Jak kontrola w IT weryfikuje „substancję” świadczenia usług: od sprzętu i dostępu do narzędzi, po realne zarządzanie projektem i decyzyjność

14.05.2026

Jak kontrola w IT weryfikuje „substancję” świadczenia usług: od sprzętu i dostępu do narzędzi, po realne zarządzanie projektem i decyzyjność

„Substancja” świadczenia usług w IT oznacza realne, możliwe do wykazania wykonywanie usług przez dany podmiot, przy użyciu jego zasobów (ludzi, narzędzi, infrastruktury), w określonym miejscu i czasie, z faktyczną odpowiedzialnością za rezultat oraz z rzeczywistą decyzyjnością biznesową. W praktyce kontrolnej nie chodzi wyłącznie o to, jak brzmi umowa, ale o to, jak wygląda operacyjne wykonanie: kto pracuje, na jakim sprzęcie, na jakich systemach, kto wydaje polecenia i kto ponosi ryzyko.

W branży IT temat „substancji” wraca w szczególności przy rozliczeniach transgranicznych (np. usługi niematerialne, import usług, WHT, VAT), przy modelach „body leasing”, przy korzystaniu z podwykonawców oraz przy rozproszonych zespołach. Organy mogą badać, czy nie dochodzi do sztucznego przerzucania funkcji i dochodu, czy koszty są należycie udokumentowane i czy rozliczenia podatkowe odpowiadają realiom biznesowym. W tle często pojawiają się też ryzyka karno-skarbowe w razie uznania, że dokumenty nie odzwierciedlają rzeczywistości.

Dlaczego „substancja” jest w IT punktem zapalnym w kontroli

Usługi IT są mierzalne dopiero przez pryzmat dostępu do środowisk, logów, repozytoriów, ticketów i faktycznej pracy zespołu. To odróżnia je od wielu usług materialnych. W konsekwencji kontrola może konfrontować deklaracje z danymi technicznymi, o ile dane te są istotne dla sprawy i dostępne oraz możliwe do udostępnienia w granicach prawa.

Z perspektywy firmy ryzyko biznesowe jest wielowymiarowe:

• Finansowe – doszacowanie podatku, odsetki, zakwestionowanie kosztów, korekty VAT, sankcje administracyjne (zależnie od obszaru).
• Operacyjne – blokady i zabezpieczenia, konieczność udostępniania systemów, angażowanie kluczowych osób w czynności kontrolne.
• Reputacyjne – ryzyka w relacjach z kontrahentami i instytucjami, zwłaszcza gdy kontrola dotyka rozliczeń transgranicznych.
• Odpowiedzialność zarządu – ryzyko przypisania winy w razie nierzetelnego prowadzenia rozliczeń lub dokumentacji.

Jakie obszary kontrola weryfikuje: „od sprzętu do decyzyjności”

1) Sprzęt i środowisko pracy: kto realnie ma narzędzia do świadczenia usług

Weryfikacja „substancji” często zaczyna się od pytań prostych, ale krytycznych: czy zespół ma służbowy sprzęt, czy praca odbywa się na urządzeniach kontrolowanych przez firmę, jak wygląda polityka BYOD, czy są procedury bezpieczeństwa. Dla organu to sygnał, czy firma faktycznie organizuje proces świadczenia usług, czy jedynie „pośredniczy” w refakturowaniu pracy.

Dowodowo znaczenie mają m.in.:

• rejestry wydania sprzętu, polityki IT, inwentaryzacja aktywów, potwierdzenia odbioru,
• konfiguracje VPN, MDM, uprawnienia administracyjne, polityki haseł i MFA,
• regulaminy pracy zdalnej i zasady ochrony informacji.

2) Dostęp do narzędzi i systemów klienta: ślad techniczny wykonania usługi

W usługach IT „substancję” często da się odtworzyć z logów i historii zmian. Organy mogą żądać wykazania, kto miał dostęp do repozytoriów, systemów ticketowych, narzędzi CI/CD, chmur (AWS/Azure/GCP), dokumentacji projektowej czy środowisk testowych i produkcyjnych.

Przykładowo, jeśli fakturowane są prace rozwojowe, a firma nie potrafi wykazać aktywności zespołu w narzędziach (commity, pull requesty, tickety, protokoły odbioru), rośnie ryzyko zakwestionowania realności świadczenia lub jego zakresu.

3) Realne zarządzanie projektem: kto planuje, rozdziela zadania i odbiera rezultat

Kluczowe jest rozróżnienie między „dostarczeniem rezultatu” a „udostępnieniem personelu”. Kontrola może analizować, czy to wykonawca organizuje pracę (sprinty, backlog, priorytety, QA), czy w praktyce robi to klient, a wykonawca jedynie wystawia faktury za czas osób.

Weryfikowane bywają:

• struktura ról: PM, Tech Lead, Scrum Master, QA,
• artefakty projektowe: harmonogramy, raporty, minutes, statusy,
• zasady akceptacji: kryteria „Definition of Done”, protokoły odbioru, reklamacje, SLA.

4) Decyzyjność i ryzyko gospodarcze: kto naprawdę kontroluje proces i ponosi konsekwencje

Najbardziej „miękki”, ale strategiczny element „substancji” dotyczy decyzyjności. Kontrola może pytać: kto zatwierdza budżet, kto decyduje o doborze technologii, kto ponosi ryzyko wad, opóźnień, kar umownych, kto zapewnia zastępowalność personelu i ciągłość świadczenia.

Jeżeli umowa przypisuje odpowiedzialność wykonawcy, ale w praktyce klient wydaje wiążące polecenia, zarządza personelem wykonawcy i przyjmuje rezultat bez formalnych odbiorów, organ może kwestionować model rozliczeń lub kwalifikację świadczenia na gruncie VAT/CIT (a także innych podatków, zależnie od stanu faktycznego).

Najczęstsze „czerwone flagi” w IT z perspektywy kontroli

• Brak spójnych dowodów wykonania usług: faktury istnieją, ale brak ticketów, logów, protokołów odbioru.
• Wykonawca nie ma zasobów (sprzęt, licencje, kluczowe role), a mimo to deklaruje szeroki zakres usług.
• Rozliczanie „ryczałt za konsulting” bez mierzalnych rezultatów i bez śladów pracy.
• Rzeczywisty nadzór nad zespołem po stronie klienta, mimo umownej odpowiedzialności wykonawcy.
• Podwykonawcy bez kontroli jakości i bez dokumentowania łańcucha dostarczenia (chain of delivery).

Jak przygotować firmę IT do kontroli: minimum organizacyjne i dowodowe

W praktyce dobrze działa podejście „audit-ready”, które nie polega na produkowaniu dokumentów po fakcie, lecz na uporządkowaniu procesu świadczenia usług i archiwizacji dowodów.

1. Mapowanie usług – opisanie, co jest sprzedawane (rezultat, wsparcie, utrzymanie, rozwój), jak mierzy się wykonanie i kto zatwierdza odbiór.
2. Repozytorium dowodów – zasady archiwizacji: umowy, zamówienia, SOW, protokoły odbioru, raporty, korespondencja projektowa, eksporty z Jiry/ServiceNow/Git.
3. Kontrola dostępów – rejestry uprawnień, zasady nadawania i odbierania dostępów, ścieżka zatwierdzeń.
4. Ład podwykonawców – umowy, zakresy, odpowiedzialność, odbiory cząstkowe, weryfikacja wykonania.
5. Procedury na wypadek kontroli – kto odpowiada za kontakt z organem, kto zabezpiecza dane, jak ogranicza się ryzyko ujawnienia tajemnic przedsiębiorstwa.

Konsekwencje prawne: co może się wydarzyć, gdy organ zakwestionuje „substancję”

Fakty: jeżeli organ uzna, że dokumenty nie odzwierciedlają rzeczywistego przebiegu zdarzeń gospodarczych, może to prowadzić do zakwestionowania rozliczeń podatkowych (np. kosztów uzyskania przychodów, odliczenia VAT, kwalifikacji transakcji) oraz do naliczenia odsetek. W określonych sytuacjach sprawa może mieć także wymiar karno-skarbowy, jeżeli organ dopatrzy się nierzetelności lub podania nieprawdy w rozliczeniach.

Opinia (zależna od stanu faktycznego): w IT szczególnie ryzykowne są modele, w których „na papierze” sprzedawany jest rezultat, a w praktyce dostarczany jest personel pod bezpośrednim kierownictwem klienta. Im większa skala i transgraniczność rozliczeń, tym większe znaczenie mają spójne dowody operacyjne.

Podstawy prawne kontroli i odpowiedzialności najczęściej wynikają z: ustawy o Krajowej Administracji Skarbowej (ramy kontroli celno-skarbowej), Ordynacji podatkowej (zasady postępowania podatkowego i dowodzenia) oraz Kodeksu karnego skarbowego (odpowiedzialność za czyny zabronione) [1]-[3]. Zakres i skutki zawsze zależą od konkretnych okoliczności, treści umów i praktyki wykonania.

Materiał ma charakter informacyjny i nie stanowi porady prawnej. W sprawach, w których toczy się kontrola celno-skarbowa lub istnieje ryzyko jej wszczęcia, zasadne jest szybkie uporządkowanie dowodów i ustalenie strategii odpowiedzi na żądania organu.

Jeżeli potrzebna jest weryfikacja „substancji” usług IT i przygotowanie firmy na czynności kontrolne, Kopeć & Zaborowski może przeanalizować stan faktyczny i dokumentację, więc warto Skontaktuj się z nami.

FAQ: kontrola „substancji” usług IT

Czy organ może żądać logów z narzędzi (Jira, Git, CI/CD) w trakcie kontroli?

Co do zasady organ może żądać dokumentów i danych istotnych dla sprawy, w ramach kompetencji wynikających z ustawy o KAS i Ordynacji podatkowej [1]-[2]. Zakres żądania powinien pozostawać w związku z przedmiotem kontroli. W praktyce warto ocenić proporcjonalność żądania i zadbać o ochronę tajemnicy przedsiębiorstwa.

Jakie dowody najczęściej potwierdzają realne świadczenie usług IT?

Najczęściej są to: umowa i SOW, protokoły odbioru, raporty i statusy, tickety, historia commitów i merge’y, potwierdzenia dostępów, korespondencja projektowa oraz dokumentacja zmian. Kluczowa jest spójność między fakturą, opisem usługi i śladem wykonania.

Czy praca zdalna osłabia „substancję” usług?

Nie, o ile firma potrafi wykazać organizację pracy, kontrolę dostępu, polityki bezpieczeństwa oraz ślad wykonania. W praktyce praca zdalna zwiększa znaczenie dowodów cyfrowych i procedur IT.

Jak odróżnić usługę „body leasing” od usługi rezultatu w ocenie kontrolnej?

Decyduje praktyka: kto zarządza zadaniami, kto ustala priorytety, kto ponosi ryzyko i kto formalnie odbiera rezultat. Jeżeli klient w praktyce kieruje pracą konkretnych osób, rośnie ryzyko uznania, że rzeczywistym świadczeniem jest udostępnienie personelu.

Czy brak protokołów odbioru zawsze oznacza problem?

Nie zawsze, ale istotnie podnosi ryzyko dowodowe. W razie sporu protokół odbioru lub inny mierzalny dowód akceptacji (np. zamknięcie ticketów według ustalonych kryteriów) ułatwia wykazanie wykonania usługi.

Jakie jest ryzyko dla zarządu przy zakwestionowaniu „substancji”?

Ryzyka mogą obejmować odpowiedzialność finansową spółki (podatek, odsetki, sankcje) oraz, w określonych okolicznościach, ryzyka karno-skarbowe osób odpowiedzialnych za rozliczenia [3]. Ocena zależy od tego, czy doszło do nierzetelności, jak przebiegał proces decyzyjny i jakie były mechanizmy kontroli wewnętrznej.

Bibliography

1. Ustawa z dnia 16 listopada 2016 r. o Krajowej Administracji Skarbowej (t.j. Dz.U. 2024 poz. 422 ze zm.).
2. Ustawa z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (t.j. Dz.U. 2024 poz. 2383 ze zm.).
3. Ustawa z dnia 10 września 1999 r. – Kodeks karny skarbowy (t.j. Dz.U. 2024 poz. 628 ze zm.).