Compliance audity: Jak udělat interní kontrolu dřív, než přijde stát

5.12.2025

Compliance audit, právní audit firmy a interní kontrola patří mezi nejúčinnější nástroje ochrany podnikání před pokutami, sankcemi a reputačními ztrátami. V tomto článku se dozvíte, jak systematicky prověřit soulad vaší společnosti s právními předpisy, kdy je audit nezbytný, jaká rizika hrozí při zanedbání a jak vám advokátní kancelář ARROWS pomůže celý proces zvládnout bez stresu a zbytečných nákladů.

Potřebujete s tématem poradit? Obraťte se na advokátní kancelář ARROWS na e-mail office@arws.cz nebo telefon +420 245 007 740. Váš dotaz rád zodpoví "JUDr. Jakub Dohnal, Ph.D.,LL.M.", expert na dané téma.

Proč je compliance audit zásadní pro každou firmu

Představte si situaci: do vaší kanceláře přijde kontrola z finančního úřadu, inspekce práce nebo Úřadu pro ochranu osobních údajů. Jste připraveni? Máte veškerou dokumentaci v pořádku? Víte, že splňujete všechny zákonné povinnosti?

Compliance audit je strukturovaná kontrola souladu vnitřní činnosti společnosti s vnějšími normativními požadavky a vnitřními předpisy. Právě tato kontrola umožňuje odhalit slabá místa v systému ještě předtím, než je objeví stát – a uloží pokutu.

V roce 2024 uložil Státní úřad inspekce práce pokuty v souhrnné výši přes 253 milionů korun jen za první pololetí. Úřad pro ochranu osobních údajů udělil za porušení GDPR od roku 2018 pokuty převyšující 368 milionů korun, včetně rekordní sankce 351 milionů korun za neoprávněné zpracování osobních údajů. Za porušení AML povinností hrozí pokuty až 130 milionů korun pro finanční instituce

Právníci ARROWS provádějí compliance audity pro desítky klientů ročně a dobře vědí, že prevence je mnohonásobně levnější než řešení následků kontroly. Potřebujete právní pomoc? Kontaktujte nás na office@arws.cz.

Jaké jsou fáze compliance auditu

Etapy provádění compliance auditu strukturalizují proces zajišťování souladu společnosti s klíčovými požadavky a standardy. Na každé fázi se vytvářejí podmínky pro efektivní prověrku a identifikují se rizikové oblasti.

1. Příprava a plánování

V této fázi je nutné systematizovat vnitřní dokumentaci: politiky AML, KYC, protikorupční postupy, pokyny k ochraně dat a interní akty. Určete odpovědné osoby – compliance managera, právní oddělení a IT specialisty. Proveďte předběžné sebehodnocení zralosti systému compliance.

2. Identifikace a analýza rizik

Cílem identifikace a analýzy compliance rizik je určitá forma profilace dané obchodní společnosti z hlediska rizik plynoucích z podnikání. Riziková analýza je základem pro vytvoření systému provázaných vnitřních předpisů, procesů a kontrolních mechanismů.

Compliance manager pravidelně provádí analýzu rizika v rámci věcné oblasti působnosti a posuzuje, zda jsou nezbytné úpravy přijatých opatření.

3. Kontrola a analýza dokumentace

V této fázi probíhá ověření: analyzují se dokumenty, provádí se rozhovory se zaměstnanci, technická diagnostika IT systémů a testování postupů monitoringu. Zvláštní pozornost se věnuje ověření plnění interních předpisů a souladu s firemní etikou.

4. Vyhodnocení a nápravná opatření

Výstupem auditu je zpráva obsahující popis zjištěných skutečností, identifikovaná rizika a doporučení, jak s těmito riziky naložit. Následuje implementace nápravných opatření a aktualizace vnitřních předpisů.

FAQ – Právní tipy k průběhu compliance auditu

1. Jak často by měl probíhat compliance audit?

Doporučuje se provádět komplexní audit nejméně jednou ročně, a také po významných změnách v organizaci nebo legislativě. Pro rychle rostoucí společnosti je vhodné zavést postupné škálování auditu. Potřebujete nastavit pravidelný auditní cyklus? Napište na office@arws.cz.

2. Kdo je za compliance ve firmě odpovědný?

Konečnou odpovědnost nese vždy statutární orgán – jednatel nebo představenstvo. V praxi bývá výkonem pověřena konkrétní osoba (Compliance Officer) nebo oddělení. Pomůžeme vám správně nastavit role a odpovědnosti – kontaktujte nás na office@arws.cz.

3. Proč formální compliance nestačí

Podle rozhodnutí Vrchního soudu v Praze v nejmenované kauze není pouhá formální existence compliance programu dostačující a nevede bez dalšího k závěru, že právnická osoba vynaložila „veškeré úsilí, které na ní bylo možno spravedlivě požadovat".

ozvěte se nám,
vyřešíme to za Vás
office@arws.cz 245 007 740
Domluvit konzultaci

Aby bylo možné učinit spolehlivý závěr o vyvinění z trestní odpovědnosti, je nutné podrobně nahlédnout do činnosti firmy a mít představu o jejím fungování, řízení, vnitřní kontrole a schopnosti adekvátně reagovat na zjištěné problémy.

Mezi indikátory nefunkčních compliance systémů patří například nedostatečné personální vybavení, nedostatečné pravomoci compliance managera, slepá implementace systému mateřské zahraniční společnosti bez přizpůsobení českým podmínkám nebo nevyvozování důsledků z protiprávního jednání.

Funkční compliance program by měl zahrnovat:

  • Provázané vnitřní předpisy upravující organizační uspořádání a kompetence
  • Kontrolu souladu vnitřních předpisů s právními předpisy a jejich pravidelnou aktualizaci
  • Systémy vnitřní kontroly dodržování předpisů a záznamy o provedených kontrolách
  • Záznamy o zjištěných porušeních, následcích a přijatých opatřeních
  • Zabezpečení možnosti důvěrného interního oznamování porušení
  • Školení osob a kontrola jejich znalostí

Právníci ARROWS se specializují na vytváření skutečně funkčních compliance programů, které obstojí před kontrolními orgány i soudy. Pro okamžité řešení vaší situace nám napište na office@arws.cz.

Trestní odpovědnost právnických osob a vyvinění

Zákon č. 418/2011 Sb. o trestní odpovědnosti právnických osob přináší firmám možnost zproštění odpovědnosti, pokud prokážou, že vynaložily veškeré úsilí k prevenci protiprávního jednání prostřednictvím efektivního compliance programu.

Prakticky řečeno – firma odpovídá za trestný čin zaměstnance buď tehdy, pokud mu to vedení nařídilo či posvětilo, nebo pokud management selhal v nastavení kontrol, školení a pravidel (compliance), které by takovému protiprávnímu jednání předešly.

Rizika a sankce

Jak pomáhá ARROWS (office@arws.cz)

Trestní odpovědnost firmy za jednání zaměstnance.

Příprava compliance programu splňujícího požadavky pro vyvinění.

Osobní odpovědnost členů statutárního orgánu.

Právní konzultace k péči řádného hospodáře a nastavení kontrolních mechanismů.

Pokuty za porušení AML až 130 mil. Kč.

Komplexní AML audit a příprava vnitřních zásad.

Sankce GDPR až 20 mil. EUR.

Audit zpracování osobních údajů, příprava DPIA a dokumentace.

Reputační škody a ztráta obchodních partnerů.

Implementace etického kodexu a whistleblowing systému.

 Na co se zaměřit při AML auditu

Od roku 2021 došlo v AML zákoně ke zvýšení horní hranice pokut u některých přestupků, takže za vážné pochybení hrozí povinným osobám pokuta až 10 milionů korun a u kvalifikovaných skutkových podstat to může být až 30 milionů korun.

Kontrolní seznam AML compliance

Finanční analytický úřad (FAÚ) provádí ročně 15 až 30 kontrol přímo ve firmách. V případě zjištění pochybení zahajuje přestupkové řízení. Pokuta je jen jedním z druhů správních trestů – FAÚ může uložit opatření k nápravě nebo při opakovaném porušení zákaz činnosti.

Klíčové AML povinnosti:

  •       Jmenování a registrace kontaktní osoby pro AML
  •       Provedení kompletního auditu postupů a odstranění nedostatků
  •       Investice do automatizace monitoringu
  •       Vytváření kultury compliance prostřednictvím pravidelného školení

Porušení jsou zaznamenávána ve veřejných rejstřících, což vede k reputačním ztrátám a přerušení vztahů s bankami a investory. V praxi se objevily případy, kdy opožděná registrace kontaktní osoby pro AML vedla k zablokování všech odchozích plateb až do odstranění porušení.

Advokátní kancelář ARROWS zajišťuje kompletní AML compliance včetně přípravy vnitřních zásad, školení zaměstnanců a zastupování před FAÚ. Neváhejte se obrátit na naši kancelář – office@arws.cz.

Whistleblowing – povinnost, kterou nelze ignorovat

Zákon o ochraně oznamovatelů ukládá povinnost zřídit interní oznamovací systém všem zaměstnavatelům s více než 50 zaměstnanci, všem veřejným zadavatelům s více než 25 zaměstnanci a obcím s více než 10 000 obyvateli.

Systém musí umožňovat podávání oznámení a zajišťovat důvěrnost identity oznamovatele. Zavedení oznamovacího systému není jen formální povinnost – jde o vytvoření mechanismu pro včasné odhalení problémů uvnitř organizace.

Praktická doporučení:

  •       Vypracujte směrnici o interním oznamovacím systému
  •       Aktualizujte záznamy o činnostech zpracování
  •       Proveďte posouzení vlivu na ochranu osobních údajů (DPIA)
  •       Proškolte zaměstnance odpovědné za přijímání a vyřizování oznámení

Právníci ARROWS připraví kompletní dokumentaci pro whistleblowing systém a zajistí jeho správnou implementaci. Naši právníci jsou připraveni vám pomoci – napište na office@arws.cz.

ozvěte se nám,
vyřešíme to za Vás
office@arws.cz 245 007 740
Domluvit konzultaci

FAQ – Právní tipy k whistleblowingu a AML

1. Musí moje firma zavést whistleblowing systém? 

Ano, pokud máte více než 50 zaměstnanců nebo spadáte do regulovaných sektorů (finanční služby, AML povinné osoby). Zákon o ochraně oznamovatelů stanoví přísné požadavky na fungování systému. Potřebujete pomoct se zavedením? Kontaktujte office@arws.cz.

2. Co hrozí za nesplnění AML povinností?

Pokuty až 130 milionů korun pro finanční instituce, zablokování účtů, zákaz činnosti a zápis do veřejných rejstříků porušitelů. Prevence je výrazně levnější než řešení následků – napište nám na office@arws.cz.

3. NIS2 a kybernetická bezpečnost – nové výzvy od listopadu 2025

Nový zákon o kybernetické bezpečnosti implementující směrnici NIS2 se dotkne 6 000 až 10 000 subjektů v České republice. Zákon rozlišuje mezi režimem vyšších a nižších povinností v závislosti na tom, jak důležitou službu daný subjekt poskytuje.

V případě porušení pravidel hrozí členům statutárních orgánů osobní odpovědnost za způsobenou škodu, ručení věřitelům za dluhy společnosti, vyloučení z funkce a zákaz jejího výkonu nejméně po dobu šesti měsíců. Sankce mohou dosahovat až 20 milionů korun pro fyzické osoby. Firmám hrozí pokuty až 250 milionů korun nebo dvě procenta z ročního obratu.

Firmy musí projít procesem samoidentifikace, registrovat se u NÚKIB a implementovat bezpečnostní opatření zahrnující řízení aktiv a rizik, stanovení bezpečnostních rolí, zavedení bezpečnostní politiky, školení zaměstnanců i vedení a pravidelné hlášení incidentů.

Advokátní kancelář ARROWS pomáhá klientům s implementací NIS2 požadavků díky zkušenostem z mezinárodní sítě ARROWS International. Pro více informací nám napište na office@arws.cz.

Interní směrnice – základ funkčního compliance systému

Většina firem ví, že potřebují interní směrnice, ale často zanedbávají jejich právní vymahatelnost. I když mnoho firem má dokumenty o compliance, mohou mít problémy s jejich právní platností, pokud by se objevily před soudem.

Pro právní vymahatelnost směrnic je nezbytné, aby splňovaly několik klíčových požadavků:

  •       Směrnice musí být jednoznačně závazné pro všechny zaměstnance
  •       Musí být vydány statutárním orgánem společnosti
  •       Měly by být zahrnuty do pracovních smluv nebo jiných relevantních dokumentů
  •       Musí být aktualizovány v souladu se změnami v legislativě
  •       Zaměstnanci musí podepsat, že se se směrnicí seznámili

Pokud interní směrnice nejsou právně platné, nebude organizace při porušení pravidel compliance schopna prokázat existenci platného nařízení, což může ohrozit její obranu proti sankcím.

Rizika a sankce

Jak pomáhá ARROWS (office@arws.cz)

Neplatné interní směrnice bez právního účinku.

Právní revize a přepracování směrnic tak, aby byly vymahatelné.

Chybějící schválení statutárním orgánem.

Příprava kompletní compliance dokumentace včetně usnesení orgánů.

Zaměstnanci neznají své povinnosti.

Odborná školení s certifikátem pro management i zaměstnance.

Nedostatečná aktualizace při změnách legislativy.

Dlouhodobý compliance monitoring a pravidelné revize.

 Péče řádného hospodáře a odpovědnost statutárního orgánu

Člen statutárního orgánu je povinen vykonávat svou funkci s péčí řádného hospodáře, tedy s nezbytnou loajalitou i s potřebnými znalostmi a pečlivostí. Zákon o obchodních korporacích doplňuje povinnost péče řádného hospodáře o pravidlo podnikatelského úsudku – obchodní rozhodnutí se musí opírat o dostatečné množství informací.

Odpovědnost za řádné nastavení compliance management systému má nejvyšší vedení (statutární orgán) – této odpovědnosti se nezbaví delegací.

V kontextu compliance to znamená, že statutární orgán musí:

  •       Zajistit, aby firma měla funkční compliance program
  •       Pravidelně vyhodnocovat jeho efektivitu
  •       Reagovat na zjištěné nedostatky
  •       Zajistit dostatečné zdroje pro compliance aktivity

Nedodržení těchto povinností může vést k osobní odpovědnosti za škodu způsobenou společnosti nebo třetím osobám. V našem portfoliu je více než 150 akciových společností, 250 s.r.o. a 50 obcí a krajů – zakládáme si na rychlosti a vysoké kvalitě právních služeb. Spojte se s námi na office@arws.cz.

ozvěte se nám,
vyřešíme to za Vás
office@arws.cz 245 007 740
Domluvit konzultaci

Praktické kroky k provedení compliance auditu

Compliance audit není jednorázová formalita, ale komplexní proces nezbytný pro každé podnikání. Zde je praktický postup:

Krok 1: Definujte rozsah auditu - Určete, které oblasti compliance budete prověřovat – korporátní, AML, GDPR, pracovněprávní, daňovou nebo všechny současně.

Krok 2: Sestavte auditní tým - Audit by měl provádět nezávislý tým – ideálně externí právníci, kteří přinesou objektivní pohled a zkušenosti z jiných společností.

Krok 3: Shromážděte dokumentaci - Připravte veškeré relevantní dokumenty: smlouvy, vnitřní předpisy, zápisy z jednání orgánů, pracovní dokumentaci, evidence.

Krok 4: Proveďte analýzu - Porovnejte skutečný stav s požadavky právních předpisů a identifikujte mezery.

Krok 5: Vypracujte zprávu s doporučeními - Zpráva by měla obsahovat zjištěné nedostatky, jejich závažnost a konkrétní doporučení k nápravě.

Krok 6: Implementujte nápravná opatření - Stanovte odpovědné osoby a termíny pro odstranění zjištěných nedostatků.

Tato problematika je v praxi složitější, než se na první pohled zdá. Jednotlivé kroky mají skryté výjimky, procesní detaily a návaznosti na další předpisy, které laik často nevidí. Naše advokátní kancelář řeší tuto agendu denně, čímž dokáže klientovi výrazně zkrátit čas a minimalizovat riziko chyb. ARROWS je pojištěna na škodu až do 500 000 000 Kč – pro klienta je proto bezpečnější nechat věc profesionálně zajistit.

FAQ – Právní tipy k provádění auditu

1. Mohu si compliance audit udělat sám?

Teoreticky ano, ale v praxi to nedoporučujeme. Interní audit často přehlíží systémové nedostatky, které jsou zřejmé externímu odborníkovi. Navíc při případné kontrole má větší váhu audit provedený nezávislou stranou. Chcete nezávislý pohled? Napište na office@arws.cz.

2. Kolik stojí compliance audit?

Cena závisí na rozsahu a složitosti podnikání. Investice do auditu je však zlomkem potenciálních pokut a škod. Pro konkrétní nabídku nás kontaktujte na office@arws.cz.

3. Kontroly ze strany státních orgánů – na co se připravit

Státní úřad inspekce práce v roce 2024 provedl přes 10 000 kontrol a uložil pokuty v celkové výši téměř 254 milionů korun jen za první pololetí. Nejčastější porušení zahrnují nevyplácení mzdy, nevedení evidence odpracované pracovní doby a nedodržení požadavků BOZP.

Finanční úřad může provádět kontroly v rámci tříleté prekluzivní lhůty pro stanovení daně. Kontrola je zahájena doručením oznámení, ve kterém správce daně uvede, jakou daň a za jaké období kontroluje. V případě nesrovnalostí je subjektu zpětně vyměřena daň a související sankce – penále 20% z doměřené částky a úrok z prodlení.

Co může vést k zahájení kontroly:
  •       Dlouhodobá ztráta (podezření na zatajování příjmů)
  •       Vysoké odpočty nebo nároky na vrácení DPH
  •       Nesrovnalosti v kontrolním hlášení
  •       Podněty od zaměstnanců nebo konkurence
  •       Namátková kontrola v rizikových odvětvích

Běžně jsme partnery firemních právníků pro řešení speciálních záležitostí včetně zastupování při kontrolách a správních řízeních. Pro okamžité řešení vaší situace nám napište na office@arws.cz.

Přehled hlavních rizik a jak jim předcházet

Rizika a sankce

Jak pomáhá ARROWS (office@arws.cz)

Kontrola SÚIP – pokuty za porušení pracovního práva až desítky milionů Kč.

Audit pracovněprávní dokumentace, příprava interních směrnic BOZP – potřebujete audit?

Daňová kontrola – penále 20% + úrok z prodlení.

Právní konzultace k daňovým rizikům, zastupování v daňovém řízení.

Porušení NIS2 – pokuty až 250 mil. Kč.

Implementace bezpečnostních opatření, registrace u NÚKIB, školení managementu.

Nesplnění whistleblowing povinností.

Zavedení interního oznamovacího systému, příprava kompletní dokumentace.

Porušení korporátních povinností – neplatnost jednání.

Korporátní audit, aktualizace stanov a smluv, zápisy do rejstříků.

Mezinárodní rozměr compliance

Pro společnosti s mezinárodním přesahem je compliance ještě komplexnější. Je nutné zohlednit nejen české předpisy, ale i evropské regulace (GDPR, NIS2, AML směrnice) a případně legislativu dalších zemí, kde firma působí.

V mezinárodních společnostech se stává povinným audit v oblasti požadavků AML a ověření obchodních partnerů z hlediska sankčních rizik. Screening sankčních seznamů by měl probíhat měsíčně.

Advokátní kancelář ARROWS zajišťuje právní služby mimo Českou republiku díky deset let budované síti ARROWS International a prakticky denně řeší případy s mezinárodním prvkem.

Proč svěřit compliance audit odborníkům

Provádění právního auditu je velmi pečlivá práce vyžadující detailní znalost mnoha právních oblastí. Délka celého procesu se odvíjí od velikosti společnosti. Výstupem je due diligence report shrnující celkový stav společnosti nebo zaměřený pouze na problémy objevené při auditu.

„Včera bylo pozdě" – každý majitel či jednatel by měl co nejdříve posoudit, zda jeho firma má dostatečné interní zabezpečení proti protiprávnímu jednání. Pokud ne, je na místě zavést compliance program, případně provést revizi stávajících vnitřních předpisů.

Důsledky a rizika při obvinění nebo odsouzení firmy jsou závažné a mohou ohrozit její existenci. Soud může v průběhu řízení uložit preventivní opatření, například zákaz nakládání s určitými věcmi nebo obstavení prostředků, což může bezprostředně ohrozit cash-flow a provoz firmy.

FAQ – Nejčastější právní dotazy ke compliance auditům

1. Je compliance audit povinný ze zákona?

Pro některé subjekty ano – například finanční instituce, AML povinné osoby nebo subjekty regulované ČNB mají zákonnou povinnost provádět pravidelné interní audity a compliance kontroly. Pro ostatní firmy je audit dobrovolný, ale silně doporučený jako prevence rizik. Pokud řešíte podobný problém, kontaktujte nás na office@arws.cz.

2. Jak dlouho trvá provedení compliance auditu?

Záleží na velikosti společnosti a rozsahu auditu. U středních firem trvá komplexní audit obvykle 4–8 týdnů, u velkých korporací může jít o měsíce. Dílčí audity zaměřené na konkrétní oblast (např. GDPR nebo AML) lze provést rychleji. Pro odhad časové náročnosti ve vašem případě nás kontaktujte na office@arws.cz.

3. Co dělat, když audit odhalí závažné nedostatky?

Neprodleně přijměte nápravná opatření. Pokud hrozí sankce za dosavadní stav, zvažte dobrovolné oznámení regulátorovi – v některých případech může vést ke snížení pokuty. Rozhodně nedostatky nezatajujte a nesnažte se je dodatečně maskovat. Potřebujete poradit s postupem? Napište na office@arws.cz.

4. Může kvalitní compliance program snížit případnou pokutu?

Ano. Zavedení nového efektivního compliance programu (nejpozději před vydáním prvostupňového rozhodnutí) může být v úvahách Úřadu pro ochranu hospodářské soutěže o výši pokuty zohledněno jako polehčující okolnost snížením základní částky pokuty až o 5%. Podobný přístup mají i další regulátoři. Pro více informací nás kontaktujte na office@arws.cz.

5. Jaký je rozdíl mezi interním a externím compliance auditem?

Interní audit provádějí zaměstnanci firmy (compliance oddělení, interní auditor), externí audit realizuje nezávislá třetí strana (advokátní kancelář, auditorská firma). Externí audit má větší důkazní váhu a přináší objektivní pohled, interní audit je vhodný pro průběžný monitoring. Optimální je kombinace obou přístupů. Pokud řešíte nastavení auditních procesů, napište nám na office@arws.cz.

6. Vztahuje se compliance audit i na dodavatele a obchodní partnery?

Ano, zejména v oblasti AML (due diligence obchodních partnerů), kybernetické bezpečnosti (dodavatelské řetězce podle NIS2) a ESG compliance. Nedostatečná kontrola dodavatelů může přenést rizika na vaši společnost. Pomůžeme vám nastavit procesy prověřování partnerů – kontaktujte office@arws.cz.

Závěr – prevence je levnější než léčba

Compliance audit není zbytečná byrokracie, ale účinný nástroj ochrany vašeho podnikání. V prostředí, kde pokuty dosahují stovek milionů korun a osobní odpovědnost statutárních orgánů je čím dál přísnější, si žádná firma nemůže dovolit spoléhat na to, že „se to nějak přejde".

Pokud nechcete riskovat chyby, škody nebo pokuty, můžete celou věc bezpečně přenechat advokátní kanceláři ARROWS. Máme zkušenosti z více než 150 akciových společností a 250 s.r.o. v našem portfoliu. Jsme pojištěni na škodu až do 500 000 000 Kč a zakládáme si na rychlosti a vysoké kvalitě služeb.

Nabízíme:

  •       Komplexní compliance audity šité na míru
  •       Přípravu a revizi interních směrnic a compliance dokumentace
  •       Školení managementu i zaměstnanců včetně certifikátu
  •       Zastupování při kontrolách a správních řízeních
  •       Dlouhodobý compliance monitoring
  •       Získání licencí a povolení včetně jejich změn

Neváhejte se obrátit na naši kancelář a získejte jistotu, že vaše firma je v souladu s právními předpisy.

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.

ozvěte se nám,
vyřešíme to za Vás
office@arws.cz 245 007 740
Domluvit konzultaci