Spółka technologiczna z Mazowsza wygrała konkurs na dofinansowanie z Krajowego Planu Odbudowy. Kwota: ponad 4 mln zł. Radość trwała krótko – w trakcie pierwszej weryfikacji instytucja wdrażająca zakwestionowała kompletność dokumentacji compliance. Projekt stanął. Przez trzy miesiące spółka nie mogła uruchomić środków.

Compliance funduszy UE – w szczególności wymagania KPO i RRF – obejmuje kilka równoległych warstw: ESG raportowanie, AML, rejestr beneficjentów rzeczywistych (CRBR), ochronę sygnalistów oraz wymogi CSRD. Każda z tych warstw podlega odrębnym przepisom i odrębnym terminom weryfikacji przez instytucje zarządzające. Niedopełnienie któregokolwiek z obowiązków może skutkować zawieszeniem wypłat lub koniecznością zwrotu środków z odsetkami.

Poniższy opis sprawy pokazuje, jak spółka z sektora IT odbudowała strukturę compliance w ciągu 60 dni i skutecznie odblokowała finansowanie. Omówimy tło sprawy, przyjętą strategię, przebieg procesu i wnioski, które można zastosować w każdej organizacji ubiegającej się o środki unijne.

Tło sprawy – gdzie pojawiły się luki?

Spółka zatrudniała 85 osób i prowadziła działalność badawczo-rozwojową. Wniosek o dofinansowanie przygotował zewnętrzny konsultant. Dokumentacja merytoryczna była bez zarzutu. Problem leżał gdzie indziej – w strukturze właścicielskiej i wewnętrznych procedurach.

Instytucja wdrażająca wskazała trzy konkretne braki. Po pierwsze – wpis do CRBR nie odzwierciedlał aktualnej struktury udziałowej po zmianie właściciela w 2024 r. Po drugie – spółka nie posiadała wdrożonego kanału zgłoszeń dla sygnalistów, mimo że zatrudnienie przekraczało 50 osób. Po trzecie – wewnętrzna polityka AML była nieaktualna i nie obejmowała ryzyk związanych z transakcjami finansowanymi ze środków publicznych.

Każdy z tych braków osobno mógłby zostać usunięty w ciągu kilku dni. Problem polegał na tym, że instytucja wdrażająca zażądała ich usunięcia łącznie – w terminie 30 dni od doręczenia wezwania. Spółka zgłosiła się do KORDECKI & Partners w 8. dniu tego terminu.

W praktyce – wiele firm o tym zapomina – wymogi compliance przy funduszach UE nie kończą się na etapie składania wniosku. Instytucje zarządzające KPO i RRF weryfikują stan compliance również w trakcie realizacji projektu i przy rozliczeniu końcowym. Oznacza to, że luki ujawnione po podpisaniu umowy mogą mieć poważniejsze konsekwencje niż te wykryte przed złożeniem wniosku.

Jak wygląda strategia compliance dla funduszy UE?

Strategia przyjęta w tej sprawie opierała się na trzech filarach: priorytetyzacji według ryzyka zawieszenia środków, równoległym prowadzeniu działań naprawczych oraz udokumentowaniu każdego kroku dla instytucji wdrażającej. Czas był decydujący – pozostało 22 dni robocze.

Pierwszym priorytetem stało się zaktualizowanie wpisu w CRBR. Centralny Rejestr Beneficjentów Rzeczywistych wymaga aktualizacji w ciągu 14 dni od każdej zmiany struktury właścicielskiej. Spółka przekroczyła ten termin o kilka miesięcy. Złożenie aktualizacji zajęło jeden dzień roboczy – ale instytucja wdrażająca wymagała również wyjaśnienia, dlaczego aktualizacja nie nastąpiła w terminie ustawowym. Przygotowaliśmy stosowne oświadczenie zarządu wraz z opisem okoliczności.

Drugim krokiem było wdrożenie kanału zgłoszeń dla sygnalistów. Zgodnie z art. 8 ustawy o sygnalistach, każdy pracodawca zatrudniający co najmniej 50 pracowników ma obowiązek ustanowienia wewnętrznego kanału zgłoszeń. Spółka tego obowiązku nie wykonała. Wdrożyliśmy procedurę opartą na polityce ochrony sygnalistów zgodnej z ustawą – łącznie z regulaminem, formularzem zgłoszeń i wyznaczeniem osoby odpowiedzialnej za przyjmowanie zgłoszeń.

Trzecim elementem była aktualizacja polityki AML. Nowa wersja dokumentu uwzględniała specyfikę finansowania publicznego, procedury weryfikacji kontrahentów oraz mechanizm eskalacji w przypadku wykrycia nieprawidłowości. Uważamy, że bezpieczniejszym rozwiązaniem jest opracowanie odrębnej sekcji polityki AML poświęconej projektom dotowanym – zamiast modyfikowania ogólnego dokumentu.

Jak przebiegał proces naprawczy i co zadecydowało o sukcesie?

Proces naprawczy trwał 19 dni roboczych. Instytucja wdrażająca otrzymała kompletną dokumentację na 3 dni przed upływem terminu. Wypłata pierwszej transzy nastąpiła 28 dni po złożeniu wyjaśnień.

Kluczowe działania w kolejności realizacji:

  • Aktualizacja wpisu CRBR i złożenie oświadczenia wyjaśniającego opóźnienie – dzień 2.
  • Wdrożenie wewnętrznego kanału zgłoszeń dla sygnalistów wraz z regulaminem – dzień 7.
  • Aktualizacja polityki AML z uwzględnieniem ryzyk projektów dotowanych – dzień 12.
  • Przegląd dokumentacji ESG pod kątem wymogów raportowania – dzień 15.
  • Złożenie kompletnej odpowiedzi do instytucji wdrażającej – dzień 19.

Co zadecydowało o powodzeniu? Przede wszystkim – szybka triage dokumentów. W pierwszym dniu zidentyfikowaliśmy, które braki są blokujące dla wypłaty środków, a które można uzupełnić jako dokumentację uzupełniającą. Instytucja wdrażająca zaakceptowała takie podejście, ponieważ braki niebędące warunkiem sine qua non nie wstrzymują wypłaty – wymagają jedynie uzupełnienia w ramach kolejnego rozliczenia.

Warto też wskazać, co mogło pójść inaczej. Gdyby spółka nie zdążyła w terminie 30 dni, instytucja wdrażająca mogła zawiesić umowę o dofinansowanie. Zawieszenie uruchamia procedurę kontrolną, która – w zależności od wyników – może zakończyć się korektą finansową. Korekta finansowa oznacza obowiązek zwrotu części lub całości otrzymanego dofinansowania wraz z odsetkami. W przypadku tej spółki stawką było ponad 4 mln zł. Więcej o restrukturyzacji finansowej w sytuacjach kryzysowych piszemy w analizie dotyczącej pre-pack w Polsce.

Jakie wnioski można przenieść na inne organizacje ubiegające się o środki UE?

Ta sprawa jest reprezentatywna. Podobne sytuacje obserwujemy regularnie – zarówno przy KPO, jak i przy środkach z Funduszy Europejskich dla Nowoczesnej Gospodarki. Organizacje skupiają się na merytorycznej stronie wniosku i zaniedbują warstwę compliance. Tymczasem instytucje zarządzające coraz częściej traktują compliance jako warunek wypłaty – nie tylko formalność.

Trzy wnioski mają zastosowanie do każdej organizacji:

  • Audyt compliance przed złożeniem wniosku – nie po podpisaniu umowy. Sprawdź CRBR, kanał sygnalistów, AML i polityki ESG minimum 60 dni przed złożeniem dokumentacji.
  • Dokumentacja musi być aktualna i spójna. Rozbieżności między stanem faktycznym a dokumentami są wykrywane przez instytucje wdrażające podczas weryfikacji krzyżowej z KRS i CRBR.
  • Każda zmiana struktury właścicielskiej wymaga natychmiastowej aktualizacji CRBR – termin 14 dni jest bezwzględny i jego przekroczenie jest widoczne dla każdego organu weryfikującego.

Osobna kwestia to CSRD. Dyrektywa UE 2022/2464 – wdrożona do polskiej ustawy o rachunkowości w grudniu 2024 r. – będzie coraz silniej wpływać na kryteria oceny wniosków o dofinansowanie. Organizacje spełniające wymogi ESG raportowania zyskują przewagę w konkursach, w których kryteria premiują zrównoważony rozwój. Compliance to już nie tylko obowiązek – to instrument konkurencyjny przy pozyskiwaniu funduszy.

Firma IT z Dolnego Śląska, z którą pracowaliśmy wiosną 2025 r., przeprowadziła audyt compliance przed złożeniem wniosku o środki z RRF. Dzięki temu uniknęła wezwania do uzupełnień i podpisała umowę o dofinansowanie w standardowym terminie. Koszt audytu stanowił ułamek wartości potencjalnej korekty finansowej.

Konkretna sytuacja Państwa organizacji wymaga indywidualnej oceny – luki compliance mogą być niewidoczne do momentu, gdy instytucja wdrażająca wyśle wezwanie, a wtedy każdy dzień ma nieodwracalne znaczenie dla harmonogramu projektu.

Jeśli Państwa organizacja ubiega się o środki KPO lub RRF i chcą Państwo przeprowadzić audyt compliance przed złożeniem wniosku lub w trakcie realizacji projektu – przeprowadzimy przegląd CRBR, AML, sygnalistów i ESG oraz przygotujemy dokumentację odpowiedzi do instytucji wdrażającej: info@kordeckipartners.com.

Często zadawane pytania

P: Czy spółka z o.o. zatrudniająca 60 osób musi wdrożyć kanał zgłoszeń dla sygnalistów przed złożeniem wniosku o dofinansowanie z KPO?

O: Tak. Obowiązek wynika z artykułu 8 ustawy o sygnalistach z 14 czerwca 2024 roku i dotyczy każdego pracodawcy zatrudniającego co najmniej 50 pracowników – niezależnie od tego, czy spółka ubiega się o dofinansowanie. Instytucje wdrażające KPO weryfikują spełnienie tego obowiązku jako element oceny compliance. Brak kanału zgłoszeń może być podstawą wezwania do uzupełnień lub zawieszenia wypłaty.

P: Ile czasu zajmuje aktualizacja wpisu w CRBR po zmianie struktury właścicielskiej?

O: Samo złożenie aktualizacji w Centralnym Rejestrze Beneficjentów Rzeczywistych zajmuje zazwyczaj jeden dzień roboczy – wpis jest dokonywany przez system teleinformatyczny. Ustawowy termin na zgłoszenie zmiany wynosi 14 dni od jej zaistnienia. Przekroczenie tego terminu jest widoczne w rejestrze i wymaga wyjaśnienia wobec instytucji wdrażającej. Warto pamiętać, że rozbieżność między CRBR a KRS jest jednym z pierwszych elementów weryfikowanych przy ocenie wniosku.

P: Czy wymogi CSRD wpływają na ocenę wniosków o środki z funduszy UE?

O: Bezpośredni obowiązek raportowania według Dyrektywy UE 2022/2464 dotyczy podmiotów spełniających określone progi (między innymi 250 pracowników lub 110 mln zł aktywów). Jednak kryteria oceny wniosków w wielu konkursach KPO i RRF premiują organizacje wdrażające standardy ESG raportowania nawet przed formalnym objęciem obowiązkiem. Posiadanie polityki ESG i udokumentowanych działań w obszarze zrównoważonego rozwoju zwiększa punktację w kryteriach jakościowych.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance funduszy UE, ESG i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.