Domov | Blog | AML audit kryptofirem: úplný kontrolní seznam
May 4, 2026

AML audit kryptofirem: úplný kontrolní seznam

Byznys
AML audit for crypto companies — ilustrace AML kontrol, prověřování peněženek, sankčního screeningu a monitoringu transakcí pro kryptospolečnosti

Pro krypto společnost je AML audit okamžikem, kdy se teorie střetne s důkazy.

Vnitřní politiky mohou vypadat uhlazeně. Postupy mohou znít přesvědčivě. Riziková matice může ležet ve složce a obsahovat všechna správná slova. Jenže AML audit kryptofirem pokládá mnohem méně poetickou otázku: funguje to všechno doopravdy, když do systému vstoupí skuteční klienti, skutečné peněženky a skutečné toky transakcí?

Právě proto má AML audit význam. Není to slavnostní cvičení v oblasti dodržování předpisů ani ozdobný PDF dokument do licenčního spisu. Jde o strukturované ověření toho, zda podnik dokáže rozpoznat riziko, uplatnit kontroly, předat podezřelé chování k dalšímu posouzení a zdokumentovat rozhodnutí tak, aby obstála před bankou, auditorem, regulátorem nebo platebním partnerem.

U krypto podniků je to ještě důležitější, protože se od AML kontrol očekává, že pokryjí nejen běžné prověření klienta, ale také rizikovější transakční chování, prověřování peněženek, sankční expozici, procesy podle pravidla Travel Rule a obecnou zvláštnost, která se kolem digitálních aktiv často shromažďuje jako můry kolem ohně regulatorních povinností.

Níže je praktický úplný kontrolní seznam pro AML audit kryptofirem.

1. Řízení a správa: kdo skutečně odpovídá za AML

Každý AML audit by měl začít řízením a odpovědností, protože slabé řízení otráví všechno, co následuje.

Krypto společnost by měla být schopna doložit, že za AML odpovídají konkrétní jmenované osoby s jasnou pravomocí, nikoli neurčitý oblak zvaný „oddělení compliance“.

Ověřte, zda podnik má:

  • jmenovaného AML pracovníka nebo MLRO,
  • formální linie podávání zpráv,
  • dohled představenstva nebo vrcholového vedení,
  • schvalování AML politik na správné úrovni,
  • zdokumentované postupy pro předávání podezřelých případů,
  • důkazy, že se AML otázky skutečně posuzují, projednávají a řeší.

Častým selháním je falešné řízení. Vnitřní politika sice uvádí odpovědné osoby, ale v praxi nikdo nepřijímá rozhodnutí, nikdo nezpochybňuje riziko a nikdo nesleduje nevyřešená zjištění. To není řízení. To je firemní divadlo.

2. Celopodnikové hodnocení rizik

Řádný AML audit kryptofirem by měl ověřit, zda firma rozumí vlastní rizikové expozici.

Celopodnikové hodnocení rizik nesmí být obecný vzorový text. Musí odrážet, jak společnost skutečně funguje.

Zkontrolujte, zda hodnocení rizik pokrývá:

  • kategorie klientů,
  • geografickou expozici,
  • produkty a služby,
  • distribuční a obslužné kanály,
  • rizika související s peněženkami,
  • typologie transakcí specifické pro kryptoaktiva,
  • sankční expozici,
  • vazby na rizikovější obchodní modely.

Nejpodezřelejší na mnoha hodnoceních rizik je to, jak podezřele univerzálně znějí. Pokud by stejný dokument mohl popisovat neobanku, zpracovatele mezd i tokenovou platformu, pravděpodobně správně nepopisuje ani jedno.

Užitečné hodnocení rizik má řídit rozhodování. Mělo by ovlivňovat hloubku prověření při přijímání klienta, scénáře sledování, prahové hodnoty pro eskalaci i priority průběžných kontrol.

3. KYC, CDD a kontroly při přijímání klientů

Tato část ověřuje, zda společnost ví, koho přijímá, a jaké riziko pouští dovnitř už na vstupu.

Klíčové otázky zahrnují:

  • Jsou totožnosti klientů řádně ověřeny?
  • Jsou u právnických osob ověřováni skuteční majitelé?
  • Je riziko klienta posouzeno už při navázání vztahu?
  • Je pochopen účel obchodního vztahu?
  • Podléhají rizikovější klienti zesílené kontrole?
  • Spouštějí se kontroly původu prostředků nebo původu majetku tam, kde je to potřeba?

V krypto prostředí nelze přijímání klientů pojímat jako jednotný postup pro všechny. Retailový klient využívající jednoduchou službu nepředstavuje stejné riziko jako přeshraniční struktura se složitým vlastnictvím a vysokým objemem transakcí.

Audit by měl potvrdit nejen to, že KYC existuje, ale také to, že se hloubka prověření mění, když se mění riziko.

4. Skutečné vlastnictví a transparentnost právnických osob

Krypto podniky pracující s právnickými osobami musí být schopny určit, kdo za klientem ve skutečnosti stojí.

Zkontrolujte, zda společnost dokáže:

  • přesně identifikovat skutečné majitele,
  • ověřit vlastnické řetězce,
  • pochopit struktury kontroly,
  • odhalit nastrčené osoby nebo vrstvené vlastnické uspořádání,
  • předat neobvyklé vlastnické vzorce k dalšímu posouzení.

Tato oblast často selhává ve chvíli, kdy týmy při přijímání klientů sice shromáždí dokumenty, ale ve skutečnosti je neanalyzují. Výsledkem je dokumentace bez porozumění. Spis může být úplný, a přesto zcela nepoužitelný.

5. Sankce, politicky exponované osoby a negativní informace

Každý vážně míněný kontrolní seznam pro AML audit kryptofirem musí zahrnovat prověřovací kontroly.

Audit by měl ověřit:

  • sankční prověřování při přijetí klienta,
  • průběžné opakované prověřování,
  • prověřování politicky exponovaných osob,
  • kontroly negativních informací,
  • pravidla pro eskalaci možných shod,
  • dokumentaci k vyřešeným falešným shodám,
  • nakládání s potvrzenými nebo vysoce rizikovými zásahy.

Otázkou není jen to, zda se prověřování provádí. Otázkou je, zda společnost dokáže vysvětlit, co se stane poté, co kontrolní nástroj zobrazí výsledek.

Nástroj pro prověřování bez zdokumentovaného postupu posouzení je jen velmi drahý stroj na úzkost.

6. Připravenost na Travel Rule

U krypto společností je dodržování pravidla Travel Rule dnes součástí vážně míněné připravenosti v oblasti AML.

Audit by měl ověřit, zda má společnost funkční proces pro určení, kdy se požadavky Travel Rule použijí a jak se příslušné údaje o odesílateli a příjemci shromažďují, uchovávají, předávají a kontrolují.

Zkontrolujte, zda firma dokáže doložit:

  • jasná pravidla rozsahu použití,
  • provozní postupy pro Travel Rule,
  • nakládání s neúplnými údaji o převodu,
  • kontroly výjimek nebo neúspěšné výměny údajů,
  • propojení kontroly převodu se sledováním AML,
  • zdokumentované rozhodování u scénářů se samostatně spravovanými peněženkami.

Toto je jedno z nejjednodušších míst, kde lze najít rozdíl mezi politikou a realitou. Na papíře je společnost v souladu s požadavky. V provozu někdo stále „čeká na propojení s dodavatelem“.

7. Sledování transakcí

Sledování transakcí je místo, kde firma prokazuje, že dokáže vidět riziko i po přijetí klienta.

AML audit by měl posoudit, zda jsou scénáře sledování přizpůsobeny skutečnému obchodnímu modelu krypto společnosti.

Typické oblasti k ověření zahrnují:

  • neobvyklou rychlost transakcí,
  • rychlé přesuny dovnitř a ven z účtů,
  • činnost neodpovídající profilu klienta,
  • opakované chování směřující k obcházení prahových hodnot,
  • vazby na rizikovější jurisdikce,
  • vrstvení transakcí mezi peněženkami nebo účty,
  • náhlou aktivaci účtu po období nečinnosti,
  • neobvyklou aktivitu nově přijatých klientů.

Klíčový není počet pravidel. Více pravidel automaticky neznamená lepší sledování. Důležité je, zda jsou scénáře relevantní, zda se upozornění posuzují konzistentně a zda prahové hodnoty dávají smysl.

Systém sledování, který vytváří tisíce šumových upozornění, není „robustní“. Je jen hlasitě zmatený.

8. Analýza blockchainu a prověřování peněženek

AML audit krypto společnosti bez posouzení rizika peněženek opomíjí jeden z nejzřejmějších tlakových bodů.

Společnost by měla být schopna ukázat, jak posuzuje expozici peněženek a rizika související s blockchainem.

Ověřte, zda firma používá nástroje nebo kontroly pro:

  • prověřování peněženek,
  • odhalování peněženek spojených se sankcemi,
  • expozici vůči darknetu nebo nelegálním službám,
  • typologie zahrnující mixéry nebo podezřelé směrování,
  • adresy spojené s podvody,
  • rizikové hodnocení příchozích a odchozích peněženek.

Cílem není vytvořit iluzi úplné viditelnosti. Cílem je ukázat, že společnost využívá dostupné nástroje a rizikovou logiku k odhalení podezřelé expozice na blockchainu, místo aby předstírala, že se blockchainové riziko samo zdvořile přihlásí.

9. Správa případů a interní šetření

Upozornění není kontrola. Šetření ano.

Tato část AML auditu kryptofirem ověřuje, zda má firma zdokumentovaný a obhajitelný způsob posuzování podezřelého chování.

Audit by měl prověřit:

  • postupy pro otevření případu,
  • zdokumentované kroky posouzení analytikem,
  • předání MLRO nebo vyššímu pracovníkovi odpovědnému za soulad s předpisy,
  • shromažďování důkazů,
  • odůvodnění uzavření nebo eskalace případu,
  • konzistentnost kvality šetření,
  • lhůty pro zpracování upozornění.

Slabé firmy často trpí jedním ze dvou problémů: buď se upozornění uzavírají příliš rychle bez analýzy, nebo se případy táhnou donekonečna bez závěru. Jedno je lehkomyslné. Druhé je správa bažiny.

Ani jedno není dobré.

10. Eskalace a hlášení SAR / STR

Pokud je zjištěno podezřelé chování, společnost musí být schopna řízeně přejít od upozornění k hlášení.

Zkontrolujte, zda existuje funkční proces pro:

  • určení oznamovatelného podezření,
  • interní eskalaci případů,
  • zapojení odpovědné osoby pro hlášení,
  • zdokumentování důvodů rozhodnutí,
  • přípravu a podání SAR nebo STR,
  • zachování důvěrnosti hlášení,
  • uchování podpůrných důkazů.

Vyspělý AML rámec by měl ukázat nejen to, že hlášení lze podat, ale také to, že rozhodování je zdokumentováno tak, aby ho bylo možné později rekonstruovat.

Právě tato rekonstrukce je důležitá. Regulátoři a bankovní partneři obvykle neradi slyší: „Víme, že jsme se na to dívali, ale neumíme přesně ukázat jak.“

11. Uchovávání záznamů a auditní stopa

V této části audit ověřuje, zda společnost zanechává za svou AML činností spolehlivou stopu.

Zkontrolujte, zda podnik uchovává a dokáže dohledat:

  • záznamy o identifikaci klientů,
  • soubory KYC a zesílené kontroly,
  • výstupy rizikového hodnocení,
  • výsledky prověřování,
  • historii upozornění,
  • poznámky z šetření,
  • dokumentaci související se SAR,
  • údaje podle Travel Rule,
  • schválení vnitřních politik,
  • doklady o školení,
  • záznamy o přístupu do systémů pro soulad s předpisy.

Pokud společnost nedokáže zpětně doložit, proč byl klient přijat, proč bylo upozornění uzavřeno nebo kdo změnil nastavení kontrolního systému, pak systém není skutečně auditovatelný.

Žádná dohledatelnost znamená žádnou obhajitelnost. Jednoduchá, ponurá, byrokratická pravda.

12. AML školení a povědomí zaměstnanců

Vnitřní politika podezřelou činnost nezastaví. Vyškolený člověk někdy ano.

Audit by měl ověřit, zda příslušní zaměstnanci rozumí svým povinnostem v oblasti AML.

Zkontrolujte:

  • četnost školení,
  • obsah školení podle rolí,
  • školení pro pracovníky v kontaktu s klienty,
  • školení pro analytiky odpovědné za soulad s předpisy,
  • krypto specifické typologie ve školicích materiálech,
  • doloženou účast a dokončení školení,
  • opakovací školení po regulatorních nebo produktových změnách.

Častým selháním je obecné roční školení, které téměř nic neříká o skutečném podnikání. Pokud váš tým zpracovává činnost peněženek, přeshraniční toky nebo firemní vztahy v oblasti kryptoaktiv, pak by vaše AML školení mělo odrážet tento svět, nikoli obecnou prezentaci z roku 2018.

13. Nezávislé testování a následná náprava

Audit je užitečný jen tehdy, pokud zjištění vedou ke změně.

Ověřte, zda společnost má:

  • nezávislé testování AML,
  • zjištění rozdělená podle rizika,
  • odpovědné osoby za nápravu,
  • lhůty pro nápravná opatření,
  • důkazy, že nápravy byly provedeny,
  • opakované testování dokončených opatření,
  • hlášení nevyřešených problémů vedení.

Právě zde mnoho firem zjistí, že slovo „vyřešeno“ je velmi pružné.

Zjištění není uzavřeno proto, že ho někdo přesunul do záložky tabulky označené jako uzavřené. Je uzavřeno tehdy, když kontrola skutečně funguje.

14. Co má dobrý AML audit přinést

Dobrý AML audit kryptofirem by neměl končit neurčitými závěry typu „celkový rámec se jeví jako uspokojivý“.

Měl by přinést praktické výstupy:

  • kontrolu po jednotlivých kontrolních mechanismech,
  • seznam zdokumentovaných slabin,
  • zjištění rozdělená podle rizika,
  • priority nápravy,
  • odpovědnost za jednotlivé kroky,
  • realistické termíny,
  • jasnější představu o připravenosti na licenci nebo bankovní spolupráci.

Skutečná hodnota auditu není v dokazování dokonalosti. Spočívá v tom, že odhalí, kde rámec selže pod tlakem — dříve, než to za vás udělá regulátor, banka nebo incident.

Úplný kontrolní seznam pro AML audit kryptofirem

Použijte tento stručný pracovní seznam:

  • řízení AML a jasná odpovědnost,
  • jmenování MLRO nebo pracovníka odpovědného za soulad s předpisy,
  • dohled vedení a struktura eskalace,
  • celopodnikové hodnocení AML rizik,
  • přijímání klientů, KYC, CDD a EDD kontroly,
  • ověření skutečných majitelů a vlastnické struktury,
  • sankční prověrky, prověřování PEP a negativních informací,
  • postupy podle Travel Rule,
  • pravidla a prahové hodnoty pro sledování transakcí,
  • analýza blockchainu a prověřování peněženek,
  • zpracování upozornění a šetření případů,
  • postup eskalace a hlášení SAR / STR,
  • uchovávání záznamů a auditní stopa,
  • AML školení a povědomí zaměstnanců,
  • nezávislá kontrola a sledování nápravných opatření.

FAQ

Co je AML audit krypto společnosti?

AML audit krypto společnosti je strukturované posouzení jejího rámce proti praní špinavých peněz. Ověřuje, zda řízení, přijímání klientů, sledování transakcí, prověřování, šetření a ohlašovací kontroly skutečně fungují v praxi.

Proč krypto společnosti potřebují samostatný přístup k AML auditu?

Protože krypto podniky čelí rizikům, která tradiční finanční firmy neřeší stejným způsobem. Patří mezi ně expozice peněženek, transakční vzorce na blockchainu, procesy podle Travel Rule a rizika adres spojených se sankcemi.

Jak často by měla krypto společnost provádět AML audit?

Záleží na velikosti, rizikovém profilu, produktech a geografickém působení podniku. Rizikovější a rychle rostoucí firmy obvykle potřebují častější kontroly, zejména po uvedení nových produktů, změnách jurisdikcí nebo významných událostech v oblasti souladu s předpisy.

Jaké jsou nejčastější AML slabiny u krypto společností?

Typické mezery zahrnují povrchní hodnocení rizik, slabou zesílenou kontrolu klientů, špatnou dokumentaci posouzení upozornění, neúplné prověřování peněženek, slabé kontroly podle Travel Rule a uzavírání případů bez řádného odůvodnění.

Kontroluje AML audit pouze dokumenty?

Ne. Řádný AML audit by měl testovat dokumentaci i skutečné provádění. Měl by ověřit, zda kontroly existují na papíře a zda je týmy v provozu skutečně uplatňují konzistentně.

Jaký má být výsledek AML auditu?

Výsledkem by měl být praktický plán nápravy: co je nefunkční, proč na tom záleží, kdo odpovídá za opravu a jak rychle musí být problém vyřešen.

JSTE PŘIPRAVENI CHRÁNIT SVÉ PODNIKÁNÍ A ZJEDNODUŠIT LICENČNÍ PROCES?

AMS — váš spolehlivý partner pro AML compliance

OBJEDNAT KONZULTACI Služby AML compliance

Související zprávy

Manažerský consulting je „systém řízení“, ne motivační řeči
Byznys
Outsourcing AML Officer a MLRO
Byznys
Běžné důvody, proč se žádosti o licenci EMI zpožďují (a jak se vyhnout přepracování)
Byznys Fintech
Strategické plánování je volba toho, čeho se vzdáte
Byznys
Jednotková ekonomika EMI v Česku (2026)
Byznys Fintech
Porovnání účetnictví pro IT startupy vs. krypto startupy
Byznys Krypto
Jak technologie mění účetnictví a bookkeeping s AMS v České republice
Byznys
OKR, KPI, North Star
Byznys
Zápis změny společníka / akcionáře do Obchodního rejstříku
Byznys
Jak založit s.r.o. v České republice?
Byznys