AI для финансиста
AI-политика для финансового отдела: шаблон CFO — что нейросетям разрешено, что запрещено и как внедрить без конфликта с IT
CFO, который в 2026 году не написал AI-политику для своего финансового отдела, подписывает пустой чек на юридические риски: данные утекают в чужой контур, IT блокирует сотрудников за использование ChatGPT, а конкурент уже автоматизировал три рутины, на которые у вас уходит рабочий день. AI-политика для финансового отдела — это документ на 2-4 страницы, который за одну неделю расставляет запреты, разрешения и регламент. В этой статье даю готовый шаблон, 10 промптов, три кейса с цифрами и чек-лист из 12 шагов. Я Натали Васильева, эксперт по нейросетям и продюсер онлайн-школы «Финансовый директор | Мастер CFO», с нейросетями в работе финансиста с февраля 2023 года. Актуально на 24 июня 2026 года.
Что такое AI-политика финансового отдела и зачем она нужна
AI-политика для финансового отдела — это внутренний регламент, который определяет три вещи: что нейросетям разрешено, что запрещено и кто несёт ответственность за результат.
Не «принципы этичного использования AI» и не «рекомендации по работе с технологиями» — а конкретный список правил под задачи финансиста. Эту выгрузку грузить можно, банковскую выписку нельзя. Эту модель используем в корпоративном контуре, эту не используем вовсе. На этот тип задач берём Claude Sonnet 4.6, на этот GPT-5.5. Такой уровень конкретики — единственный, который работает в реальной команде.
Почему именно сейчас. По данным ряда международных аналитических исследований 2025-2026 годов, большинство крупнейших мировых корпораций уже внедрили те или иные формы использования AI в бизнес-процессы. В России тренд аналогичный: финансисты массово переходят на нейросети для анализа данных, проверки договоров и подготовки отчётности. При этом регулирование персональных данных в России ужесточается: с 2024 года за утечки действуют оборотные штрафы. Пространство между «AI уже используется» и «правил нет» — это зона неуправляемого риска.
Политика не останавливает использование нейросетей, она делает его управляемым. Разница принципиальная.
Чем рискует финансовый директор без AI-политики в 2026 году
Прямой ответ: тремя типами риска одновременно — юридическим, репутационным и операционным.
Юридический риск. Сотрудник финансового отдела загружает в ChatGPT зарплатную ведомость с ФИО и суммами. По ст. 13.11 КоАП это передача персональных данных иностранному оператору без законного основания. Ответственность несёт компания и должностное лицо. Штраф для юрлица — до 300 тыс. руб. по базовому составу (ч. 1 ст. 13.11 КоАП в ред. 2025 года), при утечке — оборотные санкции от 1% до 3% выручки. Главбух может не знать о такой норме. Финдир несёт ответственность за организацию работы в отделе. Без политики доказать, что нарушение не было систематическим, очень трудно.
Репутационный риск. Данные о сделке попадают в публичную модель, потом используются в публичном ответе нейросети другому пользователю. Технически такие случаи редкие, но один такой инцидент разрушает годами выстраиваемое доверие контрагентов. Более частый сценарий: партнёр узнаёт, что условия их договора «анализировались в ChatGPT», и расценивает это как нарушение NDA. В договоре об этом ни слова — но это не значит, что вопросов не будет.
Операционный риск. IT-отдел узнаёт, что финансисты массово используют неодобренные инструменты, и блокирует доступ ко всем нейросетям сразу. Команда теряет 3-5 дней производительности, пока идут согласования. Или наоборот: IT не блокирует, но и ни за что не отвечает — и при первом же инциденте возникает классический вопрос «кто разрешил». Без политики виноватый появляется постфактум.
Четвёртый риск, о котором говорят реже: риск неравномерного использования. Один сотрудник использует AI и экономит 4 часа в день, другой не использует вовсе. Не потому что один умнее, а потому что первый получил разрешение или сам взял на себя смелость. Без политики возникает серая зона, где одним всё можно, другим ничего непонятно. Производительность распределяется случайно, а не по задачам.
Почему общекорпоративная IT-политика не защищает финансиста
Корпоративная IT-политика, если она вообще есть, написана для средней задачи среднего сотрудника. Финансовый отдел — нет.
У финансиста есть четыре класса данных, которые требуют особого режима и которые общая IT-политика не разграничивает:
Банковская тайна. Выписки, остатки по счетам, условия кредитных договоров охраняются законом о банковской тайне. Разглашение — это не административный штраф, это уголовная ответственность. Общая IT-политика скажет «не использовать конфиденциальные данные в публичных сервисах», но не уточнит, что банковская выписка это именно такой класс.
Персональные данные сотрудников. Зарплатные ведомости, налоговые данные, ФИО в реестрах — это персональные данные с режимом по 152-ФЗ. Финансовый отдел работает с ними ежедневно. IT-политика часто игнорирует специфику этих задач или запрещает «внешние сервисы», не разделяя корпоративный контур и публичный.
Данные под NDA. Если с контрагентом подписано соглашение о неразглашении, загрузка такого документа в облачный сервис — это нарушение NDA само по себе, даже без факта утечки. Финансисты подписывают или работают с NDA-документами постоянно. Общая IT-политика этого не учитывает.
Коммерческая тайна. Финмодели, условия сделок, себестоимость, бюджеты — это коммерческая тайна компании. За её слив следует дисциплинарная и материальная ответственность. Граница между «внутренней информацией» и «коммерческой тайной» в IT-политике редко прочерчена.
Вывод простой: общая политика защищает компанию в среднем, но не защищает финансиста в частности. Мне раз за разом показывают IT-политики компаний, где написано «не передавать конфиденциальную информацию третьим лицам». Главбух читает это и не понимает, входит ли в эту формулировку обезличенный реестр договоров или нет. Хорошая AI-политика финотдела даёт ответ прямо, без интерпретаций.
Из каких разделов состоит AI-политика: анатомия документа
Правильная AI-политика для финансового отдела включает шесть разделов. Меньше — и документ не закрывает реальные риски. Больше — и он становится бюрократическим текстом, который никто не читает.
Шесть разделов AI-политики финансового отдела: цель и область применения, матрица данных, одобренные инструменты, запрещённые действия, ответственность и порядок пересмотра.
Раздел 1. Цель и область применения. Два абзаца: зачем документ существует и на кого распространяется. «Политика регулирует использование инструментов на основе искусственного интеллекта сотрудниками финансового отдела при работе с финансовой информацией компании». Важно: укажите, что политика не запрещает AI в принципе, а устанавливает порядок его использования.
Раздел 2. Матрица данных. Главный раздел. Таблица: тип данных — класс чувствительности — можно ли грузить в нейросеть — в какую именно. Без этой матрицы политика работает только на бумаге.
Раздел 3. Одобренные инструменты. Конкретный список с уточнением: какой тариф используется, для каких задач, какие настройки безопасности обязательны. Не «ChatGPT», а «ChatGPT Business тариф с отключённым обучением на данных».
Раздел 4. Запрещённые действия. Чёткий список того, что нельзя. Три ключевых запрета, которые я рекомендую включать всегда: банковская тайна в публичное облако, личные аккаунты для рабочих данных, неодобренные инструменты с реальными данными отдела.
Раздел 5. Ответственность. Кто за что отвечает: CFO или финдир — за соблюдение политики в отделе, каждый сотрудник — за соблюдение правил в своей работе, IT — за техническое обеспечение одобренных инструментов и контуров.
Раздел 6. Порядок согласования нового инструмента и пересмотра политики. Как сотрудник запрашивает одобрение нового AI-инструмента, в какие сроки рассматривается запрос, как часто пересматривается сама политика.
Шесть разделов умещаются на трёх страницах. Именно такой формат читают и используют. Документ на двадцать страниц с принципами ответственного AI-использования — нет.
Матрица данных: что разрешено и что запрещено грузить в нейросеть
Матрица данных — это сердце AI-политики финансового отдела. Именно по ней сотрудник в моменте принимает решение: этот документ могу загрузить, этот нет.
Матрица данных: четыре класса чувствительности, примеры документов в каждом классе и допустимый инструмент для работы.
Четыре класса данных финансового отдела:
| Класс | Примеры документов | Можно в публичную модель? | Куда можно |
|---|---|---|---|
| Публичные | Отчётность по РСБУ, опубликованные пресс-релизы, открытые данные рынка | Да, без ограничений | Любая одобренная модель |
| Внутренние | Управленческая P&L, ОДДС, бюджет без ФИО, типовые договоры | Да, с обезличиванием | Одобренная модель с корпоративным контуром |
| Конфиденциальные | Реестры с ИНН и ФИО, зарплаты, договоры под NDA, переговорные позиции | Только обезличенные, только корпоративный контур | ChatGPT Business / Claude Team |
| Строго конфиденциальные | Банковские выписки, условия кредитных договоров, данные M&A, due diligence | Нет | Только локальная LLM или российский закрытый контур |
Правило выбора уровня: смотрите на самый чувствительный элемент в документе. Один реальный номер банковского счёта поднимает весь документ в класс «строго конфиденциально».
Обезличивание как обязательное условие. Для класса «конфиденциальные» загрузка в нейросеть допустима только после обезличивания через справочник-мэппинг: замена реальных названий контрагентов, ИНН, ФИО и реквизитов на маски. Подробно об этом в статье Как обезличить финансовые данные перед ChatGPT.
Три документа, с которыми я вижу больше всего ошибок на практике:
Реестр дебиторской задолженности. Выглядит как управленческий, но содержит ИНН и суммы по конкретным контрагентам — это конфиденциальные данные. Обезличить и грузить в корпоративный контур — можно. Грузить как есть в личный чат — нельзя.
Зарплатная ведомость. Всегда класс «конфиденциальные» или выше. Без обезличивания — никогда. С обезличиванием (ФИО заменены на «Сотрудник А, Б, В») в корпоративный контур — допустимо для структурного анализа.
Кредитный договор. Если там условия кредита от банка — это банковская тайна, класс «строго конфиденциально». Только локальный контур. Без исключений.
Какие инструменты одобрить: сравнительная таблица для финансового отдела
Не существует одной «лучшей» нейросети для финансового отдела. Выбор зависит от задачи и класса данных, которые с ней работают. Вот как я рекомендую выстраивать одобренный список.
| Инструмент | Версия (2026-06) | Корпоративный контур | Для каких задач лучше всего | Ограничение |
|---|---|---|---|---|
| ChatGPT | GPT-5.5, Business/Enterprise | Да, изолированный контур | Универсал: анализ, отчётность, переписка, агенты | Данные на зарубежных серверах |
| Claude | Sonnet 4.6, Team/Enterprise | Да | Длинные договоры, юридические тексты, аккуратность с нормативкой | Данные на зарубежных серверах |
| Gemini | 2.5, Google Workspace | Да, в экосистеме Google | Таблицы, интеграция с Google Sheets и Docs | Данные в Google-инфраструктуре |
| DeepSeek | V3.2, веб или локальный | Веб: слабее / Локальный: полный контроль | Расчёты, задачи с видимым ходом рассуждений, локальное развёртывание | Веб-версия: серверы вне России |
| YandexGPT | Business API | Да, российская юрисдикция | Задачи, требующие хранения данных в РФ, интеграции с Яндекс-сервисами | Слабее по аналитике сложных финмоделей |
| GigaChat | Team | Да, российская юрисдикция | То же, что YandexGPT, плюс Сбер-экосистема | Аналогично |
Актуально на 24 июня 2026 года.
Моя рекомендация для стандартного финотдела: три инструмента в одобренном списке. ChatGPT Business как основной. Claude Team для договоров и документов с высоким юридическим риском. Один российский сервис (YandexGPT или GigaChat) для задач, где требуется локальная юрисдикция. Больше трёх инструментов в одном отделе создаёт путаницу в правилах: сотрудник не помнит, что куда можно грузить.
Для строго конфиденциальных данных (банковская тайна, M&A) ни один из облачных инструментов не подходит. Только локальная LLM, развёрнутая на серверах компании. Это уже ИТ-проект, но он стоит значительно дешевле одного штрафа или скандала с контрагентом. Подробно о локальных моделях — в статье Ollama для финансиста.
Доступ из России: сайты ChatGPT (chatgpt.com), Claude и Gemini без специальных средств доступа не открываются, оплата принимается по иностранным картам. DeepSeek и российские модели доступны свободнее. Каждая компания решает вопрос доступа самостоятельно с учётом своих требований к безопасности.
Что было, когда AI-политики не было: три сценария с цифрами
Прежде чем перейти к шаблону, покажу три реальных сценария из моей практики. Имена изменены по просьбе участников.
Три типичных сценария потерь без AI-политики: юридический риск, операционная блокировка, неравномерная автоматизация.
Кейс 1. Финдир крупного ритейлера: блокировка IT и 18 потерянных рабочих дней
Алексей, финансовый директор сети из 40 магазинов, 9 лет в роли. Команда финансистов из 6 человек использовала ChatGPT без каких-либо правил с января 2025 года. Загружали управленческую отчётность, реестры контрагентов, черновики договоров. Часть данных — с ИНН и суммами по конкретным поставщикам.
В марте 2026 года IT-безопасность компании провела аудит внешних сервисов. Выяснилось: 6 сотрудников активно используют ChatGPT через личные аккаунты, часть — с реальными данными компании. IT-директор заблокировал доступ ко всем AI-сервисам немедленно, не дожидаясь согласования.
Потери: три недели переговоров между финдиром, IT-директором и юристом. Два человека в команде сорвали дедлайн по ежемесячной отчётности: без привычных инструментов они не успели в срок. Сбор документов для IT-аудита занял у Алексея лично около 12 часов. Итог: около 18 рабочих дней потеряно в совокупности. AI-политику написали за полтора месяца под давлением, в реактивном режиме, вместо двух часов в проактивном.
«Если бы у нас был этот документ заранее, IT просто посмотрел бы на список одобренных инструментов и корпоративный контур. Не было бы ни блокировки, ни разбора полётов», — Алексей.
Кейс 2. Главбух промышленной компании: NDA-угроза и срочный созвон с юристом
Светлана, главный бухгалтер производственного предприятия, 14 лет опыта. В апреле 2026 года загрузила в Claude Sonnet 4.6 договор о намерениях с потенциальным партнёром, чтобы проверить финансовые риски. Договор содержал пункт о конфиденциальности, запрещающий передачу информации третьим лицам.
Claude — это сервис Anthropic, данные обрабатываются на зарубежных серверах. Формально это передача информации из договора третьей стороне. Юрист компании, которому Светлана рассказала об этом неделю спустя, квалифицировал ситуацию как потенциальное нарушение NDA. Два часа созвона с партнёром и юристами с обеих сторон. Инцидент замяли, но осадок остался.
Прямых финансовых потерь не было, зато появился страх: Светлана на три месяца перестала использовать нейросети для работы с договорами вовсе. Потери производительности по оценке финдира — около 3-4 часов в неделю по работе Светланы на протяжении квартала. Итого: примерно 50 часов утерянного времени из-за нерабочего регламента.
Кейс 3. Финансовый отдел IT-компании: хаос из 9 инструментов
Дарья, директор по финансам в IT-стартапе, 11 человек в финотделе. За 2025 год каждый сотрудник выбрал себе нейросеть самостоятельно. Итог аудита в начале 2026 года: 9 разных инструментов, 4 из которых не имели корпоративного контура. Трое использовали бесплатные версии с обучением на данных по умолчанию. Двое оплачивали личные подписки, один из них грузил туда данные по бонусам команды.
Правила нет — значит всё можно. Или всё нельзя. IT заявил, что несанкционированное использование внешних сервисов нарушает корпоративную политику информационной безопасности и поставил вопрос об ответственности.
Дарья потратила три недели на инвентаризацию, написание политики и согласование. Стоимость её времени по рыночной ставке финдира в Москве — около 120 тысяч рублей. Уволился один сотрудник, который счёл новые ограничения избыточными. Итоговый список одобренных инструментов — 3 вместо 9. Зато теперь все знают правила.
10 готовых промптов для работы в рамках AI-политики
Все промпты написаны так, чтобы использоваться с уже обезличенными данными в рамках корпоративного контура. Скопируйте в системную инструкцию или используйте напрямую.
Промпт 1. Системная инструкция для финансового отдела (ставится один раз в настройки проекта).
Ты финансовый аналитик в российской компании. Работаешь исключительно
с данными, которые предоставляет пользователь.
ОБЯЗАТЕЛЬНЫЕ ПРАВИЛА:
1. Все данные в нашем диалоге обезличены. Не пытайся восстановить
реальные названия компаний, ФИО или реквизиты.
2. Не используй для ответа данные о компании, которые я не давал.
Если данных не хватает, прямо укажи, каких именно.
3. Все ссылки на законы, письма Минфина и ФНС помечай
[ПРОВЕРИТЬ В ПЕРВОИСТОЧНИКЕ]. Не называй номера документов,
если не можешь подтвердить.
4. Считай в коде Python, не в уме, для любых числовых расчётов.
5. Если вопрос имеет несколько позиций в практике, назови обе.
6. Деловой русский, суммы в рублях.Промпт 2. Классификация документа по уровню чувствительности перед загрузкой.
Я опишу документ, с которым нужно работать. Твоя задача: определить
класс чувствительности данных по четырём уровням:
— публичные (можно грузить без ограничений),
— внутренние (можно с обезличиванием в корпоративный контур),
— конфиденциальные (только обезличенные + только корпоративный контур),
— строго конфиденциальные (только локальный контур, не публичное облако).
Документ: [описание].
Ответ: класс + одна строка обоснования + что нужно обезличить перед загрузкой.Промпт 3. Проверка обезличенного договора на финансовые риски в рамках AI-политики.
Ты финансовый контролёр с 10+ лет практики.
Стороны договора обезличены: Контрагент 1 (продавец)
и Контрагент 2 (покупатель).
Задача: найди финансовые риски для Контрагента 2:
— условия оплаты, авансы, отсрочки,
— штрафные санкции и пени,
— валютные оговорки и индексация,
— условия расторжения и возврата.
Формат: таблица (пункт договора — риск — степень риска высокий/средний/низкий).
Юридическую экспертизу не подменяй, обозначь, что идёт юристу.
Все ссылки на нормы права помечай [ПРОВЕРИТЬ].Промпт 4. Анализ управленческой отчётности с обязательным расчётом в коде.
Ты финансовый директор с 10+ лет опыта в управленческом учёте.
Прикладываю обезличенный P&L за [период]. Колонки: статья, факт, план.
Задача:
1. Считай все отклонения в коде Python, не в уме.
2. Найди статьи с отклонением более 10% от плана.
3. Дай три управленческих вывода для CFO.
4. Не додумывай причины без данных — если информации нет, скажи прямо.
Формат: код Python + таблица (статья, факт, план, отклонение ₽, %) +
вывод CFO в трёх предложениях.Промпт 5. Шаблон инцидент-репорта при нарушении AI-политики.
Составь шаблон отчёта об инциденте нарушения AI-политики для финансового
отдела. Шаблон должен содержать разделы:
— описание инцидента (дата, кто, что именно произошло),
— класс данных, затронутых инцидентом,
— возможные последствия (юридические, репутационные, операционные),
— принятые меры по устранению,
— меры по предотвращению повторного нарушения.
Формат: Word-документ с заполнителями [в квадратных скобках] для подстановки.
Тон: деловой, нейтральный, без обвинительных формулировок.Промпт 6. Подготовка обучающего материала для команды по AI-политике.
Составь краткую инструкцию для сотрудника финансового отдела
по работе с нейросетями в соответствии с внутренней AI-политикой.
Одобренные инструменты: [список].
Матрица данных:
— можно в корпоративный контур с обезличиванием: [типы данных],
— нельзя в публичное облако никогда: [типы данных].
Формат: 1 страница A4, три раздела: "Что можно", "Что нельзя",
"Как обезличить за 5 минут". Язык простой, без юридических формулировок,
понятный сотруднику без IT-образования.Промпт 7. Согласование нового AI-инструмента с IT-отделом.
Составь служебную записку для IT-директора с запросом на согласование
нового AI-инструмента [название] для финансового отдела.
Структура:
1. Описание инструмента и задач, для которых планируется использование.
2. Класс данных, которые будут в него загружаться (по нашей матрице).
3. Меры защиты данных: корпоративный контур, обезличивание, отключение обучения.
4. Что ожидаем от IT для согласования.
Тон: конструктивный, без давления, с акцентом на совместный контроль рисков.
Длина: не более одной страницы A4.Промпт 8. Квартальная проверка AI-политики на актуальность.
Ты CFO, проводящий квартальный пересмотр AI-политики финансового отдела.
Дата политики: [дата]. Текущая дата: [дата].
Проверь политику по четырём критериям:
1. Все ли инструменты в одобренном списке актуальны? Не появились ли новые
версии с изменёнными условиями хранения данных?
2. Изменились ли классы данных или регуляторные требования за квартал?
3. Были ли инциденты за квартал, которые требуют добавить правила?
4. Нужно ли добавить или убрать инструменты из одобренного списка?
Формат: список изменений с обоснованием. Если менять нечего, так и напиши.Промпт 9. Разбор спорной ситуации по матрице данных.
Помоги определить, можно ли загрузить данный документ в нейросеть
в рамках AI-политики финансового отдела.
Ситуация: [описание документа и задачи].
Матрица данных нашей политики:
— публичные: без ограничений,
— внутренние: только с обезличиванием, корпоративный контур,
— конфиденциальные: только с обезличиванием, только корпоративный контур,
— строго конфиденциальные: только локальная LLM.
Ответ: класс данных + обоснование + что нужно сделать перед загрузкой.
Если неоднозначно, укажи, что лучше проконсультироваться с CFO.Промпт 10. Создание FAQ по AI-политике для сотрудников.
На основе нашей AI-политики составь 10 вопросов и ответов, которые
сотрудники финансового отдела задают чаще всего при внедрении регламента.
Примеры тем: можно ли использовать личный аккаунт, что делать с банковской
выпиской, как обезличить реестр, что делать если нужен новый инструмент.
Тон: разговорный, дружелюбный. Ответы — 2-3 предложения максимум.
Без юридического языка, без угроз. Цель: помочь сотруднику,
а не напугать.Хочешь готовый шаблон матрицы данных в Google Sheets и чек-лист CFO для внедрения AI-политики? Всё это в закреплённых сообщениях Telegram-канала @findir_pro.
Как согласовать AI-политику с IT без войны
Конфликт финотдела с IT при внедрении нейросетей — это один из самых частых запросов на консультациях. Приходит финдир и говорит: «IT запрещает всё, мы не можем работать». Приходит IT-директор и говорит: «Финансисты используют нейросети как хотят, мы не можем это контролировать».
Оба правы. Конфликт не из злого умысла, а из-за отсутствия общего языка.
Чего хочет IT. IT-отдел хочет понятных границ: кто, какой инструмент, с какими данными, под чью ответственность. Им не нужно ни одобрять всё, ни запрещать всё — им нужна ясность. Когда ясности нет, единственный безопасный вариант для IT — запрет.
Что нужно дать IT. Три вещи: список одобренных инструментов с корпоративным контуром, матрицу данных с чёткими границами того, что туда идёт, и описание ответственности (финотдел отвечает за соблюдение регламента работы с данными, IT отвечает за безопасность технического контура).
Это разделение зон ответственности — главное, что разряжает конфликт. IT не должен следить за тем, что каждый сотрудник загружает в нейросеть. Финотдел не должен разбираться в технических настройках безопасности. Каждый делает своё.
Разделение зон: IT обеспечивает безопасный технический контур для одобренных инструментов, CFO отвечает за соблюдение регламента работы с данными внутри этого контура.
Структура переговоров с IT. Две встречи, не больше.
Первая встреча — 60-90 минут. Показываете черновик политики: цель, матрицу данных, список инструментов, описание ответственности. Задаёте три вопроса: «Какие из этих инструментов уже есть в корпоративном реестре?», «Какие технические требования нам добавить к одобренному списку?», «Кто от IT будет контактным лицом при согласовании нового инструмента?» Записываете ответы.
Вторая встреча — 30-45 минут. Привозите доработанный черновик с ответами из первой встречи. Подписываете или получаете официальное согласование.
Что помогает сдвинуть позицию IT с «запретить всё». Два аргумента работают лучше всего. Первый: «Сотрудники уже используют нейросети — через личные аккаунты, без каких-либо контролей. Политика не вводит новую практику, она делает существующую управляемой». Второй: «Мы не просим разрешить всё. Мы предлагаем конкретный список из трёх инструментов с корпоративным контуром, которые вы технически контролируете».
Чего не делать. Не начинать разговор с запросом «разрешите нам ChatGPT» — это ставит IT в позицию цензора. Начинайте с предъявления структуры, которую вы уже продумали. IT отвечает на конкретное предложение, а не на абстрактный запрос.
По моей практике с командами финансистов, 7 из 10 конфликтов с IT разрешаются именно так — через структуру, а не через давление. Два оставшихся случая — это либо системная блокировка всех внешних сервисов на уровне корпоративной политики (тогда пишем запрос на исключение со стороны финотдела), либо IT-директор, у которого на этот вопрос нет мандата (тогда эскалируем к CEO или совету директоров).
Шаблон AI-политики для финансового отдела
Ниже рабочий шаблон. Заполните квадратные скобки под свою компанию.
AI-ПОЛИТИКА ФИНАНСОВОГО ОТДЕЛА
[Название компании]
Версия: 1.0 | Дата: [дата принятия] | Следующий пересмотр: [дата]
Утверждена: [ФИО финдира / CFO] | Согласована: [ФИО IT-директора] | Проверена: [ФИО юриста]
1. Цель и область применения
Настоящая политика регулирует использование инструментов на основе искусственного интеллекта (нейросетей, языковых моделей, AI-ассистентов) сотрудниками финансового отдела [название компании].
Цель политики — обеспечить продуктивное использование AI-инструментов при соблюдении требований законодательства о персональных данных (152-ФЗ), банковской тайне, режима коммерческой тайны и договорных обязательств компании.
Политика распространяется на всех сотрудников финансового отдела при выполнении рабочих задач, независимо от устройства и места работы.
2. Матрица данных
| Класс данных | Примеры | Можно в нейросеть | Условия |
|---|---|---|---|
| Публичные | Опубликованная отчётность, открытые данные | Да | Любой одобренный инструмент |
| Внутренние | Управленческая P&L, ОДДС без ФИО, бюджет | Да | Только с обезличиванием + корпоративный контур |
| Конфиденциальные | Реестры с ИНН и ФИО, зарплаты, NDA-договоры | Только обезличенные | Только корпоративный контур одобренного инструмента |
| Строго конфиденциальные | Банковские выписки, условия кредитов, M&A, due diligence | Нет | Только локальный контур компании |
Обезличивание данных перед загрузкой обязательно для классов «внутренние» и «конфиденциальные». Порядок обезличивания — через справочник-мэппинг с автозаменой (см. инструкцию).
3. Одобренные инструменты
| Инструмент | Тариф | Настройки безопасности | Допустимые задачи |
|---|---|---|---|
| [Инструмент 1, напр. ChatGPT] | Business / Team | Отключить обучение на данных | Анализ, отчётность, черновики |
| [Инструмент 2, напр. Claude] | Team | По умолчанию отключено | Договоры, длинные документы |
| [Инструмент 3, напр. YandexGPT] | Business API | Данные в РФ | Задачи с российской юрисдикцией |
Использование AI-инструментов, не включённых в данный список, с данными компании запрещено. Запрос на добавление нового инструмента — через [контактное лицо в IT].
4. Запрещённые действия
Запрещено вне зависимости от инструмента и обстоятельств:
- Загружать в публичное облако данные класса «строго конфиденциальные»: банковские выписки, условия кредитных договоров, материалы M&A и due diligence.
- Использовать личные (не корпоративные) аккаунты AI-инструментов для работы с данными компании.
- Грузить в нейросеть данные, не прошедшие обезличивание, когда оно обязательно по матрице.
- Использовать результаты работы нейросети в официальных документах без ручной проверки всех нормативных ссылок и расчётов.
- Загружать документы под NDA, если в соглашении есть прямой запрет на передачу информации третьим лицам и облачным сервисам.
5. Ответственность
Финансовый директор / CFO: отвечает за соблюдение политики в отделе, обновление матрицы данных при изменении задач или регулирования, обучение новых сотрудников.
Каждый сотрудник финансового отдела: отвечает за соблюдение правил в своей работе, сообщает CFO о любом нарушении или инциденте.
IT-отдел: отвечает за техническое обеспечение корпоративного контура в одобренных инструментах, согласование новых инструментов, реагирование на технические инциденты.
6. Порядок согласования нового инструмента и пересмотра политики
Запрос на добавление нового AI-инструмента: сотрудник направляет запрос CFO с описанием задачи, инструмента и класса данных. CFO рассматривает в течение 3 рабочих дней и согласует с IT. Срок согласования с IT — не более 5 рабочих дней.
Плановый пересмотр политики: ежеквартальная проверка актуальности, ежегодный полный пересмотр. Внеплановый пересмотр: при инциденте с данными, появлении нового регуляторного требования или существенном изменении одобренного инструмента.
Политика вступает в силу с [дата]. Сотрудники ознакомлены под подпись.
Кейс: восемь человек в финотделе, неделя на внедрение, шесть часов экономии
Марина, финансовый директор технологической компании с оборотом 800 млн рублей в год, команда финансистов из 8 человек. Нейросети использовались стихийно: кто-то через личный аккаунт, кто-то через корпоративную подписку, у двоих вообще не было доступа.
Точка А. Аудит показал: 9 разных инструментов в команде, 3 из которых — бесплатные личные аккаунты с обучением на данных по умолчанию. Два инцидента за полгода: один сотрудник загрузил зарплатную ведомость в личный ChatGPT, второй — черновик контракта с условиями, не подпадающими под NDA формально, но чувствительными по сути. IT заявил, что «всё это нужно заблокировать».
Что сделали. Марина взяла шаблон политики, адаптировала за два вечера под свой отдел. Матрица данных получилась на три класса вместо четырёх: в их бизнесе банковская тайна не была ключевым риском, поэтому «строго конфиденциальные» объединили с «конфиденциальными» — один класс «высокая чувствительность». Список одобренных инструментов: ChatGPT Business тариф и Claude Team. Личные аккаунты — запрещены для рабочих данных.
Согласование с IT заняло одну встречу. IT-директор добавил три пункта к техническим требованиям: обязательная двухфакторная аутентификация, запрет на загрузку данных через мобильные приложения, ежеквартальный аудит использования. Принял текст за 30 минут.
Обучение команды — онлайн-встреча на 45 минут. Разобрали матрицу данных на примерах из реальных задач отдела. Прошли через промпт-инструкцию для системных настроек. Первые две недели Марина напоминала правила в рабочем чате при каждом нестандартном вопросе.
Точка Б. Через месяц после внедрения провела замер: каждый из 8 сотрудников пользуется двумя одобренными инструментами, все через корпоративный контур. Среднее время экономии по команде — 5-7 часов в неделю на аналитических задачах, черновиках отчётности и проверке договоров. Один инцидент за месяц: новый сотрудник попытался использовать личный аккаунт — Марина напомнила о правилах, инцидент не повторился.
«Написать политику оказалось проще, чем я думала. Сложнее было убедить себя, что она нужна. Теперь понимаю: она нужна не для контроля людей, а чтобы люди знали, где у них свобода», — Марина.
Как внедрить AI-политику за одну неделю: последовательность шагов
По опыту с командами от 3 до 25 человек в финотделе, реалистичный план выглядит так.
День 1. Аудит текущего состояния (2-3 часа). Опрос команды: список всех AI-инструментов, которые сейчас используются — официально и неофициально. Примеры задач, для которых используются. Классы данных, которые туда загружаются. Это покажет реальную картину, а не идеальную.
День 2. Черновик политики (2-3 часа). Заполняете шаблон из этой статьи. Матрица данных строится под реальные задачи отдела. Список инструментов — из тех, которые уже используются и имеют корпоративный контур, плюс те, которые нужны дополнительно.
День 3. Согласование с IT (встреча 60-90 минут). Показываете черновик. Фиксируете технические требования, которые IT добавляет. Договариваетесь о контактном лице. Уходите с конкретными правками, а не с «подумаем».
День 4. Доработка и ревью юриста (1-2 часа для юриста). Правите черновик по итогам встречи с IT. Передаёте юристу раздел 2 (матрица данных) и раздел 5 (ответственность) на проверку. Если у вас нет штатного юриста, достаточно консультации на 1-2 часа.
День 5. Финальная версия (1 час). Собираете правки от IT и юриста. Подписываете с руководителями. Рассылаете команде.
День 6-7. Обучение (30-60 минут). Встреча с командой. Матрица данных на живых примерах. Ответы на вопросы. Первые два промпта из набора выше — прямо на встрече.
Итого: пять рабочих дней от аудита до внедрённой политики. Без консультантов, без многомесячных согласований. Главное условие — CFO принимает решение сам и берёт ответственность за документ.
Кейс: финдир согласовал политику с IT за две встречи
Роман, финансовый директор крупной логистической компании, опыт в роли — 6 лет. IT-служба в компании сильная, со своим регламентом информационной безопасности, который де-факто запрещал любые внешние AI-сервисы.
Точка А. Финотдел из 12 человек фактически не использовал нейросети в работе, хотя конкуренты в отрасли уже автоматизировали сверки и анализ по данным рынка. Роман оценивал потери производительности в 5-8 часов в неделю на аналитика при ручном выполнении задач, которые решаются нейросетью за 20-30 минут.
Что сделал. Роман пришёл на первую встречу с IT не с запросом «разрешите ChatGPT», а с готовой матрицей данных и конкретным предложением: три инструмента с корпоративным контуром, список классов данных, которые туда идут, и четкий запрет на банковскую тайну в публичном облаке. Показал, что 90% задач финотдела работает с данными класса «внутренние» и «публичные», которые после обезличивания безопасно идут в корпоративный контур.
IT-директор задал три вопроса: кто администрирует корпоративный аккаунт, как отзывать доступ при увольнении сотрудника, есть ли журналирование запросов. Роман ответил на первые два сразу, третий уточнил у вендора в тот же день.
Вторая встреча через три дня: IT добавил требование о периодическом аудите, Роман согласился. Документ подписан. Суммарное время двух встреч — около 2,5 часов.
Точка Б. За три месяца после внедрения: команда финотдела перешла на две одобренные нейросети для стандартных задач. Роман замерил производительность по двум задачам, где было наиболее заметно: ежемесячный анализ отклонений по 40 статьям бюджета раньше занимал у аналитика 6-8 часов, теперь — 2 часа с нейросетью. Проверка договоров поставки на финансовые риски: с 90-120 минут до 25-35 минут. Суммарная экономия по команде — около 50 часов в месяц, что при рыночной ставке аналитика соответствует примерно 100 тысячам рублей производительности в месяц.
«IT стал союзником, а не противником. Им была нужна структура, а не наша просьба “ну разрешите”. Когда я пришёл с готовым документом, разговор стал совершенно другим», — Роман.
Что проверить перед тем как подписать AI-политику: чек-лист CFO
12 шагов проверки: от матрицы данных до журнала инцидентов. Каждый пункт — конкретное действие, а не декларация.
12 вопросов, которые стоит задать себе перед тем как политика уходит в работу:
-
Матрица данных конкретна. В ней есть типы документов, которые реально существуют в работе отдела — а не абстрактные категории.
-
Банковская тайна выделена отдельно. В матрице явно написано, что банковские выписки и условия кредитных договоров не идут в публичное облако.
-
Список инструментов с тарифами. Не просто «ChatGPT», а «ChatGPT, Business тариф, с отключённым обучением на данных».
-
Личные аккаунты запрещены. Это сформулировано явно, а не подразумевается.
-
Ответственность разделена между CFO и IT. Оба знают, за что отвечает каждый.
-
Юрист проверил раздел о данных. Не формально, а по существу: соответствие 152-ФЗ и банковской тайне.
-
IT согласовал и добавил технические требования. Документ — результат диалога, а не монолог финотдела.
-
Порядок согласования нового инструмента прописан. Сотрудник знает, к кому идти и в какие сроки.
-
Обучение команды запланировано. Не «разошлём почтой», а встреча с разбором матрицы данных на примерах.
-
Журнал инцидентов создан. Пустой файл или форма уже есть, не нужно создавать после первого инцидента.
-
Дата следующего пересмотра зафиксирована. В документе явно написано «следующий пересмотр — [квартал/год]».
-
Системные инструкции настроены. В одобренных инструментах стоит корпоративная системная инструкция с защитой от галлюцинаций. Про системную инструкцию против галлюцинаций — отдельная статья.
Двенадцать галочек — и политика готова к жизни, а не к пылению в папке.
FAQ: частые вопросы про AI-политику для финансового отдела
Что такое AI-политика для финансового отдела? Это внутренний регламент, который определяет: какие нейросети одобрены, для каких задач, с какими данными, кто несёт ответственность за результат и что делать при нарушении или инциденте. Документ занимает 2-4 страницы и включает матрицу данных, список одобренных инструментов, запрещённые действия и порядок согласования новых инструментов.
Зачем финансовому директору отдельная AI-политика, если в компании уже есть IT-политика? Корпоративные IT-политики оперируют общими формулировками и не разграничивают банковскую тайну, персональные данные сотрудников, NDA и коммерческую тайну — четыре класса, с которыми финотдел работает ежедневно. Отдельная политика финотдела даёт конкретные инструкции, а не формулировку «не передавать конфиденциальную информацию», которую каждый сотрудник трактует по-своему.
Как быстро можно написать AI-политику для финансового отдела? Черновик на основе шаблона занимает 2-3 часа. Согласование с IT и юристом — ещё 2-5 рабочих дней. Обучение команды — 30-60 минут. Итого: одна неделя от нуля до внедрённого документа.
Что делать, если IT запрещает все нейросети? Приходите с готовой структурой: матрица данных, список инструментов с корпоративным контуром, разделение ответственности. IT нужна ясность, а не конфликт. В большинстве случаев структурированное предложение разрешает ситуацию за две встречи.
Нужно ли писать AI-политику, если в финансовом отделе 3 человека? Да. Именно в маленькой команде политика работает быстрее: одна страница правил, 30 минут встречи — и все знают границы. Без правил даже три человека создают риск: достаточно одного сотрудника, который загрузит не то и не туда.
Как часто обновлять AI-политику финансового отдела? Раз в квартал — проверка актуальности инструментов. Раз в год — полный пересмотр. Внеплановый — при инциденте, появлении нового инструмента в команде или изменении законодательства.
Нужно ли согласовывать AI-политику с юристом? Нужно ревью раздела о данных и раздела об ответственности. Юрист проверяет соответствие 152-ФЗ и режиму банковской тайны. При правильно составленной матрице данных правки минимальные — 1-2 уточнения формулировок.
Можно ли использовать нейросеть, чтобы написать AI-политику? Да, именно для этого написан промпт 7 в этой статье. Нейросеть даст черновик структуры, который вы дополняете спецификой своего отдела. Главное: окончательный документ читают и подписывают живые люди — CFO, IT-директор, юрист.
Что дальше: от политики к культуре работы с AI
AI-политика — это не финальная точка, а стартовая. Первые 30 дней после внедрения покажут реальное отношение команды к документу. Если сотрудники спрашивают «а можно ли вот это?» — политика работает как инструмент, а не как запрет. Если обходят её молча — значит либо слишком жёстко написана, либо обучение прошло формально.
По моей практике, три вещи, которые отличают работающую политику от бумажной:
Первое — матрица данных актуальна. Каждый квартал кто-то добавляет новый тип документа или задачи. Если матрица не обновляется — сотрудники начинают решать сами, на каком уровне работать, и решают не всегда правильно.
Второе — есть понятный путь согласования нового инструмента. Рынок нейросетей меняется быстро. Появляется новый инструмент с интересными возможностями — и сотрудник должен знать: не запрещено, но нужно согласовать вот здесь, вот так, вот в какие сроки. Без этого пути появляется серая зона.
Третье — инциденты разбираются без наказания. Первый инцидент — это диагностика, не приговор. Если сотрудник честно сообщил о нарушении и получил выговор, следующий сотрудник промолчит. Культура безопасности строится на честности, а не на страхе.
Связанные статьи, которые помогут выстроить системную работу с AI в финотделе: обезличивание данных перед ChatGPT, защита от галлюцинаций нейросетей, ChatGPT для финансиста и бухгалтера, Claude для финансиста, AI-навыки финансиста в карьере CFO.
На курсе «AI-навыки финансиста» онлайн-школы «Финансовый директор | Мастер CFO» мы разбираем AI-политику отдела как отдельный практический модуль: составляем матрицу данных под реальную компанию участника, прорабатываем переговоры с IT и настраиваем корпоративный контур. 10 модулей, 800+ выпускников, диплом установленного образца с лицензией, налоговый вычет 13%. Основатель школы — Софья Бурцева, курс по нейросетям веду лично.
Записаться на курс «AI-навыки финансиста»
Наши каналы
Присоединяйтесь к сообществу финансистов, которые уже работают с нейросетями:
- Telegram @findir_pro — 45 000 подписчиков, ежедневные разборы, промпты, кейсы из практики финдиров и главбухов
- «АИ с Софьей и Натали» — 13 000 подписчиков, новости AI, разборы инструментов, честные тесты моделей
- MAX-канал «Финансовый директор» — 5 000+ участников, закрытые материалы и разборы только для подписчиков канала
Об авторе
Натали Васильева. Эксперт по нейросетям и продюсер онлайн-школы «Финансовый директор | Мастер CFO» (основатель школы — Софья Бурцева). С нейросетями в работе финансиста с февраля 2023 года. Через курс «AI-навыки финансиста» прошли 800+ финансистов, главбухов и финдиров. Веду Telegram-канал @findir_pro (45 000 подписчиков) и канал «АИ с Софьей и Натали» (13 000 подписчиков). Личный набор: ChatGPT Plus, Claude Pro, Gemini Advanced, DeepSeek, YandexGPT.