Rizika a compliance: čtvrtletní kontrolní checklist

Rizika a compliance: proč se vyplatí čtvrtletní rytmus

Čtvrtletní (quarterly) checklist je nejjednodušší způsob, jak udržet podnik v souladu se zákony, interními pravidly a etickými standardy. Pro podnikání žen – často s omezenými kapacitami a vysokou mírou osobní odpovědnosti – poskytuje rytmus, přehled a jistotu, že „nic důležitého neunikne“. Tento dokument přináší detailní, praxí ověřený checklist a metodiku, kterou můžete používat v mikropodnikání i v rostoucí firmě.

Principy čtvrtletního compliance

• Rytmus → prevence: pravidelnost snižuje náklady na náhlé zásahy.
• Důkaz → důvěra: to, co zkontrolujete, musí mít důkaz (záznam, screenshot, report).
• Minimalismus → udržitelnost: méně dokumentů, více jasných postupů.
• Lidé → kultura: compliance je dovednost, nikoli byrokracie – učte tým hovořit o rizicích včas.

Rámec: 4P (Právo, Peníze, Provoz, Principy)

• Právo: smlouvy, GDPR, licence, pracovní právo, reklama.
• Peníze: účetnictví, daně, cash-flow, antifraud kontrola.
• Provoz: kyberbezpečnost, dodavatelský řetězec, kontinuita podnikání (BCP).
• Principy: etika, DEI (inkluzivita), ESG, reputace.

Struktura čtvrtletního cyklu (Q1–Q4)

1. T–2 týdny: příprava (seznam změn, aktualizace zákonů, incidenty z minulého kvartálu).
2. Týden 1: rychlý audit „light“ – projití check-listu, zaznamenání odchylek.
3. Týden 2: nápravná opatření (priorita kritické > vysoké > střední > nízké).
4. Týden 3: školení/refresh politik, aktualizace dokumentace.
5. Týden 4: report pro majitelku/board, uzavření a nastavení cílů na další kvartál.

Matice rizik: závažnost × pravděpodobnost

Čtvrtletní checklist: Právo a regulace

• Smlouvy se zákazníky a dodavateli: platnost, automatické prolongace, sankce, SLA, klauzule o ochraně údajů.
• Obchodní podmínky a reklamační řád: soulad s aktuálními spotřebitelskými pravidly; čitelnost a viditelnost na webu.
• Licence a oprávnění: kontrola platnosti a rozsahu (živnost, ochranná známka, software).
• Marketing & reklama: soutěže, influencer smlouvy, označování reklamy, cookies lišta a zásady používání souborů cookie.
• GDPR: záznamy o zpracování, právní základy, smlouvy se zpracovateli, přístupová práva, retention politika.
• Pracovní právo: pracovní smlouvy, dohody, BOZP školení, lékařské prohlídky, homeoffice politika.

Čtvrtletní checklist: Peníze a finanční integrita

• Účetnictví: soulad účetních záznamů s bankou; inventarizace závazků a pohledávek.
• Daně: kontrola registrací (DPH), správnost sazeb, archivace dokladů, plánování záloh.
• Kontrola podvodů: dvojitá autorizace plateb, segregace kompetencí (alespoň pravidlo 4 očí), export logů.
• Cash-flow: stres test – co když příjmy klesnou o 20 % na 2 měsíce?
• Pojištění: revize pojistných částek a výluk, srozumitelnost krytí (odpovědnost, majetek, kyber).

Čtvrtletní checklist: Provoz a kyberbezpečnost

• Přístupová práva: okamžité zrušení přístupů odcházejícím, princip minimálních práv, 2FA všude, kde je to možné.
• Zálohy: test obnovy (restore test), offline kopie klíčových dat, rotace hesel k trezorům.
• Incidenty: kniha incidentů, postmortem pro top 3 události, aktualizace playbooku.
• Dodavatelé: hodnocení kritických dodavatelů (SLA, bezpečnostní standardy, finanční zdraví).
• Kontinuita podnikání (BCP): kontaktní strom, plán náhradních řešení, cvičný „table-top“ scénář.
• Fyzická bezpečnost: přístup do prostor, inventář zařízení, označení majetku, požární revize.

Čtvrtletní checklist: Principy a reputace

• Etický kodex: aktualizace, podpisy nováčků, report konfliktu zájmů.
• DEI a bezpečné prostředí: kanály pro nahlášení, pravidla komunikace, anonymní pulzní dotazník.
• ESG/udržitelnost: přehled spotřeby, odpadové politiky, dodavatelská etika.
• Reputace online: monitoring recenzí, reakční šablony, eskalační plán.

GDPR: mini-kontrolní seznam na každý kvartál

• Ověřit právní základy (souhlas, smlouva, oprávněný zájem) pro klíčová zpracování.
• Zkouška procesu „Právo na přístup/na výmaz“ – 1 testovací požadavek.
• Projít seznam zpracovatelů: smlouvy, sub-procesory, přenosy mimo EU.
• Retenční lhůty: co se má vymazat/anonymizovat tento kvartál?
• Bezpečnost: 2FA, šifrování přenosu/disku, logy přístupů.
• Cookies: funkčnost souhlasu, evidenční log, soulad s realitou webu.

Kyberbezpečnostní „Top 10“ pro malé týmy

1. 2FA všude, kde je to možné.
2. Správa hesel v trezoru, zákaz sdílení mimo trezor.
3. Automatické aktualizace OS a aplikací.
4. Antivirový program/EDR a pravidelné skeny.
5. Phishing školení – 15 minut čtvrtletně.
6. Segmentace účtů: admin vs. běžný účet.
7. Zálohování 3-2-1 (3 kopie, 2 média, 1 offline).
8. Kontrola integrace třetích stran (OAuth oprávnění).
9. Logování přístupů a alerty na anomálie.
10. Incident response karta – kdo co dělá při úniku dat.

RACI pro čtvrtletní compliance (příklad)

Minimum dokumentů (lean compliance)

• Registr rizik (1 strana): top 10 rizik, trend, odpovědná osoba, další krok.
• Playbook incidentů (2–3 strany): kyber, reputační, právní – „co udělat prvních 24 hodin“.
• Politiky (max 1 strana každá): GDPR, kyber, HR, marketing/PR, dodavatelská etika.
• Školení: 3 krátké moduly ročně (15–30 min) + 1 čtvrtletní refresh.

Čtvrtletní report pro majitelku

Vzorové krátké záznamy (jak vypadá „důkaz“)

• Smluvní inventura: „Dne 15.10.2025 prověřeno 12 smluv, 2 s automatickou prolongací – nastaveny připomínky na 30.11.2025.“
• GDPR test přístupu: „Zpracováno do 12 dní, žadatel informován, export dat v archivu #REQ-2025-09.“
• Restore test: „Obnovení zálohy CRM na testovací server – trvalo 34 min, bez chyb.“
• Antifraud kontrola: „5 náhodných plateb > 2 000 €, schvaloval jiný člověk – OK.“

Praktický „One-Pager“ checklist (vytiskněte a použijte)

• Smlouvy a VOP zkontrolovány
• GDPR: záznamy, zpracovatelé, retenční lhůty
• Pracovní smlouvy, BOZP, školení
• Účetnictví, daně, inventarizace
• Antifraud: 4-oko, limity, export logů
• Kyber: 2FA, zálohy, test obnovy
• Dodavatelé: SLA, bezpečnost, finanční zdraví
• BCP: kontaktní strom, cvičný scénář
• Etika/DEI: kanály, dotazník, eskalace
• Online reputace: monitoring a šablony

Jak zavést checklist do praxe (30–60–90 dní)

1. 0–30 dní: definujte „One-Pager“, přiřaďte RACI, vytvořte sdílenou složku na důkazy.
2. 31–60 dní: první light audit, první nápravy, nastavení připomínek (kalendář, email).
3. 61–90 dní: test incident playbooku, mini školení, první čtvrtletní report.

Nástroje, které stačí

• Dokumenty: sdílený disk (standardizované názvy: YYYY-Qx_Téma_Důkaz).
• Task management: jednoduchý kanban (ToDo – In Progress – Done – Evidence).
• Šablony: 1-stránkové politiky, formulář incidentu, registr rizik.
• Automatizace: připomínky v kalendáři pro každý bod checklistu, čtvrtletní blok v diáři.

Nejčastější chyby a jak se jim vyhnout

• Příliš mnoho papírů: snižte na esenciální dokumenty s jasným účelem.
• Bez důkazu: každá kontrola musí mít stopu (screenshot, podpis, export, datum).
• Nejasná odpovědnost: mějte vždy „A“ v RACI – kdo je finálně zodpovědný.
• Jednorázovost: compliance není projekt, ale návyk; držte se rytmu.

Upozornění

Tento checklist je praktický návod, nikoli právní poradenství. Při specifických otázkách (