«Безопасность или выход». ЦБ обещает вычистить реестр аудиторов, не готовых тратить миллионы на защиту данных

В конце января 2026 года Банк России провёл совещание с аудиторскими организациями, которые оказывают услуги общественно значимым организациям на финансовом рынке (ОЗО ФР). По данным источников на рынке аудита, представители регулятора обозначили, что в 2026 году в фокусе внимания будет направление информационной безопасности. Как утверждают собеседники Коммерсанта, ЦБ планирует проверять, насколько аудиторские компании соответствуют нормативным актам в сфере ИБ.

Сейчас в реестре аудиторов ОЗО ФР числится 41 компания, последнюю включили в ноябре 2025 года. В контур ОЗО ФР входят банки, эмитенты ценных бумаг, управляющие и брокерские компании, НПФ и страховые компании, всего около 1 тыс. организаций. По последним опубликованным данным за 2024 год выручка аудиторов от оказания профильных услуг в этом сегменте составила почти 11 млрд рублей.

Нормативные требования к аудиторам предполагают восемь ключевых процессов по информационной безопасности. В частности, речь идёт о защите от воздействия вредоносного программного кода, который может нарушать штатную работу оборудования, о защите информации при управлении доступом, а также о предотвращении утечек. В «КСК групп» подчёркивают, что работа аудитора с данными обычно включает подключение к учётным системам клиента, передачу данных от системы клиента к аудитору и хранение данных в рабочих документах аудитора. На рынке при этом считают, что полностью требованиям соответствует лишь небольшая часть участников: в «Универс-Аудит» оценивают число таких компаний примерно в шесть крупнейших.

По данным презентации ЦБ, за 2025 год регулятор вынес 32 предписания в отношении 22 организаций и возбудил 7 административных делопроизводств. Во втором полугодии 2025 года из реестра исключили «Группу Финансы» и «ПрофИнвестАудит». Ранее ЦБ проводил опрос участников рынка о мерах по снижению рисков утечек данных, и в «Евразия Аудит» считают, что регулятор пришёл к выводу: уровень защищённости аудиторских организаций, имеющих доступ к чувствительным данным ОЗО ФР, является недостаточным или слишком низким.

Участники рынка отмечают, что выполнение всех требований по ИБ потребует значительных затрат. В «Русаудите» говорят, что ИБ и цифровизация требуют инвестиций, которые для большинства аудиторских организаций могут оказаться существенными, а общий объём расходов способен дойти до десятков миллионов рублей. В «Универс-Аудит» приводят ориентиры по стоимости: внедрение DLP может стоить около 10 млн рублей, годовое обслуживание около 2 млн рублей, межсетевой экран около 1 млн рублей, и это без учёта сопутствующих расходов на поддержку и инфраструктуру.

На рынке ожидают, что тех, кто не справится с требованиями, будут ждать предписания и в перспективе уход из сегмента ОЗО ФР. В «Универс-Аудит» оценивают, что примерно треть компаний может покинуть этот контур, а сотни клиентов перейдут к другим аудиторам. В ДРТ отмечают, что уже фиксируют первые обращения от клиентов компаний, исключённых ЦБ из реестра, и ожидают роста таких запросов.

Среди клиентов «Группы Финансы» упоминались «Аптечная сеть 36,6», «РН-Западная Сибирь» и МКПАО «Лента». Среди клиентов «ПрофИнвестАудита» назывались восемь пенсионных фондов, включая «Благосостояние» и «Газфонд». В «КСК групп» отмечают, что часть компаний, покинувших реестр, может потерять не только профильных клиентов: если аудит в группе проводят комплексно и среди дочерних структур есть ОЗО ФР, группа выбирает аудитора из реестра, чтобы не платить нескольким компаниям за выполнение услуг.