľa FIIT
MP FIIT č. 11 i dohledová praxe FIIT opakovaně identifikují tyto nedostatky:
- Šablonové hodnocení bez individualizace: dokument zkopírovaný z internetu alebo generovaný bez znalosti konkrétního obchodního modelu.
- Chybějící hodnocení distribučních kanálů: povinné osoby pracující distančně tuto oblast často opomíjejí.
- Neprovázanost hodnocení rizik a PVC: hodnocení říká, že klient je vysokorizikový, ale PVC neobsahuje odpovídající postup.
- Zastaralé hodnocení: dokument bez aktualizace po vydání nového NRA alebo MP FIIT č. 11.
- Neodůvodněné nízkorizikové kategorie: tvrzení, že všichni klienti sú nízkorizikoví, bez comply or explain analýzy.
Co musí hodnocení rizik doložit pri kontrole FIIT — checklist
FIIT pri kontrole hodnotí hodnocení rizik nejen z hlediska existence, ale především doložitelnosti jednotlivých závěrů. Projděte si, zda váš dokument obstojí:
Formální náležitosti
- Hodnocení rizik je součástí písemného PVC alebo je na něj výslovně navázáno.
- Dokument je schválen statutárním orgánem (podpis + dátum).
- Je k dispozici předchozí verze s datem aktualizace a důvodem změny.
- Hodnocení zohledňuje aktuální NRA (schváleno usnesením vlády č. 3 zo dne 5. 1. 2026).
Obsah — čtyři oblasti
- Klient: sú rozlišeny kategorie s odůvodněním priřazeného rizikového skóre?
- Produkt/služba: je u každého produktu popsán scénář konkrétního zneužití k ML/TF?
- Geografie: sú zapracovány vysoce rizikové třetí země do klientské kategorizace i transakčních znaků podezřelosti?
- Distribuční kanál: je odlišeno riziko distanční vs. osobní identifikácia?
Riziková kategorizace
- Je ke každé kategorii klienta priřazeno rizikové skóre?
- U nízkorizikových kategorií je přítomno odůvodnění podľa zásady comply or explain?
- Sú nízkorizikové kategorie podloženy analýzou, nikoli jen tvrzením?
Propojení na PVC a praxi
- PVC obsahuje odpovídající postup pre každou rizikovou kategorii.
- Opatření zmírňující riziko sú konkrétní — nie jen „zvýšený monitoring“.
- Je uveden interval aktualizace hodnocení rizik.
Jak hodnocení rizik vypadá v praxi: realitní makléř vs. účetní
Hodnocení rizik musí odpovídat konkrétnímu oboru podnikání. Níže sú klíčové rozdíly mezi dvěma nejčastějšími typy povinných osôb z nefinančního sektoru:
Realitní makléř (§ 2 odst. 1 písm. d) AML zákona)
Realitní sektor patří z hlediska NRA 2020–2024 mezi středně až vysoce rizikové oblasti. Typické rizikové faktory a jejich dopad na hodnocení:
| Oblast | Typické riziko | Doporučené skóre |
|---|---|---|
| Klient — PO s neprůhlednou vlastnickou strukturou | Zastření konečného užívateľa výhod (KUV) | Vysoké |
| Klient — cizinec z rizikové jurisdikce | Přeshraniční praní peněz | Vysoké |
| Klient — kupující platící celou cenu hotovostí | Hotovostní praní | Vysoké až nepřijatelné nad 10 000 EUR |
| Produkt — zprostředkování prodeje nemovitosti | Nadhodnocení/podhodnocení ceny | Střední |
| Geografie — klient z post-sovětského prostoru | ML cez nemovitostní trh | Vysoké |
| Distribuční kanál — distanční identifikácia bez FtF | Riziko odcizené identity | Střední až vysoké |
Klíčová povinnost pri EDD: zjistit zdroj peněžních prostředků použitých na koupi a přijmout přiměřená opatření ke zjištění původu majetku (§ 9 odst. 2 písm. e) a f) AML zákona).
Účetní (§ 2 odst. 1 písm. e) AML zákona)
Účetní nepodléhají povinnosti mať písemné hodnocení rizik zo zákona — ale FIIT ho pri kontrole zpravidla vyžaduje a absence ho hodnotí jako přitěžující okolnost. Typické rizikové faktory:
| Oblast | Typické riziko | Doporučené skóre |
|---|---|---|
| Klient — PO zakládaná účelově | Zneužití pre ML struktury | Vysoké |
| Klient — OSVČ s neprůhlednou strukturou příjmů | Zakrývání zdrojů příjmů | Střední |
| Produkt — vedení účetnictví pre klienta s hotovostními obchody | Zastření původu prostředků | Vysoké |
| Produkt — daňové poradenství pre zahraniční transakce | Daňové úniky + ML | Střední |
| Geografie — klient s přeshraničními transakcemi do rizikových zemí | Přeshraniční ML | Vysoké |
| Distribuční kanál — výhradně online komunikace s klientem | Riziko odcizené identity | Střední |
Klíčový rozdíl oproti makléři: účetní typicky udržují dlouhodobý obchodní vztah, což znamená povinnost průběžné due diligence klienta a monitoring vývoje jeho obchodní aktivity v čase.
Co říká NRA 2020–2024 o rizicích nefinančního sektoru?
Národní hodnocení rizik ML/TF pre období 2020–2024 (NRA, schváleno usnesením vlády ČR č. 3 zo dne 5. 1. 2026) je závazným podkladem, který musí každá povinná osoba zohlednit pri sestavování hodnocení rizik podľa § 21a odst. 1 AML zákona.
NRA identifikuje čtyři rizikové modely praní špinavých peněz v ČR. Pre nefinanční sektor sú nejrelevantnější:
- Rizikový model 1 — podvodná činnost: pachatelé zneužívají důvěru obětí k získání prostředků, které sú následně vkládány do finančního systému.
- Rizikový model 3 — ostatní majetková a hospodářská trestná činnost: korupce, tunelování a insolvenční řízení. Klíčový model pre TCSP, realitní sektor a daňové poradce.
- Rizikový model 4 — trestná činnost sa zahraničním prvkem: přibližně 25–30 % neoprávněně nabytých prostředků pochází z predikativní trestné činnosti sa zahraničním přesahem.
Nové fenomény identifikované v NRA pre období 2020–2024, které musíte zohlednit:
- Zásadní přesun podvodné činnosti do kyberprostoru — sociální inženýrství, deepfake, AI-generovaný obsah.
- Etablování virtuálních aktiv a nárůst jejich zneužívání pre ML.
- Zastřené zprostředkování zaměstnání spojené s krácením daňových povinností.
- Nové sankční obcházení v návaznosti na konflikt na Ukrajině.
Tyto fenomény musí byť výslovně zohledněny v hodnocení rizik každé povinné osoby — nestačí obecný odkaz na NRA. FIIT pri kontrole posuzuje, zda povinná osoba přijala konkrétní opatření reagující na identifikované trendy.
Neveřejnou verzi NRA, která obsahuje podrobnější typologické informácie pre konkrétní sektory, si povinné osoby mohou vyžádat priamo na FIIT.
Nejčastější dotazy o hodnocení rizik
Existuje vzor hodnocení rizik od FIIT?
Nie. FIIT žádný vzor hodnocení rizik nezveřejnil a ani to neplánuje — hodnocení musí byť vždy zpracováno individuálně pre konkrétní povinnou osobu.
Musí hodnocení rizik schváliť jednatel?
Áno. Hodnocení rizik je součástí PVC, který musí schváliť statutární orgán povinné osoby podľa § 21 odst. 2 AML zákona.
Jak podrobně musím popisovat riziká jednotlivých klientů?
Hodnocení rizik je typologický dokument — popisuje kategorie, nie konkrétní osoby. Konkrétní klient obdrží rizikový profil pri identifikáciu a kontrole.
Co je to nízkorizikový klient a jak ho mohu identifikovat?
Zákon v § 13 AML zákona umožňuje zjednodušenou due diligence klienta tehdy, kdy hodnocení rizik prokazatelně dokládá nízké riziko ML/TF. Samotné tvrzení nestačí.
Musím v hodnocení rizik zohledňovat výsledky NRA?
Áno, ide o zákonnou povinnost podľa § 21a odst. 1 AML zákona. Aktuální NRA bolo schváleno usnesením vlády ČR č. 3 zo dne 5. 1. 2026.
Co když sa mé podnikání výrazně změní — musím hodnocení rizik přepsat?
Nie nutně celé — ale musíte posoudit, zda stávající kategorizace stále platí, a aktualizovat části, ktorých sa změna dotkla. Každou aktualizaci zdokumentujte s datem a důvodem.
Hodnocení rizik zabudované do každé kontroly — nie jako statický dokument
AML PROOF propočítává rizikové skóre (WAR) automaticky pri každém případu. Výsledek sa ukládá do auditní stopy, určuje postup pre daného klienta a tvoří podklad pre hodnocení rizik celé vaší organizace.
Začít zdarma