ЭЦП могут храниться и в реестре КриптоПРО. Не обязательно для хранения ключа иметь флешку и держать ее постоянно подключенной к ПК.
Что касается самой ЭЦП, то неважно, кем она выпущена (пусть то будет УФК или "Гарант" etc.) при получении ответственное лицо подписывает заявление о том, что он ЯВЛЯЕТСЯ ЕДИНСТВЕННЫМ пользователем ЭЦП и несет всю ответственность за ее использование.
То есть, другими словами, если ЭЦП принадлежит директору, то и "спрашивать" будут с директора. Даже если она будет говорить, что ЭЦП украдена, но до инцидента не было подано заявление на блокировку - ничего никто не докажет.
P.S. А сисадмин - красава!