„Minimálně životaschopný“ model 3 linií obrany pro EMI startup
Proč to vůbec řešit
EMI funguje ve světě, kde chyby bolí: AML, podvody, rizika u karet, stížnosti klientů, sankce, incidenty, úniky dat, výpadky, safeguarding a nesoulad ve zůstatcích.
Tři linie obrany nejsou „na parádu“. Jsou tu proto, aby:
- bylo jasné, kdo je vlastník rizika, kdo ho řídí a kdo ho ověřuje;
- kontrola nestála na „jednom chytrém člověku“;
- rozhodnutí šla vysvětlit a doložit (ne „tak jsme to cítili“).
„Minimální verze“ znamená: minimum rolí, minimum dokumentů, maximum jasnosti.
Koncept za 20 sekund
- 1. linie: byznys a provoz. Riziko vzniká u nich a každý den ho řídí.
- 2. linie: compliance a risk. Nastavují pravidla, hlídají dodržování, dávají metodiku.
- 3. linie: interní audit (nebo ekvivalent). Nezávisle ověřuje, že systém opravdu funguje.
Minimální model 3LoD pro EMI startup
1. linie obrany: „Děláme produkt a neporušujeme pravidla“
Kdo to ve startupu bývá: produkt, provoz, support, payments ops, onboarding, finance, někdy engineering (pokud řídí změny a přístupy).
Odpovědnosti (bez výmluv):
- KYC/onboarding podle pravidel (ne podle „nálady sales“)
- limity a pravidla pro transakce
- zpracování alertů (AML/fraud) podle postupu
- safeguarding/pohyby prostředků a kontrolní odsouhlasení (pokud je relevantní)
- plnění postupů pro incidenty a stížnosti
- správné vedení záznamů (proč jsme klienta přijali, odmítli, zablokovali)
Minimální artefakty 1. linie (musí existovat):
- 5–10 SOP / stručných postupů „jak to děláme“, např.:
- onboarding & KYC kroky
- práce s alerty (AML/fraud)
- eskalace vysoce rizikových klientů
- chargeback/spory (pokud máte karty)
- vyřizování stížností
- první reakce na incident
- Jednostránkové RACI (kdo dělá, kdo schvaluje, kdo konzultuje, koho informujeme)
- 3–5 klíčových metrik (KPI/KRI) s vlastníkem, např.:
- podíl ručních kontrol
- reakční doba na alert
- backlog alertů
- podíl zamítnutí/ukončení kvůli riziku
- incidenty/stížnosti
Hlavní princip: 1. linie nemůže říkat „to měl řešit compliance“. Compliance nedělá váš byznys.
2. linie obrany: „Nastavujeme pravidla a hlídáme dodržování“
Kdo to ve startupu bývá: Head of Compliance / MLRO (často v jednom), Risk Officer (někdy stejná osoba na začátku), DPO/InfoSec může být částečně v této linii podle funkcí.
Co dělají:
- politiky a standardy: AML/CTF, risk appetite, sankce, PEP, EDD, fraud, stížnosti
- metodika hodnocení rizik (produkt/klienti/geografie/kanály)
- monitoring souladu: namátkové kontroly, reportování vedení
- školení zaměstnanců (ano, i když vás je 7)
- kontrola outsourcingu: co je externě, jak to řídíme, SLA, co děláme při výpadku
Minimálně životaschopný balík 2. linie:
- Risk Appetite Statement: co rozhodně neděláme, kde jsou limity
- Risk Assessment (tabulka): rizika produktů, klientů, geografií, kanálů, mitigace
- AML/CTF Policy + krátké postupy (CDD/EDD/SAR/sankce)
- Compliance Monitoring Plan (na kvartál): co kontrolujeme, jak často, podle jakých vzorků
- Registr outsourcingu + základní due diligence dodavatelů (ano, i když je to „jen SaaS“)
- Měsíční compliance/risk report na 1 stránku pro CEO/Board:
- alerty, blokace, SAR (pokud jsou), stížnosti, incidenty, problémoví dodavatelé, klíčové změny
Hlavní princip: 2. linie nemá „řídit místo byznysu“. Má dělat pravidla jednoduchá a ověřitelná.
3. linie obrany: „Nezávislé ověření: funguje to doopravdy?“
Kdo to ve startupu bývá: plnohodnotný interní audit často není. A to je v pořádku, pokud si nehrajete na banku s 2000 lidmi.
Minimální náhrada interního auditu:
- outsourcovaný interní audit (1–2 kontroly ročně), nebo
- review na úrovni boardu + nezávislá externí kontrola (např. konzultant) podle plánu
Co 3. linie kontroluje prioritně (MVP balík):
- AML/KYC: kvalita případů, zdůvodnění, evidence
- transakční monitoring: nastavení, eskalace, uzavírání alertů
- safeguarding/odsouhlasení (pokud relevantní)
- přístupy a změny v systému: kdo může měnit pravidla/limity/blacklisty
- outsourcing: dohled nad dodavateli a funkčnost exit plánu
- stížnosti a incidenty: dohledatelnost a správné kroky
Artefakty 3. linie:
- Audit plan (na rok): 6–10 témat
- Zpráva z kontroly (co je špatně, riziko, priorita, vlastník nápravy, termín)
- Follow-up: ověření uzavření kritických bodů
Hlavní princip: 3. linie musí být nezávislá. Ne „zkontroloval jsem se sám a dal si jedničku“.
Jak to poskládat v týmu 6–20 lidí
Minimální role (bez zbytečného cirkusu)
- CEO/COO: vlastník provozních rizik (1. linie)
- Head of Compliance / MLRO: 2. linie (na začátku lze kombinovat)
- Risk owneři podle oblastí (part-time): onboarding, payments ops, karty, support
- Externí audit/review: 3. linie (dvakrát ročně stačí na start)
Nejpoužitelnější dokument: jedna tabulka 3LoD
Держи на чешском, чтобы это выглядело как документ, а не как переводчик в панике.
| Proces | 1. linie dělá (byznys/provoz) | 2. linie nastavuje/hlídá (compliance/risk) | 3. linie ověřuje (audit/nezávislá kontrola) |
|---|---|---|---|
| Onboarding (KYC/CDD/EDD) | vede checklist, rozhoduje, sbírá evidence (snímky obrazovky/logy/doklady), eskaluje vysoce rizikové případy | nastavuje politiku/pravidla a kritéria rizika, provádí namátkové kontroly kvality případů, školí zaměstnance | bere vzorek případů, ověřuje kvalitu rozhodnutí a podklady (evidence), hledá systémové chyby |
| Alerty (AML/Fraud/sankce) | zpracovává alerty, eskaluje dle potřeby, uzavírá případy s odůvodněním, řídí backlog | nastavuje pravidla/prahy/scénáře, sleduje backlog a SLA, ověřuje správnost uzavírání | kontroluje kvalitu uzavření (reason codes, evidence), přiměřenost eskalací, úplnost logů/auditní stopy |
| Dodavatelé / outsourcing | plní SLA, komunikuje s dodavateli, eviduje incidenty/výpadky, iniciuje změny/nahrazení | provádí due diligence, vede registr outsourcingu, hodnotí rizika, stanovuje požadavky na kontrolu, nastavuje exit plan | audituje kritické dodavatele/kontrakty, ověřuje dohled nad outsourcingem a funkčnost exit plánu |
| Incidenty (IT/provoz/bezpečnost) | reaguje, izoluje, obnovuje služby, zapisuje časovou osu, připraví prvotní report | nastavuje proces a klasifikaci, požadavky na oznámení/eskalace, školí, hlídá plnění | provádí review post-mortemů, ověřuje dodržení postupu a kvalitu nápravných opatření |
| Stížnosti (stížnosti klientů) | přijímá a řeší stížnosti, odpovídá včas, eviduje výsledek a příčinu, upravuje proces | nastavuje pravidla a lhůty, sleduje trendy/opakované příčiny, iniciuje zlepšení | ověřuje dodržení lhůt, úplnost evidence, správnost klasifikace a odpovědí |
Top 5 chyb, kvůli kterým jsou „3 linie“ jen divadlo
- Compliance „vlastní“ riziko místo byznysu.
- Chybí evidence: rozhodnutí jsou, stopy nejsou.
- Outsourcing bez kontroly: „vždyť je to známý provider“.
- Nejsou metriky: nikdo nevidí, kde systém teče.
- „Interní audit“ = ten samý člověk, co psal politiku.
Mini-checklist: „Jsme ready na minimální 3LoD“
- Máme vlastníky procesů (onboarding, monitoring, stížnosti, incidenty)
- Máme 5–10 krátkých SOP, podle kterých se fakt pracuje
- Máme risk assessment a risk appetite (ne 80 stran)
- Máme monitoring plán (co kontrolujeme každý měsíc)
- Máme nezávislou kontrolu aspoň 1–2× ročně
- Každé rozhodnutí o klientovi/transakci umíme doložit důkazy
Závěr
Minimum viable 3LoD pro EMI startup není „korporátní náboženství“. Je to nejmenší sada rolí a pravidel, která vám umožní:
- škálovat provoz,
- neutopit se v alertech a chaosu,
- projít otázkami regulátora/partnerů/auditu bez hysterie.
Nejjednodušeji:
1. linie dělá. 2. linie vysvětlí jak a hlídá. 3. linie kontroluje kontrolující.
ZÍSKEJTE ČNB-READY GAP CHECK A JASNÝ SEZNAM OPRAV
SPUSTIT EMI PRE-CHECK
FAQ: „minimální“ model 3 linií obrany (3LoD) pro EMI startup
Musíme to dělat „jako banka“, s oddělenými odděleními?
Ne. U startupu nejde o počet lidí, ale o rozdělení rolí. 2. linie se často kombinuje (Compliance + Risk) a 3. linii lze pokrýt externí kontrolou 1–2× ročně.
Kdo má „vlastnit riziko“: compliance nebo byznys?
Byznys (1. linie). Compliance nemůže řídit produkt místo vás. Nastavuje rámec a hlídá dodržování. Pokud 1. linie říká „může za to compliance“, nemáte 3 linie, ale divadlo.
Co je nejdůležitější na startu, když není čas?
Tři věci, které fakt zachraňují:
- RACI na 1 stránku (kdo dělá/schvaluje/eskaluje),
- 5–10 krátkých SOP (onboarding, alerty, stížnosti, incidenty, dodavatelé),
- evidence: logy, rozhodnutí, důvody, „proč“.
Nemáme interní audit. Je to problém?
Není, pokud 3. linii poctivě nahradíte: externím auditem/nezávislým review podle plánu nebo board-level kontrolou s formálním reportem a follow-up. Problém je, když „audit“ dělá ten samý člověk, co napsal politiku, a pak sám sebe pochválí.
Jak často je potřeba 3. linie v minimální verzi?
U většiny raných EMI startupů stačí: 1–2 tematické kontroly ročně (AML/KYC, alerty/monitoring, outsourcing, incidenty) + follow-up kritických bodů. Lepší málo, ale pravidelně, než „jednou za tři roky, zato na 80 stran“.
Jaké metriky (KRI) jsou nejužitečnější, aby 3LoD nebyl formalita?
Minimum: backlog alertů (kolik visí a kolik je po termínu), průměrný čas reakce na alert/incident, podíl high-risk klientů a kolik z nich prošlo EDD, trendy stížností (top 3 důvody), incidenty u kritických dodavatelů a plnění SLA.
Co nejčastěji rozbije „agentní/partnerský“ model z pohledu 3LoD?
Iluze, že „partner to udělá za vás“. Partner drží licenci, ale vy stejně musíte: dělat procesy (1. linie), mít kontrolu a reporting (2. linie), procházet nezávislými kontrolami (3. linie). Jinak vám partner omezí přístup nebo vás utopí v restrikcích.
Jaké procesy se kontrolují jako první skoro vždy?
Čtyři věčné věci: onboarding (KYC/EDD) a kvalita rozhodnutí, transaction monitoring/alerty (jak uzavíráte případy), dohled nad outsourcingem/dodavateli, incidenty a stížnosti (jak reagujete a co si z toho berete).
