Due diligence ESG w łańcuchach dostaw

Firma odzieżowa z Łódzkiego zleca produkcję tkanin podwykonawcy w Azji Południowej. Audyt wykazuje naruszenia praw pracowniczych na trzecim poziomie łańcucha dostaw. Zarząd nie wiedział – ale według nadchodzących regulacji unijnych ignorancja nie zwalnia z odpowiedzialności. Właśnie dlatego due diligence ESG w łańcuchach dostaw przestało być kwestią dobrej woli, a stało się obowiązkiem prawnym.

Due diligence ESG w łańcuchach dostaw to ustrukturyzowany proces identyfikacji, oceny i ograniczania ryzyk środowiskowych, społecznych i zarządczych u dostawców. Podstawę regulacyjną tworzy dyrektywa CSRD (Dyrektywa UE 2022/2464) oraz projektowana dyrektywa CS3D. Polskie spółki wchodzące do fali drugiej CSRD muszą liczyć się z obowiązkami raportowymi od roku obrotowego 2025, choć propozycja Omnibus przesuwa ten termin na 2028 rok.

Niniejszy przewodnik prowadzi przez pięć etapów procesu: mapowanie łańcucha dostaw, ocenę ryzyka, wdrożenie środków zaradczych, monitorowanie oraz raportowanie. Omawia trzy scenariusze biznesowe – producenta, spółkę IT oraz inwestora zagranicznego – a także najczęstsze błędy i pytania klientów. Czytasz materiał przygotowany dla działów prawnych, compliance i zarządów spółek operujących w Polsce.

Od czego zacząć – mapowanie łańcucha dostaw i ocena ryzyka ESG?

Punkt wyjścia to pełna inwentaryzacja dostawców: bezpośrednich (tier 1), pośrednich (tier 2) i dalszych. Bez tej mapy żaden system due diligence nie zadziała. Regulacje unijne – zarówno CSRD, jak i projektowana CS3D – wymagają, by spółka potrafiła wykazać, że zna strukturę własnego łańcucha dostaw co najmniej do poziomu, w którym identyfikuje tzw. hotspoty ryzyka. W praktyce wiele polskich firm zatrzymuje się na dostawcach bezpośrednich. To błąd, który KAS i audytorzy biegłych rewidentów coraz częściej wytykają podczas weryfikacji sprawozdań zrównoważonego rozwoju.

Ocena ryzyka powinna obejmować trzy wymiary: środowiskowy (emisje, gospodarka wodna, bioróżnorodność), społeczny (warunki pracy, prawa człowieka, bezpieczeństwo) oraz zarządczy (korupcja, AML, przejrzystość struktury właścicielskiej). Weryfikacja struktury właścicielskiej dostawcy przez CRBR – Centralny Rejestr Beneficjentów Rzeczywistych – pozwala szybko wykryć powiązania z podmiotami objętymi sankcjami lub podwyższonym ryzykiem AML. To narzędzie jest bezpłatne i dostępne publicznie. W praktyce kancelaria KORDECKI & Partners zaleca jego rutynowe sprawdzenie przed każdym nowym kontraktem powyżej 500 000 PLN.

Matryca ryzyka powinna uwzględniać zarówno prawdopodobieństwo wystąpienia naruszenia, jak i potencjalną skalę szkody. Spółka produkcyjna z Podkarpacia odkryła jesienią 2024 r., że jej dostawca komponentów z Europy Wschodniej nie spełnia wymogów środowiskowych obowiązujących w Polsce – koszty renegocjacji kontraktu i zmiany dostawcy przekroczyły 800 000 PLN. Wczesna ocena ryzyka kosztuje ułamek tej kwoty. Instytucje takie jak UOKiK i KNF coraz aktywniej śledzą, czy spółki notowane na GPW rzetelnie ujawniają ryzyka ESG w łańcuchach dostaw.

Zinwentaryzuj dostawców tier 1, tier 2 i dalszych – minimum do poziomu hotspotów ryzyka.
Zweryfikuj strukturę właścicielską każdego kluczowego dostawcy przez CRBR.
Oceń ryzyko środowiskowe, społeczne i zarządcze w ustrukturyzowanej matrycy.
Nadaj priorytety – nie wszystkie ryzyka wymagają takich samych środków zaradczych.
Udokumentuj metodologię oceny – audytorzy będą jej szukać w sprawozdaniu CSRD.

Budżet tej fazy zależy od złożoności łańcucha. Dla spółki średniej wielkości z 50–100 dostawcami realistyczny koszt zewnętrznego wsparcia prawnego i doradczego wynosi od 40 000 do 120 000 PLN. Firmy, które próbują przeprowadzić mapowanie wyłącznie wewnętrznie, często pomijają dostawców usług niematerialnych – firm transportowych, agencji pracy tymczasowej, podwykonawców IT. Tymczasem regulacje CSRD obejmują cały łańcuch wartości, a nie tylko dostawy fizyczne.

Jakie procedury wdrożyć, żeby spełnić wymogi due diligence ESG?

Wdrożenie procedur due diligence ESG obejmuje cztery filary: politykę zakupową, kwestionariusze dostawców, klauzule umowne oraz system zgłoszeń nieprawidłowości. Każdy z nich ma podstawę regulacyjną. Polityka zakupowa musi odzwierciedlać hierarchię środków zaradczych wymaganą przez CS3D: zapobieganie, łagodzenie, naprawienie szkody, zakończenie relacji biznesowej jako ultima ratio. Spółki notowane na GPW powinny przyjąć tę politykę uchwałą zarządu i opublikować ją na stronie internetowej.

Kwestionariusze ESG dla dostawców to narzędzie, które pozwala zebrać ustrukturyzowane dane porównywalne rok do roku. Rynek wypracował standardy – ECOVADIS, CDP, własne formularze oparte na standardach GRI. Wybór narzędzia zależy od sektora i wymagań kontrahentów zagranicznych. Spółka IT z Krakowa obsługująca klientów z Niemiec i Austrii zdecydowała się wdrożyć kwestionariusz zgodny z wymogami niemieckiej ustawy LkSG – co pozwoliło jej jednocześnie spełnić oczekiwania tamtejszych odbiorców i przygotować się do CSRD. Koszt wdrożenia systemu kwestionariuszowego: od 15 000 PLN za rozwiązanie oparte na arkuszach kalkulacyjnych do ponad 200 000 PLN za platformę SaaS z automatycznym scoringiem.

Klauzule umowne z dostawcami powinny zawierać co najmniej: oświadczenie o przestrzeganiu Kodeksu ESG spółki, prawo do audytu, obowiązek przekazywania informacji o naruszeniach oraz prawo do rozwiązania umowy w przypadku potwierdzonych naruszeń. Bez tych klauzul spółka nie ma podstawy prawnej do egzekwowania wymogów wobec dostawcy. Uważamy, że bezpieczniejszym rozwiązaniem jest wprowadzenie tych klauzul przy każdym odnowieniu umowy – nawet jeśli dostawca stawia opór. Alternatywą jest ryzyko odpowiedzialności regulacyjnej, która może być nieodwracalna.

Obowiązek wdrożenia kanału zgłoszeń nieprawidłowości wynika bezpośrednio z art. 8 ustawy o sygnalistach – dotyczy każdego pracodawcy zatrudniającego co najmniej 50 pracowników. Kanał ten powinien umożliwiać anonimowe zgłaszanie naruszeń ESG zarówno przez pracowników, jak i przez pracowników dostawców. Brak wdrożenia grozi karą do 1 080 000 PLN oraz odpowiedzialnością karną za działania odwetowe wobec sygnalistów (art. 54 ustawy o sygnalistach). W praktyce wiele spółek wdrożyło kanał zgłoszeń, ale zapomniało poinformować o nim dostawców – co znacząco ogranicza jego skuteczność.

Więcej o projektowaniu programów compliance dla spółek z udziałem zagranicznym znajdą Państwo w naszym opracowaniu poświęconym compliance programme design for Spain subsidiaries in Poland. Analogiczne zagadnienia dla struktur włoskich omawia osobny materiał o compliance programme design for Italy subsidiaries in Poland.

Konkretna sytuacja Państwa firmy wymaga oceny, które procedury są już wdrożone, a które wymagają pilnego uzupełnienia. Luki w systemie due diligence ESG mogą prowadzić do nieodwracalnych konsekwencji regulacyjnych i reputacyjnych.

Jeśli Państwa spółka zatrudnia powyżej 50 pracowników lub współpracuje z dostawcami w sektorach wysokiego ryzyka ESG – przeprowadzimy kompleksową ocenę luk proceduralnych i przygotujemy plan wdrożenia: info@kordeckipartners.com.

Trzy scenariusze: producent, spółka IT, inwestor zagraniczny

Złożoność due diligence ESG różni się radykalnie w zależności od modelu biznesowego. Trzy scenariusze poniżej ilustrują typowe wyzwania i koszty, z którymi stykamy się w praktyce doradczej.

Scenariusz 1: Producent przemysłowy. Spółka produkcyjna z Wielkopolski zatrudnia 400 pracowników i korzysta z 80 dostawców surowców – w tym 15 spoza UE. Główne ryzyka to emisje CO2 w łańcuchu dostaw (scope 3), warunki pracy u dostawców zagranicznych i ryzyko sankcyjne. Raportowanie CSRD obejmuje tę spółkę od roku obrotowego 2025 (fala 2, chyba że propozycja Omnibus wejdzie w życie i przesunie termin na 2028). Zalecamy: pełne mapowanie łańcucha dostaw w ciągu 90 dni, wdrożenie klauzul ESG w kontraktach z dostawcami zagranicznymi przy najbliższym odnowieniu, zlecenie zewnętrznego audytu dwóch dostawców wysokiego ryzyka. Szacowany budżet: 80 000–150 000 PLN.

Scenariusz 2: Spółka IT. Firma softwarowa z Wrocławia obsługuje klientów korporacyjnych w Niemczech i Francji. Jej łańcuch dostaw to głównie podwykonawcy – programiści, firmy hostingowe, dostawcy licencji. Ryzyko ESG jest pozornie niskie, ale klienci niemieccy wymagają zgodności z LkSG i zadają pytania o warunki pracy podwykonawców. Zalecamy: kwestionariusz ESG dla 10 kluczowych podwykonawców, politykę zakupową uwzględniającą standardy społeczne, integrację wymagań CSRD z procesem onboardingu nowych dostawców. Szacowany budżet: 25 000–50 000 PLN.

Scenariusz 3: Inwestor zagraniczny. Fundusz private equity z Niderlandów nabywa spółkę dystrybucyjną w Polsce. W ramach due diligence transakcyjnego ESG bada łańcuch dostaw przejmowanej spółki. Dla inwestora zagranicznego wchodzącego na rynek polski kluczowe jest zrozumienie, że polskie regulacje nakładają obowiązki wynikające zarówno z prawa UE, jak i z ustawy o sygnalistach oraz przepisów AML. Weryfikacja beneficjentów rzeczywistych dostawców przez CRBR jest standardem, który należy wbudować w każdy proces M&A. Szacowany czas due diligence ESG łańcucha dostaw: 4–8 tygodni. Koszty dywidend wypłacanych przez przejętą spółkę regulują przepisy k.s.h. omówione w naszym materiale o dividend distribution rules for Polish companies.

Jakie błędy najczęściej popełniają polskie firmy przy ESG due diligence?

Błąd pierwszy i najkosztowniejszy: traktowanie ESG due diligence jako jednorazowego projektu. Spółki przeprowadzają ocenę dostawców raz na trzy lata i uznają temat za zamknięty. Tymczasem regulacje CSRD wymagają corocznego raportowania, a CS3D nakłada obowiązek ciągłego monitorowania. Ryzyko ESG u dostawcy może zmaterializować się w ciągu kilku miesięcy od ostatniego audytu – szczególnie przy dostawcach w krajach o niestabilnej sytuacji politycznej lub środowiskowej.

Błąd drugi: skupienie wyłącznie na dostawcach tier 1. W praktyce doradczej obserwujemy, że naruszenia ESG – szczególnie w obszarze praw pracowniczych i środowiskowym – koncentrują się często na poziomach tier 2 i tier 3. Audytorzy CSRD będą pytać o metodologię identyfikacji ryzyk w całym łańcuchu wartości, a nie tylko u bezpośrednich dostawców.

Błąd trzeci: brak dokumentacji metodologii. Compliance to proces, nie dokument – ale bez dokumentacji nie można udowodnić, że proces istnieje. Sprawozdanie zrównoważonego rozwoju musi opisywać, jak spółka identyfikuje i ocenia ryzyka ESG, jakie środki zaradcze wdrożyła i jak mierzy ich skuteczność. Spółki, które przeprowadziły rzetelne due diligence, ale nie udokumentowały procesu, są w takiej samej pozycji jak te, które tego nie zrobiły – z perspektywy audytora i regulatora.

Błąd czwarty: ignorowanie wymiaru AML w ocenie dostawców. Regulacje AML i ESG coraz bardziej się przenikają. Dostawca z nieprzejrzystą strukturą właścicielską to nie tylko ryzyko reputacyjne – to potencjalne naruszenie obowiązków należytej staranności w zakresie AML. CRBR jest narzędziem, które pozwala wykryć takie ryzyka szybko i bez kosztów.

Błąd piąty: niedoszacowanie kosztów wdrożenia. ESG due diligence w łańcuchach dostaw to inwestycja, nie koszt. Spółka, która zainwestuje 100 000 PLN w solidny system, unika ryzyka kar regulacyjnych, utraty kontraktów z wymagającymi klientami korporacyjnymi i szkód reputacyjnych, których wartość jest nieobliczalna. Whistleblower compliance – wdrożenie kanału zgłoszeń zgodnego z ustawą o sygnalistach – to element tego systemu, który chroni spółkę od wewnątrz.

Jak wygląda harmonogram i co przygotować przed wdrożeniem?

Realistyczny harmonogram wdrożenia systemu due diligence ESG w łańcuchach dostaw dla spółki średniej wielkości obejmuje cztery fazy rozłożone na 6–12 miesięcy. Faza pierwsza – mapowanie i ocena ryzyka (miesiące 1–2): inwentaryzacja dostawców, scoring ryzyka, identyfikacja hotspotów. Faza druga – wdrożenie procedur (miesiące 2–4): polityka zakupowa, kwestionariusze, klauzule umowne, kanał zgłoszeń. Faza trzecia – audyty i weryfikacja (miesiące 4–8): audyty dostawców wysokiego ryzyka, renegocjacja kontraktów, działania naprawcze. Faza czwarta – raportowanie i ciągłe monitorowanie (od miesiąca 9): integracja z procesem raportowania CSRD, cykliczne przeglądy.

Harmonogram może być krótszy – 3–4 miesiące – dla spółek z prostszym łańcuchem dostaw. Może być dłuższy – 18 miesięcy – dla grup kapitałowych z wieloma jurysdykcjami. Kluczowe jest, żeby zacząć teraz. Propozycja Omnibus przesuwa część terminów CSRD, ale nie eliminuje obowiązków. Spółki, które czekają na ostateczną treść przepisów, ryzykują, że nie zdążą z wdrożeniem.

Lista wszystkich dostawców z danymi kontaktowymi i kategorią zakupową.
Aktualne umowy z dostawcami – weryfikacja klauzul ESG i AML.
Wyniki poprzednich audytów lub ocen dostawców (jeśli istnieją).
Dokumentacja kanału zgłoszeń nieprawidłowości lub jego brak.

Spółki z udziałem inwestorów zagranicznych powinny dodatkowo sprawdzić, czy wymogi due diligence ESG nałożone przez spółkę matkę lub fundusz są spójne z polskimi regulacjami. Rozbieżności między standardami grupy a wymogami lokalnymi to częste źródło problemów. ESG reporting w Polsce podlega zarówno regulacjom unijnym, jak i wymogom GPW dla spółek notowanych – compliance lawyer Warsaw z doświadczeniem w prawie unijnym jest w tym kontekście niezbędny.

Konkretna sytuacja Państwa firmy – jej łańcuch dostaw, sektor i struktura własnościowa – determinuje, które elementy systemu wymagają pilnego wdrożenia. Opóźnienie może zamknąć drogę do niektórych kontraktów korporacyjnych i przetargów publicznych w sposób nieodwracalny.

Jeśli Państwa spółka stoi przed wdrożeniem due diligence ESG w łańcuchach dostaw i potrzebuje oceny stanu obecnego oraz planu działania – przeprowadzimy audyt luk, przygotujemy dokumentację i wesprzemy negocjacje z dostawcami: info@kordeckipartners.com.

Często zadawane pytania

P: Czy małe i średnie przedsiębiorstwa w Polsce mają już obowiązek prowadzenia due diligence ESG w łańcuchach dostaw?

O: Bezpośredni obowiązek raportowania CSRD dotyczy fali drugiej – dużych podmiotów spełniających co najmniej dwa z trzech kryteriów: suma bilansowa 110 mln PLN, przychody 220 mln PLN, 250 pracowników. Propozycja Omnibus przesuwa ten termin na rok 2028. Jednak MŚP są dotknięte pośrednio – jako dostawcy dla dużych spółek objętych CSRD, które przekazują im kwestionariusze i wymagają danych ESG. Praktyczny obowiązek pojawia się więc wcześniej niż formalny termin raportowania.

P: Ile kosztuje wdrożenie systemu due diligence ESG w łańcuchu dostaw?

O: Koszt zależy od złożoności łańcucha dostaw i liczby dostawców. Dla spółki z 30–50 dostawcami realistyczny budżet na zewnętrzne wsparcie prawne i doradcze wynosi od 40 000 do 100 000 PLN. Spółki z rozbudowanymi łańcuchami dostaw i dostawcami zagranicznymi powinny liczyć się z kosztami rzędu 150 000–300 000 PLN lub więcej. Inwestycja zwraca się przez uniknięcie kar regulacyjnych oraz utrzymanie dostępu do kontraktów z wymagającymi klientami korporacyjnymi.

P: Czy kanał zgłoszeń dla sygnalistów obejmuje również pracowników dostawców?

O: Artykuł 8 ustawy o sygnalistach nakłada na pracodawców zatrudniających co najmniej 50 pracowników obowiązek wdrożenia wewnętrznego kanału zgłoszeń. Ustawa wprost przewiduje, że kanał powinien być dostępny dla osób świadczących pracę na podstawie innych tytułów niż umowa o pracę – w tym dla podwykonawców i dostawców. Spółki, które ograniczają dostęp do kanału wyłącznie do własnych pracowników, narażają się na zarzut nienależytego wdrożenia dyrektywy o sygnalistach i ryzykują karę do 1 080 000 PLN.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance ESG, wdrożeń CSRD i due diligence w łańcuchach dostaw. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Data publikacji: 30.04.2026