Firma z Mazowsza wygrała przetarg na dofinansowanie z Krajowego Planu Odbudowy. Umowę podpisano. Środki wpłynęły. A potem – audyt. Kontrolerzy zażądali dokumentacji systemu sygnalistów, rejestru beneficjentów rzeczywistych, polityki AML i raportu ESG. Beneficjent nie miał żadnego z tych dokumentów. Efekt: zawieszenie płatności i żądanie zwrotu zaliczki.
Compliance funduszy UE – wymagania KPO i RRF – to zbiór obowiązków regulacyjnych, które beneficjent musi spełnić nie tylko przed podpisaniem umowy o dofinansowanie, ale przez cały okres realizacji projektu i trwałości. Podstawą są rozporządzenie RRF (UE) 2021/241, przepisy krajowe wdrażające KPO, ustawa o sygnalistach z 14 czerwca 2024 r. oraz regulacje CSRD, AML i CRBR. Naruszenie któregokolwiek z tych wymogów grozi korektą finansową do 100% wartości dofinansowania.
Ten przewodnik omawia pięć filarów compliance: ramy regulacyjne, kluczowe instrumenty, typowe pułapki operacyjne, aspekty transgraniczne oraz listę kontrolną gotowości. Każdy filar przekłada się bezpośrednio na ryzyko utraty środków – lub szansę na ich skuteczne pozyskanie i utrzymanie.
Jakie przepisy regulują compliance funduszy UE w ramach KPO i RRF?
Podstawą prawną jest rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/241 ustanawiające Instrument na rzecz Odbudowy i Zwiększania Odporności. Polska uzyskała dostęp do środków KPO po spełnieniu kamieni milowych wymaganych przez Komisję Europejską. Każdy kamień milowy ma swoją datę graniczną – opóźnienie blokuje kolejną transzę dla całego kraju, nie tylko dla jednego beneficjenta.
Na poziomie krajowym kluczowe są: ustawa z 6 grudnia 2006 r. o zasadach prowadzenia polityki rozwoju, rozporządzenia wykonawcze ministra właściwego ds. funduszy oraz umowy o dofinansowanie zawierane z instytucjami wdrażającymi (PARP, BGK, NCBR, ARiMR). Każda umowa inkorporuje warunki horyzontalne – m.in. obowiązek prowadzenia CRBR, wdrożenia systemu sygnalistów i przestrzegania polityki AML.
Instytucje kontrolne działające równolegle to: Ministerstwo Funduszy i Polityki Regionalnej (MFiPR), Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF), Prokuratura Europejska (EPPO) oraz Najwyższa Izba Kontroli (NIK). W praktyce – beneficjent może być kontrolowany przez cztery różne podmioty w tym samym czasie. Każdy z nich stosuje własne standardy dowodowe.
Regulacje ESG raportowania tworzą dodatkową warstwę. CSRD (dyrektywa 2022/2464) nakłada obowiązki sprawozdawcze, które Komisja weryfikuje przy ocenie zgodności z celami klimatycznymi KPO. Beneficjenci realizujący projekty „zielone" muszą wykazać zgodność z taksonomią UE – w szczególności z zasadą DNSH (Do No Significant Harm).
Warto podkreślić jeden fakt praktyczny: wymagania compliance nie są statyczne. Zmieniają się wraz z kolejnymi transzami KPO. Beneficjent, który spełnił wymogi przy podpisaniu umowy w 2023 r., musi weryfikować ich aktualność co najmniej raz na kwartał. Brak tej weryfikacji jest jednym z najczęstszych powodów korekt finansowych.
Dla beneficjentów z udziałem kapitału zagranicznego dochodzi jeszcze kontrola UOKiK w zakresie inwestycji zagranicznych. Szczegóły dotyczące tych uprawnień omawia analiza kontroli inwestycji zagranicznych – uprawnienia UOKiK.
Które instrumenty compliance są obowiązkowe dla beneficjenta KPO?
Beneficjent KPO jest zobowiązany do wdrożenia co najmniej pięciu instrumentów compliance przed pierwszą wypłatą środków. Brak któregokolwiek z nich stanowi podstawę do wstrzymania płatności. Termin na uzupełnienie braków wynosi zazwyczaj 14 dni od wezwania instytucji wdrażającej – po tym czasie wszczyna się procedurę odzyskiwania środków.
Rejestr CRBR. Każda spółka będąca beneficjentem musi figurować w Centralnym Rejestrze Beneficjentów Rzeczywistych z aktualnymi danymi. CRBR jest powiązany z KRS – zmiana w strukturze właścicielskiej musi być zgłoszona w ciągu 7 dni. Instytucja wdrażająca weryfikuje wpisy w CRBR automatycznie przy każdej płatności pośredniej.
System sygnalistów. Zgodnie z art. 8 ustawy o sygnalistach z 14 czerwca 2024 r., każdy pracodawca zatrudniający co najmniej 50 osób ma obowiązek wdrożenia wewnętrznego kanału zgłoszeń. Dla beneficjentów KPO próg ten jest zaostrzony – instytucje wdrażające wymagają systemu sygnalistów niezależnie od liczby zatrudnionych, jeśli wartość projektu przekracza 500 000 PLN.
Polityka AML. Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu nakłada obowiązki identyfikacji i weryfikacji klientów. Beneficjenci prowadzący działalność w sektorach podwyższonego ryzyka (fintech, nieruchomości, doradztwo) podlegają rozszerzonym wymogom due diligence. Brak aktualnej oceny ryzyka AML to jeden z trzech najczęstszych zarzutów w protokołach pokontrolnych OLAF.
ESG raportowanie. Projekty finansowane z komponentów klimatycznych KPO wymagają raportowania ESG zgodnego z CSRD. Dotyczy to przede wszystkim inwestycji infrastrukturalnych, energetycznych i transportowych. Beneficjenci spoza kręgu podmiotów objętych CSRD Wave 1 i Wave 2 mogą być zobowiązani do raportowania uproszczonego – na podstawie warunków umowy o dofinansowanie, nie przepisów ogólnych.
W praktyce – wiele firm o tym zapomina – compliance nie kończy się na wdrożeniu instrumentów. Równie ważne jest ich dokumentowanie: protokoły z posiedzeń zarządu, logi systemu zgłoszeń, aktualizacje polityk. Kontroler ocenia nie tylko to, czy system istnieje, ale czy faktycznie działa.
Mikro-przypadek: podmiot IT z Trójmiasta wdrożył system sygnalistów w lipcu 2024 r. Podczas kontroli w grudniu 2024 r. nie mógł jednak przedstawić żadnych dowodów na szkolenie pracowników ani regulaminu kanału zgłoszeń. Instytucja wdrażająca nałożyła korektę finansową w wysokości 5% wartości projektu – mimo że system technicznie działał.
Jakie pułapki operacyjne najczęściej prowadzą do korekt finansowych?
Korekty finansowe w projektach KPO i RRF rzadko wynikają z celowych nadużyć. Zdecydowanie częściej są skutkiem błędów proceduralnych, które można było przewidzieć. Trzy kategorie błędów odpowiadają za ponad 70% wszystkich korekt identyfikowanych przez OLAF w polskich projektach.
Błędy w dokumentacji zamówień. Beneficjenci są zobowiązani do stosowania prawa zamówień publicznych lub – w przypadku podmiotów prywatnych – do przestrzegania zasad konkurencyjności określonych w wytycznych MFiPR. Najczęstszy błąd to pominięcie obowiązku publikacji zapytania ofertowego w Bazie Konkurencyjności. Skutek: korekta 25% wartości danego zamówienia.
Brak aktualności danych CRBR. Zmiana wspólnika lub restrukturyzacja udziałów podczas realizacji projektu bez aktualizacji CRBR w ciągu 7 dni to podstawa do wstrzymania płatności. W projektach wieloletnich zmiany właścicielskie są częste – a procedura aktualizacji CRBR jest często pomijana w wewnętrznych procesach compliance.
Niespójność w raportowaniu ESG. Projekty deklarujące zgodność z celami klimatycznymi muszą wykazać tę zgodność na każdym etapie rozliczenia. Zmiana zakresu projektu – np. zastąpienie paneli fotowoltaicznych innymi źródłami energii – bez aktualizacji oceny DNSH prowadzi do zakwestionowania całego komponentu zielonego. Wartość takich korekt może sięgać 100% dofinansowania dla danego komponentu.
Odrębną kategorią są błędy transgraniczne. Beneficjenci z udziałem podmiotów z państw trzecich muszą weryfikować, czy partnerzy projektu nie figurują na listach sankcyjnych. OLAF stosuje tu standard „powinien wiedzieć" – nieznajomość listy sankcyjnej nie jest okolicznością łagodzącą. Aktualne zmiany w podejściu do raportowania ESG i ich wpływ na projekty KPO omawia analiza CSRD Omnibus i Stop the Clock.
Mikro-przypadek: spółka budowlana z Podkarpacia zmieniła podwykonawcę w trakcie projektu infrastrukturalnego w lutym 2025 r. Nowy podwykonawca był zarejestrowany na Cyprze. Beneficjent nie przeprowadził weryfikacji AML dla nowego kontrahenta. Kontrola EPPO wszczęta w marcu 2025 r. zakwestionowała 40% wartości projektu.
Uważamy, że bezpieczniejszym rozwiązaniem jest wdrożenie systemu alertów compliance na poziomie zarządu – z kwartalnym przeglądem statusu CRBR, AML i sygnalistów. Koszt takiego systemu jest wielokrotnie niższy niż koszt jednej korekty finansowej.
Konkretna sytuacja Państwa firmy wymaga oceny, które z powyższych ryzyk są dla niej aktualne. Nieodwracalna utrata dofinansowania zaczyna się od pierwszego protokołu pokontrolnego – nie od decyzji o korekcie.
Jeśli Państwa spółka realizuje projekt KPO o wartości powyżej 1 000 000 PLN i nie ma aktualnego przeglądu compliance – przeprowadzimy audyt gotowości, identyfikację luk i wdrożenie brakujących instrumentów: info@kordeckipartners.com.
Jak wymagania KPO wpływają na podmioty z kapitałem zagranicznym?
Dla zagranicznego inwestora wchodzącego na rynek polski z projektem finansowanym z KPO compliance ma dwa wymiary: krajowy i unijny. Wymiar krajowy obejmuje wszystkie instrumenty opisane powyżej. Wymiar unijny dodaje obowiązki wynikające z rozporządzenia RRF, taksonomii UE oraz – w przypadku podmiotów finansowych – DORA.
Beneficjenci z udziałem kapitału spoza UE podlegają dodatkowo weryfikacji przez UOKiK w ramach ustawy o kontroli inwestycji zagranicznych. Jeśli wartość projektu przekracza progi ustawowe, brak zgody UOKiK blokuje nie tylko projekt, ale i samą strukturę właścicielską. Procedura uzyskania zgody trwa do 90 dni – co musi być uwzględnione w harmonogramie projektu.
Podmioty z siedzibą w państwach trzecich muszą też wykazać zgodność z unijnymi regulacjami AML. Komisja Europejska weryfikuje, czy beneficjent nie pochodzi z jurysdykcji figurującej na liście wysokiego ryzyka FATF. W 2025 r. na liście tej znajdowały się m.in. Rosja, Białoruś i kilka jurysdykcji azjatyckich.
Osobną kwestią jest raportowanie ESG dla podmiotów z grupy kapitałowej. Jeśli spółka matka podlega CSRD Wave 1 lub Wave 2, a spółka-córka realizuje projekt KPO, instytucja wdrażająca może wymagać raportowania skonsolidowanego. Brak skonsolidowanego raportu ESG jest traktowany jako naruszenie warunków umowy o dofinansowanie – nawet jeśli spółka-córka samodzielnie nie przekracza progów CSRD.
Inwestorzy niemieccy i skandynawscy – którzy najczęściej realizują projekty KPO przez polskie spółki zależne – napotykają dodatkowe wyzwanie: rozbieżność między polską ustawą o sygnalistach a przepisami macierzystymi. Polska ustawa z 14 czerwca 2024 r. wymaga prowadzenia kanału zgłoszeń w języku polskim. Systemy grupowe działające wyłącznie w języku angielskim lub niemieckim nie spełniają tego wymogu.
Co powinna zawierać lista kontrolna compliance przed rozliczeniem projektu KPO?
Skuteczne rozliczenie projektu KPO wymaga gotowości dokumentacyjnej na 30 dni przed złożeniem wniosku o płatność końcową. Instytucja wdrażająca przeprowadza weryfikację ex-ante – brakujące dokumenty wstrzymują wypłatę, a nie tylko opóźniają. Poniższa lista kontrolna obejmuje minimum wymagane przez większość instytucji wdrażających.
- CRBR: aktualny wpis z datą ostatniej aktualizacji nie starszą niż 30 dni przed złożeniem wniosku
- System sygnalistów: regulamin kanału zgłoszeń, dowód wdrożenia (protokół zarządu), logi systemu za ostatnie 12 miesięcy, potwierdzenie szkoleń pracowniczych
- Polityka AML: aktualna ocena ryzyka (nie starsza niż 12 miesięcy), procedura KYC dla wykonawców i podwykonawców, lista zweryfikowanych kontrahentów
- ESG raportowanie: ocena DNSH dla każdego komponentu projektu, raport ESG lub oświadczenie o niestosowaniu CSRD z uzasadnieniem, dokumentacja zgodności z taksonomią UE
- Zamówienia: dokumentacja Bazy Konkurencyjności, protokoły wyboru wykonawców, umowy z podwykonawcami z klauzulami compliance
Każda z powyższych pozycji powinna być przechowywana przez co najmniej 5 lat od daty płatności końcowej. W przypadku projektów infrastrukturalnych – przez 10 lat. Zniszczenie lub utrata dokumentacji jest traktowana jak brak dokumentacji.
Trzy scenariusze biznesowe ilustrują zakres ryzyk. Producent z Małopolski realizujący projekt modernizacji linii produkcyjnej musi wykazać zgodność DNSH dla każdej zakupionej maszyny – nie tylko dla projektu jako całości. Firma IT z Warszawy wdrażająca system cyfrowy musi zapewnić kanał sygnalistów w polskiej wersji językowej, nawet jeśli wszyscy pracownicy posługują się angielskim. Inwestor z Niemiec zakładający spółkę-córkę do realizacji projektu energetycznego musi uzyskać zgody UOKiK i dostarczyć skonsolidowany raport ESG grupy.
Compliance funduszy UE to nie jednorazowe wdrożenie. To ciągły proces weryfikacji i aktualizacji – przez cały okres realizacji projektu i przez lata trwałości. Firmy, które to rozumieją, rzadziej tracą dofinansowanie.
Konkretna sytuacja Państwa spółki – zwłaszcza jeśli projekt jest w trakcie realizacji, a przegląd compliance nie był przeprowadzany od ponad 6 miesięcy – wymaga natychmiastowej oceny. Nieodwracalna utrata środków zaczyna się od pierwszego wezwania instytucji wdrażającej, nie od decyzji o korekcie.
Jeśli Państwa spółka realizuje projekt KPO lub RRF i chce zweryfikować gotowość dokumentacyjną przed kolejnym wnioskiem o płatność – przeprowadzimy przegląd compliance, identyfikację luk i wdrożenie brakujących procedur: info@kordeckipartners.com.
Często zadawane pytania
P: Czy każdy beneficjent KPO musi wdrożyć system sygnalistów, nawet jeśli zatrudnia mniej niż 50 osób?
O: Ustawa o sygnalistach z 14 czerwca 2024 roku nakłada obowiązek wdrożenia wewnętrznego kanału zgłoszeń na pracodawców zatrudniających co najmniej 50 osób. Jednak instytucje wdrażające KPO – w szczególności PARP i BGK – wymagają wdrożenia systemu sygnalistów jako warunku umowy o dofinansowanie, niezależnie od liczby zatrudnionych, jeśli wartość projektu przekracza 500 000 PLN. W praktyce oznacza to, że małe firmy realizujące projekty KPO są objęte surowszymi wymogami niż wynikałoby to z samej ustawy. Brak systemu sygnalistów jest podstawą do wstrzymania płatności pośredniej.
P: Ile kosztuje i jak długo trwa wdrożenie pełnego systemu compliance dla projektu KPO?
O: Czas wdrożenia pełnego systemu compliance – obejmującego CRBR, AML, sygnalistów i podstawowe ESG raportowanie – wynosi od 4 do 8 tygodni, w zależności od złożoności struktury właścicielskiej i liczby podwykonawców. Koszt zewnętrznego wsparcia prawnego mieści się zazwyczaj w przedziale 15 000 – 45 000 PLN dla projektu o wartości do 5 000 000 PLN. Dla porównania: pojedyncza korekta finansowa za brak dokumentacji AML wynosi zwykle 25% wartości zakwestionowanego zamówienia. Wdrożenie systemu compliance przed podpisaniem umowy o dofinansowanie jest zawsze tańsze niż jego brak.
P: Czy zmiana struktury właścicielskiej w trakcie realizacji projektu KPO wymaga zgody instytucji wdrażającej?
O: Tak – i to jest jeden z najczęstszych błędów beneficjentów. Zmiana struktury właścicielskiej w trakcie realizacji projektu wymaga zarówno aktualizacji danych w Centralnym Rejestrze Beneficjentów Rzeczywistych w ciągu 7 dni, jak i powiadomienia instytucji wdrażającej w terminie wskazanym w umowie o dofinansowanie – zazwyczaj 14 dni. Brak powiadomienia jest traktowany jako naruszenie warunków umowy i może skutkować korektą finansową lub rozwiązaniem umowy. Jeśli nowy właściciel pochodzi z państwa trzeciego, może być konieczna dodatkowa weryfikacja UOKiK.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance funduszy UE, ESG raportowania i procedur KPO. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Autorem publikacji jest Anna Witkowska – radca prawny specjalizująca się w compliance, ESG i dochodzeniach wewnętrznych w KORDECKI & Partners. Anna Witkowska specjalizuje się w compliance, ESG i dochodzeniach wewnętrznych.
Data publikacji: 04.03.2026
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.