Firma budowlana z Mazowsza dostała decyzję o przyznaniu dofinansowania z KPO. Radość trwała krótko – po trzech miesiącach kontrola wykazała braki w dokumentacji compliance i beneficjent musiał zwrócić 40% wypłaconej zaliczki. Nie dlatego, że źle wydał pieniądze. Dlatego, że nie wiedział, jakich procedur wymaga sam fakt otrzymania funduszy unijnych.
Compliance funduszy UE w ramach Krajowego Planu Odbudowy (KPO) i Instrumentu na rzecz Odbudowy i Zwiększania Odporności (RRF) obejmuje zestaw obowiązków prawnych nałożonych na beneficjentów – od rejestracji w Centralnym Rejestrze Beneficjentów Rzeczywistych (CRBR), przez wdrożenie kanałów zgłoszeń dla sygnalistów, po raportowanie ESG. Naruszenie tych wymogów grozi korektą finansową sięgającą 100% dofinansowania i obowiązkiem zwrotu środków z odsetkami liczonymi od dnia wypłaty.
Ten przewodnik prowadzi przez cztery etapy: identyfikację obowiązków, wdrożenie procedur, najczęstsze błędy i scenariusze dla różnych typów beneficjentów. Na każdym etapie wskazujemy konkretne terminy, progi i przepisy – tak, żeby Państwa firma weszła w projekt z pełną świadomością ryzyk.
Jakie obowiązki compliance nakłada KPO na beneficjenta?
Każdy beneficjent KPO staje przed zestawem obowiązków, które dzielą się na trzy kategorie. Pierwsza dotyczy transparentności struktury właścicielskiej. Druga – ochrony interesów finansowych UE. Trzecia – standardów zarządzania i raportowania. Razem tworzą ramy, których niespełnienie traktowane jest jak naruszenie warunków umowy o dofinansowanie.
Transparentność właścicielska to wymóg rejestracji w CRBR. Każda spółka – sp. z o.o., S.A., spółka komandytowa – musi mieć aktualny wpis wskazujący rzeczywistego beneficjenta. Brak aktualizacji w ciągu 7 dni od zmiany struktury właścicielskiej naraża zarząd na karę do 1 000 000 zł. Instytucja wdrażająca weryfikuje wpis CRBR przed wypłatą każdej transzy. Bez aktualnego wpisu – nie ma przelewu.
Ochrona interesów finansowych UE realizuje się przez obowiązki antykorupcyjne i AML. Beneficjenci zobowiązani są do stosowania procedur przeciwdziałania praniu pieniędzy, wykluczenia konfliktu interesów i stosowania zasady „zero tolerancji dla nadużyć finansowych". W praktyce oznacza to dokumentowanie każdego kroku postępowania o udzielenie zamówienia w projekcie – nawet poniżej progów ustawowych.
Standardy zarządzania obejmują między innymi wdrożenie kanału zgłoszeń dla sygnalistów. Na podstawie art. 8 ustawy o sygnalistach każdy pracodawca zatrudniający co najmniej 50 osób musi posiadać wewnętrzny kanał zgłoszeń. Beneficjenci projektów KPO spełniający ten próg, którzy nie wdrożyli kanału, narażają się na podwójne ryzyko – zarówno sankcje krajowe, jak i zarzut naruszenia warunków umowy o dofinansowanie. Termin na wdrożenie upłynął 25 września 2024 r.
Jak wygląda procedura wdrożenia compliance krok po kroku?
Wdrożenie compliance funduszy UE przebiega w pięciu krokach. Każdy ma swój termin i swoje dokumenty. Pominięcie któregokolwiek etapu oznacza lukę, którą kontroler znajdzie szybciej, niż Państwo się spodziewają.
Krok 1 – audyt wstępny (przed podpisaniem umowy). Należy zweryfikować aktualność wpisu w CRBR, sprawdzić, czy spółka nie figuruje na listach sankcyjnych (polskich i unijnych), oraz ocenić, czy struktura właścicielska nie rodzi konfliktu interesów z instytucją wdrażającą. Ten krok zajmuje od 3 do 7 dni roboczych.
Krok 2 – wdrożenie procedur wewnętrznych (pierwsze 30 dni projektu). W tym oknie czasowym należy przyjąć lub zaktualizować politykę antykorupcyjną, procedurę AML (jeśli firma nie podlega ustawie o AML bezpośrednio, powinna mieć jej odpowiednik jako wymóg umowny) oraz regulamin kanału zgłoszeń dla sygnalistów zgodny z ustawą z 14 czerwca 2024 r.
Krok 3 – szkolenie zespołu projektowego. Osoby odpowiedzialne za realizację projektu muszą znać zasady kwalifikowalności wydatków, zakaz podwójnego finansowania i obowiązki dokumentacyjne. Brak udokumentowanego szkolenia jest jednym z najczęstszych ustaleń kontroli.
Krok 4 – bieżący monitoring i raportowanie. Każdy wniosek o płatność powinien zawierać oświadczenie o braku konfliktu interesów, aktualności wpisu CRBR i braku zmian w strukturze właścicielskiej. Raportowanie ESG – zgodne z wymogami Dyrektywy CSRD (UE 2022/2464) – może być wymagane dla dużych beneficjentów już od roku obrotowego 2025.
Krok 5 – archiwizacja dokumentacji. Dokumenty projektu przechowuje się przez 5 lat od daty ostatniej płatności (lub dłużej, jeśli umowa stanowi inaczej). Brak dokumentacji po tym terminie może zablokować kolejne dofinansowania.
Firma IT z Trójmiasta wdrożyła cały cykl w ciągu 21 dni roboczych wiosną 2025 r., angażując jedną osobę z działu prawnego i zewnętrznego doradcę. Koszt zewnętrznego wsparcia wyniósł poniżej 0,5% wartości projektu. Kontrola, która nastąpiła sześć miesięcy później, nie wykazała żadnych nieprawidłowości.
- Weryfikacja CRBR i list sankcyjnych przed podpisaniem umowy
- Polityka antykorupcyjna i procedura AML w ciągu 30 dni od startu projektu
- Kanał zgłoszeń dla sygnalistów (obowiązek dla pracodawców 50+ pracowników)
- Oświadczenia compliance przy każdym wniosku o płatność
- Archiwizacja dokumentacji przez minimum 5 lat od ostatniej płatności
Konkretna sytuacja Państwa firmy może różnić się w zależności od rodzaju beneficjenta, wartości projektu i sektora. Zaniedbanie choćby jednego elementu może mieć nieodwracalne skutki finansowe – korekta finansowa zamyka drogę do odzyskania środków.
Jeśli Państwa spółka przygotowuje się do podpisania umowy o dofinansowanie z KPO lub RRF – przeprowadzimy audyt compliance, przygotujemy procedury i reprezentujemy Państwa przed instytucją wdrażającą: info@kordeckipartners.com.
Jakie błędy najczęściej prowadzą do korekty finansowej?
Korekta finansowa to nie abstrakcja. To konkretna kwota, którą beneficjent musi zwrócić – z odsetkami naliczanymi od dnia wypłaty, nie od dnia wykrycia nieprawidłowości. W praktyce trzy kategorie błędów odpowiadają za ponad 80% stwierdzonych nieprawidłowości w projektach KPO i RRF.
Błąd 1 – nieaktualna dokumentacja CRBR. Zmiana udziałowca, wejście nowego inwestora, reorganizacja holdingu – każda z tych sytuacji wymaga aktualizacji wpisu w ciągu 7 dni. W projektach wieloletnich struktura właścicielska zmienia się częściej, niż beneficjenci pamiętają o obowiązku zgłoszeniowym. Instytucja wdrażająca sprawdza CRBR nie tylko przy umowie, ale i przy każdym wniosku o płatność.
Błąd 2 – konflikt interesów nieudokumentowany lub niezidentyfikowany. Konflikt interesów to nie tylko sytuacja, gdy prezes firmy jest bratankiem urzędnika w instytucji wdrażającej. Obejmuje też powiązania między podwykonawcami a osobami decyzyjnymi w projekcie. Brak formalnej procedury identyfikacji konfliktu i brak oświadczeń od kluczowego personelu to standardowe ustalenie kontroli.
Błąd 3 – braki w dokumentacji zamówień w projekcie. Nawet zamówienia poniżej progu ustawowego (130 000 zł dla zamawiających publicznych) muszą być przeprowadzone zgodnie z zasadą konkurencyjności określoną w wytycznych horyzontalnych. Brak udokumentowania rozeznania rynku, brak ofert porównawczych lub wybór wykonawcy bez uzasadnienia – każdy z tych braków może skutkować korektą od 10% do 25% wartości zamówienia.
Producent mebli z Podkarpacia stracił jesienią 2024 r. korektę w wysokości 18% wartości dotacji z powodu braku oświadczeń o konflikcie interesów od dwóch członków zespołu projektowego. Dokumentacja merytoryczna była wzorowa. Sama procedura compliance – niekompletna.
Warto też pamiętać o kwestii sygnalistów w kontekście projektów unijnych. Jeśli pracownik zgłosi nieprawidłowość w projekcie przez kanał wewnętrzny, a pracodawca nie ma wdrożonego kanału zgodnego z ustawą – narazi się zarówno na sankcje z art. 54 ustawy o sygnalistach (grzywna do 1 080 000 zł, do 3 lat pozbawienia wolności za działania odwetowe), jak i na zarzut naruszenia warunków umowy o dofinansowanie.
Zagadnienia cyfrowe i technologiczne – takie jak zarządzanie ryzykiem ICT w polskich podmiotach finansowych w ramach DORA – nabierają znaczenia również dla beneficjentów projektów cyfryzacyjnych finansowanych z KPO. Systemy IT obsługujące projekt muszą spełniać wymogi bezpieczeństwa wskazane w umowie.
Trzy scenariusze beneficjentów – jak dostosować compliance?
Nie ma jednego modelu compliance dla wszystkich beneficjentów KPO i RRF. Wymagania zależą od wielkości przedsiębiorstwa, sektora i rodzaju projektu. Poniżej trzy scenariusze, które najczęściej spotykamy w praktyce.
Scenariusz A – producent przemysłowy (200+ pracowników). Spółka produkcyjna realizująca projekt inwestycyjny o wartości powyżej 5 mln zł podlega pełnemu reżimowi compliance. Obowiązują: aktualny wpis CRBR, kanał sygnalistów (obowiązek dla 50+ pracowników), procedura AML, polityka antykorupcyjna, dokumentacja zamówień wewnętrznych oraz – jeśli spółka spełnia progi CSRD (aktywa powyżej 110 mln zł lub przychody powyżej 220 mln zł lub 250 FTE) – raportowanie ESG zgodne z Dyrektywą UE 2022/2464. Więcej o zmianach w tym obszarze opisujemy w analizie CSRD, Omnibus i „stop the clock" – co się zmienia.
Scenariusz B – startup technologiczny (poniżej 50 pracowników). Mniejszy podmiot nie ma ustawowego obowiązku kanału sygnalistów, ale umowa o dofinansowanie może nakładać ten wymóg kontraktowo. Startup powinien skupić się na: aktualności CRBR, dokumentacji rozeznania rynku dla każdego wydatku, polityce antykorupcyjnej i oświadczeniach o braku konfliktu interesów. Koszt wdrożenia minimalnego zestawu procedur to zazwyczaj od 5 000 do 15 000 zł jednorazowo.
Scenariusz C – inwestor zagraniczny wchodzący na rynek polski. Dla inwestora spoza UE dodatkowym wyzwaniem jest weryfikacja, czy struktura holdingowa nie narusza zasad dotyczących beneficjentów rzeczywistych. Instytucja wdrażająca może zażądać dokumentów potwierdzających strukturę właścicielską aż do poziomu osób fizycznych – w każdej jurysdykcji w łańcuchu właścicielskim. Brak przejrzystości na tym poziomie skutkuje odmową dofinansowania lub wstrzymaniem płatności.
W każdym z tych scenariuszy kluczowe jest jedno: compliance nie kończy się na podpisaniu umowy. To proces ciągły – przez cały okres realizacji projektu i przez 5 lat po jego zakończeniu. Zarząd spółki odpowiada osobiście za prawidłowość oświadczeń składanych instytucji wdrażającej.
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny – szczególnie jeśli struktura właścicielska jest złożona lub projekt dotyczy sektora regulowanego. Zaniedbanie weryfikacji na wczesnym etapie może nieodwracalnie zamknąć drogę do kolejnych transz dofinansowania.
Jeśli Państwa spółka realizuje projekt z KPO lub RRF i potrzebuje przeglądu zgodności dokumentacji – przeprowadzimy audyt compliance, zidentyfikujemy luki i przygotujemy plan naprawczy: info@kordeckipartners.com.
Często zadawane pytania
P: Czy każdy beneficjent KPO musi wdrożyć kanał zgłoszeń dla sygnalistów?
O: Ustawowy obowiązek z artykułu 8 ustawy o sygnalistach dotyczy pracodawców zatrudniających co najmniej 50 pracowników – termin na wdrożenie upłynął 25 września 2024 roku. Beneficjenci poniżej tego progu nie mają ustawowego obowiązku, ale umowa o dofinansowanie może nakładać ten wymóg kontraktowo. Przed podpisaniem umowy zawsze należy sprawdzić załącznik dotyczący standardów zarządzania projektem.
P: Ile kosztuje wdrożenie pełnego pakietu compliance dla projektu KPO?
O: Koszt zależy od wielkości firmy i stopnia zaawansowania istniejących procedur. Dla małego i średniego przedsiębiorstwa, które nie ma żadnych procedur, całościowe wdrożenie – polityka antykorupcyjna, kanał sygnalistów, procedura AML, szablony oświadczeń – kosztuje zazwyczaj od 10 000 do 30 000 złotych jednorazowo. Dla dużego podmiotu z rozbudowaną strukturą kwota może być wyższa. Koszt braku compliance – korekta finansowa od kilkunastu do stu procent dofinansowania – jest wielokrotnie wyższy.
P: Czy raportowanie ESG zgodne z CSRD jest już obowiązkowe dla beneficjentów KPO?
O: Dyrektywa CSRD (Dyrektywa UE 2022/2464) nakłada obowiązek raportowania niefinansowego etapowo. Duże podmioty spełniające dwa z trzech kryteriów – aktywa powyżej 110 milionów złotych, przychody powyżej 220 milionów złotych lub 250 pracowników – będą objęte obowiązkiem od roku obrotowego 2025. Propozycja Omnibus sugeruje przesunięcie fali drugiej do 2028 roku, ale to jeszcze nie jest prawo. Beneficjenci z sektora publicznego i spółki Skarbu Państwa mogą podlegać odrębnym wymogom sprawozdawczości ESG wynikającym bezpośrednio z umowy o dofinansowanie.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance funduszy unijnych, ESG i zarządzania ryzykiem regulacyjnym. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.