Audyt sankcyjny w firmie — kompletny checklist samokontroli przed inspekcją

Stan prawny na dzień: 2026-05-26.

Jeśli wiesz już, że Twoja firma musi prowadzić sanction screening — czas sprawdzić, czy faktycznie go prowadzisz w sposób, który wytrzyma kontrolę KAS, GIIF lub inspektora sankcyjnego. Audyt sankcyjny to nie jest skomplikowany proces wymagający audytorów zewnętrznych. To wewnętrzna samoocena, którą można zrobić w jedno popołudnie — pod warunkiem, że masz checklist.

W tym artykule dostaniesz 10 obszarów do przejścia po kolei, z konkretnymi pytaniami kontrolnymi, podstawą prawną i informacją, co świadczy o braku gotowości.

TL;DR

• Audyt sankcyjny zajmuje 90–180 minut dla typowej MŚP (10–250 osób). Nie wymaga zewnętrznego audytora.
• Sprawdzasz 10 obszarów — od wyznaczenia compliance officera po dokumentację decyzji.
• 3 obszary krytyczne (BLOCK): brak compliance officera, brak procedury weryfikacji klienta, brak listy sankcyjnej w użyciu — to naruszenia, które kontrolujący zauważy w pierwszych minutach.
• Priorytet naprawczy: BLOCK → 7 dni, FIX duży → 30 dni, FIX mały → 90 dni.
• Audyt warto powtórzyć raz na 12 miesięcy lub po istotnej zmianie (nowa branża, nowy rynek, nowa lista sankcyjna).

Co to jest audyt sankcyjny i czym się różni od audytu AML

Audyt sankcyjny to wewnętrzna ocena, czy firma spełnia obowiązki wynikające z:

• ustawy z 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę (Dz.U. 2022 poz. 835)¹,
• rozporządzeń UE 269/2014 (zamrożenie aktywów osób)² i 833/2014 (sankcje sektorowe Rosja)³,
• rozporządzenia 765/2006 (Białoruś)⁴,
• decyzji MSWiA o wpisach na polską listę sankcyjną⁵.

Audyt AML natomiast obejmuje wszystkie obowiązki z ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2018 poz. 723)⁶ — w tym KYC, ocenę ryzyka klienta, raportowanie transakcji do GIIF, identyfikację beneficjenta rzeczywistego.

Najważniejsza różnica: audyt sankcyjny obejmuje szerszy katalog podmiotów. Reżim sankcyjny stosuje się bezpośrednio (rozporządzenia UE) do wszystkich firm w UE — nie tylko do tzw. instytucji obowiązanych. Innymi słowy: nawet jeśli Twoja firma nie jest instytucją obowiązaną w rozumieniu AML, musi przestrzegać sankcji UE.

Różnice między AML a sankcjami szczegółowo rozkładamy w artykule AML a sankcje — różnice i LCB-FT vs sankcje.

Kto powinien przeprowadzić audyt

Audyt powinna wykonać każda firma, która spełnia choć jeden z poniższych warunków:

1. Jest instytucją obowiązaną w rozumieniu art. 2 ust. 1 ustawy AML⁶ — biura rachunkowe, doradcy podatkowi, pośrednicy nieruchomości, kantory, brokerzy ubezpieczeniowi, dostawcy usług w zakresie aktywów wirtualnych, dealerzy dóbr luksusowych powyżej 10 000 EUR, itd.
2. Prowadzi transakcje międzynarodowe — eksport, import, usługi dla zagranicznych klientów, faktoring eksportowy, leasing transgraniczny.
3. Świadczy usługi finansowe niefinansowo — leasing operacyjny, faktoring, sprzedaż ratalna, pożyczki konsumenckie poniżej progów AML.
4. Startuje w przetargach publicznych — art. 7 ustawy sankcyjnej + art. 5k rozp. 833/2014 (więcej w naszym artykule sankcje a zamówienia publiczne).
5. Obsługuje klientów z list ryzyka — Rosja, Białoruś, Iran, KRLD, kraje objęte wybranymi sankcjami sektorowymi.

W praktyce — w naszych priorytetowych branżach — audyt powinny robić wszystkie firmy z turystyki, ubezpieczeń, nieruchomości, leasingu i e-commerce. Także biura rachunkowe i kancelarie — jako instytucje obowiązane.

Checklist właściwy — 10 obszarów do sprawdzenia

Idź po kolei. Każdy obszar = jedno pytanie głównego rzędu + 2–3 kontrolne. Odpowiedź to TAK / NIE / CZĘŚCIOWO. Nie zaglądaj wcześniej do priorytetów — sam zobacz, ile bólu widzisz w firmie.

1. Compliance officer — wyznaczony i znany?

Pytanie główne: Czy Twoja firma wyznaczyła osobę odpowiedzialną za sanction screening i compliance? (To może być ta sama osoba, która odpowiada za AML, lub osobno.)

Pytania kontrolne:

• Czy decyzja o wyznaczeniu jest pisemna (uchwała zarządu lub decyzja właściciela, oświadczenie pracownika)?
• Czy osoba ta ma dostęp do list sankcyjnych i narzędzi weryfikacji?
• Czy w firmie wiadomo, do kogo zgłosić podejrzane trafienie?

Podstawa prawna: art. 8 ust. 1 ustawy AML⁶ (dla instytucji obowiązanych) — obowiązek wyznaczenia członka kadry kierowniczej odpowiedzialnego za wykonanie obowiązków AML. Dla firm spoza instytucji obowiązanych — wymóg dobrego zarządzania ryzykiem; w razie kontroli sankcyjnej brak wyznaczonej osoby = zarzut zaniechania.

Co świadczy o braku: „nikt konkretnie tego nie robi", „zarząd ogólnie nadzoruje", brak konkretnej osoby w odpowiedzi.

Wskazówka: w MŚP 10–50 osób to zwykle prokurent, główny księgowy lub dyrektor finansowy. W większych firmach — osobna funkcja Compliance / Compliance Officer. Praktyczne podejście do roli opisujemy w artykule compliance officer w małej firmie.

2. Procedura wewnętrzna sanction screening — spisana?

Pytanie główne: Czy macie spisany dokument opisujący, kiedy i jak sprawdzacie kontrahenta wobec list sankcyjnych?

Pytania kontrolne:

• Czy dokument określa moment weryfikacji (przed zawarciem umowy, przed pierwszą płatnością, cyklicznie)?
• Czy określa jakie listy są sprawdzane (UE, MSWiA, OFAC, ONZ, UK OFSI)?
• Czy określa kto podejmuje decyzję przy MATCH / POSSIBLE?

Podstawa prawna: art. 50 ustawy AML⁶ (procedura wewnętrzna dla instytucji obowiązanych). Dla pozostałych firm — element zasad należytej staranności wynikających z bezpośredniego stosowania rozp. UE.

Co świadczy o braku: „każdy pracownik robi to po swojemu", „sprawdzamy intuicyjnie", „mamy to gdzieś w mailu od prawnika".

Wskazówka: procedura musi być operacyjna — opisana w 2–4 stronach językiem, który zrozumie sprzedawca. Nie 30-stronicowy dokument napisany przez prawnika. Wzór i strukturę pokazujemy w polityka sankcyjna — wzory dokumentów.

3. Rejestr trafień — prowadzony i aktualny?

Pytanie główne: Czy prowadzicie rejestr przypadków, w których system weryfikacji zwrócił MATCH lub POSSIBLE — z decyzją i uzasadnieniem?

Pytania kontrolne:

• Czy każdy wpis ma datę, identyfikator klienta, listę źródłową, rodzaj wyniku?
• Czy każda decyzja (kontynuacja / odmowa / zgłoszenie do GIIF) ma uzasadnienie?
• Czy rejestr jest niezmienialny (append-only) — nie da się go „poprawić" wstecz?

Podstawa prawna: art. 34 ust. 4 ustawy AML⁶ (dokumentacja stosunków gospodarczych), art. 49 (5-letni okres przechowywania dokumentacji). Dla zamrożenia aktywów — art. 23 ustawy z 13.04.2022¹ (obowiązek dokumentowania).

Co świadczy o braku: brak rejestru, ad-hoc notatki w Excelu bez wersjonowania, „mamy to w CRM-ie ale nikt nie zaglądał".

Wskazówka: wzór rejestru trafień (z polami obligatoryjnymi i wzorem decyzji) — rejestr trafień sankcyjnych.

4. Polityka sankcyjna — istnieje i jest podpisana?

Pytanie główne: Czy w firmie istnieje pisemny dokument polityki sankcyjnej, zatwierdzony przez zarząd lub właściciela?

Pytania kontrolne:

• Czy określa kogo, kiedy i jakimi środkami weryfikujemy?
• Czy zawiera odniesienia do konkretnych aktów prawnych (rozp. 269/2014, 833/2014, ustawa z 13.04.2022)?
• Czy określa, co robić w przypadku MATCH (procedura eskalacji)?
• Czy jest aktualna (przegląd co najmniej raz w roku)?

Podstawa prawna: art. 50 ust. 1 ustawy AML⁶ — wewnętrzna procedura w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, której częścią są obowiązki sankcyjne; art. 23 ustawy sankcyjnej¹ — obowiązki dokumentacyjne instytucji obowiązanych.

Co świadczy o braku: „polityki nie mamy, ale jest procedura", „dokument leży w szufladzie u prawnika", „nikt go nigdy nie czytał".

5. Klauzula sankcyjna w umowach handlowych — dodana?

Pytanie główne: Czy umowy zawierane z kontrahentami zawierają klauzulę sankcyjną?

Pytania kontrolne:

• Czy klauzula obejmuje oświadczenie kontrahenta o braku objęcia sankcjami?
• Czy daje Tobie prawo odstąpienia w razie wpisu kontrahenta na listę?
• Czy obejmuje obowiązek informowania o zmianach struktury własnościowej?

Podstawa prawna: zasada swobody umów (art. 353¹ k.c.) — klauzula nie jest wymagana ustawowo, ale jej brak oznacza, że w razie wpisu kontrahenta na listę nie masz instrumentów do bezpiecznego zerwania umowy. Praktyka rynkowa rekomendowana również przez UZP⁷ w kontekście zamówień publicznych.

Co świadczy o braku: „mamy stare wzory umów, sprzed 2022", „umowy podpisuje się bez klauzuli, bo nikt ich nie czyta".

Wskazówka: klauzula sankcyjna w umowach handlowych powinna obejmować również kwestię zamówień publicznych, jeśli firma w nich startuje.

6. Szkolenia pracowników — przeprowadzone i udokumentowane?

Pytanie główne: Czy pracownicy mający kontakt z klientem (sprzedaż, obsługa, księgowość, prawo) zostali przeszkoleni z zasad weryfikacji sankcyjnej?

Pytania kontrolne:

• Czy szkolenia są cykliczne (rekomendowane: minimum raz na 12 miesięcy)?
• Czy istnieje lista obecności / zaświadczenie ukończenia?
• Czy materiały szkoleniowe zawierają konkretne przypadki z Twojej branży?
• Czy pracownik wie, jak rozpoznać sygnały podejrzanej transakcji (red flags)?

Podstawa prawna: art. 52 ustawy AML⁶ — szkolenia pracowników w instytucjach obowiązanych; obowiązek cykliczny.

Co świadczy o braku: „szkolimy ich na bieżąco", „każdy wie, co ma robić", brak dokumentu potwierdzającego szkolenie.

Wskazówka: ramowy plan szkolenia + checklist tematów do omówienia — szkolenie pracowników z sankcji.

7. Aktualizacja list sankcyjnych — proces i częstotliwość

Pytanie główne: Jak często sprawdzacie aktualizacje list sankcyjnych (UE Aneks I, MSWiA, OFAC SDN, ONZ Consolidated List)?

Pytania kontrolne:

• Czy macie zdefiniowane źródła list (URL-e, formaty)?
• Czy proces aktualizacji jest codzienny czy ad-hoc?
• Czy w przypadku rozszerzenia listy (nowy pakiet sankcji UE) ponownie sprawdzacie aktywnych klientów?
• Czy macie alerty / subskrypcję na rozszerzenia list?

Podstawa prawna: rozporządzenia UE 269/2014 i 833/2014²³ — środki stosuje się od dnia ich wejścia w życie. Wejście w życie pakietu sankcji to często dzień następujący po publikacji w Dz.Urz. UE — brak codziennej aktualizacji = ryzyko realizacji transakcji z nowo wpisanym podmiotem przed Twoją reakcją.

Co świadczy o braku: „sprawdzaliśmy przy zawieraniu umowy", „raz na kwartał ktoś rzuca okiem", „mamy płatne narzędzie, ale nikt nie wie, czy się aktualizuje".

Wskazówka: najbardziej krytyczne źródła: aktualizacje list sankcyjnych, lista MSWiA, lista OFAC.

8. Procedura postępowania przy MATCH / POSSIBLE — opisana?

Pytanie główne: Czy macie spisane kroki postępowania w przypadku wystąpienia trafienia (MATCH lub POSSIBLE)?

Pytania kontrolne:

• Kto otrzymuje powiadomienie?
• Jakie kroki podejmuje (eskalacja do compliance, wstrzymanie transakcji, weryfikacja drugiego źródła)?
• W jakim terminie podejmowana jest decyzja końcowa?
• Czy istnieje procedura zawiadomienia GIIF (formularz, termin, osoba odpowiedzialna)?

Podstawa prawna: art. 74 i art. 86 ustawy AML⁶ — obowiązek zawiadomienia GIIF o transakcji podejrzanej (w terminie 2 dni roboczych); ustawa z 13.04.2022¹ art. 8 — obowiązki przy stwierdzeniu zamrożenia aktywów.

Co świadczy o braku: „nie mieliśmy jeszcze takiej sytuacji", „pewnie zadzwonimy do prawnika", “false positive ignorujemy bo i tak nikt nie sprawdzi”.

Wskazówka: prawidłowa obsługa wyników — false positive w screeningu sankcyjnym.

9. Ocena ryzyka klienta — robiona przed zawarciem umowy?

Pytanie główne: Czy przed zawarciem umowy z nowym kontrahentem oceniacie poziom ryzyka sankcyjnego (kraj, branża, struktura właścicielska, kontekst transakcji)?

Pytania kontrolne:

• Czy istnieje formularz oceny ryzyka (KYC light) lub punktacja?
• Czy klientów wysokiego ryzyka (kraje objęte sankcjami sektorowymi, struktury offshore, brak transparentności UBO) traktujecie inaczej?
• Czy dokumentujecie decyzję o zawarciu umowy mimo identyfikowanego ryzyka?

Podstawa prawna: art. 33 ustawy AML⁶ — środki bezpieczeństwa finansowego adekwatne do ryzyka klienta; art. 27 — ocena ryzyka klienta.

Co świadczy o braku: „ufamy zdrowemu rozsądkowi", „nie mamy oceny ryzyka, klient albo jest, albo go nie ma", brak różnicowania między klientem z Polski a klientem z Cypru.

Wskazówka: szczegółowy proces — weryfikacja kontrahenta pod kątem sankcji.

10. Dokumentacja decyzji — 5 lat, niezmienialna, dostępna?

Pytanie główne: Czy wszystkie decyzje sankcyjne (weryfikacja, MATCH, eskalacja, raport do GIIF, decyzja zarządu) są dokumentowane i przechowywane przez 5 lat od zakończenia stosunku gospodarczego?

Pytania kontrolne:

• Czy dokumenty są przechowywane w sposób zabezpieczony przed modyfikacją (system z audit logiem, kopie zapasowe)?
• Czy w razie kontroli wiesz, gdzie są dokumenty z 2022 r. (4 lata wstecz)?
• Czy decyzje są podpisane (cyfrowo lub odręcznie) przez compliance officera lub upoważnioną osobę?

Podstawa prawna: art. 49 ust. 1 ustawy AML⁶ — „Instytucje obowiązane przechowują przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem"⁶. Identyczny termin obowiązuje dla dokumentacji sankcyjnej (art. 49 ustawy AML, art. 23 ustawy z 13.04.2022¹).

Co świadczy o braku: „dokumenty są gdzieś w mailu", „księgowość ma to zarchiwizowane, ale nie wiemy gdzie", brak dostępu do dokumentów sprzed 2 lat w 30 minut.

Co zrobić z brakami — priorytety naprawcze

Po przejściu 10 obszarów masz wynik. Teraz priorytet:

BLOCK — naprawić w 7 dni

Jeśli w obszarach #1, #2, #3 masz NIE — to jest BLOCK. Kontrolujący zauważy te luki w pierwszych minutach inspekcji.

Konsekwencja zaniechania: kara administracyjna z art. 15 ustawy z 13.04.2022 — od 10 000 zł do 20 000 000 zł¹. Szczegółowe omówienie kar — kary za naruszenie sankcji.

FIX duży — naprawić w 30 dni

Obszary #4, #5, #6, #7 — brak = FIX duży. Kontrolujący zauważy w drugim etapie inspekcji (po przejrzeniu dokumentów).

FIX mały — naprawić w 90 dni

Obszary #8, #9, #10 — brak = FIX mały. Kontrolujący zauważy w trzecim etapie (sprawdzanie konkretnych przypadków).

Jak przygotować się na kontrolę KAS / GIIF

Kontrola wewnętrznej zgodności sankcyjnej może być prowadzona przez kilka organów:

• Generalny Inspektor Informacji Finansowej (GIIF) — kontroluje wykonywanie obowiązków AML, w tym sankcyjnych przez instytucje obowiązane⁸.
• Krajowa Administracja Skarbowa (KAS) — kontroluje obowiązki sankcyjne firm w zakresie obrotu z zagranicą (eksport, import, należności celne) — szczegółowo w kontrola KAS — jak się przygotować.
• Ministerstwo Spraw Wewnętrznych i Administracji (MSWiA) — weryfikuje zamrożenia aktywów wobec osób z listy MSWiA⁵.
• Urząd Zamówień Publicznych (UZP) — kontroluje stosowanie wykluczeń sankcyjnych w postępowaniach PZP⁷.

Co zwykle żąda kontrolujący:

1. Polityka sankcyjna (#4)
2. Wewnętrzna procedura screeningu (#2)
3. Rejestr trafień (#3)
4. Dokumenty wyznaczenia compliance officera (#1)
5. Materiały i listy obecności ze szkoleń (#6)
6. Logi z systemu screeningu — dowód weryfikacji konkretnych klientów (#3, #10)
7. Procedura przy MATCH + przykłady zastosowania (#8)
8. Klauzule sankcyjne w wybranych umowach (#5)

Jeśli powyższe masz w stanie przekazać kontrolującemu w 60 minut — jesteś gotowy. Jeśli musisz najpierw to skompletować — masz luki w obszarach #1–#10.

Jak Sanqto pomaga

Sanqto to oprogramowanie do sanction screening instalowane on-premise — dane Twoich klientów nie opuszczają Twojej infrastruktury. W kontekście audytu sankcyjnego pokrywamy bezpośrednio kilka obszarów checklisty:

• Obszar #2 (procedura): wbudowana procedura weryfikacji + audit log każdej decyzji.
• Obszar #3 (rejestr trafień): automatyczny rejestr z polami obligatoryjnymi i okresem przechowywania 5 lat.
• Obszar #7 (aktualizacja list): codzienna synchronizacja list UE, MSWiA, OFAC, ONZ.
• Obszar #10 (dokumentacja): niezmienialny zapis decyzji z audit logiem i kopiami zapasowymi.

Dodatkowo dostajesz pakiet wdrożeniowy: politykę sankcyjną, instrukcję stanowiskową, wzór klauzuli sankcyjnej, formularz oceny ryzyka. To pokrywa obszary #1, #4, #5, #9.

Umów demo lub poznaj produkt Sanqto.

Podstawa prawna

• Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2018 poz. 723, z późn. zm.), art. 2, 8, 27, 33, 34, 49, 50, 52, 74, 86⁶.
• Ustawa z 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę (Dz.U. 2022 poz. 835), art. 7, 8, 15, 23¹.
• Rozporządzenie Rady (UE) 269/2014 (zamrożenie aktywów osób i podmiotów) — Aneks I².
• Rozporządzenie Rady (UE) 833/2014 (sankcje sektorowe wobec Rosji) — Aneksy IV–XXVI³.
• Rozporządzenie Rady (WE) 765/2006 (Białoruś)⁴.
• Lista osób i podmiotów objętych sankcjami — MSWiA⁵.
• Generalny Inspektor Informacji Finansowej (GIIF) — Ministerstwo Finansów⁸.

Informacja, nie porada prawna. Niniejszy artykuł ma charakter informacyjny i edukacyjny. Nie stanowi porady prawnej. Stan prawny na dzień: 26 maja 2026. Konkretne obowiązki Twojej firmy zależą od profilu działalności i wymagają indywidualnej oceny — w razie wątpliwości skonsultuj się z prawnikiem lub doradcą compliance.