Firma z Mazowsza otrzymuje dofinansowanie z Krajowego Planu Odbudowy. Po kilku miesiącach realizacji projektu pojawia się kontrola – i okazuje się, że beneficjent nie wdrożył wymaganych procedur compliance. Skutek: wezwanie do zwrotu środków. Taki scenariusz powtarza się coraz częściej. Nie dlatego, że przedsiębiorcy działają w złej wierze, lecz dlatego, że wymagania KPO i RRF są rozległe, wzajemnie powiązane i – na pierwszy rzut oka – nieprzejrzyste.
Compliance funduszy UE w ramach Krajowego Planu Odbudowy (KPO) i Instrumentu na rzecz Odbudowy i Zwiększania Odporności (RRF) obejmuje co najmniej cztery warstwy obowiązków: ochronę sygnalistów, przeciwdziałanie praniu pieniędzy (AML), raportowanie ESG oraz ujawnienia w Centralnym Rejestrze Beneficjentów Rzeczywistych (CRBR). Naruszenie którejkolwiek z tych warstw może skutkować wstrzymaniem płatności lub żądaniem zwrotu całości dofinansowania. Terminy weryfikacji przez instytucje zarządzające biegną równolegle z realizacją projektu – nie po jego zakończeniu.
Ten przewodnik pokazuje krok po kroku, które obowiązki dotyczą Państwa organizacji, w jakiej kolejności je wdrażać i jakich błędów unikać. Omawiamy trzy scenariusze biznesowe: spółkę produkcyjną, firmę z sektora IT oraz inwestora zagranicznego wchodzącego na rynek polski.
Jakie przepisy regulują compliance w projektach KPO i RRF?
Podstawą prawną dla polskich beneficjentów jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/241 ustanawiające RRF. Nakłada ono na państwa członkowskie – a pośrednio na beneficjentów – obowiązek przestrzegania zasad praworządności, przejrzystości finansowej i ochrony interesów finansowych UE. W Polsce rolę instytucji zarządzającej pełni Ministerstwo Funduszy i Polityki Regionalnej, a płatności weryfikuje Bank Gospodarstwa Krajowego (BGK). Kontrolę ex post prowadzi Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) oraz – w zakresie krajowym – Centralne Biuro Antykorupcyjne (CBA).
Na poziomie krajowym kluczowe znaczenie mają trzy akty. Po pierwsze, ustawa z 14 czerwca 2024 r. o ochronie sygnalistów – w życie weszła 25 września 2024 r. Zgodnie z art. 8 ustawy o sygnalistach każdy pracodawca zatrudniający co najmniej 50 pracowników ma obowiązek uruchomienia wewnętrznego kanału zgłoszeń. Beneficjenci KPO, nawet ci zatrudniający mniej niż 50 osób, muszą wykazać, że znają tę regulację i – jeśli próg jest osiągnięty – wdrożyli procedurę. Po drugie, ustawa o AML (ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu) nakłada obowiązki due diligence na tzw. instytucje obowiązane. Po trzecie, przepisy o CRBR wymagają aktualnego wpisu beneficjenta rzeczywistego – powiązanego z KRS.
W praktyce kontrolerzy BGK i MFiPR weryfikują dokumentację compliance już na etapie wniosku o płatność – nie dopiero po zakończeniu projektu. Pierwsze przypadki wstrzymania płatności z powodu braków w obszarze sygnalistów odnotowano w I kwartale 2025 r.
Jak wdrożyć compliance krok po kroku – od wniosku do rozliczenia?
Wdrożenie compliance w projekcie KPO można podzielić na cztery etapy. Każdy ma konkretny horyzont czasowy i przypisane działania. Pominięcie etapu pierwszego sprawia, że etap czwarty – rozliczenie – staje się ryzykowny niezależnie od jakości realizacji merytorycznej projektu.
Etap 1 – Diagnoza (do 30 dni od podpisania umowy o dofinansowanie). Należy ustalić, które przepisy dotyczą organizacji. Kluczowe pytania: Czy zatrudnienie przekracza 50 osób? Czy spółka jest instytucją obowiązaną w rozumieniu ustawy o AML? Czy wpis w CRBR jest aktualny i odzwierciedla rzeczywistą strukturę właścicielską? Diagnoza powinna być udokumentowana – w formie memorandum prawnego lub matrycy ryzyk compliance.
Etap 2 – Wdrożenie procedur (30–90 dni). Na tym etapie tworzy się regulaminy, kanały zgłoszeń i polityki. Trzy elementy są bezwzględnie wymagane przez instytucje zarządzające:
- wewnętrzny kanał zgłoszeń dla sygnalistów (art. 8 ustawy o sygnalistach),
- procedura AML z identyfikacją beneficjenta rzeczywistego,
- aktualny wpis w CRBR – zgodny z rzeczywistą strukturą udziałową.
Etap 3 – Szkolenia i dokumentacja (90–120 dni). Pracownicy odpowiedzialni za realizację projektu muszą przejść szkolenie z zakresu compliance. Czas trwania: minimum 4 godziny dla kadry zarządzającej, 2 godziny dla pozostałych pracowników projektu. Dokumentacja szkoleń trafia do teczki projektu.
Etap 4 – Monitorowanie i audyt (przez cały okres realizacji). Co 6 miesięcy należy weryfikować aktualność wpisów CRBR oraz skuteczność kanału sygnalistów. Przed każdym wnioskiem o płatność – przegląd dokumentacji compliance. Audyt wewnętrzny raz w roku jest rekomendowany przez MFiPR dla projektów powyżej 5 mln PLN.
Spółka IT z Trójmiasta wdrożyła ten model w II kwartale 2024 r. Dzięki temu przy pierwszym wniosku o płatność – na kwotę 2,3 mln PLN – kontrola dokumentacji trwała 14 dni roboczych, a płatność wpłynęła bez uwag.
Jeśli Państwa organizacja jest na wczesnym etapie wdrożenia, screening sankcyjny dla polskich przedsiębiorstw pozwala równolegle zidentyfikować ryzyka związane z kontrahentami projektu – co jest osobnym wymogiem instytucji zarządzającej.
Jakie błędy najczęściej popełniają beneficjenci KPO?
Trzy błędy powracają w niemal każdej kontroli. Są przewidywalne – i właśnie dlatego tak kosztowne. Instytucje zarządzające dysponują listą kontrolną, która obejmuje te same punkty od początku funkcjonowania instrumentu.
Błąd 1: Nieaktualny wpis CRBR. Spółka zmienia strukturę właścicielską w trakcie realizacji projektu i nie aktualizuje wpisu. Termin na aktualizację to 14 dni od zmiany – wynika to z przepisów o CRBR powiązanych z KRS. Kontroler stwierdza rozbieżność między dokumentami projektowymi a stanem rejestru. Efekt: wezwanie do wyjaśnień, wstrzymanie płatności na czas weryfikacji.
Błąd 2: Kanał sygnalistów „na papierze". Regulamin istnieje, ale nie ma wyznaczonej osoby odpowiedzialnej za przyjmowanie zgłoszeń, brak dokumentacji szkoleń. Ustawa o sygnalistach wymaga nie tylko utworzenia kanału, ale też potwierdzenia jego funkcjonowania. Kara administracyjna za brak wdrożenia może sięgnąć 1 080 000 PLN – zgodnie z art. 54 ustawy o sygnalistach.
Błąd 3: Brak procedury AML przy projektach partnerskich. W projektach konsorcjalnych każdy partner powinien posiadać własną procedurę AML lub być objęty procedurą lidera. W praktyce – wiele firm o tym zapomina – lider składa dokumentację tylko dla siebie. Kontrola OLAF-u obejmuje wszystkich uczestników konsorcjum.
Czwarty błąd – rzadszy, ale poważniejszy – to brak polityki ESG raportowania przy projektach, których wartość przekracza 10 mln EUR lub które dotyczą obszarów objętych zakresem CSRD (Dyrektywa UE 2022/2464). W takich przypadkach instytucja zarządzająca może zażądać wstępnej oceny wpływu środowiskowego i społecznego projektu.
Trzy scenariusze: producent, firma IT i inwestor zagraniczny
Compliance KPO wygląda inaczej w zależności od profilu organizacji. Poniżej trzy typowe scenariusze z konkretnymi wnioskami praktycznymi.
Scenariusz 1 – Spółka produkcyjna (Małopolska, 120 pracowników). Firma ubiega się o dofinansowanie modernizacji linii produkcyjnej – wartość projektu 8 mln PLN. Zatrudnienie przekracza 50 osób, więc art. 8 ustawy o sygnalistach stosuje się bezpośrednio. Spółka jest też zobowiązana do aktualizacji CRBR, ponieważ rok wcześniej zmienił się jeden z udziałowców. Kluczowe działanie: weryfikacja wpisu CRBR przed złożeniem wniosku oraz wdrożenie kanału zgłoszeń z wyznaczonym koordynatorem. Koszt zewnętrznego wsparcia prawnego przy wdrożeniu: ok. 8 000–15 000 PLN netto.
Scenariusz 2 – Firma IT (Poznań, 35 pracowników). Startup technologiczny realizuje projekt cyfryzacji z komponentem AI – dofinansowanie 3,5 mln PLN. Zatrudnienie poniżej 50 osób: obowiązek kanału sygnalistów formalnie nie powstaje. Jednak instytucja zarządzająca wymaga potwierdzenia znajomości regulacji i oświadczenia o progu zatrudnienia. Firma musi też wykazać zgodność z CSRD w zakresie, w jakim projekt dotyczy technologii wysokiego ryzyka w rozumieniu AI Act. Zalecenie: dedykowana polityka compliance dla projektu, nawet jeśli pełna procedura AML nie jest wymagana.
Scenariusz 3 – Inwestor zagraniczny (spółka z Niemiec, oddział w Polsce). Inwestor realizuje projekt przez polską spółkę zależną. Instytucja zarządzająca wymaga pełnej dokumentacji compliance dla polskiej spółki – w tym wpisu CRBR, który musi ujawniać rzeczywistego beneficjenta na poziomie grupy. Jeśli beneficjentem rzeczywistym jest podmiot z jurysdykcji spoza UE, konieczne jest dodatkowe oświadczenie o strukturze właścicielskiej. Przy sporach z instytucją zarządzającą warto rozważyć mediację w sporach gospodarczych – pozwala rozwiązać konflikt bez wstrzymywania całego projektu.
Co przygotować – lista kontrolna compliance KPO/RRF
Przed złożeniem pierwszego wniosku o płatność instytucja zarządzająca oczekuje kompletnej dokumentacji compliance. Poniższa lista obejmuje minimum wymagane przez MFiPR i BGK w projektach o wartości powyżej 500 000 PLN.
- Aktualny wyciąg z CRBR – zgodny ze stanem na dzień złożenia wniosku o płatność.
- Regulamin wewnętrznego kanału zgłoszeń sygnalistów (jeśli zatrudnienie ≥50 osób) z dokumentacją szkoleń.
- Procedura AML lub oświadczenie lidera konsorcjum obejmujące wszystkich partnerów.
- Matryca ryzyk compliance – dokument potwierdzający przeprowadzenie diagnozy na etapie 1.
- Oświadczenie o braku konfliktu interesów – dla każdego członka zespołu projektowego.
Kompletność tej dokumentacji skraca czas weryfikacji wniosku o płatność średnio o 10–15 dni roboczych. To istotne przy projektach, gdzie cashflow zależy od terminowych refundacji.
Konkretna sytuacja Państwa organizacji może wymagać dodatkowych kroków – zwłaszcza jeśli projekt obejmuje partnerów zagranicznych lub obszary objęte CSRD. Pominięcie jednego elementu dokumentacji compliance może nieodwracalnie opóźnić refundację lub uruchomić procedurę zwrotu środków.
Jeśli Państwa spółka realizuje projekt KPO lub RRF o wartości powyżej 1 mln PLN i potrzebuje przeglądu dokumentacji compliance przed wnioskiem o płatność – przeprowadzimy audyt zgodności, przygotujemy matrycę ryzyk i uzupełnimy braki proceduralne: info@kordeckipartners.com.
Często zadawane pytania
P: Czy firma zatrudniająca 30 osób musi wdrożyć kanał sygnalistów, aby otrzymać dofinansowanie z KPO?
O: Formalny obowiązek z artykułu 8 ustawy o ochronie sygnalistów powstaje przy zatrudnieniu co najmniej 50 pracowników. Jednak instytucja zarządzająca może wymagać oświadczenia potwierdzającego znajomość regulacji i aktualną liczbę zatrudnionych. Firma poniżej progu powinna złożyć takie oświadczenie i monitorować zatrudnienie – przekroczenie progu w trakcie projektu rodzi obowiązek wdrożenia kanału w ciągu 30 dni.
P: Ile czasu zajmuje pełne wdrożenie compliance dla projektu KPO i ile kosztuje?
O: Przy organizacji, która nie ma żadnych procedur, pełne wdrożenie zajmuje od 60 do 90 dni. Obejmuje diagnozę, przygotowanie dokumentów, szkolenia i rejestrację w CRBR. Koszt zewnętrznego wsparcia prawnego waha się od 8 000 do 25 000 PLN netto – zależnie od wielkości organizacji i złożoności struktury właścicielskiej. Koszty te mogą być kwalifikowalne jako wydatki na zarządzanie projektem, jeśli zostały ujęte we wniosku o dofinansowanie.
P: Czy beneficjent rzeczywisty wpisany do CRBR musi być tożsamy z osobą wskazaną we wniosku o dofinansowanie?
O: Tak – instytucja zarządzająca weryfikuje spójność między wnioskiem a stanem rejestru CRBR. Rozbieżność jest traktowana jako sygnał ryzyka i może uruchomić pogłębioną kontrolę. Powszechnym błędem jest podawanie we wniosku danych udziałowców formalnych, podczas gdy rzeczywisty beneficjent ekonomiczny – np. osoba sprawująca kontrolę pośrednią – nie jest ujawniony w CRBR. Ustawa o AML i przepisy o CRBR wymagają ujawnienia wszystkich osób sprawujących kontrolę powyżej 25% udziałów lub głosów.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance funduszy UE, ESG raportowania i wdrożeń procedur sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.