ESRS – kroki wdrożeniowe dla polskich podmiotów

Firma produkcyjna z Mazowsza przez lata prowadziła wzorową dokumentację finansową. Kiedy w grudniu 2024 r. zarząd zorientował się, że spółka podlega obowiązkowi raportowania według ESRS, okazało się, że brakuje danych za cały rok obrotowy. Luka informacyjna była nie do uzupełnienia. Konsekwencja? Raport niezgodny z wymogami, ryzyko odpowiedzialności zarządu i utrata zaufania kluczowych kontrahentów.

Europejskie Standardy Raportowania Zrównoważonego Rozwoju (ESRS) to zestaw szczegółowych wymogów ujawnień wynikających z dyrektywy CSRD (Dyrektywa UE 2022/2464). Polskie podmioty objęte obowiązkiem raportowania muszą zbierać dane niefinansowe zgodne z ESRS od początku roku obrotowego, którego raport dotyczy. Pierwsze polskie fale obowiązkowe obejmują duże jednostki spełniające co najmniej dwa z trzech kryteriów: aktywa powyżej 110 mln PLN, przychody powyżej 220 mln PLN lub co najmniej 250 pracowników.

Ten przewodnik pokazuje krok po kroku, jak przeprowadzić wdrożenie ESRS – od analizy luki, przez zbieranie danych, po integrację z polityką compliance i obowiązkami sygnalistów. Omówimy trzy scenariusze biznesowe: producenta przemysłowego, spółkę IT oraz podmiot z udziałem inwestora zagranicznego.

Krok 1 – Ocena objęcia obowiązkiem i analiza luki: od czego zacząć?

Zanim spółka wyda złotówkę na oprogramowanie ESG, musi odpowiedzieć na jedno pytanie: czy i kiedy podlega obowiązkowi. CSRD przewiduje kilka fal wejścia w życie. Dla polskich podmiotów kluczowe jest sprawdzenie, czy spełniają dwa z trzech progów – aktywów, przychodów i zatrudnienia – na datę bilansową roku poprzedzającego raport. Zgodnie z nowelizacją ustawy o rachunkowości, podpisaną 12 grudnia 2024 r., Polska wdrożyła dyrektywę do prawa krajowego.

W praktyce – wiele firm o tym zapomina – obowiązek może dotyczyć spółki zależnej, nawet jeśli sama nie spełnia progów. Wystarczy, że spółka matka podlega CSRD i wymaga konsolidacji danych ESG od jednostek zależnych. Warto też sprawdzić, czy spółka jest notowana na rynku regulowanym, bo dla tych podmiotów terminy mogą być wcześniejsze.

Analiza luki (gap analysis) to pierwsze narzędzie praktyczne. Polega na porównaniu danych, które spółka aktualnie zbiera, z wymogami poszczególnych standardów ESRS. Standardy dzielą się na przekrojowe (ESRS 1 i ESRS 2) oraz tematyczne – środowiskowe (seria E), społeczne (seria S) i dotyczące ładu korporacyjnego (ESRS G1). Nie wszystkie muszą być stosowane w pełni od razu – zasada istotności (materiality) pozwala ograniczyć zakres ujawnień do kwestii rzeczywiście istotnych dla spółki.

Spółka produkcyjna z Śląska, którą obsługiwaliśmy wiosną 2025 r., po analizie luki ustaliła, że 60% wymaganych danych środowiskowych nie jest w ogóle zbieranych. To pozwoliło zaplanować harmonogram zbierania danych z wyprzedzeniem 18 miesięcy przed terminem raportu – zamiast gorączkować się na ostatniej prostej.

Sprawdź progi bilansowe na ostatni dzień roku poprzedzającego raport.
Zidentyfikuj powiązania grupowe i obowiązki konsolidacyjne.
Przeprowadź gap analysis względem ESRS 1, ESRS 2 i standardów tematycznych.
Oceń zakres przez pryzmat zasady istotności – nie każdy standard dotyczy każdej branży.
Udokumentuj wyniki w formie rejestru luk z przypisanymi właścicielami danych.

Krok 2 – Budowa struktury zbierania danych i integracja z compliance: jak to zorganizować?

Dane ESG rzadko leżą w jednym miejscu. Emisje CO₂ ma dział techniczny, dane pracownicze – HR, informacje o łańcuchu dostaw – zakupy, a dane o zarządzie i wynagrodzeniach – dział prawny lub CFO. Wdrożenie ESRS wymaga powołania wewnętrznego koordynatora ESG lub zespołu projektowego, który zbierze te strumienie danych w jeden spójny proces. Termin graniczny na zbudowanie tego procesu to co najmniej 12 miesięcy przed złożeniem pierwszego raportu.

Integracja z compliance to nie opcja, lecz konieczność. Polska ustawa o sygnalistach z 14 czerwca 2024 r. zobowiązuje pracodawców zatrudniających 50 lub więcej pracowników do prowadzenia wewnętrznego kanału zgłoszeń – zgodnie z art. 8 ustawy o sygnalistach. Kanał ten powinien obejmować możliwość zgłaszania nieprawidłowości ESG: naruszenia środowiskowe, dyskryminację czy korupcję w łańcuchu dostaw. Brak takiego kanału grozi karą do 1 080 000 PLN oraz odpowiedzialnością karną za działania odwetowe, zgodnie z art. 54 ustawy o sygnalistach.

Równolegle spółka powinna zweryfikować wpis do CRBR – Centralnego Rejestru Beneficjentów Rzeczywistych. Ujawnienia dotyczące ładu korporacyjnego w ramach ESRS G1 wymagają zgodności danych o strukturze właścicielskiej z danymi publicznymi. Rozbieżności między raportem ESG a CRBR mogą wzbudzić zainteresowanie organów nadzoru. W tym kontekście warto też sięgnąć po przewodnik dotyczący obowiązków AML compliance dla polskich spółek, który omawia powiązania między rejestrem beneficjentów a obowiązkami instytucji obowiązanych.

Spółka IT z Krakowa, obsługiwana przez nas jesienią 2024 r., zintegrowała zbieranie danych ESG bezpośrednio z systemem HR i narzędziem do zarządzania projektami. Czas potrzebny na comiesięczne raportowanie wewnętrzne skrócił się z 40 do 8 godzin. Kluczem było określenie odpowiedzialnych osób w każdym departamencie – nie IT, lecz właściciele biznesowi danych.

Dla spółek z udziałem inwestora zagranicznego warto pamiętać, że projekt programu compliance dla spółek zależnych we Francji działających w Polsce wskazuje na podobne wzorce integracji danych ESG z lokalnymi wymogami prawnymi. Metodologia jest transferowalna.

Krok 3 – Ocena istotności (double materiality): jak uniknąć najczęstszych błędów?

Ocena istotności podwójnej (double materiality) to serce ESRS. Polega na zbadaniu dwóch perspektyw jednocześnie: jak kwestie zrównoważonego rozwoju wpływają na spółkę finansowo (istotność finansowa) oraz jak działalność spółki wpływa na ludzi i środowisko (istotność wpływu). Wynik tej oceny decyduje, które standardy tematyczne spółka musi stosować w całości, a które może pominąć lub ograniczyć.

Najczęstszy błąd? Przeprowadzenie oceny istotności jako jednorazowego ćwiczenia na papierze, bez angażowania interesariuszy. ESRS wymaga udokumentowanego procesu konsultacji z pracownikami, kontrahentami, inwestorami i społecznościami lokalnymi. Brak dokumentacji tego procesu to prosta droga do zakwestionowania raportu przez biegłego rewidenta lub organ nadzoru.

Drugi błąd to zbyt wąskie spojrzenie na łańcuch wartości. ESRS E1 (zmiany klimatu) i ESRS S2 (pracownicy w łańcuchu wartości) wymagają danych nie tylko o własnej działalności, lecz także o dostawcach i odbiorcach. Dla polskiego producenta eksportującego do Niemiec oznacza to konieczność zbierania danych emisyjnych od poddostawców – często małych firm, które same nie raportują według ESRS.

Ocena istotności powinna być zakończona co najmniej 9 miesięcy przed datą raportu. Jej wyniki należy zatwierdzić uchwałą zarządu lub rady nadzorczej – to element dokumentacji wymaganej przez ESRS 2. Odpowiedzialność zarządu za rzetelność raportu ESG wpisuje się w ogólne zasady odpowiedzialności odszkodowawczej – zbliżone mechanizmy odpowiedzialności omawia analiza odpowiedzialności zarządu za zaległości podatkowe z art. 116 Ordynacji podatkowej.

Krok 4 – Weryfikacja, audyt i gotowość na kontrolę: co sprawdzi biegły rewident?

Od roku obrotowego objętego obowiązkiem CSRD raport zrównoważonego rozwoju podlega obowiązkowemu atestacji przez biegłego rewidenta – na poziomie ograniczonego zapewnienia (limited assurance) jako pierwszy etap, docelowo rozszerzonego zapewnienia (reasonable assurance). Biegły rewident sprawdza nie tylko dane liczbowe, lecz przede wszystkim kompletność i spójność procesu zbierania danych, dokumentację oceny istotności oraz zgodność ujawnień z wymogami ESRS.

W praktyce biegły rewident będzie pytał o cztery rzeczy. Po pierwsze, czy ocena istotności jest udokumentowana i zatwierdzona przez zarząd. Po drugie, czy dane są zbierane systematycznie z możliwością prześledzenia ścieżki audytu (audit trail). Po trzecie, czy polityki i cele ESG są osadzone w dokumentach wewnętrznych spółki – nie tylko w raporcie. Po czwarte, czy kanał zgłoszeń dla sygnalistów działa i jest dostępny dla pracowników.

Spółka przemysłowa z Wielkopolski, przygotowywana przez nas do pierwszej atestacji zimą 2025 r., odkryła na 6 tygodni przed terminem, że dane o zużyciu energii za I kwartał były zbierane metodologią niezgodną z GHG Protocol. Korekta wymagała ponownego zebrania danych od 12 zakładów produkcyjnych. Gdyby audyt wewnętrzny był przeprowadzony wcześniej, korekta zajęłaby 3 dni zamiast 3 tygodni.

Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie wewnętrznego mock audytu na 4–6 miesięcy przed terminem złożenia raportu. Pozwala to zidentyfikować luki bez presji czasu i odpowiedzialności zewnętrznej. Koszt takiego przeglądu – od kilku do kilkudziesięciu tysięcy złotych – jest wielokrotnie niższy niż koszt korekty po atestacji lub ryzyko negatywnej opinii biegłego.

Często zadawane pytania

P: Kiedy dokładnie polska spółka musi złożyć pierwszy raport według ESRS?

O: Termin zależy od fali, do której spółka należy. Podmioty spełniające dwa z trzech kryteriów (aktywa powyżej 110 mln PLN, przychody powyżej 220 mln PLN, co najmniej 250 pracowników) są objęte obowiązkiem raportowania za rok obrotowy 2025, z terminem złożenia raportu w 2026 roku – zgodnie z nowelizacją ustawy o rachunkowości z grudnia 2024 roku. Propozycja Omnibus przewiduje przesunięcie tej fali do 2028 roku, jednak na dzień przygotowania tego materiału zmiana nie jest jeszcze ostateczna. Spółki powinny przygotowywać się do wcześniejszego terminu jako wariantu ostrożnościowego.

P: Czy mała spółka zależna dużej grupy musi raportować według ESRS samodzielnie?

O: Niekoniecznie samodzielnie – ale prawie zawsze musi dostarczyć dane. Spółka zależna może być zwolniona z obowiązku samodzielnego sporządzenia raportu, jeśli jej dane są objęte skonsolidowanym raportem spółki matki. Wymaga to jednak spełnienia warunków formalnych, w tym ujawnienia informacji o zwolnieniu w sprawozdaniu finansowym. W praktyce spółka zależna i tak musi zbierać dane według metodologii ESRS – tylko odbiorcą raportu jest spółka matka, nie rynek. To powszechne nieporozumienie prowadzi do opóźnień w budowie systemów zbierania danych.

P: Ile kosztuje wdrożenie ESRS dla średniej polskiej spółki?

O: Koszt wdrożenia zależy od stopnia gotowości organizacji, liczby standardów tematycznych do zastosowania i wybranego oprogramowania ESG. Dla średniej spółki przemysłowej zatrudniającej 300–500 pracowników szacunkowy koszt pierwszego wdrożenia wynosi od 150 000 do 400 000 PLN – obejmując doradztwo, oprogramowanie, szkolenia i koszty atestacji. Koszty kolejnych lat są znacznie niższe, bo infrastruktura jest już zbudowana. Warto uwzględnić te kwoty w budżecie co najmniej 18 miesięcy przed terminem raportu, bo przetargi na oprogramowanie ESG trwają od 3 do 6 miesięcy.

Konkretna sytuacja Państwa spółki – zakres obowiązku, terminy i stan przygotowania danych – wymaga indywidualnej oceny. Brak działania teraz zamyka drogę do spokojnego wdrożenia i może prowadzić do nieodwracalnych luk w danych za rok obrotowy 2025.

Jeśli Państwa spółka spełnia progi CSRD lub jest częścią grupy podlegającej obowiązkowi – przeprowadzimy analizę luki, zaprojektujemy strukturę zbierania danych i przygotujemy Państwa do atestacji: info@kordeckipartners.com.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ESG compliance, wdrożeń CSRD i ESRS oraz projektowania programów compliance. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

O autorce

Anna Witkowska specjalizuje się w compliance, ESG i dochodzeniach wewnętrznych.

Opublikowano: 10.05.2026