Повышенный интерес Федерального казначейства при проверках крупнейших аудиторских компаний к местам хранения информации о клиентах вынудил EY вложить средства в изменение IT-инфраструктуры. На очереди — остальные компании «большой четверки», поскольку их взаимодействия внутри сети кажутся надзорному органу недостаточно прозрачными. По мнению экспертов, претензии к IT-системам крупнейших игроков на рынке аудита скорее связаны с грозящими России санкциями, чем с реальным положением дел в компаниях.
Как сообщили “Ъ” участники рынка, недавняя проверка Федерального казначейства (ФК) одной из компаний «большой четверки» — российской EY — едва не обернулась для нее уходом с рынка. «Аудитору выдвинули серьезнейшие претензии в нарушении закона "О персональных данных",— рассказывает знакомый с ходом проверки собеседник “Ъ”.— В казначействе указали компании на "неочевидность хранения данных" на российских серверах». Между тем это строгое требование как профильного закона, так и закона «Об аудиторской деятельности». Другой собеседник “Ъ”, знакомый с ходом проверки в EY, отметил, что проверка проходила по «жесткому сценарию» и было возможно вынесение максимальной меры наказания — исключения компании из СРО (что для аудитора фактически означает уход с рынка). По словам третьего собеседника “Ъ”, компании удалось убедить проверяющих, что информация все же хранится на российских серверах. «В итоге сейчас EY вкладывает значительные средства для донастройки отдельных элементов IT-системы, чтобы хранение данных на отечественных серверах было нагляднее для проверяющих»,— отметил он.
Согласно сообщению на сайте казначейства, проверка, начатая в начале июня, для EY закончилась предписанием об устранении нарушений, а также административным штрафом за недостаточно оперативное предоставление сведений в ФК. В казначействе на запрос “Ъ” не ответили. В EY не комментируют деятельность казначейства, при этом в компании отметили, что последовательно сотрудничают «с указанными органами в рамках проводимых ими мероприятий» и действуют «в строгом соответствии с законодательством РФ».
Впрочем, по словам участников рынка, схожие вопросы по поводу непрозрачности могут возникнуть и к другим компаниям «большой четверки». Это может происходить из-за того, что в своей работе эти компании используют облачные решения, в том числе и для обмена информацией между разными офисами сети. В KPMG и Deloitte сообщили, что не нарушают законодательство по хранению данных. «Все наши серверы с данными и резервные копии данных без исключения находятся в России,— пояснил руководитель департамента аудиторских услуг KPMG Кирилл Алтухов.— Иностранные партнеры могут получить доступ к аудиторским документам российских компаний только в исключительных случаях и только при наличии согласия таких дочерних компаний. Доступ к другой информации российских компаний для лиц, не являющихся сотрудниками нашей фирмы, запрещен». Полный же отказ от обмена информацией в рамках проверок материнских и дочерних компаний, находящихся в разных странах, сделает проверки затруднительными, отметил собеседник “Ъ” в одной из компаний «большой четверки».
Вместе с тем проверки компаний проходили регулярно (по той же EY — год назад, см. “Ъ” от 14 июля 2017 года), однако вопросов про «неочевидность хранения данных» не возникало. «В компаниях "большой четверки" внутрисетевая связь намного сильнее связи в большинстве других международных сетей,— отмечает замглавы "Финэкспертизы" Наталья Борзова.— Но при возникновении вопросов о хранении данных они каждый раз подтверждали безопасность своих систем, а также сохранение информации о российских клиентах вне периметра и внимания материнских компаний».
Эксперты видят несколько причин, по которым мог возникнуть подобный интерес. «Вполне вероятно, что подобные действия — это реакция на санкции, которые могут быть введены в отношении России к новому году,— отмечает управляющий партнер "Ренессанс-Lex" Георгий Хурошвили.— Своего рода демонстрация возможностей со стороны российского казначейства». Еще один вариант — это смена команды в самом ФК, как и смена подходов. «Внешний контроль качества в аудите теперь курирует новый замглавы ФК Александр Михайлик, а новый замруководителя управления по надзору за аудиторской деятельностью Вадим Пентелейчук ранее специализировался на IT»,— указывает один из собеседников “Ъ”. В любом случае аудиторам, входящим в состав международных сетей, потребуется заняться перестройкой IT-инфраструктуры. В октябре, согласно плану ФК, начата проверка в еще одной компании из «большой четверки» — KPMG.