Firma z sektora MŚP dostaje decyzję o przyznaniu dofinansowania z KPO. Radość trwa krótko – po lekturze umowy okazuje się, że warunki compliance zajmują więcej stron niż harmonogram rzeczowy. Bez spełnienia wymagań formalnych instytucja wdrażająca może wstrzymać wypłatę transzy lub zażądać zwrotu środków już wypłaconych.
Compliance funduszy UE w ramach Krajowego Planu Odbudowy (KPO) i Instrumentu na rzecz Odbudowy i Zwiększania Odporności (RRF) obejmuje cztery główne obszary: przejrzystość finansową, ochronę sygnalistów, raportowanie ESG oraz rejestrację beneficjentów rzeczywistych w CRBR. Obowiązki dotyczą wszystkich podmiotów otrzymujących środki z tych instrumentów, niezależnie od wielkości. Naruszenie warunków compliance może skutkować korektą finansową sięgającą 100% wartości dofinansowania.
Poniższy przewodnik omawia krok po kroku, co Państwa firma powinna wdrożyć przed podpisaniem umowy, w trakcie realizacji projektu i po jego zakończeniu. Każdy etap zawiera konkretne terminy i checklistę działań.
Co obejmuje compliance funduszy UE i kogo dotyczy?
Compliance w kontekście KPO i RRF to nie tylko przestrzeganie przepisów prawa krajowego. Obejmuje również wypełnianie warunków rozporządzenia Parlamentu Europejskiego i Rady (UE) 2021/241 ustanawiającego Instrument na rzecz Odbudowy i Zwiększania Odporności. Polska zobowiązała się do osiągnięcia określonych kamieni milowych – każdy beneficjent dofinansowania staje się ogniwem w tym łańcuchu rozliczalności.
Obowiązki dotyczą trzech kategorii podmiotów. Po pierwsze – bezpośrednich beneficjentów, którzy podpisują umowę z instytucją wdrażającą. Po drugie – partnerów projektu, którzy realizują część zadań. Po trzecie – podwykonawców, jeśli wartość ich kontraktu przekracza progi określone w umowie o dofinansowanie (zwykle 30% wartości projektu).
W praktyce – wiele firm o tym zapomina – obowiązki compliance nie wygasają z chwilą rozliczenia projektu. Trwałość projektu wymaga utrzymania zgodności przez 3 do 5 lat po zakończeniu okresu kwalifikowalności. Instytucja Zarządzająca ma prawo do kontroli w tym czasie, a OLAF – unijny urząd ds. zwalczania nadużyć finansowych – może wszcząć postępowanie niezależnie od krajowych procedur.
Rejestr CRBR (Centralny Rejestr Beneficjentów Rzeczywistych) jest punktem wyjścia dla każdej weryfikacji. Wpis musi być aktualny przed złożeniem wniosku i przez cały okres realizacji projektu. Rozbieżność między danymi w CRBR a dokumentacją projektową to jeden z najczęstszych powodów wszczęcia kontroli przez KAS lub Prokuraturę Europejską (EPPO).
Jakie są krok po kroku wymagania KPO dotyczące compliance?
Procedura compliance w KPO składa się z czterech etapów. Każdy etap ma przypisane terminy i dokumenty, których brak blokuje wypłatę kolejnej transzy.
Etap 1 – weryfikacja przed podpisaniem umowy (do 14 dni od wezwania). Instytucja wdrażająca żąda: aktualnego odpisu z KRS lub CEiDG, potwierdzenia wpisu do CRBR, oświadczenia o braku konfliktu interesów oraz zaświadczenia o niezaleganiu z podatkami i składkami ZUS. Termin na dostarczenie dokumentów wynosi 14 dni od wezwania – jego przekroczenie może skutkować unieważnieniem wyboru projektu.
Etap 2 – wdrożenie wewnętrznych procedur compliance (przed pierwszą płatnością). Beneficjent musi posiadać: kanał zgłoszeń dla sygnalistów zgodny z art. 8 ustawy o sygnalistach (dla podmiotów zatrudniających 50 lub więcej pracowników), politykę AML jeśli projekt obejmuje transakcje gotówkowe lub usługi finansowe, oraz procedurę weryfikacji podwykonawców pod kątem sankcji i list wykluczeń.
Etap 3 – bieżące raportowanie w trakcie projektu (co kwartał lub zgodnie z harmonogramem). Obejmuje sprawozdania z realizacji wskaźników, dokumentację wydatków z zachowaniem ścieżki audytu przez 5 lat, a w projektach powyżej 10 mln PLN – zewnętrzny audyt finansowy co roku.
Etap 4 – zamknięcie projektu i trwałość (przez 3–5 lat). Beneficjent składa wniosek o płatność końcową z pełną dokumentacją. Następnie przez okres trwałości utrzymuje wszystkie wdrożone procedury i niezwłocznie informuje instytucję o każdej zmianie struktury właścicielskiej wpływającej na dane w CRBR.
Uważamy, że bezpieczniejszym rozwiązaniem jest wdrożenie procedur compliance przed złożeniem wniosku o dofinansowanie, a nie dopiero po podpisaniu umowy. Instytucje wdrażające coraz częściej weryfikują dojrzałość compliance już na etapie oceny formalnej.
Co przygotować – checklista compliance KPO/RRF:
- Aktualny wpis do CRBR z danymi beneficjenta rzeczywistego
- Wewnętrzny kanał zgłoszeń dla sygnalistów (podmioty 50+ pracowników)
- Polityka AML i procedura weryfikacji kontrahentów
- Rejestr umów z podwykonawcami i ich weryfikacja na listach sankcyjnych
- Procedura przechowywania dokumentacji przez minimum 5 lat od daty płatności końcowej
Firma IT z Mazowsza wdrożyła kanał sygnalistów w ciągu 3 tygodni przed podpisaniem umowy o dofinansowanie w ramach KPO. Dzięki temu uniknęła warunku zawieszającego, który opóźniłby pierwszą płatność o 60 dni.
Jakie błędy najczęściej prowadzą do korekt finansowych?
Korekty finansowe w projektach KPO i RRF wynikają z trzech kategorii uchybień: nieprawidłowości formalnych, naruszeń zasad konkurencji oraz braku zgodności z warunkami horyzontalnymi. Każda kategoria ma inny mechanizm naliczania korekty – od stawek ryczałtowych po korekty proporcjonalne do wartości naruszenia.
Nieprawidłowości formalne to najczęstsza przyczyna korekt. Należą do nich: brak dokumentacji potwierdzającej kwalifikowalność wydatku, nieutrzymanie ścieżki audytu, a także rozbieżność między danymi w CRBR a umową spółki. Korekta w takim przypadku może wynosić od 5% do 25% wartości danego wydatku.
Naruszenia zasad konkurencji przy zamówieniach obejmują brak porównania ofert, wybór podwykonawcy bez udokumentowanej procedury lub zastosowanie kryterium cenowego jako jedynego. W projektach prywatnych (poza reżimem Prawa zamówień publicznych) instytucje wdrażające stosują własne wytyczne dotyczące wyboru wykonawców – ich pominięcie to błąd kosztujący nawet 100% wartości zakwestionowanego zamówienia.
Warunki horyzontalne obejmują zasadę zrównoważonego rozwoju (DNSH – Do No Significant Harm), równość szans oraz dostępność dla osób z niepełnosprawnościami. Niedotrzymanie zasady DNSH w projektach infrastrukturalnych może skutkować korektą 100% wartości dofinansowania.
Producent z Podkarpacia poniósł korektę w wysokości 15% wartości projektu po tym, jak kontrolerzy stwierdzili brak dokumentacji potwierdzającej przeprowadzenie analizy DNSH przed zakupem urządzeń produkcyjnych latem 2024 roku. Analiza zajęłaby 2 dni pracy – korekta kosztowała firmę ponad 300 tys. PLN.
Warto też pamiętać o raportowaniu ESG. Projekty finansowane z RRF muszą wykazać zgodność z celami klimatycznymi UE. Dla inwestorów zagranicznych wchodzących na rynek polski, szczególnie w sektorze przemysłowym, wymagania ESG raportowania w ramach KPO mogą być zaskoczeniem – warto zapoznać się z zagadnieniem szerzej, w tym z zasadą podwójnej istotności omówioną w artykule CSRD – podwójna istotność w praktyce.
Trzy scenariusze biznesowe – jak wygląda compliance w praktyce?
Wymagania KPO i RRF różnią się w zależności od profilu beneficjenta. Poniżej trzy scenariusze ilustrują, jak compliance wygląda w konkretnych sytuacjach biznesowych.
Scenariusz 1 – Firma produkcyjna (MŚP, 80 pracowników). Spółka z o.o. z branży metalowej ubiega się o dofinansowanie na modernizację linii produkcyjnej w kwocie 4 mln PLN. Zatrudnienie powyżej 50 pracowników oznacza obowiązek wdrożenia kanału zgłoszeń dla sygnalistów na podstawie art. 8 ustawy o sygnalistach – bez tego warunku zawieszającego pierwsza transza nie zostanie wypłacona. Wymagana jest też aktualizacja CRBR i dokumentacja weryfikacji podwykonawców.
Scenariusz 2 – Startup IT (10 pracowników). Spółka technologiczna z Krakowa otrzymuje grant z komponentu cyfrowego KPO. Poniżej progu 50 pracowników – brak obowiązku wewnętrznego kanału sygnalistów. Jednak umowa o dofinansowanie wymaga procedury ochrony danych osobowych (RODO) oraz polityki bezpieczeństwa IT. Ścieżka audytu dla wydatków na licencje i usługi chmurowe musi być zachowana przez 5 lat.
Scenariusz 3 – Inwestor zagraniczny (spółka córka w Polsce). Dla zagranicznego inwestora realizującego projekt przez polską spółkę zależną compliance obejmuje dodatkowy wymiar: weryfikację struktury właścicielskiej w CRBR aż do poziomu beneficjenta rzeczywistego w kraju macierzystym. Instytucja wdrażająca może zażądać tłumaczenia przysięgłego dokumentów korporacyjnych spółki matki. Jeśli inwestor zatrudnia pracowników z zagranicy, pomocne może być zapoznanie się z procedurami opisanymi w artykule zezwolenie na pobyt czasowy – harmonogram i wymagania.
We wszystkich trzech scenariuszach kluczowym dokumentem jest matryca ryzyka compliance – wewnętrzny dokument przypisujący odpowiedzialność za każdy obszar wymagań do konkretnej osoby w organizacji. Jej brak nie jest formalną przesłanką korekty, ale jej obecność znacząco skraca czas kontroli i redukuje ryzyko eskalacji.
Często zadawane pytania
P: Czy małe firmy (poniżej 10 pracowników) muszą wdrażać pełen system compliance dla KPO?
O: Małe podmioty są zwolnione z obowiązku wewnętrznego kanału zgłoszeń dla sygnalistów – ten wymóg dotyczy pracodawców zatrudniających co najmniej 50 osób na podstawie artykułu 8 ustawy o sygnalistach. Jednak każdy beneficjent, niezależnie od wielkości, musi spełnić wymogi dotyczące CRBR, dokumentacji wydatków i zasady DNSH. Pominięcie nawet jednego z tych elementów może skutkować korektą finansową.
P: Ile kosztuje wdrożenie procedur compliance przed złożeniem wniosku o KPO?
O: Koszt podstawowego pakietu compliance (aktualizacja CRBR, polityka AML, procedura wyboru podwykonawców, wewnętrzny kanał sygnalistów) mieści się zwykle w przedziale 5 000–15 000 PLN przy wsparciu zewnętrznego doradcy. Firmy z rozbudowaną strukturą właścicielską lub działające w kilku jurysdykcjach powinny liczyć się z wyższym nakładem. Koszt ten jest zazwyczaj kwalifikowalny jako wydatek w ramach kosztów ogólnych projektu.
P: Czy wymogi CSRD dotyczą beneficjentów KPO?
O: Dyrektywa CSRD (Dyrektywa UE 2022/2464) nie nakłada bezpośrednio obowiązków na beneficjentów KPO jako takich – jej zakres podmiotowy zależy od wielkości firmy i notowania na giełdzie. Jednak projekty finansowane z RRF muszą wykazać zgodność z zasadą DNSH, która jest tematycznie zbliżona do standardów ESG raportowania wymaganych przez CSRD. Duże podmioty objęte CSRD powinny zintegrować dokumentację projektową z procesem raportowania zrównoważonego rozwoju, aby uniknąć powielania pracy.
Konkretna sytuacja Państwa firmy wymaga oceny wszystkich warunków compliance właściwych dla danego komponentu KPO lub RRF. Brak jednego dokumentu na etapie weryfikacji formalnej może zamknąć drogę do dofinansowania w danym naborze – a kolejny nabór może nie nastąpić przez 12 do 24 miesięcy.
Jeśli Państwa spółka ubiega się o dofinansowanie z KPO lub RRF – przeprowadzimy audyt compliance, zidentyfikujemy luki i przygotujemy dokumentację wymaganą przez instytucję wdrażającą: info@kordeckipartners.com.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i dochodzenia wewnętrznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.