ЦБ проверит проверяющих
Аудиторы отчитаются перед регулятором за информационную безопасность
Банк России планирует проводить проверки выполнения требований по информационной безопасности (ИБ) аудиторскими организациями, обслуживающими общественно значимые организации финансового рынка. Это значимый сегмент для рынка с годовой выручкой почти 11 млрд руб. Полностью требованиям соответствуют лишь крупнейшие участники рынка, а другим компаниям придется потратить десятки миллионов рублей на повышение уровня ИБ. Реестр может покинуть часть компаний, а их клиенты будут перераспределены среди оставшихся аудиторов.
Фото: Евгений Павленко, Коммерсантъ
Фото: Евгений Павленко, Коммерсантъ
В конце января 2026 года ЦБ провел совещание с аудиторскими организациями, оказывающими услуги общественно значимым организациям на финансовом рынке (ОЗО ФР). Об этом рассказали два источника «Ъ» на рынке аудита. По словам одного собеседника «Ъ», на совещании представители регулятора отметили, что в 2026 году в фокусе внимания будет направление информационной безопасности. В частности, регулятор обозначил, что планирует проверять соответствие аудиторских компаний нормативным актам в сфере ИБ, отметил другой источник «Ъ». В ЦБ не ответили на запрос «Ъ».
В настоящее время в реестр аудиторов ОЗО ФР входит 41 компания, последняя была включена в реестр в ноябре 2025 года. В число проверяемых входят банки, эмитенты ценных бумаг, управляющие и брокерские компании, НПФ и страховые компании, всего около 1 тыс. организаций. Согласно отчетности аудиторов, в 2024 году (последние опубликованные данные) выручка от указания профильных услуг составила почти 11 млрд руб.
Согласно нормативным актам, аудиторские организации должны обеспечивать восемь ключевых процессов, в частности защиту от воздействия вредоносных программных кодов, приводящих к нарушению штатного функционирования оборудования, защиту информации при управлении доступом, а также предотвращение утечек информации. Причем, как отмечает менеджер по продажам «КСК групп» Михаил Щетинин, процесс работы аудитора с данными «включает присоединение к учетным системам клиента, передачу данных от системы клиента к аудитору, хранение данных в рабочих документах аудитора». По оценке гендиректора «Универс-Аудита» Дмитрия Лимаренко, только шесть крупнейших компаний из реестра полностью соответствуют заявленным требованиям.
За 2025 год ЦБ вынес 32 предписания в отношении 22 организаций и возбудил 7 административных делопроизводств, следует из презентации ЦБ (с ней ознакомился «Ъ»).
Во втором полугодии регулятор исключил из реестра компании «Группа Финансы» и «ПрофИнвестАудит». Ранее регулятор проводил опрос среди участников рынка о мерах, которые они принимают для снижения рисков утечек данных (см. «Ъ» от 19 августа 2025 года). Регулятор пришел к выводу, что уровень защищенности аудиторских организаций, имеющих доступ к чувствительным данным ОЗО ФР, является «недостаточным» или «слишком низким», считает директор «Евразии Аудит» Артур Каримов.
Однако выполнение всех требований по обеспечению ИБ потребует значительных затрат. «ИБ и цифровизация в широком смысле этого слова требуют инвестиций, которые могут оказаться значительными для большинства аудиторских организаций»,— считает гендиректор «Русаудита» Евгений Самойлов. В общей сложности они могут достигать десятков миллионов рублей. Как отмечает Дмитрий Лимаренко, только приобретение систем DLP (программные комплексы для предотвращения утечек данных) может стоить 10 млн руб., годовое обслуживание — около 2 млн руб., а межсетевой экран — около 1 млн руб. И все это не считая годового обслуживания.
Как констатирует господин Самойлов, тех, кто не справится с выполнением требований, традиционно ждут предписания и в перспективе — уход с рынка. Примерно треть компаний может покинуть сегмент ОЗО ФР, оценивает господин Лимаренко. Сотни высвободившихся клиентов, вероятно, перейдут к другим аудиторам.
«Мы фиксируем первые обращения от клиентов компаний, исключенных ЦБ из реестра, среди которых — известные эмитенты, и прогнозируем рост таких запросов»,— говорит управляющий партнер департамента аудита группы ДРТ Владимир Бирюков.
Так, в число клиентов «Группы Финансы» входили «Аптечная сеть 36,6», «РН-Западная Сибирь», МКПАО «Лента». Среди клиентов «ПрофИнвестАудита» было восемь пенсионных фондов, в том числе крупнейшие на рынке пенсионных резервов «Благосостояние» и «Газфонд». Часть покинувших реестр аудиторских компаний может потерять не только профильных клиентов. «Часто группы компаний проводят аудит комплексно, и, если среди дочерних структур есть ОЗО ФР, они пойдут к тому, кто есть в реестре, чтобы не платить нескольким аудиторским компаниям за выполнение услуг»,— считает Михаил Щетинин.