Банк России проверит аудиторов по информационной безопасности: что это значит для рынка и клиентов
Банк России в 2026 году начнет проверять аудиторские организации, работающие с общественно значимыми организациями финансового рынка (ОЗО ФР), на соответствие требованиям по информационной безопасности. Полностью требованиям соответствуют в основном крупнейшие игроки рынка, тогда как другим компаниям потребуется инвестировать десятки миллионов рублей в модернизацию ИБ-инфраструктуры. В результате часть аудиторов может покинуть реестр, а их клиенты будут перераспределены между оставшимися участниками.
Что именно планирует проверять Банк России
В конце января 2026 года регулятор провел совещание с аудиторскими организациями, обслуживающими ОЗО ФР. Ключевой фокус 2026 года — информационная безопасность.
Проверки будут касаться соответствия нормативным актам в сфере ИБ. Согласно требованиям, аудиторские организации обязаны обеспечивать восемь ключевых процессов защиты информации, включая:
- защиту от вредоносного программного кода;
- предотвращение нарушений штатного функционирования оборудования;
- защиту информации при управлении доступом;
- предотвращение утечек данных;
- обеспечение безопасного хранения и передачи информации.
Особенность аудиторской деятельности в том, что работа с данными включает:
- Подключение к учетным системам клиента.
- Передачу данных от клиента к аудитору.
- Хранение информации в рабочих документах аудитора.
Таким образом, аудитор фактически становится участником цифрового контура клиента, что повышает требования к его ИБ-инфраструктуре.
Почему проверки затронут не всех одинаково
Сегмент аудита ОЗО ФР — значимый для рынка, с годовой выручкой почти 11 млрд рублей.
По оценкам участников рынка:
- Крупнейшие аудиторские компании в целом соответствуют требованиям.
- Средним и небольшим игрокам потребуется инвестировать десятки миллионов рублей для приведения процессов в соответствие с нормативами.
- Часть компаний может отказаться от работы в сегменте ОЗО ФР из-за высокой стоимости модернизации.
Это приведет к структурным изменениям в реестре аудиторов.
Что будет с реестром аудиторов и клиентами
Если компания не сможет подтвердить соответствие требованиям ИБ, она может покинуть реестр аудиторских организаций, имеющих право обслуживать ОЗО ФР.
Возможные последствия:
- сокращение числа аудиторов в реестре;
- перераспределение клиентов между оставшимися участниками;
- рост концентрации рынка;
- увеличение нагрузки на крупных аудиторов.
Дополнительный фактор — структура групп компаний.
Как отмечает Михаил Щетинин, эксперт КСК ГРУПП, при комплексном аудите группы компаний, если среди дочерних структур есть ОЗО ФР, выбор будет сделан в пользу аудитора из реестра, чтобы не привлекать нескольких подрядчиков для одной группы.
Это усиливает конкурентное преимущество компаний, которые сохранят статус соответствия требованиям регулятора.
Какие риски и возможности возникают для рынка
Риски:
- Рост затрат на ИБ для аудиторских компаний.
- Уход части игроков с рынка ОЗО ФР.
- Повышение стоимости аудиторских услуг.
Возможности:
- Повышение общего уровня защиты данных.
- Снижение риска утечек финансовой информации.
- Укрепление доверия к аудиторским организациям.
В долгосрочной перспективе усиление контроля со стороны ЦБ формирует более жесткий, но более устойчивый рынок аудита в финансовом секторе.
Кому особенно важно учитывать новые требования
Аудиторским компаниям:
- необходимо провести аудит текущих ИБ-процессов;
- оценить бюджет модернизации;
- сопоставить экономическую целесообразность сохранения статуса в сегменте ОЗО ФР.
Финансовым организациям:
- проверить статус своего аудитора в реестре;
- учитывать риск смены аудитора;
- закладывать возможный рост стоимости услуг в бюджет.
| Критерий | Крупные аудиторы | Средние аудиторы |
|---|---|---|
| Соответствие требованиям ИБ | В основном соответствует | Частично соответствует |
| Необходимые инвестиции | Минимальные | Десятки млн руб. |
| Риск выхода из реестра | Низкий | Средний / высокий |
| Вероятность роста клиентской базы | Высокая | Низкая |
Часто задаваемые вопросы
Кого именно затронут проверки Банка России по ИБ?
Речь о аудиторских организациях, которые обслуживают общественно значимые организации финансового рынка (ОЗО ФР) и поэтому должны соответствовать требованиям регулятора по информационной безопасности.
Что обычно входит в работу аудитора с данными клиента и почему это важно для ИБ?
Процесс включает подключение к учетным системам клиента, передачу данных от клиента к аудитору и хранение данных в рабочих документах аудитора — это создает требования к защите каналов, доступов и хранилищ.
Какие направления ИБ чаще всего проверяют у аудиторских компаний?
В фокусе — защита от вредоносного кода, управление доступом, защита передачи и хранения данных и предотвращение утечек информации в рамках установленных регулятором процессов.
Может ли аудитор потерять право работать с ОЗО ФР?
Да. Если компания не сможет подтвердить соответствие требованиям по ИБ, она рискует выйти из реестра аудиторов, допущенных к работе с ОЗО ФР.
Что это означает для финансовых организаций — клиентов аудиторов?
Возможны смена аудитора и перераспределение клиентов, а также рост стоимости услуг из-за дополнительных затрат аудиторов на выполнение требований по информационной безопасности.
Поделиться