Цифровые доказательства против компании: почему внутренний аудитор и контролёр должны дружить с ИТ-блоком. Кибербезопасность как живая система компании
27 МАЯ 2026
Заключительная сессия конференции, которую модерировала директор департамента по контролям и комплаенс АФК «Система» Лейда Лукьянова, была посвящена острейшей теме — кибербезопасности и роли внутреннего контроля и аудита в этой сфере.
«Мы посмотрим на кибербезопасность глазами внутренних контролёров, аудиторов, юристов, — начала Лукьянова. — Не будем ли мы здесь дублировать коллег из ИТ- и ИБ-блоков?».
Как показали выступления, дублирования не избежать, но разумная синергия возможна и необходима.
«Мы посмотрим на кибербезопасность глазами внутренних контролёров, аудиторов, юристов, — начала Лукьянова. — Не будем ли мы здесь дублировать коллег из ИТ- и ИБ-блоков?».
Как показали выступления, дублирования не избежать, но разумная синергия возможна и необходима.
Первым взял слово начальник отдела обеспечения безопасности информационных систем блока вице-президента «ЕВРАЗ» Андрей Нуйкин. Он честно признался, что оказался «в логове аудита» и решил вылить свои чаяния. «Бизнес определяет процессы, чтобы заработать денег, ИБ и IT их обеспечивают, а аудитор присматривает, чтобы мы не переходили рамки, — образно объяснил он. — Проблемы возникают, когда ИБ-шники хотят дорогие системы, аудитор некомпетентен, адресует замечания не туда, или когда несколько мелких рисков объединяют в один большой, чтобы закрыть свой KPI».
Нуйкин привёл конкретные примеры: когда бизнес просил упростить процесс согласования доступов, убрав лишних согласующих, аудит потребовал вернуть всех, и в итоге стороны подписали бумагу о принятии риска — бюрократическая победа. И наоборот, когда Нуйкин не мог убедить бизнес внедрить необходимый процесс, он обратился к аудиторам за независимым мнением, и это сработало.
«Аудитор должен быть помощником, а не надзирателем, — резюмировал он. — Не нужно говорить мне, что у меня всё плохо, я и сам знаю. Подскажите, что из лучших практик можно применить, не уронив компанию, а не требуйте слепого соответствия». Он также подчеркнул, что аудиторы должны разбираться в технической части: был случай, когда аудитор увидел в консоли антивируса записи о вирусах и не заметил, что они вылечены, — это вызвало бессмысленный спор.
Нуйкин привёл конкретные примеры: когда бизнес просил упростить процесс согласования доступов, убрав лишних согласующих, аудит потребовал вернуть всех, и в итоге стороны подписали бумагу о принятии риска — бюрократическая победа. И наоборот, когда Нуйкин не мог убедить бизнес внедрить необходимый процесс, он обратился к аудиторам за независимым мнением, и это сработало.
«Аудитор должен быть помощником, а не надзирателем, — резюмировал он. — Не нужно говорить мне, что у меня всё плохо, я и сам знаю. Подскажите, что из лучших практик можно применить, не уронив компанию, а не требуйте слепого соответствия». Он также подчеркнул, что аудиторы должны разбираться в технической части: был случай, когда аудитор увидел в консоли антивируса записи о вирусах и не заметил, что они вылечены, — это вызвало бессмысленный спор.
Заместитель начальника Департамента внутреннего контроля и управления рисками — начальник Управления контроля финансовой устойчивости контрагентов, сопровождения процедур ликвидации и банкротства ПАО «Россети» Гаянэ Кизарьянц рассказала о масштабном проекте автоматизации мониторинга контрагентов — системе «АЭС-мониторинг».
Группа «Россети» владеет 88% магистральных электросетевых активов России и 74% распределительных, имеет 39 дочерних обществ. «Сделать это ручным способом невозможно», — констатировала она. Проект, одобренный советом директоров, предполагает создание единой платформы для работы со всеми контрагентами и участниками закупочных процедур — от закупки до контроля исполнения договоров, работы с банковскими гарантиями, дебиторкой и даже сопровождения процедур банкротства. Система будет автоматически мониторить банкротство, ликвидацию, финансовые показатели (выручка, чистая прибыль, ликвидность), судебную нагрузку, исполнительные производства, аффилированность, санкционные списки и многое другое. Планируется внедрить собственный индекс «светофор» («Россети» будет формировать его на основе задаваемых весов показателей).
Кизарьянц подчеркнула, что вопросы информационной безопасности системы (разработка угроз, мер защиты) заложены на всех этапах, а персональная ответственность возложена на профильных работников. Проект находится на стадии формирования технического задания, первый этап (внедрение в головной компании и двух пилотных ДЗО) рассчитан на 2026–2027 годы.
Группа «Россети» владеет 88% магистральных электросетевых активов России и 74% распределительных, имеет 39 дочерних обществ. «Сделать это ручным способом невозможно», — констатировала она. Проект, одобренный советом директоров, предполагает создание единой платформы для работы со всеми контрагентами и участниками закупочных процедур — от закупки до контроля исполнения договоров, работы с банковскими гарантиями, дебиторкой и даже сопровождения процедур банкротства. Система будет автоматически мониторить банкротство, ликвидацию, финансовые показатели (выручка, чистая прибыль, ликвидность), судебную нагрузку, исполнительные производства, аффилированность, санкционные списки и многое другое. Планируется внедрить собственный индекс «светофор» («Россети» будет формировать его на основе задаваемых весов показателей).
Кизарьянц подчеркнула, что вопросы информационной безопасности системы (разработка угроз, мер защиты) заложены на всех этапах, а персональная ответственность возложена на профильных работников. Проект находится на стадии формирования технического задания, первый этап (внедрение в головной компании и двух пилотных ДЗО) рассчитан на 2026–2027 годы.
Основатель и генеральный директор «Лаборатории цифровых исследований» Олег Безик рассказал, как цифровые данные становятся доказательствами по уголовным делам. «В нашей стране движения от ноликов-единичек к доказательствам — трудоёмкий процесс, — начал он. — Недостаточно работы аудитора или комплаенса, нужны специальные IT-познания». Он объяснил ключевые принципы криминалистики: как можно меньше оставлять следов на устройстве, тщательное протоколирование всех действий и использование проверенных инструментов (например, российский «Мобильный криминалист»).
Безик предупредил, что с современных iPhone и Android невозможно выгрузить переписку Telegram из-за усиления защиты. «Телеграм стал умнее и блокирует любые попытки автоматизированной выгрузки», — сказал он. Привёл пример из практики: уголовное дело, где человек обвинялся в удалённом уничтожении RAID-массива на сервере компании. Следователи изъяли сервер, специалист извлёк копии дисков, эксперт проанализировал логи и установил, что подключение шло с конкретной учётной записи через VPN. Этого хватило для обвинения по статье 272 УК РФ.
Безик дал рекомендации компаниям: минимальные доступы, контроллер домена, настройка логирования (и не отключение его), а главное — понимание, что человек — слабое звено. «ИБ — это процесс, а не разовая настройка, — подчеркнул он. — Если вы проводите внутреннее расследование, протоколируйте всё с самого начала, иначе юрист через полгода оспорит увольнение».
Безик предупредил, что с современных iPhone и Android невозможно выгрузить переписку Telegram из-за усиления защиты. «Телеграм стал умнее и блокирует любые попытки автоматизированной выгрузки», — сказал он. Привёл пример из практики: уголовное дело, где человек обвинялся в удалённом уничтожении RAID-массива на сервере компании. Следователи изъяли сервер, специалист извлёк копии дисков, эксперт проанализировал логи и установил, что подключение шло с конкретной учётной записи через VPN. Этого хватило для обвинения по статье 272 УК РФ.
Безик дал рекомендации компаниям: минимальные доступы, контроллер домена, настройка логирования (и не отключение его), а главное — понимание, что человек — слабое звено. «ИБ — это процесс, а не разовая настройка, — подчеркнул он. — Если вы проводите внутреннее расследование, протоколируйте всё с самого начала, иначе юрист через полгода оспорит увольнение».
Партнер адвокатского бюро «Феоктистов и партнеры» Руслан Долотов посвятил выступление персональной ответственности руководителя при закупке и приемке информационных систем для нужд компании. Он привёл уголовные дела, в том числе в отношении бывшего замминистра энергетики и главы комитета информатизации Тульской области, где заказчиков привлекли за то, что они приняли системы, которые потом признали не соответствующими требованиям.
Ключевой риск возникает при дроблении создания государственной информационной системы на несколько госконтрактов. Долотов объяснил разницу между каскадным (последовательным) подходом и итерационным. «Если вы разбили систему на три контракта, приняли работу по второму, а на третьем поняли, что нужно переделывать предыдущий этап, — это становится уголовным делом, — предупредил он. — Следователи смотрят не только на техзадание, но и на концепцию создания системы, которая является отдельным документом».
Пример: заказчик в конце года хотел освоить бюджет, разбил создание ГИС на три контракта, но на втором контракте приняли разработку ПО без системы защиты информации (СЗИ), которая требовалась по концепции. На третьем контракте выяснилось, что систему нельзя ввести в эксплуатацию без доработки второго этапа, а денег уже нет. «Его обвинили в превышении должностных полномочий, хотя никакой корысти не было, просто хотел быть эффективным менеджером», — сказал Долотов.
Рекомендация: не дробить создание систем на несколько контрактов, а если дробить, то выбирать итерационный подход, который допускает возврат к предыдущим этапам. Также стоит привлекать внешних технических экспертов для подтверждения приёмки работ.
Ключевой риск возникает при дроблении создания государственной информационной системы на несколько госконтрактов. Долотов объяснил разницу между каскадным (последовательным) подходом и итерационным. «Если вы разбили систему на три контракта, приняли работу по второму, а на третьем поняли, что нужно переделывать предыдущий этап, — это становится уголовным делом, — предупредил он. — Следователи смотрят не только на техзадание, но и на концепцию создания системы, которая является отдельным документом».
Пример: заказчик в конце года хотел освоить бюджет, разбил создание ГИС на три контракта, но на втором контракте приняли разработку ПО без системы защиты информации (СЗИ), которая требовалась по концепции. На третьем контракте выяснилось, что систему нельзя ввести в эксплуатацию без доработки второго этапа, а денег уже нет. «Его обвинили в превышении должностных полномочий, хотя никакой корысти не было, просто хотел быть эффективным менеджером», — сказал Долотов.
Рекомендация: не дробить создание систем на несколько контрактов, а если дробить, то выбирать итерационный подход, который допускает возврат к предыдущим этапам. Также стоит привлекать внешних технических экспертов для подтверждения приёмки работ.
Заключительным выступил главный эксперт Центра стратегии ПАО «Интер РАО» Алексей Пулиновский с темой управляемого внедрения искусственного интеллекта в функцию внутреннего аудита. Он сразу отмел использование публичных облачных моделей (ChatGPT, GigaChat и подобных) из-за риска утечки конфиденциальной информации, что прямо запрещено международными стандартами аудита.
«Принцип 5 стандартов 2024 года требует не допускать утечки, а публичные модели предполагают потерю контроля над данными», — пояснил он. Решение — локальная модель на собственном сервере компании, желательно без физического доступа в интернет. Пулиновский показал практические примеры: проверка актов КС-2 (загрузка сметных нормативов, сметы, акта — модель выявляет завышения объёмов и неправильные расценки), юридическая экспертиза договора на соответствие типовой форме (с выявлением рисков и пробелов), анализ оборотно-сальдовой ведомости по счёту 10 (выявление неликвидов и аномальных остатков).
«Качество работы AIкритически зависит от качества входных данных, — предупредил он. — Если номенклатурные справочники не в порядке, результат будет неудовлетворительный». Стартовый бюджет такого проекта — от 15 млн рублей капекс и порядка 12 месяцев на внедрение. «Результаты ИИ — это не аудиторские доказательства, а инструмент предварительного анализа, помогающий выявлять гипотезы, — резюмировал Пулиновский. — Итоговые выводы и интерпретация всегда остаются за человеком». Он также предложил разработать и утвердить политику использования ИИ в компании, которая зафиксирует границы, ответственность аудиторов и обязательную верификацию.
Дискуссия в завершение сессии коснулась реальных кейсов из практики. Долотов рассказал историю о крупной компании, у которой автоматизированная система сама подала заявление на возмещение НДС после оплаты консультационных услуг по регистрации юрлица на 70 млн рублей. Налоговики тут же заподозрили неладное, и компания попала под проверку на покушение на мошенничество. «Вот зачем нужны рисковики и контролёры, — подчеркнул Долотов. — Если бы они проконтролировали настройки системы, такой бы риск не реализовался».
Лукьянова, подводя итог, заметила, что кибербезопасность — это не только про защиту от хакеров, но и про защиту от собственной автоматизации и неверного толкования законов. Главный вывод сессии: контроль и аудит не должны дублировать ИБ, но обязаны участвовать в оценке рисков на самых ранних этапах внедрения любых IT-систем, требуя от бизнеса, чтобы в концепции и ТЗ были заложены и безопасность, и возможность контролируемого использования новых технологий (включая ИИ), иначе соблюдение правил само по себе становится уязвимостью, а ошибки в автоматизации превращаются в уголовные дела.
«Принцип 5 стандартов 2024 года требует не допускать утечки, а публичные модели предполагают потерю контроля над данными», — пояснил он. Решение — локальная модель на собственном сервере компании, желательно без физического доступа в интернет. Пулиновский показал практические примеры: проверка актов КС-2 (загрузка сметных нормативов, сметы, акта — модель выявляет завышения объёмов и неправильные расценки), юридическая экспертиза договора на соответствие типовой форме (с выявлением рисков и пробелов), анализ оборотно-сальдовой ведомости по счёту 10 (выявление неликвидов и аномальных остатков).
«Качество работы AIкритически зависит от качества входных данных, — предупредил он. — Если номенклатурные справочники не в порядке, результат будет неудовлетворительный». Стартовый бюджет такого проекта — от 15 млн рублей капекс и порядка 12 месяцев на внедрение. «Результаты ИИ — это не аудиторские доказательства, а инструмент предварительного анализа, помогающий выявлять гипотезы, — резюмировал Пулиновский. — Итоговые выводы и интерпретация всегда остаются за человеком». Он также предложил разработать и утвердить политику использования ИИ в компании, которая зафиксирует границы, ответственность аудиторов и обязательную верификацию.
Дискуссия в завершение сессии коснулась реальных кейсов из практики. Долотов рассказал историю о крупной компании, у которой автоматизированная система сама подала заявление на возмещение НДС после оплаты консультационных услуг по регистрации юрлица на 70 млн рублей. Налоговики тут же заподозрили неладное, и компания попала под проверку на покушение на мошенничество. «Вот зачем нужны рисковики и контролёры, — подчеркнул Долотов. — Если бы они проконтролировали настройки системы, такой бы риск не реализовался».
Лукьянова, подводя итог, заметила, что кибербезопасность — это не только про защиту от хакеров, но и про защиту от собственной автоматизации и неверного толкования законов. Главный вывод сессии: контроль и аудит не должны дублировать ИБ, но обязаны участвовать в оценке рисков на самых ранних этапах внедрения любых IT-систем, требуя от бизнеса, чтобы в концепции и ТЗ были заложены и безопасность, и возможность контролируемого использования новых технологий (включая ИИ), иначе соблюдение правил само по себе становится уязвимостью, а ошибки в автоматизации превращаются в уголовные дела.
Подпишитесь на наши новости
Будьте в курсе всех актуальных анонсов, новостей и акций Ассоциации НОВАК
*Отправляя свои данные, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности, согласно 152-ФЗ