Firma budowlana z Mazowsza złożyła wniosek o dofinansowanie z Krajowego Planu Odbudowy. Projekt spełniał kryteria techniczne. Budżet był dobrze uzasadniony. Mimo to instytucja wdrażająca wstrzymała wypłatę – z powodu braków w dokumentacji compliance. Odblokowanie środków zajęło cztery miesiące i wymagało pilnego wdrożenia kilku procedur jednocześnie.

Compliance funduszy UE – w szczególności wymogi Krajowego Planu Odbudowy (KPO) i unijnego Rozporządzenia w sprawie Instrumentu na rzecz Odbudowy i Zwiększania Odporności (RRF) – obejmuje obowiązki z zakresu ESG raportowania, ochrony sygnalistów, przeciwdziałania praniu pieniędzy (AML) i rejestracji beneficjentów rzeczywistych w CRBR. Naruszenie tych wymagań skutkuje wstrzymaniem lub zwrotem dofinansowania. Termin na usunięcie nieprawidłowości jest zazwyczaj krótki – od 14 do 30 dni roboczych.

Niniejsze studium przypadku opisuje, jak kancelaria KORDECKI & Partners przeprowadziła beneficjenta przez procedurę naprawczą. Omawia tło sprawy, przyjętą strategię, przebieg procesu oraz wnioski, które można zastosować w innych projektach KPO i RRF.

Tło sprawy – co poszło nie tak?

Klient prowadził spółkę z o.o. realizującą projekt infrastrukturalny w ramach KPO. Spółka zatrudniała ponad 60 pracowników, co automatycznie objęło ją obowiązkiem wdrożenia wewnętrznego kanału zgłoszeń dla sygnalistów – zgodnie z art. 8 ustawy o sygnalistach z 14 czerwca 2024 r. Przepis ten wszedł w życie 25 września 2024 r. Spółka nie miała wdrożonej procedury na dzień kontroli.

Instytucja wdrażająca przeprowadziła weryfikację dokumentacji w październiku 2024 r. Kontrolerzy sprawdzali trzy obszary: rejestrację w CRBR (Centralnym Rejestrze Beneficjentów Rzeczywistych), wewnętrzne procedury AML oraz dokumentację zgodności z wymogami ochrony sygnalistów. Spółka nie figurowała w CRBR jako aktualnie zarejestrowana – dane były nieaktualne po zmianie struktury udziałowej. Brakowało też polityki AML dostosowanej do specyfiki projektu.

W praktyce – wiele firm o tym zapomina – wymogi compliance nie są weryfikowane wyłącznie na etapie składania wniosku. Instytucje wdrażające KPO mają prawo przeprowadzać kontrole w trakcie realizacji projektu i po jego zakończeniu. Brak aktualnych danych w CRBR może być podstawą do wstrzymania płatności nawet wtedy, gdy projekt przebiega bez zastrzeżeń merytorycznych.

Spółka otrzymała pismo wzywające do uzupełnienia braków w terminie 21 dni. Ryzyko było poważne – wstrzymanie refundacji na kwotę przekraczającą 2 mln PLN.

Jaką strategię przyjęła kancelaria?

Pierwszym krokiem było wyznaczenie priorytetów. Uważamy, że bezpieczniejszym rozwiązaniem jest działanie równoległe na wszystkich frontach compliance – pod warunkiem, że każdemu obszarowi przypisany jest konkretny odpowiedzialny. Kancelaria podzieliła pracę na trzy ścieżki: CRBR, AML i sygnaliści. Każda ścieżka miała odrębny harmonogram i osobę odpowiedzialną po stronie klienta.

CRBR wymagał aktualizacji danych beneficjenta rzeczywistego w ciągu 7 dni roboczych od zmiany struktury właścicielskiej – termin ten już minął, co rodziło ryzyko dodatkowej sankcji. Kancelaria przygotowała wniosek o aktualizację wpisu i złożyła go w trybie pilnym. Jednocześnie opracowano memorandum wyjaśniające, że zmiana struktury nastąpiła przed wejściem w życie obecnych wymogów KPO, co ograniczyło ryzyko naliczenia kary.

W zakresie AML spółka działała w sektorze budowlanym – objętym rozszerzonym zakresem weryfikacji w projektach finansowanych ze środków publicznych. Kancelaria opracowała wewnętrzną politykę AML uwzględniającą specyfikę projektu: identyfikację kontrahentów, procedury due diligence i zasady raportowania wewnętrznego. Dokument liczył 18 stron i był gotowy w ciągu 10 dni roboczych.

Procedura dla sygnalistów wymagała nie tylko dokumentu – ale też realnego wdrożenia. Zgodnie z art. 8 ustawy o sygnalistach, pracodawca musi zapewnić działający kanał zgłoszeń, regulamin i ochronę tożsamości zgłaszającego. Kancelaria przygotowała regulamin, przeprowadziła szkolenie dla zarządu i kadry HR, a następnie wdrożyła prosty system zgłoszeń elektronicznych.

Jak przebiegał proces i jakie były rezultaty?

Całość działań naprawczych zamknęła się w 19 dniach roboczych – z dwudniowym zapasem przed upływem terminu wyznaczonego przez instytucję wdrażającą. Spółka złożyła kompletną dokumentację compliance wraz z potwierdzeniem aktualizacji wpisu w CRBR, polityką AML i wdrożoną procedurą sygnalistów.

Instytucja wdrażająca zaakceptowała dokumentację bez zastrzeżeń. Płatność w kwocie ponad 2 mln PLN została odblokowana w ciągu kolejnych 14 dni. Projekt mógł być kontynuowany zgodnie z harmonogramem. Dodatkowym efektem była pełna gotowość spółki na kolejne kontrole – zarówno w ramach bieżącego projektu KPO, jak i ewentualnych przyszłych wniosków o dofinansowanie.

Warto odnotować jeden aspekt, który zaskoczył klienta: wymogi CSRD – choć formalnie dotyczą dużych podmiotów spełniających kryteria określone w Dyrektywie UE 2022/2464 – zaczęły pojawiać się w dokumentacji przetargowej jako kryterium oceny kontrahentów. Spółka nie była jeszcze zobowiązana do raportowania ESG, ale instytucja finansująca oczekiwała deklaracji gotowości do wdrożenia ESG raportowania w przyszłości. Kancelaria przygotowała stosowne oświadczenie.

Projekt infrastrukturalny – realizowany na terenie Mazowsza, wiosną 2025 r. – zakończył się pełną refundacją poniesionych kosztów. Klient uniknął utraty dofinansowania i kosztownego sporu z instytucją wdrażającą.

Dla porównania: firma z branży IT z Małopolski, która zgłosiła się do kancelarii jesienią 2024 r., nie zdążyła z uzupełnieniem braków w terminie. Straciła prawo do refundacji na kwotę 800 000 PLN. Różnica między obydwoma przypadkami sprowadzała się do jednego: czasu reakcji i gotowości do równoległego działania.

Jakie wnioski wyciągnąć z tej sprawy?

Compliance funduszy UE to nie jednorazowe zadanie na etapie składania wniosku. To ciągły obowiązek, który trwa przez cały okres realizacji projektu i przez lata po jego zakończeniu. Instytucje wdrażające KPO i RRF mają szerokie uprawnienia kontrolne – i korzystają z nich aktywnie.

Co powinna zrobić spółka planująca projekt KPO lub RRF? Oto lista kontrolna minimalnych wymagań compliance:

  • Aktualny wpis w CRBR – zweryfikowany przed złożeniem wniosku i aktualizowany przy każdej zmianie struktury właścicielskiej
  • Wewnętrzna polityka AML dostosowana do specyfiki projektu i branży beneficjenta
  • Działający kanał zgłoszeń dla sygnalistów (obowiązkowy dla pracodawców z co najmniej 50 pracownikami – art. 8 ustawy o sygnalistach)
  • Dokumentacja ESG lub deklaracja gotowości do raportowania – szczególnie przy projektach finansowanych z RRF z komponentem zielonej transformacji
  • Procedura due diligence dla kontrahentów i podwykonawców w projektach budowlanych i infrastrukturalnych

Kancelaria zaleca przeprowadzenie audytu compliance przed złożeniem wniosku – nie po otrzymaniu pisma wzywającego do uzupełnienia braków. Czas reakcji ma znaczenie nieodwracalne: po upływie terminu wyznaczonego przez instytucję wdrażającą odwołanie jest możliwe, ale kosztowne i niepewne.

Projekty finansowane ze środków nieruchomościowych lub infrastrukturalnych są szczególnie narażone na ryzyko compliance – ze względu na złożoność łańcucha podwykonawców i wymogi AML w sektorze budowlanym. Analogiczne ryzyka omawia nasze opracowanie dotyczące CSRD i podwójnej istotności w praktyce, które pokazuje, jak wymogi ESG raportowania przenikają do warunków finansowania projektów inwestycyjnych.

Konkretna sytuacja Państwa spółki może wymagać działania w ciągu kilku dni. Brak aktualnej dokumentacji compliance w momencie kontroli zamyka drogę do refundacji – a odwołanie od decyzji o wstrzymaniu płatności nie zawiesza biegu terminu na uzupełnienie braków.

Jeśli Państwa spółka aplikuje o środki z KPO lub RRF i nie ma pewności co do kompletności dokumentacji compliance – przeprowadzimy audyt, przygotujemy brakujące procedury i będziemy reprezentować Państwa przed instytucją wdrażającą: info@kordeckipartners.com.

Często zadawane pytania

P: Czy każda spółka aplikująca o środki KPO musi mieć wdrożony kanał zgłoszeń dla sygnalistów?

O: Obowiązek wdrożenia wewnętrznego kanału zgłoszeń wynika z artykułu 8 ustawy o sygnalistach i dotyczy wszystkich pracodawców zatrudniających co najmniej 50 pracowników. Ustawa weszła w życie 25 września 2024 roku. Instytucje wdrażające KPO weryfikują ten obowiązek w trakcie kontroli – niezależnie od wartości projektu. Spółki poniżej progu 50 pracowników są zwolnione, ale powinny sprawdzić, czy umowa o dofinansowanie nie zawiera dodatkowych wymagań.

P: Ile czasu zajmuje wdrożenie pełnej dokumentacji compliance dla projektu KPO?

O: Przy sprawnej organizacji i zewnętrznym wsparciu prawnym – od 10 do 21 dni roboczych dla standardowego zakresu obejmującego CRBR, AML i sygnalistów. Termin zależy od złożoności struktury właścicielskiej i specyfiki projektu. Nie zalecamy odkładania tego na etap kontroli – wówczas czas jest nieodwracalnie ograniczony do terminu wyznaczonego przez instytucję wdrażającą.

P: Czy wymogi CSRD dotyczą małych firm realizujących projekty z dofinansowaniem UE?

O: Dyrektywa CSRD (Dyrektywa UE 2022/2464) formalnie obejmuje duże podmioty spełniające określone progi finansowe i kadrowe. Małe i średnie przedsiębiorstwa nie są bezpośrednio zobowiązane do raportowania ESG. Jednak instytucje finansujące projekty RRF z komponentem zielonej transformacji coraz częściej wymagają deklaracji gotowości do wdrożenia ESG raportowania. Warto przygotować takie oświadczenie profilaktycznie – jego brak może wpłynąć na ocenę wniosku.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i dochodzeń wewnętrznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.