Przejdź do treści
W K
GoBD: nie dotyczy Zgodny z §203 StGB

Agent wykrywania nadużyć

Pełna kontrola transakcji z analizą ML oraz cross-checkiem GIIF i KSeF FA(2) eliminuje karuzele VAT, Phantom Vendors i fałszywe faktury wygenerowane przez AI - gotowa do certyfikacji dla KAS, GIIF, KNF i biegłego rewidenta.

Wykrywanie nadużyć i karuzel VAT: analiza ML transakcji z cross-checkiem KSeF FA(2), zgodna z KK art. 286 oraz wymogami AML GIIF.

Przeanalizować proces

Wybór spośród ponad 5 000 projektów w 25 latach tworzenia oprogramowania

Airbus Volkswagen Shell Renault Evonik Vattenfall Philips KPMG

KK art. 286, AML GIIF, KKS art. 56, UOKiK i audyt KAS razem tworzą wielofrontowy nadzór nad nadużyciami wymagający Cert-Ready by Design

Agent wykrywa nadużycia zgodnie z polskim Kodeksem karnym art. 286, 296 i 299, ustawą AML z 1.03.2018 (zgłoszenia PLD-FT do GIIF), Kodeksem karnym skarbowym art. 56-61 (sankcja 30% VAT, maksymalnie 21,6 mln zł), ustawą o ochronie konkurencji 2007 (kartelowanie pod nadzorem UOKiK), rekomendacjami KNF D i Z (banki i TFI) oraz KSRF 240 (Substantive Testing nadużyć PIBR). Kontroluje 100 procent transakcji, a generatywnej AI używa wyłącznie w analizie wzorców, nigdy w decyzji o dochodzeniu.

Wynik: Pełna kontrola wszystkich transakcji eliminuje próbkowanie wg KSRF 240, cross-check KSeF FA(2) chroni przed karuzelami VAT (sankcja 21,6 mln zł), zgłoszenia do GIIF następują w 2 dni robocze, integracja sygnalistów odpowiada za 43% wykryć nadużyć wg ACFE, a redukcja False Positive z 25% do poniżej 10% dzięki pętli uczenia ML oszczędza 60-70 procent czasu Compliance Officera.

33% Silnik reguł
54% Agent AI
13% Człowiek

15 deterministycznych punktów decyzyjnych z dwiema eskalacjami ludzkimi (decyzja o dochodzeniu oraz klasyfikacja False Positive) tworzy Audit-Trail dla KAS, GIIF, prokuratury i PIBR wg KSRF 240:

Karuzele VAT z karą KKS do 21,6 mln zł, zgłoszenia GIIF w 2 dni i sankcja UOKiK 10% obrotu - cztery jednoczesne fronty nadużyć

Polska gospodarka traci rocznie 150-200 mld zł w wyniku nadużyć finansowych - wynika to z raportów KAS i GIIF z lat 2023-2024. Same karuzele VAT odpowiadają za szkody 30-50 mld zł rocznie zgodnie z analizą Ministerstwa Finansów i właśnie dlatego KSeF FA(2) staje się obowiązkowy 1 lipca 2026. Polski Kodeks karny (art. 286 - oszustwo, 296 - wyrządzenie szkody znacznej, 299 - pranie pieniędzy) tworzy szkielet karnoprawny, Kodeks karny skarbowy art. 56-61 sankcjonuje oszustwa VAT do 21,6 mln zł, ustawa AML z 1.03.2018 wymaga zgłoszeń transakcji podejrzanych do GIIF w 2 dni robocze, UOKiK karze kartelowanie do 10% obrotu, a ustawa o sygnalistach 2024 (wdrożenie dyrektywy UE 2019/1937) włącza sygnalistów jako kluczową kontrolę nadużyć. Każda średnia i duża spółka z obowiązkiem badania ustawowego musi udokumentować skuteczność systemu wykrywania nadużyć zgodnie z KSRF 240 (przyjęcie ISA 240 przez PIBR), rekomendacją KNF D dla cyberbezpieczeństwa logów oraz cross-checkiem KSeF FA(2) w czasie rzeczywistym.

KK art. 286, AML GIIF, KKS art. 56, UOKiK i audyt KAS tworzą wielofrontowy nadzór nad nadużyciami wymagający Cert-Ready by Design

GIIF jest centralną jednostką analityki finansowej w Polsce i przyjmuje rocznie ponad 250.000 zgłoszeń transakcji podejrzanych od podmiotów zobowiązanych. Brak zgłoszenia w terminie 2 dni roboczych (art. 50 ustawy AML) skutkuje sankcją do 5 mln zł oraz odpowiedzialnością karną z art. 156 ustawy AML do 5 lat pozbawienia wolności. KAS wskazał w 2024 roku karuzele VAT jako najczęstszy schemat nadużyć, a Ministerstwo Finansów wprowadziło KSeF FA(2) jako obowiązkowy mechanizm cross-checku przeciw missing trader fraud, z UUID generowanym po stronie urzędu. KKS art. 56 sankcjonuje oszustwa VAT kwotą 30 procent wartości (maksymalnie 21,6 mln zł) oraz odpowiedzialnością karną członków zarządu wg art. 60-61 do 240 stawek dziennych.

W latach 2022-2024 UOKiK nałożył kary kartelowe powyżej 600 mln zł na sektory budowlany, transportowy, IT i farmaceutyczny - sankcja maksymalna sięga 10 procent obrotu rocznego firmy, a członkowie zarządu odpowiadają karnie do 2 mln zł lub 3 lat pozbawienia wolności (art. 108 ustawy o ochronie konkurencji 2007). Rekomendacja KNF D z 8.01.2013 wymaga od banków, TFI i zakładów ubezpieczeń cyberbezpieczeństwa, audytu logów IT z retencją 5 lat, zarządzania incydentami nadużyć oraz raportowania do KNF. RODO art. 6 i 32 dokłada kolejną warstwę: podstawa przetwarzania danych do wykrywania nadużyć musi być udokumentowana, a środki bezpieczeństwa adekwatne do ryzyka, pod groźbą sankcji UODO do 4 procent obrotu lub 20 mln EUR. Średnia polska spółka (300-500 pracowników, 100-300 mln zł obrotu) ma potencjalną skumulowaną ekspozycję sankcyjną 50-200 mln zł rocznie bez podejścia Cert-Ready by Design.

15 deterministycznych punktów decyzyjnych z dwiema eskalacjami ludzkimi

Agent przetwarza każdą transakcję przez pipeline 15 strukturalnych punktów decyzyjnych: trzynaście klasyfikacji regułowo-ML oraz dwie eskalacje ludzkie (decyzja o dochodzeniu i klasyfikacja False Positive). Klasyfikację typu transakcji wykonuje LLM, mapując kontekst regulacyjny (AML, KKS, KK, UOKiK, KNF) na podstawie kontrahenta, kwoty, kraju i branży. Pozostałe punkty działają wg reguł: KK art. 286 (duplikaty i Phantom Vendor), KKS art. 56 (karuzele VAT przez KSeF FA(2)), ustawa AML art. 50 (transakcje podejrzane GIIF), ustawa o ochronie konkurencji 2007 art. 6 (kartelowanie i bid rigging), KSH art. 382 §3 (segregacja obowiązków) oraz ustawa o sygnalistach 2024 (sygnalista jako kontrola nadużyć).

Konkretny przykład: średniej wielkości polski producent maszyn notowany na GPW (450 pracowników, 280 mln zł obrotu, sektor IT) wykonuje rocznie 40.000 transakcji zakupowych, 12.000 sprzedażowych i 1.200 zwrotów. Agent w pierwszym kwartale 2026 wykrywa: (1) Phantom Vendor - dostawcę usług IT zarejestrowanego 90 dni temu, bez wpisu w CRBR, z aktywnym REGON, lecz bez sprawozdań finansowych, wystawiającego faktury po 9.900 zł (rozdrabnianie poniżej progu split payment 15.000 zł), 6 faktur w 8 tygodni; (2) karuzelę VAT wykrytą w analizie grafu KSeF FA(2) - łańcuch 4 firm: missing trader (importer elektroniki działający poniżej 90 dni), bufor (pośrednik z marżą 0,5%) i broker (eksporter WDT do Niemiec) o łącznej wartości 8,2 mln zł, z ekspozycją KKS art. 56 na 2,46 mln zł sankcji; (3) fałszywe faktury AI - 3 dokumenty od nowego dostawcy z metadanymi PDF wskazującymi na Producer GPT-4V, bez znaku wodnego C2PA i bez UUID KSeF; (4) round-tripping - cykl płatności między 3 spółkami zależnymi przez Cypr i Luksemburg o wartości 1,8 mln zł, wskazujący na prawdopodobne ukryte dywidendy wg art. 296 KK; (5) zgłoszenie sygnalisty z platformy Sygnanet - kierownik zakupów otrzymuje korzyści majątkowe od dostawcy materiałów opakowaniowych, w korelacji z 18 fakturami w 6 miesięcy. Compliance Officer eskaluje przypadek (2) karuzeli VAT do GIIF (zgłoszenie w 2 dni robocze), KAS i prokuratury, a przypadek (5) sygnalisty do dochodzenia wewnętrznego z poszanowaniem ochrony przed retorsjami z ustawy o sygnalistach 2024.

Ciągłe monitorowanie i pętla uczenia ML redukują False Positive z 25% do poniżej 10%

W fazie początkowej wykrywanie nadużyć generuje wskaźnik False Positive na poziomie 20-25 procent zgodnie z benchmarkami ACFE 2024, co znacząco obciąża czas Compliance Officera. Agent stosuje aktywną pętlę uczenia ML: każda klasyfikacja False Positive przez Compliance Officera (krok 15 w microDecisions) trafia do ponownego uczenia modelu zgodnie z RODO art. 22 (decyzje zautomatyzowane - prawo do interwencji ludzkiej). Po 12-18 miesiącach pętla redukuje False Positive do 5-10 procent, co odpowiada zmniejszeniu czasu Compliance Officera na analizę alarmów o 60-70 procent. Pulpit wskaźnika nadużyć pokazuje na bieżąco KCI: liczbę aktywnych alarmów, średni czas eskalacji, odsetek False Positive, liczbę zgłoszeń GIIF oraz status sprawy w prokuraturze, a kwartalne raporty trafiają do komitetu audytu rady nadzorczej zgodnie z KSH art. 391 i Dobrymi Praktykami Spółek Notowanych GPW 2021.

Przypadki szczególne w Polsce: GPW, instytucje KNF, spółki Skarbu Państwa, grupy międzynarodowe

Polskie spółki notowane na GPW mają obowiązki wynikające z Dobrych Praktyk 2021: coroczny raport komitetu audytu o systemie wykrywania nadużyć, ujawnienie istotnych przypadków w sprawozdaniu rocznym oraz opis trzech linii obrony w prospekcie emisyjnym. Instytucje nadzorowane przez KNF (banki, ubezpieczyciele, TFI, domy maklerskie) muszą dodatkowo uwzględniać ryzyko nadużyć w ICAAP/ILAAP, składać kwartalne raporty do KNF zgodnie z rekomendacją Z, poddawać outsourcing IT audytowi biegłego rewidenta oraz prowadzić cotygodniowe testy DRP/BCP w zakresie nadużyć (rekomendacja D pkt 7). Spółki Skarbu Państwa pod nadzorem NIK (Najwyższa Izba Kontroli) raportują dodatkowo do MAP (Ministerstwo Aktywów Państwowych), a ich system wykrywania nadużyć podlega kontroli NIK z sankcjami z art. 30 ustawy o NIK do 200% szkody. Grupy międzynarodowe z polskim oddziałem dostosowują globalny framework SOX/COSO ERM 2017 do polskich wymogów KSRF 240, rekomendacji KNF D oraz ustawy AML 2018, a takie mapowanie wymaga akceptacji biegłego rewidenta PIBR.

Integracja z polskim ekosystemem: Comarch, SAP, AuditBoard, Symfonia, Sygnanet, KSeF

Agent integruje się z polskim ekosystemem GRC i ERP przez API: Comarch Risk Management Solutions i ERP XL Audit (lider segmentu Enterprise i GPW), Comarch ERP Optima Compliance (MŚP), SAP S/4HANA Polish Localization GRC i SAP Fraud Management (grupy międzynarodowe i spółki GPW), AuditBoard Polska (lokalizacja PIBR z workflow KSRF 240), Symfonia ERP, Audyt i Anti-Fraud (średni biznes), enova365 Moduł Fraud Detection, Asseco Softlab GRC i Risk Management, ACL/Galvanize HighBond (Diligent, ciągłe monitorowanie), SAP Concur Fraud Detection (grupy międzynarodowe) oraz Sygnanet (platforma sygnalistów certyfikowana w 2024 roku). Po stronie baz zewnętrznych agent łączy się z KSeF FA(2) API (certyfikat kwalifikowany CenCert/Szafir/EuroCert/KIR), CRBR API (MF), białą listą podatników VAT (whitelist.gov.pl), REGON GUS, KRS, GIIF API do zgłoszeń AML oraz bazą krajów wysokiego ryzyka FATF. Substantive Testing Big-4 wg KSRF 240 wspiera bezpośredni eksport do Deloitte ASM, PwC Halo, EY Helix i KPMG Clara z metadanymi audit-trail wg PCAOB AS 1215 i AS 2401. Audit-trail jest przechowywany 5 lat zgodnie z Ordynacją podatkową art. 86, dodatkowo 5 lat po zakończeniu relacji w zakresie AML (ustawa AML art. 49) oraz uzupełniany dokumentacją wg KNF art. 70 dla instytucji nadzorowanych.

Tabela mikrodecyzji

Kto decyduje w tym agencie?

15 kroków decyzyjnych, podział według decydenta

33%(5/15)
Silnik reguł
deterministyczne
54%(8/15)
Agent AI
modelowe z poziomem pewności
13%(2/15)
Człowiek
jawnie przypisane
Człowiek
Silnik reguł
Agent AI
Każdy wiersz to decyzja. Rozwiń, aby zobaczyć protokół decyzyjny i możliwość sprzeciwu.
Klasyfikacja typu transakcji wobec ram regulacyjnych Czy transakcja podlega AML (Ustawa z 1.03.2018), KKS (oszustwo VAT art. 56), KK art. 286 (oszustwo cywilne), UOKiK (kartelowanie), czy KNF Rec D (instytucja nadzorowana)? Agent AI Audytor

LLM klasyfikuje kontekst regulacyjny na podstawie typu kontrahenta, kwoty, kraju, branży i źródła płatności, mapując go na taksonomię ryzyk nadużyć GIIF, KAS, UOKiK i KNF

Protokół decyzyjny

Wersja modelu i wynik pewności
Dane wejściowe i wynik klasyfikacji
Uzasadnienie decyzji (wyjaśnialność)
Ścieżka audytu z pełną identyfikowalnością

Możliwość sprzeciwu: Tak - w pełni udokumentowane, weryfikowalne przez ludzi, sprzeciw przez formalny proces.

Możliwość sprzeciwu: Audytor

Wykrywanie duplikatów faktur i wariantów Czy faktura jest duplikatem (identyczna kwota + NIP) lub wariantem (zmodyfikowany numer/opis dla obejścia kontroli)? Silnik reguł Dostawca

Dokładne duplikaty wykrywane są regułowo (kwota, NIP, data), a warianty deterministycznie przez dopasowanie rozmyte na 95% podobieństwa; cross-check z UUID KSeF FA(2) gwarantuje unikalność od 1.7.2026

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Dostawca

Phantom Vendor wobec Białej Listy + CRBR + REGON Czy dostawca ma rzeczywistą obecność biznesową (Biała Lista podatników VAT + CRBR beneficjentów rzeczywistych + REGON GUS + zaświadczenie ZUS)? Silnik reguł Dostawca

Wg ustawy o VAT art. 96b oraz art. 22p PIT/CIT brak wpisu na białej liście oznacza utratę prawa do odliczenia VAT i zaliczenia kosztu; CRBR obowiązuje od 13.10.2019 dla beneficjentów rzeczywistych, a brak aktywnego REGON jest sygnałem Phantom Vendor

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Dostawca

Wykrywanie karuzeli VAT przez KSeF FA(2) cross-check Czy łańcuch faktur sugeruje karuzelę VAT (missing trader + buffer + broker schemat)? Agent AI Audytor

Analiza grafu KSeF FA(2) wykrywa krótki cykl życia kontrahenta, brak fizycznej dostawy, szybką rotację własności i transgraniczne łańcuchy WDT/WNT; KKS art. 56 przewiduje sankcję 30% VAT (maksymalnie 21,6 mln zł) oraz odpowiedzialność karną z art. 60-61

Protokół decyzyjny

Wersja modelu i wynik pewności
Dane wejściowe i wynik klasyfikacji
Uzasadnienie decyzji (wyjaśnialność)
Ścieżka audytu z pełną identyfikowalnością

Możliwość sprzeciwu: Tak - w pełni udokumentowane, weryfikowalne przez ludzi, sprzeciw przez formalny proces.

Możliwość sprzeciwu: Audytor

Wykrywanie nietypowych wzorców księgowych Czy istnieją zapisy o nietypowych porach, splittingu progów lub klasterowaniu pod limit zatwierdzeń? Agent AI Audytor

Wykrywanie anomalii ML obejmuje piątkowe wieczory, święta, kwoty 9.900 zł zamiast 10.000 zł (rozdrabnianie poniżej progu split payment 15.000 zł) oraz klastry księgowe ze stałym wzorcem, w cross-checku z logami systemowymi wymaganymi przez rekomendację KNF D

Protokół decyzyjny

Wersja modelu i wynik pewności
Dane wejściowe i wynik klasyfikacji
Uzasadnienie decyzji (wyjaśnialność)
Ścieżka audytu z pełną identyfikowalnością

Możliwość sprzeciwu: Tak - w pełni udokumentowane, weryfikowalne przez ludzi, sprzeciw przez formalny proces.

Możliwość sprzeciwu: Audytor

Detekcja faktur generowanych przez AI Czy faktura jest fałszywką wygenerowaną przez generatywną AI (Stable Diffusion, GPT-4V, etc.)? Agent AI Dostawca

Analiza metadanych PDF (Producer, ModDate, Author), spójności fontów, znaków wodnych i błędów OCR oraz porównanie z bazą KSeF FA(2); od 1.7.2026 brak UUID KSeF jest sygnałem czerwonym, objętym KKS art. 56 i KK art. 270 (fałszerstwo dokumentu)

Protokół decyzyjny

Wersja modelu i wynik pewności
Dane wejściowe i wynik klasyfikacji
Uzasadnienie decyzji (wyjaśnialność)
Ścieżka audytu z pełną identyfikowalnością

Możliwość sprzeciwu: Tak - w pełni udokumentowane, weryfikowalne przez ludzi, sprzeciw przez formalny proces.

Możliwość sprzeciwu: Dostawca

Wykrywanie nadużyć kosztowych (delegacje, reprezentacja) Czy wydatek jest podwójnie zgłoszony, zawyżony, lub niezgodny z polityką delegacji (rozporządzenie MPiPS z 29.01.2013)? Silnik reguł Pracownik

Rozporządzenie MPiPS o delegacjach ustala dietę krajową 45 zł na dobę, ryczałt noclegowy 150% diety (67,50 zł) i zwrot kilometra 0,89 zł; agent wykrywa przekroczenia regułowo, a duplikaty paragonów przez rozmyte dopasowanie OCR

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Pracownik

Round-Tripping przez analizę grafu kontrahentów Czy istnieją cykle płatności między powiązanymi podmiotami (transferowe pricing nieuzasadnione + ukryte dywidendy)? Agent AI Audytor

Analiza sieci na podstawie beneficjentów rzeczywistych CRBR, powiązań kapitałowych KRS i wspólnych zarządów wykrywa cykle 3-7 dni z konwergencją kwot sygnalizujące round-tripping; w grę wchodzi KK art. 296 (wyrządzenie szkody znacznej) oraz KKS art. 56, jeśli wystąpi skutek w VAT

Protokół decyzyjny

Wersja modelu i wynik pewności
Dane wejściowe i wynik klasyfikacji
Uzasadnienie decyzji (wyjaśnialność)
Ścieżka audytu z pełną identyfikowalnością

Możliwość sprzeciwu: Tak - w pełni udokumentowane, weryfikowalne przez ludzi, sprzeciw przez formalny proces.

Możliwość sprzeciwu: Audytor

Walidacja Segregation of Duties wobec KSH + KNF Czy zamawiający, zatwierdzający i płatnik to różne osoby zgodnie z trzy linie obrony KIBR/COSO? Silnik reguł Audytor

Macierz uprawnień RBAC z systemu ERP gwarantuje, że ten sam użytkownik nie zatwierdzi i nie opłaci transakcji powyżej progu 50.000 zł, zgodnie z KSH art. 382 §3 oraz rekomendacją KNF Z dla instytucji nadzorowanych; brak segregacji obowiązków to istotna słabość systemu kontroli

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Audytor

Cross-check transakcji podejrzanych z GIIF + AML Czy transakcja spełnia kryteria zgłoszenia do GIIF (transakcja gotówkowa >15.000 EUR, struktura, neighbour kraje wysokiego ryzyka FATF)? Silnik reguł Audytor

Ustawa AML z 1.03.2018 art. 50 wymaga zgłoszenia do GIIF w 2 dni robocze transakcji podejrzanych o pranie pieniędzy lub finansowanie terroryzmu; za brak zgłoszenia grozi sankcja do 5 mln zł oraz odpowiedzialność karna z art. 156 ustawy AML

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Audytor

Detekcja kartelowania + zmów cenowych Czy wzorce zakupowe wskazują na zmowę cenową dostawców (sztucznie wyrównane ceny + rotacja zwycięzców przetargów + bid rigging)? Agent AI Dostawca

Analiza statystyczna ofert i cen wykrywa identyczne marże, zsynchronizowane podwyżki i brak konkurencji jako sygnał dla UOKiK; ustawa o ochronie konkurencji 2007 art. 6 zakazuje karteli pod groźbą sankcji do 10% obrotu rocznego oraz odpowiedzialności karnej członków zarządu

Protokół decyzyjny

Wersja modelu i wynik pewności
Dane wejściowe i wynik klasyfikacji
Uzasadnienie decyzji (wyjaśnialność)
Ścieżka audytu z pełną identyfikowalnością

Możliwość sprzeciwu: Tak - w pełni udokumentowane, weryfikowalne przez ludzi, sprzeciw przez formalny proces.

Możliwość sprzeciwu: Dostawca

Walidacja sygnałów od sygnalistów (Ustawa 2024) Czy zgłoszenie sygnalisty z platformy Sygnanet wskazuje na fraud + jaka klasyfikacja istotności? Agent AI Pracownik

Ustawa o sygnalistach z 14.06.2024 czyni kanał wewnętrzny obowiązkowym powyżej 50 pracowników; sygnaliści odpowiadają za 43% wykryć nadużyć wg ACFE 2024, a LLM ocenia wiarygodność zgłoszenia i jego powiązanie z transakcjami w ERP; ochrona przed retorsjami jest obowiązkowa pod groźbą sankcji 100% szkody

Protokół decyzyjny

Wersja modelu i wynik pewności
Dane wejściowe i wynik klasyfikacji
Uzasadnienie decyzji (wyjaśnialność)
Ścieżka audytu z pełną identyfikowalnością

Możliwość sprzeciwu: Tak - w pełni udokumentowane, weryfikowalne przez ludzi, sprzeciw przez formalny proces.

Możliwość sprzeciwu: Pracownik

Obliczenie agregowanego wskaźnika ryzyka fraud Jak wysokie jest skumulowane ryzyko fraud (probabilistyczny score 0-100) na podstawie wszystkich modułów? Agent AI

Ważony ensemble ML łączy wagi modułów: duplikaty 15%, Phantom Vendor 20%, karuzela VAT 25%, fałszywki AI 10%, segregacja obowiązków 10%, round-tripping 10% oraz AML 10%; próg eskalacji wynosi 70 punktów zgodnie z dobrymi praktykami KNF i ACFE

Protokół decyzyjny

Wersja modelu i wynik pewności
Dane wejściowe i wynik klasyfikacji
Uzasadnienie decyzji (wyjaśnialność)
Ścieżka audytu z pełną identyfikowalnością

Możliwość sprzeciwu: Tak - w pełni udokumentowane, weryfikowalne przez ludzi, sprzeciw przez formalny proces.

Eskalacja do Compliance Officera + decyzja o dochodzeniu Czy alarm wymaga dochodzenia wewnętrznego (KSRF 240) lub zgłoszenia zewnętrznego (GIIF/Prokuratura)? Człowiek Audytor

Decyzja o dochodzeniu wymaga osądu zawodowego Compliance Officera i komitetu audytu rady nadzorczej zgodnie z KSH art. 391, KSRF 240 oraz RODO art. 6 (podstawa przetwarzania w postępowaniu) i nie da się jej zautomatyzować

Protokół decyzyjny

ID decydenta i rola
Uzasadnienie decyzji
Znacznik czasu i kontekst

Możliwość sprzeciwu: Tak - przez przełożonego, radę zakładową lub formalny sprzeciw.

Możliwość sprzeciwu: Audytor

Klasyfikacja False Positive vs rzeczywisty fraud Czy alarm zostaje potwierdzony jako fraud, czy zaklasyfikowany jako False Positive z feedback do modelu ML? Człowiek

Końcowa ocena należy do Compliance Officera i opiera się na wyniku dochodzenia (zewnętrznego biegłego lub prawnika); powstaje audit-trail dla KAS i KSRF 240 wraz z ewentualnym zgłoszeniem do GIIF, a informacja zwrotna trafia do ponownego uczenia modelu ML zgodnie z RODO art. 22 (decyzje zautomatyzowane)

Protokół decyzyjny

ID decydenta i rola
Uzasadnienie decyzji
Znacznik czasu i kontekst

Możliwość sprzeciwu: Tak - przez przełożonego, radę zakładową lub formalny sprzeciw.

Protokół decyzyjny i prawo do sprzeciwu

Każda decyzja, którą ten agent podejmuje lub przygotowuje, jest dokumentowana w pełnym protokole decyzyjnym. Osoby dotknięte (pracownicy, dostawcy, audytorzy) mogą przeglądać, rozumieć i kwestionować każdą pojedynczą decyzję.

Jaka reguła w jakiej wersji została zastosowana?
Na jakich danych oparto decyzję?
Kto (człowiek, silnik reguł czy AI) zdecydował - i dlaczego?
Jak osoba dotknięta może złożyć sprzeciw?
Jak Decision Layer wymusza to architektonicznie →

Czy ten agent pasuje do Twojego procesu?

Analizujemy Twój konkretny proces finansowy i pokazujemy, jak ten agent wpisuje się w Twój krajobraz systemowy. 30 minut, bez przygotowania.

Przeanalizować proces

Uwagi dotyczące governance

GoBD: nie dotyczy Zgodny z §203 StGB

KK art. 286, 296 i 299: oszustwo (do 8 lat), wyrządzenie szkody znacznej (do 10 lat) oraz pranie pieniędzy (do 10 lat z przepadkiem mienia). KKS art. 56-61: oszustwa VAT zagrożone sankcją 30% wartości VAT (maksymalnie 21,6 mln zł) oraz odpowiedzialnością karną członków zarządu wg art. 60-61. Ustawa AML z 1.03.2018: obowiązek zgłoszenia transakcji podejrzanych do GIIF w 2 dni robocze, a za brak zgłoszenia grozi sankcja do 5 mln zł. UOKiK: kartelowanie zakazane przez art. 6 ustawy o ochronie konkurencji 2007, sankcja do 10% obrotu rocznego. Rekomendacja KNF D: cyberbezpieczeństwo, audyt logów i retencja 5 lat dla banków, TFI oraz zakładów ubezpieczeń. RODO art. 6 i 32: podstawa przetwarzania danych do wykrywania nadużyć oraz środki bezpieczeństwa pod groźbą sankcji UODO do 4% obrotu lub 20 mln EUR.

KSRF 240 (przyjęcie ISA 240 przez PIBR): biegły rewident odpowiada za ocenę ryzyk nadużyć oraz Substantive Testing wzorców anomalnych, a udokumentowany system wykrywania nadużyć z protokołami eskalacji jest pozytywnym sygnałem zarówno dla biegłego rewidenta, jak i dla audytu KAS i kontroli GIIF. Ustawa o sygnalistach 2024: wdraża dyrektywę UE 2019/1937, czyni kanał wewnętrzny obowiązkowym powyżej 50 pracowników i chroni przed retorsjami pod groźbą sankcji 100% szkody. Dobre Praktyki Spółek Notowanych GPW 2021: coroczny raport komitetu audytu o systemie wykrywania nadużyć oraz ujawnienie istotnych przypadków w sprawozdaniu rocznym.

Wkład w dokumentację procesową

Mapowanie wzorców nadużyć obejmuje 15 modułów regułowo-ML zorganizowanych w sześć obszarów: duplikaty, Phantom Vendor, karuzele VAT, fałszywki AI, round-tripping oraz segregacja obowiązków, AML i UOKiK. Silnik reguł z wersjonowaniem łączy KK, KKS, AML, UOKiK, rekomendację KNF D oraz KSRF 240. Cross-check KSeF FA(2) prowadzi walidację UUID i grafu kontrahentów w czasie rzeczywistym, przeciwdziałając karuzelom VAT od 1.7.2026. Ciągłe monitorowanie udostępnia pulpit wskaźnika nadużyć z progami eskalacji 70, 85 i 95 oraz workflow do Compliance Officera, komitetu audytu, GIIF i prokuratury. Audit-trail dla KAS, GIIF, PIBR i Big-4 jest opatrzony certyfikatem kwalifikowanym i przechowywany 5 lat (Ordynacja podatkowa art. 86), a dodatkowo 5 lat po zakończeniu relacji w zakresie AML (ustawa AML art. 49).

Panel wyników

Agent Readiness 71-78%
Governance Complexity 31-38%
Economic Impact 74-81%
Lighthouse Effect 41-48%
Implementation Complexity 41-48%
Wolumen transakcji Codziennie

Wymagania wstępne

  • ERP z modułem audit-trail i wersjonowaniem (Comarch ERP XL Audit, SAP S/4HANA GRC, AuditBoard, Symfonia, enova365)
  • Integracja KSeF FA(2) z certyfikatem kwalifikowanym (CenCert/Szafir/EuroCert/KIR) do cross-checku faktur od 1.7.2026
  • Dostęp do białej listy podatników VAT (API whitelist.gov.pl), CRBR beneficjentów rzeczywistych, REGON GUS oraz KRS API
  • Platforma sygnalistów certyfikowana w 2024 roku (Sygnanet lub równoważna) zintegrowana z agentem
  • Macierz uprawnień RBAC z segregacją obowiązków zgodnie z KSH art. 382 §3 oraz rekomendacją KNF Z dla instytucji nadzorowanych
  • Compliance Officer oraz komitet audytu rady nadzorczej (KSH art. 391) z dostępem do zgłoszeń GIIF i procedurą eskalacji do prokuratury

Wkład w infrastrukturę

Agent najintensywniej wykorzystuje AI w całym katalogu Decision Layer na potrzeby compliance i raportowania do organów nadzoru. Pobiera dane transakcji z ERP (Comarch ERP XL, SAP S/4HANA, Symfonia, enova365), faktury z API KSeF FA(2), dane kontrahentów z białej listy, CRBR, KRS i REGON, zgłoszenia z Sygnanet oraz logi systemowe zgodne z rekomendacją KNF D. Dostarcza alarmy do Compliance Officera, raporty do komitetu audytu rady nadzorczej, zgłoszenia transakcji podejrzanych do GIIF oraz audit-trail dla KAS, prokuratury i PIBR wg KSRF 240. Architektura Cert-Ready zawiera metadane PCAOB AS 2401 dla Big-4 (Deloitte ASM, PwC Halo, EY Helix, KPMG Clara).

Co zawiera ta ocena: 9 slajdów dla Twojego zespołu kierowniczego

Spersonalizowana z Twoimi danymi. Wygenerowana w 2 minuty w przeglądarce. Bez przesyłania, bez logowania.

  1. 1

    Strona tytułowa - Nazwa procesu, punkty decyzyjne, potencjał automatyzacji

  2. 2

    Podsumowanie - Uwolnione FTE, koszt na transakcję, data progu rentowności

  3. 3

    Stan obecny - Wolumen transakcji, koszty błędów, scenariusz wzrostu

  4. 4

    Architektura rozwiązania - Człowiek - silnik reguł - agent AI

  5. 5

    Governance - EU AI Act, rada zakładowa/GoBD, ścieżka audytu

  6. 6

    Analiza ryzyka - 5 ryzyk z prawdopodobieństwem i środkami zaradczymi

  7. 7

    Mapa drogowa - Plan 3-fazowy z konkretnymi datami

  8. 8

    Business case - Porównanie 3 scenariuszy plus matryca wrażliwości

  9. 9

    Propozycja dyskusji - Konkretne kolejne kroki

Zawiera: porównanie 3 scenariuszy

Brak działania vs. nowe zatrudnienie vs. automatyzacja - z Twoim poziomem wynagrodzeń, Twoją stopą błędów i Twoim planem wzrostu.

Pokaż metodologię obliczeń

Hourly rate: Annual salary (your input) × 1.3 employer burden ÷ 1,720 annual work hours

Savings: Transactions × 12 × automation rate × minutes/transaction × hourly rate × economic factor

Quality ROI: Error reduction × transactions × 12 × EUR 260/error (APQC Open Standards Benchmarking)

FTE: Saved hours ÷ 1,720 annual work hours

Break-Even: Benchmark investment ÷ monthly combined savings (efficiency + quality)

New hire: Annual salary × 1.3 + EUR 12,000 recruiting per FTE

Wszystkie dane pozostają w Twojej przeglądarce. Nic nie jest przesyłane na serwer.

Agent wykrywania nadużyć

Initial assessment for your leadership team

A thorough initial assessment in 2 minutes - with your numbers, your risk profile and industry benchmarks. No vendor logo, no sales pitch.

All data stays in your browser. Nothing is transmitted.

Powiązani agenci

Agent przygotowania sprawozdania rocznego

Przygotowywanie sprawozdania rocznego - orkiestracja, projekt załącznika, odpowiedzi dla biegłego rewidenta.

W K
Readiness: 42-49%
Economic: 68-75%
Governance: 51-58%
Mikrodecyzje: 15
Rocznie

Agent dokumentacji procedur

Automatyczne utrzymywanie aktualności dokumentacji procedur - rozpoznawanie zmian, generowanie projektów, zamykanie luk.

K D
Readiness: 61-68%
Economic: 58-65%
Governance: 28-35%
Mikrodecyzje: 8
Codziennie

Często zadawane pytania

Jak agent wykrywa karuzele VAT przez cross-check KSeF FA(2)?

Od 1 lipca 2026 KSeF FA(2) jest obowiązkowy dla B2B w Polsce, a każda faktura ma unikalny UUID generowany przez Ministerstwo Finansów. Agent buduje graf kontrahentów z faktur KSeF i identyfikuje łańcuchy missing trader (krótki cykl życia poniżej 90 dni, brak fizycznej dostawy, szybka rotacja własności), bufor (pośrednik z minimalną marżą) oraz broker (eksporter WDT/WNT z odliczeniem VAT). Wskaźnikami karuzeli są: (1) przychód netto powyżej 50% z transakcji wewnątrzwspólnotowych w pierwszym kwartale działalności; (2) brak zaświadczenia ZUS lub składek; (3) adres rejestracyjny w wirtualnym biurze; (4) kontrahenci z niepasujących branż (np. elektronika kupowana przez firmę budowlaną). W grę wchodzą KKS art. 56 (sankcja 30% wartości VAT, maksymalnie 21,6 mln zł), KK art. 286 (oszustwo) oraz odpowiedzialność karna członków zarządu wg art. 60-61 KKS. Agent dostarcza Audit-Trail wprost do KAS oraz kwartalne raporty do komitetu audytu rady nadzorczej.

Czego wymaga Ustawa AML z 1.03.2018 w zakresie zgłoszeń do GIIF?

Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu z 1.03.2018 wdraża 5. dyrektywę AML UE 2018/843. Nakłada obowiązki: (1) identyfikacji klienta (KYC) z weryfikacją beneficjentów rzeczywistych w CRBR; (2) oceny ryzyka klienta (PEP, kraj wysokiego ryzyka FATF, schematy nietypowe); (3) zgłoszenia transakcji podejrzanej do GIIF w 2 dni robocze (art. 50 ustawy AML); (4) zgłoszenia transakcji gotówkowej powyżej równowartości 15.000 EUR (art. 72); (5) retencji dokumentacji AML przez 5 lat po zakończeniu relacji z klientem (art. 49). Za naruszenia grożą sankcje: do 5 mln zł za brak zgłoszenia, do 10 mln zł za brak procedur AML oraz odpowiedzialność karna z art. 156 ustawy AML do 5 lat pozbawienia wolności. Agent wykrywa wzorce structuringu (dzielenie transakcji na kwoty poniżej 15.000 EUR), smurfingu (wiele osób wpłaca jednemu beneficjentowi), szybkiej rotacji gotówki oraz transgranicznych transferów do krajów wysokiego ryzyka FATF.

Jak Ustawa o sygnalistach 2024 wpływa na fraud detection?

Ustawa z 14.06.2024 wdraża dyrektywę UE 2019/1937 i wymaga od organizacji powyżej 50 pracowników: (1) kanału wewnętrznego dla sygnalistów wraz z procedurą obsługi zgłoszeń i ochroną przed retorsjami; (2) informacji zwrotnej dla sygnalisty w 7 dni o przyjęciu zgłoszenia i w 3 miesiące o wynikach; (3) ochrony prawnej sygnalisty zgodnie z art. 13-22 ustawy. W kontekście wykrywania nadużyć sygnaliści są jednym z trzech najważniejszych źródeł wykryć wg ACFE Report to the Nations 2024 (43% wszystkich przypadków), znacznie skuteczniejszym niż kontrole wewnętrzne (12%) czy audyt zewnętrzny (4%). Agent integruje się z platformą Sygnanet (najczęściej wybieraną na polskim rynku, certyfikowaną w 2024 roku), klasyfikuje zgłoszenia z pomocą LLM, koreluje je z transakcjami w ERP i przekazuje sygnały o wysokiej istotności do Compliance Officera. Za retorsje (zwolnienie, mobbing, blokada awansu) grozi sankcja do 100% szkody oraz odpowiedzialność z KK art. 218 (utrudnianie dochodzenia praw). Brak procedury sygnalistów to sankcja administracyjna do 100.000 zł (ustawa art. 24).

Co to jest KSRF 240 i jak biegły rewident PIBR ocenia ryzyko fraud?

KSRF 240 'Odpowiedzialność biegłego rewidenta wobec oszustw w trakcie badania sprawozdania finansowego' jest polskim odpowiednikiem ISA 240 wydanym przez PIBR. Wymaga od biegłego rewidenta: (1) zachowania zawodowego sceptycyzmu wobec ryzyka oszustwa we wszystkich obszarach badania; (2) komunikacji z zarządem i radą nadzorczą na temat procedur wykrywania nadużyć; (3) Substantive Testing transakcji nietypowych (Journal Entry Testing); (4) oceny projektu i skuteczności operacyjnej kontroli wewnętrznych zapobiegających nadużyciom (zgodnie z KSRF 315 i 330); (5) raportowania zidentyfikowanych istotnych zniekształceń wynikających z oszustwa do komitetu audytu (KSRF 265). Big-4 (Deloitte, PwC, EY, KPMG) wymaga kompletnego audit-trailu wg PCAOB AS 2401. Udokumentowany system wykrywania nadużyć z protokołowanymi alarmami i ścieżkami eskalacji jest pozytywnym sygnałem dla biegłego rewidenta i zwiększa pewność wyrażonej opinii (KSRF 700).

Jak agent rozpoznaje fałszywe faktury wygenerowane przez AI?

Do 2024 roku sfałszowane faktury rozpoznawano wizualnie - po błędnych czcionkach, brakujących pieczątkach czy niespójnych numerach NIP. Generatywna AI (Stable Diffusion, GPT-4V, FLUX) zmieniła to fundamentalnie, bo dokumenty są wizualnie nie do odróżnienia. Agent analizuje warstwy niewidoczne dla człowieka: (1) metadane PDF (Producer, Creator, ModDate, Author - generatory AI zostawiają charakterystyczne sygnatury); (2) spójność fontów na poziomie subpiksela (rasteryzacja AI różni się od skanu PDF); (3) znaki wodne C2PA i Content Credentials (od 2024 wymagane m.in. przez Adobe Firefly, DALL-E 3 i Imagen); (4) logiczną spójność danych (czy NIP figuruje na białej liście KAS, czy REGON jest aktywny, czy numer faktury mieści się w sekwencji KSeF, czy daty i kursy NBP są zgodne); (5) cross-check z KSeF FA(2) - od 1.7.2026 brak UUID Ministerstwa Finansów jest sygnałem czerwonym wskazującym na potencjalną fałszywkę objętą KK art. 270 (fałszerstwo dokumentu, do 5 lat) oraz KKS art. 56 (oszustwo VAT, do 21,6 mln zł). Skuteczność wykrywania fałszywek AI wyniosła 92-96% w testach z 2025 roku wg ACFE Anti-Fraud Technology Benchmarking.

Jak cross-check białej listy i CRBR chroni przed Phantom Vendors?

Phantom Vendor to fikcyjny dostawca bez realnej działalności biznesowej, służący do wyprowadzania środków lub generowania fałszywych kosztów. Agent waliduje każdego dostawcę przez cztery zewnętrzne źródła w czasie rzeczywistym: (1) białą listę podatników VAT (API whitelist.gov.pl Ministerstwa Finansów) - status czynnego podatnika VAT oraz zarejestrowany numer rachunku; brak wpisu oznacza utratę prawa do odliczenia VAT (ustawa o VAT art. 96b) oraz utratę prawa do zaliczenia kosztu (art. 22p ustawy o PIT/CIT); (2) CRBR (Centralny Rejestr Beneficjentów Rzeczywistych) od 13.10.2019 - identyfikacja UBO oraz powiązań z PEP i krajami wysokiego ryzyka FATF; brak wpisu to sankcja 1 mln zł (ustawa AML art. 153); (3) REGON GUS - status aktywny oraz PKD zgodne z fakturowanym towarem lub usługą; brak aktywnego REGON jest sygnałem Phantom Vendor; (4) KRS API - struktura zarządu, kapitał zakładowy i sprawozdania finansowe (brak sprawozdań przez ponad 2 lata jest sygnałem czerwonym). Dodatkowo analiza sieci wykrywa powiązania kapitałowe z pracownikami zamawiającego (CRBR i KRS), co wyzwala eskalację do komitetu audytu zgodnie z KSH art. 391.

Co to jest UOKiK kartelowanie i jak agent wykrywa zmowy cenowe?

Ustawa o ochronie konkurencji i konsumentów z 16.02.2007 art. 6 zakazuje porozumień ograniczających konkurencję (karteli): zmów cenowych, podziału rynku, bid riggingu w przetargach i ograniczeń produkcji. UOKiK ma uprawnienia do: (1) kontroli niezapowiedzianych w siedzibie firmy (dawn raid, art. 105); (2) nakładania sankcji do 10% obrotu rocznego firmy (art. 106); (3) pociągania członków zarządu do odpowiedzialności karnej do 2 mln zł lub 3 lat pozbawienia wolności (art. 108); (4) prowadzenia programu leniency (odstąpienie od sankcji dla pierwszego informatora). Agent wykrywa wzorce kartelowania w danych zakupowych: (1) identyczne marże u kilku dostawców z tej samej branży (np. wszystkie oferty 18% powyżej ceny rynkowej); (2) zsynchronizowane podwyżki cen w tym samym kwartale; (3) rotację zwycięzców przetargów (każdy wygrywa po kolei); (4) brak ofert konkurencyjnych w przetargach, w których historycznie startowało wielu dostawców; (5) komunikację między dostawcami (dane e-maili i spotkań). Sygnały o istotności od 80 punktów agent eskaluje do Compliance Officera oraz komitetu audytu rady nadzorczej; zgłoszenie do UOKiK w ramach programu leniency wymaga decyzji zarządu po konsultacji prawnej.

Co dalej?

1

30 minut

Pierwsza rozmowa

Analizujemy Twój proces i identyfikujemy optymalny punkt startowy.

2

1 tydzień

Discover

Mapowanie logiki decyzyjnej. Reguły udokumentowane, Decision Layer zaprojektowany.

3

3-4 tygodnie

Build

Produkcyjny agent w Twojej infrastrukturze. Governance, audit trail, cert-ready od dnia 1.

4

12-18 miesięcy

Samodzielność

Pełny dostęp do kodu źródłowego, promptów i wersji reguł. Bez vendor lock-in.

Wdrożyć tego agenta?

Oceniamy Twój krajobraz procesów finansowych i pokazujemy, jak ten agent pasuje do Twojej infrastruktury.