Firma produkcyjna z Mazowsza podpisuje kontrakt z nowym dostawcą z Azji Południowo-Wschodniej. Audyt finansowy przechodzi bez zastrzeżeń. Trzy miesiące później okazuje się, że dostawca korzysta z pracy przymusowej, a dane trafiają do mediów branżowych. Kontrakt zerwany, reputacja nadwyrężona, a zarząd odpowiada na pytania rady nadzorczej. Scenariusz znajomy – i coraz częstszy.
Due diligence ESG w łańcuchach dostaw to obowiązek identyfikacji, oceny i ograniczania ryzyk środowiskowych, społecznych i z zakresu ładu korporacyjnego u dostawców i podwykonawców. Podstawę prawną wyznaczają dyrektywa CSRD (Dyrektywa UE 2022/2464), implementowana do polskiej ustawy o rachunkowości nowelizacją podpisaną 12 grudnia 2024 r., oraz unijne rozporządzenie o należytej staranności w łańcuchach dostaw. Koszty braku działania – utrata kontraktów, kary administracyjne, odpowiedzialność cywilna – są nieodwracalne.
Przewodnik prowadzi przez cztery etapy: mapowanie łańcucha dostaw, ocenę ryzyk ESG, wdrożenie mechanizmów kontrolnych oraz raportowanie. Każdy etap zawiera harmonogram, orientacyjne koszty i typowe błędy. Trzy scenariusze biznesowe – producent, firma IT i inwestor zagraniczny – pokazują, jak procedura wygląda w praktyce.
Dlaczego polskie firmy muszą działać już teraz?
Obowiązek sprawozdawczości ESG dotyczy polskich przedsiębiorstw szerzej, niż większość zarządów sądzi. CSRD objęła pierwszą falą podmioty już raportujące w ramach NFRD (raporty za rok 2024). Druga fala – duże jednostki spełniające dwa z trzech kryteriów: aktywa powyżej 110 mln PLN, przychody powyżej 220 mln PLN lub 250 pracowników – została przesunięta do 2028 r. w ramach pakietu Omnibus. To nie oznacza, że można czekać.
Polska Komisja Nadzoru Finansowego (KNF) i Urząd Ochrony Konkurencji i Konsumentów (UOKiK) sygnalizują wzmożone zainteresowanie ujawnieniami ESG spółek giełdowych. Centralny Rejestr Beneficjentów Rzeczywistych (CRBR) dostarcza danych o strukturach właścicielskich dostawców – i jest coraz częściej wykorzystywany w procedurach AML i due diligence. Brak spójnych danych o łańcuchu dostaw nie jest dziś problemem formalnym. Jest problemem reputacyjnym i handlowym.
Firmy, które wdrożyły procedury wcześniej, raportują trzy efekty. Po pierwsze – krótszy czas reakcji na zapytania audytorów. Po drugie – łatwiejszy dostęp do finansowania ESG-linked. Po trzecie – przewagę w przetargach z klauzulami due diligence. W praktyce – wiele firm o tym zapomina – pierwsze zapytanie od zagranicznego kontrahenta o politykę ESG w łańcuchu dostaw bywa nieprzyjemnym zaskoczeniem.
Termin „compliance lawyer Warsaw" pojawia się w zapytaniach firm, które szukają wsparcia dopiero po problemie. Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie oceny gotowości przed pierwszym audytem zewnętrznym – a nie w jego trakcie.
Jak przeprowadzić mapowanie łańcucha dostaw – krok po kroku?
Mapowanie to pierwszy i najczęściej niedoceniany etap. Jego celem jest identyfikacja wszystkich podmiotów bezpośrednio i pośrednio zaangażowanych w łańcuch dostaw – od surowca do produktu końcowego. Bez aktualnej mapy nie ma możliwości oceny ryzyk ESG. Standardowy projekt mapowania dla firmy produkcyjnej o 50–100 dostawcach trwa 6–10 tygodni.
Etap pierwszy to zebranie danych wewnętrznych. Dział zakupów dostarcza listy dostawców z ostatnich 24 miesięcy. Dział prawny weryfikuje umowy pod kątem klauzul ESG i AML. Dział finansowy sprawdza dane z CRBR dla dostawców powyżej progu wartości kontraktu – zwykle przyjmuje się próg 100 000 PLN rocznie. Etap trwa 2–3 tygodnie.
Etap drugi to segmentacja ryzyk. Dostawcy dzieleni są na trzy grupy:
- Grupa A – wysokie ryzyko ESG (kraje o niskich standardach pracy, sektory wydobywcze, podwykonawcy bez certyfikatów)
- Grupa B – średnie ryzyko (dostawcy z UE bez wdrożonego systemu compliance)
- Grupa C – niskie ryzyko (certyfikowani dostawcy z UE z udokumentowanymi procedurami)
Etap trzeci to weryfikacja zewnętrzna dla grupy A. Obejmuje kwestionariusze ESG, żądanie dokumentacji (certyfikaty ISO 14001, SA8000, raporty audytów), a w przypadku kontraktów powyżej 500 000 PLN – audyt na miejscu lub zlecenie go akredytowanej firmie audytorskiej. Koszt audytu zewnętrznego u jednego dostawcy wynosi od 8 000 do 30 000 PLN, zależnie od lokalizacji i zakresu.
Producent chemiczny z Górnego Śląska przeprowadził mapowanie 78 dostawców jesienią 2024 r. Zidentyfikował czterech dostawców grupy A w Azji, z których dwóch nie było w stanie dostarczyć dokumentacji potwierdzającej warunki zatrudnienia. Kontrakt z jednym rozwiązano w trybie klauzuli ESG – bez sporu sądowego, bo klauzula była właściwie sformułowana.
Jakie mechanizmy kontrolne chronią przed ryzykiem ESG w łańcuchu dostaw?
Mapowanie bez mechanizmów kontrolnych to ćwiczenie akademickie. Skuteczny system składa się z trzech warstw: klauzul umownych, kanałów zgłoszeń i procedur reakcji na incydenty. Każda warstwa ma swoje wymagania prawne i praktyczne.
Warstwa pierwsza – klauzule umowne ESG. Każda nowa umowa z dostawcą grupy A i B powinna zawierać klauzulę zobowiązującą do przestrzegania kodeksu postępowania ESG, prawa do audytu oraz możliwości rozwiązania umowy w przypadku naruszenia. Klauzula musi być precyzyjna – ogólne odwołanie do „wartości ESG" nie wystarczy w sporze przed sądem.
Warstwa druga – kanał zgłoszeń (whistleblower channel). Art. 8 ustawy o sygnalistach nakłada na pracodawców zatrudniających 50 lub więcej pracowników obowiązek ustanowienia wewnętrznego kanału zgłoszeń. Kanał musi umożliwiać anonimowe zgłaszanie naruszeń, w tym naruszeń w łańcuchu dostaw. Szczegółowe wymagania techniczne kanału zgłoszeń obejmują szyfrowanie, odrębne zarządzanie dostępem i procedurę potwierdzenia przyjęcia zgłoszenia w ciągu 7 dni. Brak kanału grozi karą do 1 080 000 PLN.
Warstwa trzecia – procedura reakcji na incydenty. Firma IT z Krakowa wdrożyła w I kwartale 2025 r. procedurę 48-godzinnej reakcji na zgłoszenia dotyczące dostawców. Procedura obejmuje: blokadę płatności, powołanie zespołu dochodzeniowego i notyfikację zarządu. Koszt wdrożenia procedury – 15 000–25 000 PLN przy wsparciu zewnętrznego doradcy prawnego.
Compliance to proces, nie dokument. Mechanizmy kontrolne wymagają corocznego przeglądu – zmieniają się standardy, zmienia się baza dostawców. Projektowanie programu compliance dla spółek zależnych pokazuje, jak ujednolicić standardy w strukturach wielopodmiotowych – co jest szczególnie istotne dla grup kapitałowych z dostawcami w kilku jurysdykcjach.
Jak wygląda raportowanie ESG i jakie błędy najczęściej popełniają firmy?
Raportowanie ESG w łańcuchu dostaw to nie tylko wypełnienie formularza. To udokumentowanie procesu – od mapowania, przez ocenę ryzyk, po podjęte działania naprawcze. CSRD wymaga ujawnienia informacji zgodnie ze standardami ESRS (European Sustainability Reporting Standards), w tym ESRS S2 dotyczącym pracowników w łańcuchu wartości. Pierwszy raport dla podmiotów drugiej fali musi obejmować rok obrotowy 2028.
Najczęstszy błąd to mylenie raportowania z działaniem. Firmy opisują polityki, które nie są wdrożone. Audytor zewnętrzny (biegły rewident lub firma audytorska uprawniona przez KNF) weryfikuje nie tylko dokumenty, ale dowody działania: listy audytów, rejestry incydentów, korespondencję z dostawcami. Brak dowodów = brak wiarygodności raportu.
Drugi błąd to niedoszacowanie zakresu łańcucha wartości. ESRS S2 obejmuje nie tylko dostawców bezpośrednich, ale całą „upstream value chain" – czyli dostawców dostawców. Dla firmy produkcyjnej może to oznaczać setki podmiotów. Praktyczne rozwiązanie to podejście oparte na ryzyku: pełna dokumentacja dla grupy A, kwestionariusze dla grupy B, deklaracje dla grupy C.
Trzeci błąd dotyczy kwestii pracowniczych. Mobbing i molestowanie w zakładach dostawców to ryzyko ESG objęte ESRS S2. Obowiązki pracodawcy w zakresie mobbingu według prawa polskiego są punktem wyjścia do formułowania wymagań wobec dostawców krajowych. Brak takich wymagań w umowie to luka, którą audytor zewnętrzny odnotuje.
Harmonogram przygotowania do raportowania dla firmy drugiej fali CSRD: 2025 r. – mapowanie i segmentacja; 2026 r. – wdrożenie mechanizmów kontrolnych i kanału zgłoszeń; 2027 r. – pierwsze ćwiczebne raportowanie wewnętrzne; 2028 r. – raport za rok obrotowy zgodny z ESRS.
Budżet roczny dla średniej firmy produkcyjnej (przychody 150–300 mln PLN): mapowanie i audyty dostawców 40 000–80 000 PLN, system IT do zarządzania danymi ESG 20 000–50 000 PLN, doradztwo prawne i audyt raportu 30 000–60 000 PLN. Łącznie: 90 000–190 000 PLN rocznie. To ułamek kosztu jednego incydentu reputacyjnego.
Konkretna sytuacja Państwa firmy – liczba dostawców, sektory, jurysdykcje – determinuje zakres i koszt procedury. Pominięcie etapu mapowania lub wdrożenie pozornych mechanizmów kontrolnych zamyka drogę do wiarygodnego raportowania i naraża zarząd na odpowiedzialność osobistą wobec rady nadzorczej i akcjonariuszy.
Jeśli Państwa spółka przygotowuje się do pierwszego audytu ESG lub weryfikuje zgodność z wymogami CSRD – przeprowadzimy ocenę gotowości, mapowanie dostawców i projekt dokumentacji: info@kordeckipartners.com.
Często zadawane pytania
P: Od kiedy moja firma musi raportować ESG zgodnie z CSRD w Polsce?
O: Zależy to od wielkości jednostki. Podmioty objęte dotychczasową dyrektywą NFRD raportują za rok 2024 (raporty składane w 2025 r.). Duże jednostki spełniające dwa z trzech kryteriów – aktywa powyżej 110 mln PLN, przychody powyżej 220 mln PLN lub 250 pracowników – zostały objęte obowiązkiem od roku obrotowego 2028 zgodnie z pakietem Omnibus. Wdrożenie procedur należytej staranności w łańcuchu dostaw powinno jednak rozpocząć się co najmniej dwa lata przed pierwszym raportem, aby dysponować udokumentowanymi dowodami działania.
P: Czy obowiązek ustanowienia kanału zgłoszeń dotyczy małych firm?
O: Artykuł 8 ustawy o sygnalistach z 14 czerwca 2024 r., obowiązującej od 25 września 2024 r., nakłada obowiązek wewnętrznego kanału zgłoszeń na każdego pracodawcę zatrudniającego co najmniej 50 pracowników. Powszechnym nieporozumieniem jest przekonanie, że kanał dotyczy wyłącznie naruszeń wewnętrznych – ustawa wprost obejmuje zgłoszenia dotyczące łańcucha dostaw i kontrahentów. Za brak kanału grozi kara do 1 080 000 PLN oraz do 3 lat pozbawienia wolności za działania odwetowe wobec sygnalisty.
P: Ile kosztuje pełne due diligence ESG łańcucha dostaw i jak długo trwa?
O: Dla firmy z 50–100 dostawcami, przy wsparciu zewnętrznego doradcy, pełne mapowanie i pierwsza ocena ryzyk trwają 8–14 tygodni. Koszt zależy od liczby dostawców grupy A wymagających audytu na miejscu – każdy audyt to 8 000–30 000 PLN. Całkowity budżet pierwszego wdrożenia wynosi zazwyczaj 60 000–150 000 PLN. Firmy, które przeprowadziły due diligence wcześniej, ponoszą niższe koszty utrzymania systemu w kolejnych latach – zwykle 40–60% kosztu pierwszego wdrożenia.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance ESG, raportowania CSRD i due diligence w łańcuchach dostaw. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.