Schwerpunkt Cyber Security
Transcrição
Schwerpunkt Cyber Security
Dimensionen Fachzeitschrift KPMG Austria GmbH Juli 2016 Schwerpunkt Cyber Security 10 Willkommen in der Realität Ergebnisse der Cyber Security-Studie 32 Smart durchstarten Start-up-Szene in Österreich kpmg.at 2 INHALT Dimensionen Juli 2016 16 24 Schwerpunkt Cyber Security 8 10 Der unsichtbare Feind Lage in Österreich Willkommen in der Realität Ergebnisse der KPMG Studie 13 14 16 18 20 Prüfung 24 28 Mehr Klarheit APRÄG 2016 On oder Off? Identifizierung von Leasingverhältnissen 3 Fragen an … Walter Unger und Gerald Hübsch Start-up Spezial Mensch, Prozess, Technik Informationssicherheit Management 32 33 Smart durchstarten Start-up-Szene in Österreich 34 36 37 Hello World! Ausländische Investoren Nur nicht abwarten NIS-Richtlinie Ein Klick zu viel Ransomware Stichwort Cyber Security Andreas Teischl und Andreas Rauscher Moderne Familien Kommentar von Heidi Schachinger (Self)made in Austria Mitarbeiterbeteiligung Eine gute Anlage Steuerliche und rechtliche Experten INHALT Beratung KPMG Inside 42 Aktionärsaktivismus im Aufwind Kontroverse Investmentstrategie 45 Eurostat stellt klar Neuauflage des Manuals on Government Deficit and Debt 46 Den Turbo einschalten Europäischer Fonds für strategische Investitionen (EFSI) 49 Tax in aller Kürze Bilanzsteuerrecht und Ertragsteuer 52 54 60 61 62 3 Lesbar Neuerscheinungen Eventmomente Rückblick Nachgefragt Bei KPMG Partner Thomas Walter Events und Seminare Vorschau Publikationen 34 42 EDITORIAL 5 Cyber Security: Weckruf an das Management Der Schwerpunkt unserer Kundenzeitschrift widmet sich daher diesem spannenden Thema. Erfahren Sie, wie Cyberkriminelle arbeiten und was Sie in Ihrem Unternehmen konkret tun können, um sich zu wappnen. Für unsere Rubrik „3 Fragen an…“ konnten wir zwei Cybersicherheits-Experten gewinnen: Walter Unger (BMLVS) und Gerald Hübsch (Energie AG OÖ). Wir stellen Ihnen außerdem die wichtigsten Ergebnisse der KPMG Studie „Cyber Security in Österreich“ vor. Michael Schirmbrand [email protected] Gert Weidinger [email protected] Cyberkriminelle erobern Österreich. Egal ob großer Konzern oder Ein-Personen-Betrieb – Cyberkriminalität macht vor niemandem halt. Die Angreifer sind hoch professionell, gut organisiert und uns immer einen Schritt voraus. Erkenntnis strategische Maßnahmen folgen zu lassen. Sie reagieren reaktiv statt vorausschauend. Den betroffenen Unternehmen drohen finanzielle Schäden und Reputationsverlust. Es versteht sich daher von selbst, dass sich österreichische Unternehmen bestmöglich schützen müssen. Das Bewusstsein für das Thema ist durchaus vorhanden. Vielen Unternehmen gelingt es allerdings nicht, der Das Wichtigste: Cyber Security muss endlich „Chefsache“ werden. Das Thema verdient einen prominenten Platz auf der Agenda des Managements. Nur so können sich Unternehmen langfristig gegen die Gefahr durch Cyberkriminalität wehren. Unternehmen benötigen einen ganzheitlichen Cyber Security-Ansatz: berücksichtigt werden müssen Menschen, Prozesse und Technologien. Ebenfalls in dieser Ausgabe präsentieren wir Ihnen unser Start-up Spezial. Unsere Experten widmen sich dabei im Zuge der weltweiten KPMG Initiative Smart Start den österreichischen Jungunternehmern und begleiten sie auf ihrem Weg. Weitere Beiträge unter anderem zu den Themen APRÄG 2016, Aktionärsaktivismus und Europäische Fonds für strategische Investitionen (EFSI) finden Sie wie gewohnt in den Ressorts Prüfung und Beratung. In „KPMG Inside“ gewähren wir Ihnen einen Einblick in die Eventmomente der letzten Monate und zeigen Ihnen, welche Veranstaltungen Sie in nächster Zeit nicht verpassen sollten. Wir wünschen Ihnen eine spannende Lektüre! 6 INHALT Das Wertvolle schützen Cyber Security Auf Angriffe aus dem Cyberraum jederzeit vorbereitet zu sein, zählt heute zu den wesentlichen Aufgaben für Unternehmen. INHALT 7 8 CYBER SECURITY Der unsichtbare Feind Michael Schirmbrand ([email protected]), Gert Weidinger ([email protected]) Attacken aus der virtuellen Welt sind mittlerweile alltäglich geworden. Sie machen auch vor Österreich nicht halt: Die Anzahl an Cyberangriffen steigt jährlich. Der Trend geht dabei in Richtung Spionage und Erpressung. Daher ist es allerhöchste Zeit, proaktiv und strategisch an das Thema Cyber Security heranzugehen. Medienberichte über Cybervorfälle gibt es heute fast täglich. Ein Hackerangriff, den man sich aufgrund seiner Brisanz wohl noch lange merken wird, war etwa jener auf das Unternehmen Sony Pictures: Tausende von privaten Mobilnummern von Stars kursierten im Internet und sogar das Drehbuch für den nächsten James Bond war plötzlich für jedermann zugänglich. Noch dramatischer wird die Lage, wenn durch Cyberangriffe nicht nur Geld und Image verloren gehen, sondern die Landessicherheit gefährdet wird: im Dezember 2015 hackten Cyberkriminelle ein ukrainisches Energieunternehmen und drehten dadurch vielen tausenden Menschen stundenlang den Strom ab. Das solche Dinge nicht nur anderswo passieren, sondern auch in Österreich, wurde der Öffentlichkeit Anfang des Jahres wieder verdeutlicht, als ein oberösterreichisches Industrieunternehmen von Cyberkriminellen um EUR 50 Mio betrogen wurde. Gefahren aus dem Cyberraum Die rasche Weiterentwicklung digitaler Technologien hat das wirtschaftliche und gesellschaftliche Leben grundlegend verändert. Unternehmen agieren und funktionieren heute daher völlig anders als noch vor zwei Jahrzehnten. Der Cyberraum bietet völlig neue Chancen: Geschäftsprozesse können optimiert und beschleunigt werden. Die Kehrseite der Medaille: Die virtuelle Welt liefert viele neue Angriffspunkte für kriminelle Handlungen. Unternehmen weltweit und auch in Österreich berichten von steigenden Kosten durch Cyberkriminalität. Die Schäden reichen von finanziellen Verlusten durch Daten- und Informationsdiebstahl über schwerwiegende CYBER SECURITY Schädigung der Reputation bis hin zum Stillstand der Geschäftsprozesse. Wir alle sind mittlerweile zunehmend abhängig von einer funktionierenden digitalen Infrastruktur, Cyberangriffe stellen daher ein ernstzunehmendes Risiko dar. Bedrohung des Wirtschaftsstandortes Österreich Wer glaubt, die Alpenrepublik sei in puncto Cyberkriminalität eine Insel der Seeligen, liegt vollkommen falsch. Österreich ist ebenso von kriminellen Entwicklungen im Cyberraum betroffen wie alle anderen Länder – Landesgrenzen zählen hier nicht. Die Anzahl an Cyberattacken in Österreich steigt jährlich. Experten stufen Trend in Richtung Spionage und Erpressung Der Trend geht dabei in Richtung immer komplexerer Cyberattacken. Bei sogenannten „CEO Frauds“ werden Unternehmen etwa häufig mit Hilfe von Schadsoftware ausspioniert, Informationen über Zeichnungsberechtigte und darüber, wann der Vorgesetzte im Urlaub ist, werden gesammelt. Zum geeigneten Zeitpunkt verschicken die Cyberkriminellen gefälschte E-Mails mit Zahlungsaufforderungen von Vorgesetzten oder täuschend echt wirkende Rechnungen, bei denen allerdings die Kontonummer ausgetauscht wurde. Wer glaubt, Österreich sei in puncto Cyberkriminalität eine Insel der Seligen, liegt vollkommen falsch. Cyberkriminalität mittlerweile als ernsthafte Bedrohung für den Wirtschaftsstandort Österreich ein. Eine österreichische Studie aus dem vergangenen Jahr belegt: Hochgerechnet haben wir jährlich mindestens EUR 1,6 Mrd Schaden durch Wirtschaftsspionage. Weltweit wird der Schaden durch Cyberkriminalität jährlich auf rund EUR 400 Mrd geschätzt. Für Unternehmen steht im Zusammenhang mit Cyberkriminalität sehr viel auf dem Spiel: Kritische Infrastruktur, geistiges Eigentum und Geschäftsgeheimnisse von österreichischen Unternehmen stehen im Fokus der Angreifer. Auch eine Zunahme von DDoSAngriffen (Distributed Denial of Service) wird in allen Ländern verzeichnet. Dabei wird die Netzinfrastruktur eines Unternehmens mit enorm vielen Datenpaketen überlastet, um so die Server lahmzulegen. Darauf folgt zumeist eine Erpressung durch die Cyberkriminellen. Auch ein österreichisches Mobilfunkunternehmen war vor einiger Zeit Ziel solcher Attacken, was zu tagelangen Störungen für die Kunden führte. Ein weit verbreitetes Delikt in Österreich ist der Einsatz von sogenannten „Ransomware“: Das sind Schadprogramme, mit deren Hilfe Cyberkriminelle Daten auf einem fremden Computer verschlüsseln, um für die Entschlüsselung ein „Lösegeld“ zu fordern. Ein solches Programm kann relativ einfach mittels E-Mail-Attachment eingeschleust werden – ein falscher Klick, und schon sind die Daten gesperrt. Unternehmen nicht ausreichend gewappnet Zwar ist man sich in Österreich der Gefahr bewusst, es gelingt den Unternehmen jedoch nur bedingt, dieses Bewusstsein in konkrete Maßnahmen umzuwandeln. Unternehmen, die vorwiegend auf den österreichischen Binnenmarkt ausgerichtet sind, schätzen Cyberrisiken eher als gering ein. Internationale Konzerne sind sich hingegen der Risiken stärker bewusst. Insbesondere kleine und mittlere Unternehmen unterschätzen die Gefahr durch Cyberrisiken. Aufgrund fehlender Sicherheits- und Reportingsysteme wissen viele nicht einmal, dass sie Opfer eines Angriffs wurden. Die aktuelle Situation zeigt deutlich, dass die meisten Unternehmen noch nicht ausreichend auf Cyberkriminalität vorbereitet sind. Cyber Security muss „Chefsache“ werden Wie können sich österreichische Unternehmen vor Schäden durch Cyberangriffe schützen? Voraussetzung dafür ist eine ganzheitliche Betrachtung der Informationssicherheit auf höchster Führungsebene. Rein technologische Lösungsansätze alleine reichen nicht aus. Besonders wichtig ist die Schärfung des Bewusstseins der Mitarbeiter für Cyberkriminalität. Der „Faktor Mensch“ ist mittlerweile ebenso wichtig für die Abwehr von Cyberattacken wie technische Systeme. Ebenso relevant ist die Entwicklung geeigneter Präventions- und Reaktionspläne für den Ernstfall. Eine zuverlässige Cyber Security zählt zu den wesentlichen Aufgaben der Unternehmensführung des 21. Jahrhunderts. 9 10 CYBER SECURITY Wil kommen in der Realität 30 % erlitten bereits einen Schaden durch Cyberangriffe 92 % glauben, dass Cyber Security kein Hype sondern Alltag ist Robert Lamprecht ([email protected]) Cyberbedrohungen sind mehr als real. Die KPMG Studie „Cyber Security in Österreich“ verdeutlicht das eindrucksvoll: Knapp die Hälfte der befragten Unternehmen war bereits Opfer von Cyberkriminalität. Die Studie zeigt, in welchem Ausmaß österreichische Unternehmen vor der Gefahr gewappnet sind. Erfahren Sie außerdem, was Sie als Unternehmen tun sollten, um bestmöglich geschützt zu sein. Die gute Nachricht: Österreichische Unternehmen erkennen die Gefahr durch Cyberkriminalität an. Jene knapp 50 Prozent, die bereits Opfer wurden, wissen ohnehin, dass es jeden treffen kann. Auch jene, die bisher verschont blieben, verschließen die Augen nicht vor der Realität: 92 Prozent der österreichischen Unternehmen sind sich der Gefahr von Cyberangriffen bewusst. Doch auch wenn das Bewusstsein für Cyberkriminalität bei österreichischen Unternehmen vorhanden ist, so lauert die Gefahr im Detail: Nur 40 Prozent der Unternehmen glauben, ein attraktives Ziel für Cyberangriffe zu sein. Große Unternehmen sehen sich tendenziell eher als Zielscheibe, kleinere und mittlere Unternehmen wiegen sich vermeintlich in Sicherheit. Mittelstand im Mittelpunkt Die Realität zeichnet jedoch ein anderes Bild: Zwei Drittel der Cyberattacken in Österreich betreffen mittlerweile KMUs. Nicht immer wählen Cyberkriminelle ihre Opfer nach wirtschaftlichen Kriterien. In vielen Fällen reicht es, eine leicht zu hackende Software zu verwenden. Bei 41 Prozent der befragten Unternehmen resultierten Cyberattacken in 16 % geben an, ihre Assets ausreichend zu schützen 60 % können Auswirkungen von Cyberangriffen nicht messen der Unterbrechung von Geschäftsprozessen. Abseits der finanziellen Konsequenzen droht auch ein enormer Reputationsschaden. KMUs beschäftigen sich noch wenig mit dem Thema: Für den Großteil der österreichischen KMUs ist Cybersicherheit aktuell kein strategisch wichtiges Thema. Assets schützen Forschungsdaten, Patente, wichtige Rezepturen, geistiges Eigentum: Daten- und Informationsdiebstahl kann für Unternehmen weitreichende Folgen haben. Entscheidend ist daher, sich mit folgender Frage auseinander zu setzen: Was sind die wichtigsten Assets meines Unternehmens und wie schütze ich sie? 57 Prozent der befragten Unternehmen geben laut Studie „mit Sicherheit“ an, dass sie über ihre wertvollsten Assets und deren Speicherort Bescheid wissen. Dieses Ergebnis ist erfreulich. Denn: Eine effiziente Abwehr von Cyberangriffen ist nur unter solchen Voraussetzungen möglich. Gefühl der Machtlosigkeit Österreichische Unternehmen fühlen sich dennoch hilflos: Nur 18 Prozent der Unternehmen sind davon überzeugt, CYBER SECURITY 11 23 % sind in der Lage, Angriffe zu erkennen 18 % 49 % können wirksam auf Cyberattacken reagieren 71 % glauben, Cyberangriffe nicht ganz verhindern zu können waren bereits Opfer eines Cyberangriffes 45 % haben keinen dezidierten Cyber Security-Mitarbeiter 63 % 76 % 23 % haben Cyber Security in der IT-Abteilung angesiedelt der Unternehmen haben keine Berichterstattung von Cyberangriffen glauben, das Bewusstsein der Mitarbeiter unzureichend geschärft zu haben wirksam auf einen Cyberangriff reagieren zu können. 71 Prozent der befragten Unternehmen sind der Meinung, dass Cyberangriffe kaum bis gar nicht verhindert werden können. 82 Prozent der Unternehmen sind sich nicht sicher, ob sie wirklich in der Lage sind, wirksam auf einen Cyberangriff reagieren zu können. Nur 34 Prozent der Unternehmen sind überzeugt zu wissen, wie ihre Assets von Angreifern erreicht werden. Lediglich 16 Prozent der befragten Unternehmen können „mit Sicherheit“ sagen, dass sie alle relevanten Ressourcen überwachen und ausreichend Schutz gewährleisten können. Verkannte Gefahr 60 Prozent der befragten Unternehmen geben an, keine Methoden zur Messung der Auswirkungen von Cyberangriffen zu haben. Angreifer kann man jedoch nur abwehren, wenn man weiß, dass sie da sind. Die Messbarkeit von Cyberangriffen ist die Basis für die Einführung geeigneter Schutzmaßnahmen. Lediglich 23 Prozent der Unternehmen sind jedoch laut eigener Einschätzung in der Lage, Cyberangriffe überhaupt zu erkennen. 53 Prozent der Unternehmen sehen Cyber Security als technische Angelegenheit. Bei mehr als 60 Prozent der Unternehmen ist Cyber Security in der IT-Abteilung angesiedelt. Eine eigene Organisationseinheit gibt es bei 25 Prozent der Befragten. 91 Prozent sehen das Thema als eine operative Angelegenheit und klassisches IT-Thema. Reporting und Awareness 23 Prozent der befragten Unternehmen haben noch keine Berichterstattung zum Thema Cyber Security etabliert. Die Unternehmen werden erst aktiv, wenn bereits Angriffe stattgefunden haben: Mehr als 50 Prozent der Betriebe, die bereits einen Sicherheitsvorfall hatten, haben zumindest ein quartalsweises oder wöchentliches Reporting eingeführt. 69 Prozent der Unternehmen sehen noch Verbesserungsbedarf hinsichtlich des Bewusstseins auf der obersten Führungsebene. Nur 24 Prozent der Unternehmen sind überzeugt, dass bei ihren Mitarbeitern ausreichende Awareness für Cyberangriffe besteht. Eine der Ursachen: Es gibt keine oder nur sehr wenige zuständige Mitarbeiter in den Unternehmen. 12 CYBER SECURITY Gefahr erkannt, Gefahr gebannt? Einen 100-prozentigen Schutz gegen Kriminalität gibt es weder in der realen noch in der virtuellen Welt. Doch was kann man tun, um bestmöglich für Cyberangriffen gewappnet zu sein? 1. Vorsorge statt Nachsorge Generell gilt: Erst aus Angst vor den Folgen eines Angriffs aktiv zu werden, ist definitiv der falsche Ansatz. Der bessere Weg: Präventiv statt reaktiv. Strategische Maßnahmen zur Prävention von Cyberattacken müssen etabliert werden, bevor ein größerer Schaden entsteht. Dies gilt für alle Bereiche: technische Lösungen, Berichterstattung und Reporting, Awareness-Bildung, Organisationseinheiten etc. 2. Zur „Chefsache“ erklären Im digitalen Zeitalter muss Cyber Security unbedingt im Verantwortungsbereich der Unternehmensleitung liegen. Die Führungsebene muss sich ausreichend über Chancen und Risiken in der Cyberwelt informieren und das Thema als Fixpunkt auf die Agenda setzen. Das gilt auch für KMUs: Sie stehen für Know-how, Innovation und Erfindergeist. Der Fortbestand der Unternehmen hängt oft vom Schutz des geistigen Eigentums ab. Cyber Security sollte daher auf der Agenda ganz oben stehen. 3. Der Faktor Mensch Bewusstseinsbildung ist das A und O: Sensibilisierte Mitarbeiter sind noch wichtiger als eine fehlerfreie Sicherheitstechnik im Unternehmen. Die meisten Cyberattacken sind nur durch die Ausnutzung der Schwachstelle Mensch erfolgreich. Beispiel: CEO Fraud funktioniert nur durch die Cyber Security in Österreich Studie IT Advisory April 2016 Herausforderungen und Maßnahmen österreichischer Unternehmen hinsichtlich Cyberkriminalität kpmg.at/cyber Ein Printexemplar der Studie „Cyber Security in Österreich“ können Sie unter [email protected] anfordern. gezielte Beeinflussung des Menschen, technische Aspekte sind hier kaum relevant. Aber auch durch einen unreflektierten Klick auf den Link in einer E-Mail kann enormer Schaden angerichtet werden. Mitarbeiter müssen lernen zu erkennen und zu hinterfragen. Sie sind einerseits ein interessantes Ziel für Angreifer, andererseits aber auch das wirksamste Präventionsmittel. 4. Feinde messbar machen Cyberangriffe und ihre Auswirkungen müssen effizient gemessen werden können. Hier besteht Handlungsbedarf. Ohne geeignete Messinstrumente kann kein wirksamer Schutz gegen Cyberkriminalität implementiert werden. Denn: Es reicht nicht aus, die wichtigsten Assets der Unternehmen nach besten Wissen und Gewissen schützen zu wollen. Eine strategische Herangehensweise und eine Kontrolle der durchgeführten Maßnahmen sind entscheidend. 5. Zeit ist Geld Eine der größten Herausforderungen: zeitnahes Handeln! Unternehmen müssen in der Lage sein, Auffälligkeiten in ihren Datenflüssen frühzeitig zu erkennen und entsprechend rasch zu handeln. Entscheidend sind zwei Faktoren: die schnelle Erkennung eines Security Incidents und die rasche Behebung der Schwachstelle. 6. Kein reines IT-Thema Technik alleine kann längst nicht mehr gegen Angriffe schützen. Benötigt werden daher ein strategisches Gesamtkonzept sowie ein durchdachtes Cyber Security-Managementsystem. Für erfolgreiche Cyberabwehr ist es entscheidend, eigens dafür zuständige Mitarbeiter oder Berater zu haben. Diese können Maßnahmen zur Beobachtung und Messung von Cyberangriffen einführen. Nur so können Angriffe erfolgreich abgewehrt werden. Cyber Security darf kein reines IT-Thema bleiben. Die Entwicklung hin zu eigenen, von der IT ausgegliederten, Cyber Security-Abteilungen wäre der Idealzustand. 7. Eine Frage der Unternehmenskultur Cyberkriminalität gehört zu den Top-Risiken im Unternehmen. Ein Cyber Security-Managementsystem adressiert nicht nur technische Komponenten, sondern schafft organisatorische Voraussetzungen für den Kampf gegen Cyberkriminalität. Gefragt ist ein integrierter und ausgewogener Ansatz, der Menschen und Prozesse ebenso berücksichtigt wie Technologien. Nur so findet das Thema seinen Platz in der Unternehmenskultur. CYBER SECURITY 13 3 Fragen an … In unserer Serie „Fragen an …“ standen den Dimensionen dieses Mal zwei Experten zum Thema Cyber Security Rede und Antwort. Walter Unger Leiter Abteilung C im Abwehramt Bundesministerium für Landesverteidigung und Sport 1 Gerald Hübsch Leiter Konzern-IT-Steuerung/ Group CIO Energie AG Oberösterreich Was sind aus Ihrer Sicht die wichtigsten Trends derzeit? Erstens: Angriffe auf kritische und strategische Infrastrukturen. Es handelt sich hierbei um Angriffe auf Wasserkraftwerke, Hafenanlagen, Hochöfen bis hin zu Atomkraftwerken. Solche Vorfälle werden nur selten bekannt. Ein durch diese Angriffe ausgelöster digitaler Stillstand ist jedoch ein wesentliches Thema für das Militär. Zweitens: die Cyberspionage. Sie kann gegen Unternehmen, Wissensinstitutionen oder Forschungseinrichtungen gerichtet sein, die ihre Assets nicht ordentlich schützen. Drittens: Der Missbrauch personenbezogener Daten. Standen früher der „Spaß“ oder primär gegen die Verfügbarkeit von IKT-Systemen gerichtete Attacken beim Hacking im Vordergrund, sind es heute oft professionell vorbereitete Angriffe auf Geldströme. Cyberattacken werden zum „Geschäftsfeld“ illegaler Organisationen. Technisches Knowhow, gepaart mit Social Engineering-Konzepten, wird zu einem gefährlichen Instrument in der digitalen Welt. Zusätzlich antizipieren wir professionelle Vorbereitungsarbeiten für die Sabotage wichtiger elektronischer Infrastrukturen zum Zeitpunkt X. 2 Wie schätzen Sie die Situation in Österreich ein? Meine Erfahrung ist, dass der Großteil der KMUs wenig bis gar nichts für die Sicherheit tut. Bei Bankinstituten herrscht ein relativ hohes Niveau, weil die Branche permanent im Fokus der Angreifer steht. In der Sicherheitscommunity weiß man heute, dass Angriffe nicht zu 100 Prozent verhindert werden können. Man muss damit rechnen, angegriffen und geschädigt zu werden. Wichtig ist es, eine Sicherheitsorganisation zu haben, die sofort handeln kann. Nicht zuletzt durch öffentliche Stellen, Berater und publizierte Vorfälle steigt das Bewusstsein in heimischen Organisationen deutlich an. Das Thema ist meiner Einschätzung nach in den Chefetagen angekommen. Risikomanager und Informationssicherheitsspezialisten fokussieren sich zunehmend auf Cyber Security, analysieren die Bedrohungslage und ergreifen technische, organisatorische und wirtschaftlich-rechtliche Schutzmaßnahmen. 3 Was werden die nächsten Jahre bringen? Sicherheit muss leistbar sein – das sehe ich als oberstes Ziel für die kommenden Jahre. Das gelingt, wenn man geeignete Systeme und Methoden entwickelt, die auch gelebt werden. Ich bin der Meinung, dass bei einem Angriff ein Incident Management (IT-Störungsmanagement) eingeführt werden muss. Ich halte es auch für wichtig, dass Sicherheit zukünftig verstärkt als Business Enabler anerkannt wird. Wir müssen mit einem weiteren Anstieg der Bedrohungen und Attacken unter zunehmender Professionalisierung rechnen. Cyberrisiken sind künftig traditionellen Risiken ebenbürtig. Mit zunehmendem Einsatz künstlicher Intelligenz und verstärkter Vernetzung (Internet of Things) gewinnt das Thema weiter an Bedeutung. Es ist mit hochkomplexen Angriffen zu rechnen. Dies verlangt nach gebündelter (inter)nationaler und branchenspezifischer Kompetenz, um unser Geschäfts- und Privatleben zu schützen. 14 CYBER SECURITY Mensch, Prozess, Technik Bettina Thurnher, Gebrüder Weiss Informationssicherheit Management wird immer mehr zum essenziellen Wettbewerbsvorteil quer durch alle Branchen, so auch in der Logistik. Bettina Thurnher, Information Security Manager bei Gebrüder Weiss, erläutert, wie eine positive Informationssicherheitskultur etabliert werden kann. Die wichtigsten Erfolgsfaktoren sind dabei die Unterstützung der Geschäftsleitung sowie die Einbeziehung der Mitarbeiter. Logistik und Informationssicherheit Informationstechnologie (IT) ist in der Logistik ebenso wichtig wie der Transport selbst. Ohne IT gibt es keine Erfassung von Speditionsaufträgen, Erstellung von Transportpapieren und Rechnungen, keine Beladung von Lkws und keine Warenzustellungen. IT trägt in der Logistik wesentlich dazu bei, das Transportwesen als Teil der kritischen Infrastruktur eines Landes aufrechtzuerhalten. Hochverfügbarkeit der IT ist dafür eine Grundvoraussetzung. Gebrüder Weiss ist ein familiengeführtes Unternehmen, das seinen Stammsitz seit über 500 Jahren in Vorarlberg hat. Seit der Einführung von EDV-Systemen hat sich die Konzernleitung dafür ausgesprochen, die IT und damit verbunden die Rechenzentren eigenständig zu betreiben. Dies bringt natürlich auch eine große Verantwortung mit sich. Die Hochverfügbarkeit der IT-Systeme ist in der Konzernstrategie verankert. Kundenanfragen und Ausschreibungen fordern Zertifizierungen im Rahmen der Informationssicherheit und Konkurrenten werben mit dem ISO 27001 Zertifikat. Dies sind veritable Gründe für Gebrüder Weiss, die eigene IT-Infrastruktur nachweislich nach internationalen Good Practices-Beispielen zu betreiben. 2015 erhielt das Unternehmen die Zertifizierung nach ISO 27001. Durch ein effizientes Projektmanagement, umfassende Schulung und Sensibilisierung der Mitarbeiter im Scope und externe Unterstützung eines Beraters mit umfassendem Praxis-Know-how konnte innerhalb von nur zwölf Monaten die Zertifizierungsreife für die IT-Services Infrastructure der Gebrüder Weiss erreicht werden. Die erfolgreiche Einführung des Informationssicherheits-Managementsystems war der Lohn für die Anstrengungen und ist nunmehr Ansporn zur kontinuierlichen Verbesserung der Informationssicherheit und Erweiterung des Scopes. CYBER SECURITY 15 „Enabler“ in den Fachabteilungen ist der Information Security Agent: Es ist wichtig, ein Netzwerk zu den Experten in den IT-Bereichen aufzubauen. Die Etablierung eines Verantwortlichen für Informationssicherheit pro Bereich (Information Security Agent) hat sich als überaus wichtig für das Leben und Weiterentwickeln der Vorgaben erwiesen. Erfolgsfaktor Unterstützung der Geschäftsleitung Um ein Projekt dieser Art erfolgreich zu gestalten, haben sich für Gebrüder Weiss zwei Faktoren als ausschlaggebend für den Erfolg gezeigt: die Unterstützung der Geschäftsleitung sowie die Einbeziehung der Mitarbeiter. • Die Geschäftsleitung leistet durch die Ressourcenbereitstellung von internen Stunden und externer Beratungsleistung einen grundlegenden Beitrag zum Erfolg. • Wichtig ist auch die Vorbildwirkung bei der Einhaltung der Vorgaben des Informationssicherheits-Managementsystems. • Durch wiederholte Management Awareness Sessions wird eine aktive Kommunikation mit dem Vorstand etabliert. Die Aufgaben des Vorstands in der Informationssicherheit werden in solchen Meetings ebenfalls ausgehandelt. Im Risikomanagement kommt der Geschäftsleitung bei hoch bewerteten Risiken eine wesentliche Rolle zu. Wenn diese durch wirtschaftlich vertretbare Maßnahmen nicht verringert werden können, können diese nur vom Vorstand akzeptiert werden. Der Schulterschluss mit dem mittleren Management ist eine weitere Voraussetzung für eine gelebte Informationssicherheitskultur. Dies hilft über die Grenzen des Zertifizierungsscopes hinaus, ein Bewusstsein für Informationssicherheit zu schaffen und dies ins tägliche Arbeiten zu integrieren. Die drei Säulen der Informationssicherheit • Der Mensch Die Einbeziehung der Mitarbeiter hatte für Gebrüder Weiss von Anfang an oberste Priorität. Durch Bewusstseinsbildung und Schulungen wurden hartnäckig bestehende Ängste abgebaut und Vorbehalte gegen Richtlinien und Vorgaben entschärft. Informationssicherheit ist vor allem ein Organisationsentwicklungsprojekt – ohne die Einbeziehung der Mitarbeiter geht es nicht. Trotz geforderter Vertraulichkeit im Umgang mit Risiken und Sicherheitsvorfällen ist eine offene und ehrliche Kommunikation zielführend, um auch die größten Kritiker „mit ins Boot“ zu holen. Sind diese einmal überzeugt, wird ein Handeln im Sinne der Informationssicherheit immer mehr zur Selbstverständlichkeit. • Die Prozesse Die neu strukturierten, jetzt dokumentierten Prozessabläufe und die klare Zuordnung von Verantwortlichkeiten machen den IT-Betrieb effizienter. Das Vehikel dafür sind Prozessbeschreibungen zu Applikationen und Komponenten in einem gemeinsamen Betriebshandbuch. • Die Technik Natürlich stellen technischen Lösungen im Rahmen der Informationssicherheit einen wesentlichen Faktor dar. Sie allein machen jedoch die Informationssicherheit nicht aus. Firewalls, Zutrittskontrollen, Berechtigungsvergaben, Secure Coding und Mobile Device Management sind nur einige Schlagwörter als Bestandteile der Informationssicherheit. Sie entfalten jedoch ihre Wirkung nur, wenn die Menschen, die die Technik verwenden sollen, in die Prozesse ausreichend integriert und sensibilisiert sind. Last, but not least, wird ein Informationssicherheits-Manager benötigt, der nicht nur über fachliche Qualifikation verfügt, sondern entsprechende Soft Skills wie Mitarbeiterführung, Kommunikation, Motivation und prozessübergreifendes Denken einbringt. Er muss es verstehen, die Säulen Mensch, Prozess und Technik zusammenzubringen und ein konfliktresistenter Mediator im Unternehmen sein, zumal jede Veränderung auch Widerstände mit sich bringt. Informationssicherheit ist vor allem ein Organisationsentwicklungsprojekt. 16 CYBER SECURITY Nur nicht abwarten Thomas Stubbings ([email protected]) Ein Cyberangriff kann Geschäfte und ganze Unternehmen zerstören. Die europäische NISDirektive, Richtlinie zur Erreichung einer hohen Netzwerk- und Informationssicherheit in Europa, fordert nationale Cybersicherheitsgesetze ein. Österreichs Firmen sollten jetzt schon Sicherheitsstandards und -strategien entwickeln, um Attacken rechtzeitig zu erkennen und auf diese zu reagieren. Im ersten Halbjahr 2015 wurden weltweit im Schnitt jeden Tag 1,4 Mio Datensätze gestohlen. Die Anzahl der Vorfälle, bei denen die Menge der gestohlenen Datensätze unbekannt ist, liegt bei 50 Prozent. Über 80 Prozent der österreichischen Unternehmen, die bei einer aktuellen KPMG Studie zum Thema Cyber Security befragt wurden, geben an, dass sie nicht wissen, ob sie einen Angriff überhaupt bemerken würden. Bereits mehr als ein Drittel aller gezielten Angriffe ist auf Unternehmen mit einem bis 250 Mitarbeitern gerichtet. Und es gibt erste Beispiele von Unternehmen, die aufgrund der Folgen eines Cybervorfalls ihre Geschäftstätigkeit dauerhaft einstellen mussten. Gesetzliche Anforderungen Bereits jetzt sind die gesetzlichen Anforderungen hoch und nehmen die Unternehmensleitung in die Verantwortung: • Daten müssen vor Zerstörung und Verlust und vor ordnungswidriger oder unrechtmäßiger Verwendung geschützt werden (Datenschutzgesetz). • Unternehmer haften für Verfehlungen von Mitarbeitern unter Verwendung der von ihnen zur Verfügung gestellten Arbeitsmittel (Verbandsverantwortlichengesetz). • Unternehmen haben bei Datendiebstahl eine Informationsverpflichtung an alle Betroffenen über die (auch nur potenzielle) unrechtmäßige Verwendung der Daten (Databreach Notification Duty). • Die Verantwortung für Informationssicherheit verbleibt grundsätzlich immer bei der Unternehmensführung (Geschäftsführerhaftung/UGB). Zehn Fragen Im Rahmen der Europäischen NISDirektive müssen zusätzlich nationale Cybersicherheitsgesetze umgesetzt werden, welche die Bereiche risikobasierte Sicherheitsstandards, Audits und Meldeverpflichtung schwerwiegender Sicherheitsvorfälle regeln werden. Das österreichische Cybersicherheitsgesetz wird 2017 erwartet. Spätestens dann müssen sich Unternehmen folgende Fragen stellen: • Gibt es eine Cybersicherheitsstrategie im Unternehmen? • Haben wir Sicherheitsziele definiert, die unsere Geschäftsstrategie mit dem aktuellen Bedrohungsbild in Einklang bringen? • Kennen wir die wesentlichen Cybersicherheitsrisiken für unser Geschäftsmodell? • Haben wir einen Prozess, um Risiken und Bedrohungen zu erkennen und zu bewerten? • Wissen wir, welche Chancen und Risiken sich in Bezug auf Cybersicherheit durch neue Technologien, CYBER SECURITY 17 NIS-Richtlinie Richtlinie zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union Status: Ratsbeschluss ist am 17. Mai 2016 erfolgt, der Beschluss durch das Europäische Parlament wird im Juli erwartet • • • • • Cloud Computing, Internet of Things und Outsourcing ergeben? Haben wir die richtigen Maßnahmen gesetzt, um unser Geschäftsmodell ausreichend vor Cyberrisiken zu schützen? Gibt es ein definiertes Vorgehen bei Sicherheitsvorfällen? Sind wir überhaupt in der Lage, hochentwickelte komplexe Angriffe auf unser Unternehmen rechtzeitig zu erkennen? Gibt es Notfallpläne und -maßnahmen für „Worst Case Szenarien“? Haben wir diese Notfallpläne getestet und ihre Wirksamkeit überprüft? Das Cybersicherheitsgesetz wird hierzu teilweise verpflichtende Vorgaben machen. Aufgrund der aktuellen Bedrohungslage und sich häufender Vorfälle in den Bereichen Denial of Service-Attacken, Kryptolocker, CEO Fraud sowie diverser hochspezialisierter Angriffe empfiehlt es sich jedoch, Umsetzungszeitrahmen: 21 Monate Gültigkeitsbereich: verpflichtend für Betreiber kritischer Infrastrukturen (Energie, Transport, Finanzwesen, Gesundheit, Telekommunikation/ ISP) und digitale Serviceprovider (Online Marktplätze, Suchmaschinen, Cloud Computing Anbieter) Wesentliche Regelungsbereiche: • Pflicht, angemessene technische und organisatorische Sicherheitsmaßnahmen zur Risikobewältigung zu ergreifen • Pflicht zur unverzüglichen Meldung von Störfällen, die substanzielle Auswirkungen auf die Aufrechterhaltung des Dienstes haben • Audit-Recht durch (noch zu schaffende) nationale NIS-Behörde Nächste Schritte: Umsetzung in nationales Recht (Österreichisches Cybersicherheitsgesetz), finale Festlegung der betroffenen Unternehmen und Dienste nicht erst auf das Gesetz zu warten, bevor man handelt. Eine strukturierte Business Impact-Analyse und eine an der Geschäftsstrategie ausgerichtete Risikoanalyse sind die Basis für die Entwicklung einer passenden Cybersicherheitsstrategie. Mit der richtigen Sicherheitsstrategie können die Auswirkungen von Angriffen auf ein Unternehmen minimiert und die Aufrechterhaltung der Geschäftstätigkeit sichergestellt werden. KPMG als weltweit führender Anbieter von Sicherheitsberatungsleistung kann hierbei gezielt und effektiv unterstützen. 18 CYBER SECURITY Ein Klick zu viel Robert Lamprecht ([email protected]) Mit der täglichen E-Mail-Flut in Unternehmen liegen die Herausforderungen im Detail. Ein Klick zu viel und mögliche Angreifer übernehmen die Steuerung sämtlicher am Computer gespeicherten Daten. Mit einer gezielten Verschlüsselung (Ransomware) beeinträchtigen oder schädigen sie nachhaltig Geschäftsprozesse. Das Bewusstsein dafür und eine schnelle Reaktion der Mitarbeiter sowie der IT-Verantwortlichen sind gefragt. CYBER SECURITY 19 In den Anfangsjahren In den Anfängen des Computer-Zeitalters, als IT-Systeme in Unternehmen und Haushalten Einzug hielten, waren sie noch Exoten, die vorrangig von Informatikstudenten zum Gaudium und Zeitvertreib entwickelt worden waren: Computerviren. Bei Computerviren der frühen 1990er Jahre war es der – zweifelhafte – Spaß, der im Vordergrund stand, wenn auf einmal die Zeichen vom Bildschirm „herunterfielen“. Durch eine Sicherung auf eine 5 ¼-Zoll-Diskette konnten die Daten allerdings wiederhergestellt werden. Ein Weiterarbeiten war nach kurzer Zeit problemlos möglich. Heute Mehr als 20 Jahre später sind die Zeiten, in denen Viren und Trojaner nur Schabernack treiben, vorbei. Gerade heute steckt besonders viel kriminelle Energie hinter Malware; noch mehr hinter Ransomware (engl Lösegeld), die auf Erpressung abzielen. Diese wird gerne als Anhang einer scheinbar vertrauenswürdigen E-Mail eines Paketdienstleisters, einer Bank, eines Telekommunikationsdienstleisters oder eines Online-Händlers mitgeschickt. Die Empfänger sollen über die Verlockung oder Neugier zum Öffnen dieser Anhänge (zB PDF- oder ZIP-Datei) motiviert werden, um so eine Infizierung hervorzurufen, die eine Beeinträchtigung oder Schaden verursacht. Aktuelle Fälle zeigen auch, dass Unternehmen bzw Personalabteilungen Bewerbungen bekommen, deren Anhänge auf einen Cloud-Speicher (zB Dropbox, OneDrive) hinweisen. Von dort wird die Schadsoftware mit dem Dateinamen „Bewerbungsunterlage Max Mustermann.PDF.exe“ herunterladen. Im Vordergrund der Aktion steht, an Geld zu kommen, sei es mit der Verschlüsselung der gespeicherten Daten des Unternehmens oder mit der Androhung, die gestohlenen Daten zu veröffentlichen. Die Verlockung Doch damit nicht genug. Um die Opfer weiter unter Druck zu setzen und die Zahlung des Lösegelds einzufordern, werden durch die Angreifer immer neuere Varianten der Schadsoftware entwickelt und die Erpressungstrojaner agieren immer perfider. Ein aktuelles Beispiel ist die Variante „Petya“. Für gewöhnlich werden die Daten verschlüsselt und der Schlüssel nach Bezahlung der Lösegeldforderung in Form von Bitcoins übermittelt. Neue Varianten verschlüsseln nicht nur die Daten, sondern beginnen auch mit der Löschung dieser, wenn die Opfer das geforderte Lösegeld nicht bezahlen. Es sind aktuelle Fälle bekannt, bei denen in jeder Stunde eine Datei vom Computer gelöscht wird. Noch schlimmer wird es, wenn man den Computer neu startet, denn hier werden dann 1.000 zufällig ausgewählte Dateien gelöscht. Nach 72 Stunden ist die Sache zu Ende. Sollte man bis dahin der Forderung von 0,4 Bitcoins (rund EUR 150) nicht nachgekommen sein, werden alle Daten gelöscht. Ob und inwieweit Daten veröffentlicht oder gelöscht werden, wenn man den Forderungen nachkommt, ist nicht klar. Obwohl die Exekutive in vielen Ländern vom Bezahlen abrät, schätzt man die bezahlten Lösegelder auf mehrere Millionen Euro ein. Kein Wunder also, dass Ransomware boomt. Bausätze für schnelles Geld Im nicht indizierten Bereich des Internets, dem sogenannten Darknet, werden bereits fertige Bausätze angeboten, mit denen die Verbreitung von Schadsoftware innerhalb weniger Mausklicks möglich ist. Ein Formular wird ausgefüllt, die Höhe des Lösegelds festgelegt, das Bitcoin-Konto sowie der Countdown bis zur Zerstörung der Daten angegeben – und fertig ist die Schadsoftware. Die Preise für diese Art von Programmen variieren zwischen USD 200 und 2.000, je nach Qualität und Funktion. Aber auch im Darknet existieren bereits „Rundum-Sorglos-Pakete“, bei denen für USD 80 bis 100 1.000 infizierte Computer erreicht werden können. Wenn nun nur ein Bruchteil der Betroffenen der Forderung nachkommt, war der Angriff bereits wirtschaftlich erfolgreich. Vorfälle müssen intern sofort kommuniziert werden. Das betroffene System sollte so rasch wie möglich isoliert werden. Was bedeutet das für Unternehmen? Für Unternehmen, aber auch für Privatnutzer, ist hier ein Fokus auf zwei wesentliche Bereiche zu legen: Erstens ist aus technischer Sicht eine regelmäßige Sicherung der Daten, ein Back-up, durchzuführen. Das ist die wichtigste und wirksamste Schutzmaßnahme, die zumindest die Verfügbarkeit der Daten gewährleistet und die Unterbrechung der Geschäftsprozesse minimiert. Zweitens ist das Bewusstsein bei den Anwendern zu schulen und zu schärfen. Mag die Versuchung, ein Attachment zu öffnen oder auf einen Link zu klicken noch so groß sein, sollte im ersten Moment immer die Skepsis vorherrschen. Wenn der Klick dann aber doch passiert, ist der Vorfall intern unmittelbar zu kommunizieren und das betroffene System zu isolieren, um eine weitere Ausbreitung der schädlichen Software zu vermeiden. 20 CYBER SECURITY Stichwort Cyber Security und … Die beiden IT-Experten Andreas Teischl, Unicredit Bank Austria AG, und Andreas Rauscher von KPMG finden beim Stichwort „Cyber Security“ klare Worte. Andreas Teischl Chief Security Officer und Chief Information Officer Unicredit Bank Austria AG Kommunikation Ein Austausch innerhalb des Unternehmens, aber auch mit anderen Betrieben, ist im Bereich Cybersicherheit unerlässlich. Es geht um eine gemeinsame Herangehensweise – der Konkurrenzgedanke ist hier vollkommen fehl am Platz. Gegen Cyberkriminelle muss man gemeinsam an einem Strang ziehen. Das ist auch die von uns gelebte Praxis. Wir kommunizieren sehr intensiv mit den Ansprechpartnern aus den anderen Banken. Andreas Rauscher IT Advisory, Cyber Security KPMG Kommunikationswege im Unternehmen sollten klar definiert sein. An wen muss ich mich bei einem Verdachts- oder Schadensfall wenden? Wer priorisiert die Auswirkung und übernimmt dann Koordination und Abarbeitung? Beim Erfahrungsaustausch zwischen Unternehmen (auch aus unterschiedlichen Branchen) profitieren alle Beteiligten. Schlussendlich liegt es an Wirtschaft, Forschung/Lehre, Gesellschaft und der öffentlichen Hand sich zu vernetzen. CYBER SECURITY 21 Bereits im Social Media-Raum werden kriminelle Aktivitäten angebahnt. Andreas Teischl Bewusstsein Nächste Generation Für Phishing-Seiten war es früher einfacher, ihr Ziel zu erreichen. Durch Barrieren wie zB SMS-TAN und die verbesserte Awareness ist das heute kaum mehr möglich. Die Kriminellen haben neue Strategien entwickelt und setzen mehr auf die persönliche Ebene. So geben sie sich zB als Bank-Mitarbeiter aus und behaupten: „Wir haben ein IT-Problem beim Onlinebanking, bitte machen Sie...“. Hier besteht noch Nachholbedarf in der Bewusstseinsbildung. Aus meiner Sicht müsste man das Thema Cybersicherheit in den Schulunterricht integrieren. Dort bekommt man vermittelt: Bei Rot darfst du nicht über die Straße gehen. Vergleichbares müsste für die Cyberwelt passieren – was aufgrund der Komplexität schwieriger ist. Die Kinder beschäftigen sich mit anderen Medien und Inhalten, als in der Schule vermittelt werden. Dabei müssten sie sich mit folgenden Fragen beschäftigen: Wie bewege ich mich in Social Media-Welten? Was poste ich auf welcher Plattform? Welche Inhalte sollte ich nur Freunden zeigen und nicht der ganzen Weltöffentlichkeit? Denn: Bereits im Social Media-Raum werden kriminelle Aktivitäten angebahnt. Die besten und teuersten technischen Maßnahmen können ein mangelndes oder fehlendes Bewusstsein bei Cyber SecurityThemen nicht kompensieren. Regelmäßige Schulungen geben Mitarbeitern einen Überblick über aktuelle Bedrohungen, Verhaltensregeln und zeigen auf, wie allfälliger Schaden minimiert werden kann. Von diesem Wissen profitiert der Arbeitnehmer auch im privaten Umfeld (privates E-Mail-Konto, Onlinebanking, Datensicherung). In Zukunft wird die Benutzung von Technologien, die heute noch in den Kinderschuhen stecken, selbstverständlich werden. Intelligentes Wohnen, selbstfahrende Autos und das Internet der Dinge werden dann zum Alltag gehören. Bereits vor der Verwendung neuer Systeme ist eine gesunde Portion Misstrauen angebracht: Wo werden die Daten gespeichert? Wie wird die Kommunikation verschlüsselt? Wer in Hinblick auf staatliche Vorratsdatenspeicherung und Staatstrojaner die Meinung vertritt, dass er ohnehin nichts zu verbergen hat, sollte das auch konsequent umsetzen: Haustür und Auto unversperrt lassen sowie Gesundheits- und Bankdaten öffentlich einsehbar machen. Den Durchblick haben Prüfung Durch laufende Neuregelungen und Veränderungen in der Gesetzgebung sind Betriebe dazu angehalten, Licht ins Dunkel zu bringen. 24 PRÜFUNG Mehr Klarheit Werner Gedlicka ([email protected]) Nach Verabschiedung des RÄG 2014 im vorigen Jahr veröffentlichte der Gesetzgeber nun im Rahmen des Abschlussprüfungsrechts-Änderungsgesetzes 2016 (APRÄG 2016)1 weitere „technische Verbesserungen“ zu den Rechnungslegungsbestimmungen. Die Verbesserungen betreffen insbesondere die Übergangsregelungen für die erstmalige Anwendung. Mit dem Rechnungslegungs- Änderungsgesetz 2014 (RÄG 2014) hat Österreich die EU-Bilanzrichtlinie (RL 2013/34/EU) umgesetzt. Die neuen Regelungen sind erstmals auf Geschäftsjahre anzuwenden, die nach dem 31. Dezember 2015 begonnen haben. Das Bundesministerium für Justiz hat die Zeit seit der Verabschiedung des RÄG nun genutzt, um neben rein technischen Korrekturen auch einige Zweifelsfragen noch vor der erstmaligen Anwendung des RÄG 2014 zu klären. Die Klarstellungen betreffen insbesondere die Übergangsregelungen für die erstmalige Anwendung des RÄG 2014 und sind für die Vorbereitung der Jahres- bzw Konzernabschlüsse für das Geschäftsjahr 2016 (bzw 2016/2017) relevant. Das APRÄG 2016, das diese Änderungen beinhaltet, wurde Ende Mai verabschiedet und steht elektronisch zum Download zur Verfügung. Die Veröffentlichung im Bundesgesetzblatt ist jüngst erfolgt. Die wesentlichen inhaltlichen Änderungen Klarstellungen zu den Übergangsregelungen in Bezug auf die Erstanwendung des RÄG 2014 (§§ 906 Abs 33, 34 und 36 UGB) In der fachlichen Diskussion zur erstmaligen Anwendung des RÄG 2014 im Jahr 2016 haben sich mehrere Fragen zu den Übergangsregelungen ergeben, denen der Gesetzgeber durch folgende Änderungen großteils Rechnung trägt: • Ermittlung des Unterschiedsbetrages aus der Erstanwendung: Zur Berücksichtigung von Umwertungen aufgrund der erstmaligen Anwendung des RÄG 2014 besteht für langfristige Verpflichtungen (Rückstellungen) und latente Steuern die Möglichkeit, den Unterschiedsbetrag, beginnend mit dem Jahr der Zuführung, über längstens fünf Jahre gleichmäßig verteilt nachzuholen. Zu dieser Möglichkeit hat sich die Frage ergeben, ob man den Unterschiedsbetrag zu Beginn des Geschäftsjahres (für Regelgeschäftsjahre per 1. Jänner 2016) oder erst zum Ende des Geschäftsjahres (für Regelgeschäftsjahre per 31. Dezember 2016) ermitteln soll. Die Änderungen stellen klar, dass der Unterschiedsbetrag zu Beginn des Geschäftsjahres der Erstanwendung zu ermitteln ist. • Erfassung latenter Steuern aus Umgründungen/Kapitalkonsolidierungen: Latente Steuern, die aus Umgründungen oder Kapitalkonsolidierungen resultieren, waren bisher nicht (verpflichtend) zu bilanzieren. Wenn solche latente Steuern nach den geänderten Bestimmungen gemäß § 198 Abs 9f UGB idF RÄG 2014 zu bilanzieren sind, müssten diese aufgrund der Übergangsregelungen erfolgswirksam, dh über die Gewinn- und Verlustrechnung PRÜFUNG 25 (GuV) nacherfasst werden. Da diese bei ihrer Entstehung jedoch unter Verrechnung mit einem Geschäfts-/ Firmenwert (als Residualgröße) und somit grundsätzlich erfolgsneutral erfasst werden, ergibt sich hierdurch ein Widerspruch. Die Änderung legt fest, dass latente Steuern aus Umgründungen oder Kapitalkonsolidierungen nicht über die GuV, sondern über das Eigenkapital zu bilden sind. • Darstellungen zu Vorjahreszahlen: § 906 Abs 36 UGB ordnet an, was mit den Vorjahreszahlen im Hinblick auf entfallende Posten (zB unversteuerte Rücklagen) oder erforderliche Umgliederungen zwischen Posten (zB Umsatzerlöse) im ersten RÄG-Abschluss zu geschehen hat. In der geänderten Fassung hat die Anpassung der Vorjahresbeträge an die geänderte Gliederung und/ oder die neuen Inhalte nunmehr im gesamten Abschluss (dh in der Bilanz und GuV bzw Anhang) zu erfolgen, da die Vorjahresangaben im Abschluss für das laufende Geschäftsjahr in sich konsistent und nicht auf unterschiedlichen Rechtsgrundlagen beruhen sollten. Abbildung 1: Erstanwendung RÄG 2014 – Überblick Übergangsregelungen RÄG 2014 – Übergangsregelungen Umgliederungen rückwirkend § 906 (36) prospektiv § 906 (30) unter Aufrollung § 906 (28), (32)–(34) Abbildung 2: Erstanwendung RÄG 2014 - Überblick Bilanzen/GuVs für ersten RÄG-Abschluss Hervorzuheben ist in diesem Zusammenhang, dass diese „Umgliederungen“ bloß die Darstellung im Abschluss betreffen und nicht zwingend auch eine systemische Erfassung im Buchungskreis für das Vorjahr erfordern. Der im Vorjahr aufgestellte Abschluss und ggf festgestellte und ausgeschüttete Bilanzgewinn bleiben von dieser Darstellung unbeeinflusst. Zudem betrifft die rückwirkende Anpassung lediglich Umgliederungen. „Umwertungen“ aufgrund der geänderten Bewertungsvorschriften sind gemäß §§ 906 Abs 28 bis 35 hingegen je nach Sachverhalt entweder „unter Aufrollung“ (dh im Jahr der erstmaligen Anwendung) oder prospektiv zu erfassen (Abbildung 1). Die Anpassungen, die bei der Aufstellung des ersten Jahres-/Konzernabschlusses nach den Vorschriften des RÄG 2014 zu berücksichtigen sind, sind in Abbildung 2 für den Fall von Regelstichtagen überblicksartig zusammengestellt. Umwertungen 1. Jänner 2015 31. Dezember 2016 Beginn der Vorperiode Stichtag Beginn Umgliederungen (nicht dargestellt – intern rechnerisch) Bilanzstichtag erstmaliger RÄG-Abschluss umgegliederte + umgewertete Bilanz 2015 2016 2017 ff Vorperiode umgegliederte Vorjahres-GuV Berichtsperiode Erstanwendung umgegliederte + umgewertete GuV Folgeperioden 31. Dezember 2015 Umgegliederte Vorjahresbilanz Stichtag Ermittlung Umwertungen Stichtag Beginn Erfassung Umwertungen Bilanz + GuV 1 Abschlussprüfungsrechts-Änderungsgesetz 2016; Download unter www.parlament.gv.at/PAKT/VHG/XXV/I/I_01109/index.shtml 26 PRÜFUNG Abbildung 3: Erstanwendung RÄG 2014 am Beispiel der unversteuerten Rücklagen Sachverhalt: X-GmbH verfügte per 01.01.2015 über unversteuerte Rücklagen (Bewertungsreserven) gemäß § 205 aF UGB iHv 60, die im Jahr 2015 iHv 24 aufgelöst wurden. Abschluss vor Inkrafttreten RÄG 2014: LÖSUNGSVORSCHLAG: Abschluss angepasst RÄG 2014 (Vorjahresangaben): Anpassung rechnerisch gem § 906 (36): Eröffnungsbilanz: Eröffnungsbilanz: 01.01.2015 01.01.2015 160 Eigenkapital Cash Bilanzgewinn Unversteuerte Rücklagen 160 100 0 60 160 Eigenkapital Cash Gewinnrücklagen Bilanzgewinn n 60 75 % vo 25 % von 60 Steuerrückstellung – latent 160 160 Gewinn- und Verlustrechnung: 15 160 Gewinn- und Verlustrechnung: GuV 2015 Ergebnis vor Steuern Steueraufwand Jahresüberschuss Auflösung unversteuerter Rücklagen 10 -5 5 24 GuV 2015 Ergebnis vor Steuern Steueraufwand n 24 -5 + 25 % vo Jahresüberschuss Auflösung Gewinnrücklagen Bilanzgewinn 29 Bilanzgewinn Schlussbilanz: Cash 100 45 0 10 1 11 75 % von 24 18 29 Schlussbilanz: 170 31.12.2015 Eigenkapital Bilanzgewinn Unversteuerte Rücklagen Steuerückstellungen – laufend 170 100 29 36 5 170 Am Beispiel des Entfalls der unversteuerten Rücklagen, die in die Gewinnrücklagen umgegliedert werden (§ 205 UGB), wird ein Lösungsvorschlag für die Anpassung der Vorjahreszahlen illustriert (Abbildung 3). Die unversteuerten Rücklagen werden für Darstellungszwecke in der Vergleichsperiode unter Berücksichtigung latenter Steuern in die rechnerisch gebildeten Gewinnrücklagen umgegliedert (§ 906 Abs 36 UGB). Die Fortschreibung unversteuerter Rücklagen wird in der Folge außerbücherlich geführt und in den Gewinnrücklagen erfasst. Die laufende Auflösung der unversteuerten Rücklagen führt in der Darstellung zu einer aliquoten Auflösung der rechnerisch gebildeten Gewinnrücklagen und der latenten 31.12.2015 Cash 170 Eigenkapital Gewinnrücklagen Bilanzgewinn 75 % von 36 25 % von 26 Steuerückstellungen – latent Steuerückstellungen – laufend 170 100 27 29 9 5 170 Steuerrückstellung (Abbildung 3). Buchungstechnisch sind die unversteuerten Rücklagen in dem Geschäftsjahr der Erstanwendung zu Beginn durch entsprechende Umbuchungen zu verarbeiten (§ 906 Abs 31 UGB). Über die Zweckmäßigkeit und den Umfang der generellen Anpassung der Vorjahreszahlen fand eine Fachdiskussion statt. Inhaltlich ging es vor allem um die Frage, ob eine Anpassung der Vorjahreszahlen in allen Fällen erforderlich ist, oder ob auch eine Erläuterung der mangelnden Vergleichbarkeit im Anhang gemäß der bisherigen Regelung in § 223 Abs 2 UGB ausreicht. PRÜFUNG 27 Der Gesetzgeber hat dieser Diskussion in der finalen Fassung Rechnung getragen, indem die Regelung insofern abgeschwächt wurde, als dass die Vorjahreszahlen nur angepasst werden müssen, wenn dies für die Vermittlung eines möglichst getreuen Bildes der Vermögens-, Finanz- und Ertragslage erforderlich (§ 222 Abs 2 UGB) und praktikabel ist. Wie relevant diese Bestimmung in der Praxis tatsächlich sein wird, bleibt abzuwarten. Sonstige technische Verbesserungen Rechnungslegungspflicht für kapitalistische Personengesellschaften (§ 189 Abs 1 Z 2 UGB) Aufgrund des Entfalls der unternehmerischen Tätigkeit als Kriterium für Rechnungslegungspflicht nach § 189 Abs 1 Z 2 UGB hat sich die Frage ergeben, ob die neuen Regelungen neben Offenen Gesellschaften (OGs) und Kommanditgesellschaften (KGs) auch andere Gesellschaften, wie etwa Gesellschaften bürgerlichen Rechts (GesbRs), betreffen. Um klarzustellen, dass sich der Anwendungsbereich der geänderten Regelungen zur Rechnungslegung von kapitalistischen Personengesellschaften ausschließlich auf Offene Gesellschaften (OGs) und Kommanditgesellschaften (KGs) bezieht, wird der Anwendungsbereich auf „eingetragene Personengesellschaften“ eingeschränkt. Hinsichtlich mehrstöckiger OGs oder KGs wurde (analog § 264a dHGB) klargestellt, dass nur solche mehrstöckigen Personengesellschaften von den Regelungen erfasst sind, bei denen ultimativ keine natürliche Person als persönlich haftender Gesellschafter beteiligt ist. Größenklassen von kapitalistischen Personengesellschaften (§ 221 Abs 5 UGB) Kapitalistische Personengesellschaften unterliegen gemäß § 221 Abs 5 UGB hinsichtlich der ergänzenden Vorschriften für Kapitalgesellschaften des dritten Buches, die sie bei Rechnungslegung anzuwenden haben, den der Rechtsform ihres unbeschränkt haftenden Gesellschafters entsprechenden Rechtsvorschriften; ist dieser keine Kapitalgesellschaft, so gelten die Vorschriften für Gesellschaften mit beschränkter Haftung. Aus dem Wortlaut dieser Bestimmung könnte der Schluss gezogen werden, dass es auch für die größenklassenmäßige Einordnung der Personengesellschaft auf die Eigenschaften des persönlich haftenden Gesellschafters ankommt. Da dies jedoch weder beabsichtigt noch nach der Bilanzrichtlinie zulässig ist, wurde durch einen ergänzenden Satz in Absatz 5 klargestellt, dass sich die Größenklassifizierung nach den Kennzahlen der Personengesellschaft selbst richtet. Die Größenmerkmale des unbeschränkt haftenden Gesellschafters der Personengesellschaft sind dafür ohne Bedeutung. Eigenkapital-Ausweis in der Bilanz (§ 224 Abs 3 UGB, § 229 Abs 1 bis 1b UGB) Um Unklarheiten zum Ausweis des Eigenkapitals zu beseitigen, soll in der Bilanzgliederung gemäß § 224 Abs 3 UGB vorgesehen werden, dass es sich bei dem in der Hauptspalte der Bilanz auszuweisenden Betrag um das eingeforderte Nennkapital handelt. Ergänzend wird in § 229 Abs 1, 1a und 1b UGB vorgesehen, dass neben dem eingeforderten Kapital auch das gezeichnete („übernommene“) Kapital und das eingezahlte Kapital angegeben werden müssen. Die Verpflichtung zu Angaben in Vorspalten soll künftig entfallen. Wie die Darstellungen letztlich im Detail gewählt werden, zB ob dabei vom gezeichneten Kapital ausgegangen wird und wie bisher unter Abzug der nicht eingeforderten ausstehenden Einlagen der Posten „eingefordertes Nennkapital“ gebildet wird (Variante a), oder ob beim eingeforderten Kapital einfach das (gezeichnete) Nennkapital und das eingezahlte Kapital angeführt werden (Variante b), soll der Praxis überlassen bleiben: Abbildung 4: Beispiel Gesellschaft mit beschränkter Haftung (Bargründung, zu 50 Prozent eingezahlt): Variante a) EUR Betrag eingefordertes Stammkapital gezeichnetes Stammkapital -nicht eingeforderte ausstehende Einlagen 17.500 35.000 -17.500 eingefordertes und eingezahltes Stammkapital Variante b) eingefordertes Stammkapital gezeichnetes Stammkapital eingezahltes Stammkapital 17.500 EUR Betrag 17.500 35.000 17.500 Änderung des Unternehmensreorganisationsgesetzes (§§ 23 und 24 URG) Zur Errechnung der Eigenmittelquote und fiktiven Schuldentilgungsdauer werden die Berechnungsformeln an die durch das RÄG 2014 geänderten Berechnungsgrundlagen angepasst, ohne an der bisherigen Systematik Änderungen vorzunehmen: • Bei der Berechnung der Eigenmittelquote (§ 23 URG) entfällt der Verweis auf die unversteuerten Rücklagen. • Bei der Berechnung der fiktiven Schuldentilgungsdauer (§ 24 URG) werden die Verweise angepasst (und auf den Jahresüberschuss/-fehlbetrag anstelle des EGT) abgestellt. Conclusio Mit den „technischen Verbesserungen“ zum RÄG 2014 werden neben Redaktionsversehen auch einige wichtige Anwendungsfragen zur erstmaligen Anwendung adressiert, sonst aber vorwiegend spezifische Einzelfragen aufgegriffen. Insgesamt ist das Vorgehen, dass der Gesetzgeber die Gelegenheit für Klarstellungen nutzte, jedenfalls zu begrüßen. 28 PRÜFUNG On oder Off? Gerhard Wolf ([email protected]) Aufgrund des einheitlichen Bilanzierungsmodells für Leasingverhältnisse beim Leasingnehmer kommt der Beurteilung, ob ein Leasingverhältnis gemäß IFRS 16 vorliegt, besondere Bedeutung zu. Dies erklärt auch die deutlich umfangreicheren Vorschriften hinsichtlich der Definition eines Leasingverhältnisses im Vergleich zu den Regelungen in IAS 17. Man spricht vom neuen „On/Off-Balance Sheet Test“. Bei Vertragsabschluss hat ein Unternehmen zu beurteilen, ob es sich bei einem Vertrag um ein Leasingverhältnis handelt bzw ob er ein Leasingverhältnis beinhaltet. Ein Leasingverhältnis gemäß IFRS 16 liegt vor, wenn dem Leasingnehmer vertraglich das Recht zur Beherrschung des identifizierten Vermögenswerts für einen festgelegten Zeitraum eingeräumt wird und der Leasinggeber im Gegenzug eine Gegenleistung vom Leasingnehmer erhält. Beherrschung über den Leasinggegenstand für einen Zeitraum wird angenommen, wenn der Leasingnehmer das Recht hat, über die Nutzung zu verfügen und ihm während der Laufzeit der Leasingvereinbarung im Wesentlichen der gesamte wirtschaftliche Nutzen zufließt. Somit sind bei der Beurteilung, ob ein Leasingverhältnis vorliegt, folgende Fragen zu beurteilen (Abbildung 1): • Liegt ein identifizierter Vermögenswert vor? • Fließt dem Leasingnehmer im Wesentlichen der gesamte wirtschaftliche Nutzen während der Laufzeit der Leasingvereinbarung zu? • Hat der Leasingnehmer das Recht, über die Nutzung des Leasinggegenstandes zu verfügen? Identifizierter Vermögenswert Ein Vermögenswert gilt grundsätzlich dann als identifiziert, wenn er explizit im Vertrag spezifiziert wird oder sich dies PRÜFUNG 29 implizit zu dem Zeitpunkt ergibt, an dem er dem Leasingnehmer zur Verfügung gestellt wird. Identifizierbarkeit kann sich auf einen Teil eines Vermögenswerts beziehen, vorausgesetzt es handelt sich um einen physisch unterscheidbaren Teil. Ermessen ist bei der Beurteilung, ob ein substanzielles Austauschrecht durch den Leasinggeber vorliegt, gefragt. Liegt ein „substantive substitution right“ vor, gilt der Vermögenswert nicht als identifiziert. Ein Austauschrecht wird dann als substanziell beurteilt, wenn der Austausch für den Leasinggeber praktikabel ist und er wirtschaftlich von der Ausübung des Rechts profitieren würde, also der Nutzen die Kosten aus dem Austausch übersteigt. Sofern sich der Vermögenswert auf dem Gelände des Leasingnehmers oder eines sonstigen Dritten befindet, ist gemäß IFRS 16 anzunehmen, dass die Kosten den Nutzen für einen Austausch übersteigen, sodass das Austauschrecht nicht substanziell ist (Abbildung 2). Wirtschaftliche Vorteile beim Leasingnehmer Für die Einschätzung, ob dem Leasingnehmer im Wesentlichen der gesamte wirtschaftliche Nutzen während der Laufzeit der Leasingvereinbarung zufließt, ist zu beurteilen, in welchem Umfang der Leasingnehmer zur Nutzung des Vermögenswertes berechtigt ist. Sofern der Leasingnehmer einen Teil des erzielten wirtschaftlichen Nutzens an den Leasinggeber (oder an einen anderen Dritten) weitergeben muss (zB umsatzabhängige Leasingzahlungen), ist dieser Nutzen bei der Beurteilung zu berücksichtigen. Die Weitergabe allein verhindert grundsätzlich nicht, dass der Kunde in der Lage ist, im Wesentlichen den gesamten wirtschaftlichen Nutzen aus dem Vermögenswert zu ziehen und zu vereinnahmen. Vielmehr stellen solche Vereinbarungen oftmals einen Teil der Gegenleistung dar (Abbildung 3). Leasingnehmer kann Nutzung bestimmen Der Leasingnehmer hat das Recht, über die Nutzung des identifizierten Vermögenswerts zu verfügen, wenn er die maßgeblichen Entscheidungen („how and what purpose decisions“) treffen kann. Eine der folgenden Voraussetzungen muss dafür gegeben sein: • Der Leasingnehmer hat das Recht, Entscheidungen zu treffen, die die Art und den Zweck der Nutzung festlegen, oder • diese Entscheidungen sind bereits im Vorhinein getroffen worden und der Leasingnehmer hat darüber hinaus das Recht zum täglichen Betrieb des Vermögenswerts. Schutzrechte des Leasinggebers, die seine Eigentümerinteressen an dem Vermögenswert sichern, stellen keine Entscheidungsrechte dar. Diese Rechte geben in der Regel den Rahmen für die Rechte des Leasingnehmers vor, hindern ihn aber nicht daran, entscheiden zu können, auf welche Art und zu welchem Zweck der Vermögenswert verwendet wird, beispielsweise: Der Leasingnehmer darf mit einem Pkw maximal 20.000 km pro Jahr fahren oder der Leasinggeber muss über Nutzungsänderungen informiert werden. Abbildung 1: Neuer On/Off-Balance Sheet Test für Leasingnehmer nein Identifizierter Vermögenswert? ja Wirtschaftliche Vorteile stehen im Wesentlichem dem Leasingnehmer zu? Leasingverhältnis liegt nicht vor nein ja „Off-Balance Sheet“ Leasingnehmer kann Nutzung bestimmen? nein ja Leasingverhältnis liegt vor „On-Balance Sheet“ Abbildung 2: Identifizierbarkeit des Vermögenswertes Identifizierter Vermögenswert Kein identifizierter Vermögenswert Abschluss eines mehrjährigen Frachtvertrages mit bestimmtem Lkw Abschluss eines mehrjährigen Frachtvertrages, wobei der Transport mit verschiedenen Lkws durchgeführt wird Miete eines Stockwerks in einem Gebäude Miete der anteiligen Leitungskapazität eines Glasfaserkabels Abbildung 3: Wirtschaftliche Vorteile Der Leasingnehmer hat das Recht, die gesamte Kapazität (30.000 kWh) einer Solarfarm abzunehmen. Wirtschaftliche Vorteile beim Leasingnehmer Der Leasingnehmer hat das Recht, nur einen Teil (10.000 kWh) der Gesamtkapazität (30.000 kWh) einer Solarfarm abzunehmen. Wirtschaftliche Vorteile nicht beim Leasingnehmer Die Idee vorantreiben Start-up Spezial Ein eigenes Unternehmen gründen und zum Erfolg führen. Das ist ein anspruchsvoller Weg, der spannende Zeiten verspricht. 32 START-UP SPEZIAL Smart durchstarten Jürgen Lederer ([email protected]) Österreichs Start-up-Szene zählt mittlerweile zu den Hotspots in Europa. Die Entwicklung ist positiv, aber immer noch verbesserungswürdig, gerade was diverse finanzielle und bürokratische Hürden betrifft, die den Unternehmergeist einbremsen. KPMG unterstützt Jungunternehmen mit „Smart Start Austria“, ihre Ideen erfolgreich umzusetzen. Eine Idee mit Hingebung verfolgen, diese begeistert in die Realität umsetzen und aus der Umsetzung einen persönlichen wirtschaftlichen Erfolg erzielen – diese Merkmale zeichnen junge Unternehmer aus. Ist das Egoismus? Keineswegs! Start-ups schaffen Arbeitsplätze, sie erhöhen die Wettbewerbsfähigkeit und verändern die Wirtschaftsstruktur eines Landes nachhaltig. Keine Überraschung, dass sie dadurch auch in den Blickpunkt des öffentlichen Interesses gelangen. Eigene Fernsehshows, Magazine, internationale Studien, Internet-Plattformen und eine Vielzahl von Veranstaltungen sind ein klarer Hinweis darauf, wie wichtig Gründer für die österreichische Wirtschaft geworden sind. Smart Start Austria KPMG Österreich begleitet Start-ups auf ihrem Weg: von der Gründung über den Eintritt in neue Märkte bis hin zum Verkauf oder erfolgreichen Börsegang. Durch unsere Erfahrung und unser Knowhow können wir Jungunternehmer zielführend und effizient bei der Umsetzung innovativer Geschäftsideen unterstützen. kpmg.at/smartstart Szene in Österreich Im März 2016 veröffentlichte die German Startups Association mit Unterstützung von KPMG den ersten europäischen Start-up-Monitor (www.europeanstartupmonitor.com). Dieser nimmt die österreichische Startup-Szene und das in den letzten Jahren entstandene Umfeld näher unter die Lupe. Die Publikation ist ein gelungener erster Versuch, aktuelle Entwicklungen in diesem Bereich miteinander zu vergleichen, Gemeinsamkeiten und Herausforderungen aufzuzeigen und die Kommunikation weiter zu fördern. Fazit der Studie: Das europäische Startup-Umfeld ist zufriedenstellend – aber es besteht Verbesserungspotenzial. Insbesondere bürokratische und regulatorische Hürden bremsen die Innovationskraft von Jungunternehmern. Deutlich wird auch der Wunsch nach einfacher finanzieller Unterstützung durch öffentliche Bereiche. Interesse aus dem Ausland In Österreich ist in den letzten Jahren durch viele private Initiativen mittels Venture Capitalists, Private Equity Organisationen, Privatbanken, Business Angels und Crowdfunder eine breite Basis an Risikokapitalgebern und Gründungsberatern entstanden, die wesentlichen Anteil daran haben, dass die österreichische Start-up-Szene auch international zunehmend wahrgenommen wird. Dies wird gleichzeitig dadurch unterstrichen, dass auch immer mehr ausländische Risikokapitalgeber ihr Interesse an österreichischen Start-ups bekunden. Steine am Weg Neben einem finanziellen Polster braucht jedes Jungunternehmen ein ideales Umfeld, um die eigenen Ideen in die Realität umzusetzen. Fragestellungen wie „Was ist die richtige Rechtsform meiner Gesellschaft?“, „Welche Inhalte muss ein erster Businessplan mit sich bringen?“, „Wie soll ich meine Buchhaltung organisieren?“ oder „Welche Steuerthemen muss ich von Beginn an richtig planen?“ sind gleich zu Beginn der Tätigkeit erste Hürden, die das Start-up zu meistern hat. Aller Anfang ist schwer – doch mit der richtigen betriebswirtschaftlichen und steuerrechtlichen Unterstützung wird der Start für die Jungunternehmer in jedem Fall erleichtert. Nicht nur zu Beginn ist eine fachmännische Beratung oftmals ausschlaggebend für den Erfolg – der Weg von der Gründung, über die Suche nach Kapitalgebern bis hin zur Internationalisierung, zum Verkauf oder erfolgreichen Börsegang sollte von Experten begleitet werden. Nur ein professionelles und internationales Leistungsumfeld, geprägt von viel Erfahrung und Know-how, kann innovative Ideen optimal vorantreiben. START-UP SPEZIAL 33 Moderne Familien Kommentar von Heidi Schachinger ([email protected]) Familienunternehmen und Start-ups haben viele Gemeinsamkeiten. Das betrifft Herausforderungen und Zielsetzungen genauso wie das Herzblut, das in Ideen gesteckt wird. Familienunternehmen können insbesondere durch ihre Innovationskraft sowie ihre flexible und schnelle Entscheidungsfindung einen Wettbewerbsvorteil gegenüber der Konkurrenz ausspielen. Wie Studien zeigen, stehen die Mitarbeiter im Fokus – nicht der Aktienkurs. Das sind Attribute, die auch den jungen „Gründerfamilien“ zugesprochen werden. Kreative Ideen umsetzen und damit erfolgreich sein – das ist das Ziel. Ähnlichkeiten lassen sich auch bei den Herausforderungen erkennen: Dort wo der Mensch im Vordergrund steht, „menschelt“ es sehr rasch. Das Herzblut, welches von allen Beteiligten in die Umsetzung einer Idee hineingesteckt wird, steigert gleichzeitig das Konfliktpotenzial. Hinzu kommen bürokratische Hürden und viele Regeln, die von Beginn an beachtet werden müssen. Und was nützt die beste Idee, wenn die finanziellen Mittel für deren Umsetzung nicht vorhanden sind? Unterstützung beim professionellen Aufbau eines Businessplans hilft dabei, die mögliche nächste Finanzierung zu sichern – unabhängig davon, ob es sich um die initiale Finanzierung oder die notwendigen Mittel für die Expansion in neue Märkte und Produkte handelt. Ein positiver Anfang Vorteile, Herausforderungen aber auch Lösungsansätze von Start-ups und Familienunternehmen sind in vielen Bereichen ähnlich. So ist ein strukturiertes regelmäßiges Reporting zu wesentlichen operativen und finanziellen Kennzahlen unerlässlich, um ein Unternehmen aktiv steuern zu können und potenziellen Geschäftspartnern und Geldgebern einen professionellen Eindruck zu vermitteln. Und zu guter Letzt: Die Inanspruchnahme von Hilfestellungen ist kein Zeichen von Schwäche. Im Gegenteil. Organisationen aus dem öffentlichen Bereich (aws, FFG, WKO, EU etc), Private Equity – bzw Venture Capital Fonds, Crowdfunding-Organisationen, Gründer- oder Forschungszentren und Business Angels sind auf die Förderung innovativer Ideen und junger Unternehmen spezialisiert. Darüber hinaus ist es ratsam, externe Experten mit dem nötigen Fachwissen und Netzwerken zurate zu ziehen, um die Gründungsoder Erweiterungsphase zu bewältigen. Niemand ist Spezialist für alles. Aber für (fast) alles gibt es Spezialisten. Eine Rasches Wachstum steigert die Komplexität des Geschäftsmodells. Diese Komplexität lässt sich nicht ausschalten, kann jedoch durch interne operative Prozesse so gesteuert werden, dass das Geschäftsmodell optimal unterstützt wird. Ein guter Rat Compliance ist von Beginn an ein wichtiges Thema. Die Einhaltung von gesetzlichen Regelungen und die fristgerechte Erfüllung aller Meldeverpflichtungen sind wesentlich. Der wirtschaftliche Erfolg einer Idee soll nicht durch Formalitäten gefährdet sein. „ Vorbereitung ist besser als Nachbereitung! Angemessene interne Strukturen und Prozesse unterstützen den wirtschaftlichen Erfolg einer Idee. 34 START-UP SPEZIAL Hello World! Michael Petritz ([email protected]) Immer mehr österreichische Start-ups wagen den Schritt über die Landesgrenze. Der Einstieg und die Fremdfinanzierung durch ausländische Investoren, der Umzug ins Drittland oder das Erschließen neuer Märkte bringt aus steuerlicher Sicht gewisse Fallstricke mit sich. Wer diese bereits im Vorfeld beachtet, vermeidet unliebsame Überraschungen. START-UP SPEZIAL 35 Instrumente bedacht und mit Argusaugen beobachtet werden (zB BEPS Action 2 und 4). Abbildung: Einstieg eines ausländischen Investors Ausgangslage: Zielstruktur: Investor Start-up GmbH Investor HoldCo Start-up GmbH Die Erfahrung zeigt: Beim Einstieg eines US-Investors werden die Aktivitäten eines Start-ups in einer Holding (zB UK) gebündelt. Diese Vorgehensweise wird auch seitens der US-Investoren vorgegeben. An der gemeinsamen Holding sind sowohl die Gründer als auch die ausländischen Investoren beteiligt (Abbildung). Steuerlich ist es ohne besondere Bedeutung, ob der Investor die Holding selbst errichtet und anschließend die Gründer ihre Anteile der GmbH einbringen oder sie selbst die Holding gründen und der Investor mittels einer Kapitalerhöhung einsteigt. Das Grundproblem bleibt aus steuerlicher Sicht seit der Steuerreform 2015/16 dasselbe. Sofern in den Anteilen durch bereits gesetzte Aktivitäten der Gründer stille Reserven entstanden sind (wovon bei absolvierten Finanzierungsrunden regelmäßig auszugehen ist), erfolgt eine sofortige Realisierung der Anteilsinhaber (zum Steuersatz von 27,5 Prozent, wobei auf Antrag die Versteuerung in sieben Jahresraten erfolgen kann). Darüber hinaus treffen die Gründer weitere steuerliche Herausforderungen: Sie sind zukünftig nicht mehr an einer österreichischen, sondern an einer ausländischen Holding beteiligt. Dies bedeutet, dass sie gesondert die steuerlichen Komplexitäten zu untersuchen haben, zB wie eine Dividende von der ausländischen Holding zu versteuern ist. Regelmäßig besteht sowohl im Holdingstaat als auch in Österreich ein Besteuerungsrecht. Durch die Doppelbesteuerungsabkommen wird eine doppelte Besteuerung vermieden. Doch: Wie sind Veräußerungsgewinne aus der ausländischen Holding zu versteuern? Für die operative Start-up GmbH sind weitere Komplexitäten zu beachten: Können Dividenden an die ausländische Holding KESt-frei ausgeschüttet werden bzw verfügt sie über ausreichend Substanz? Fremd- bzw Hybridfinanzierung Finanziert der ausländische Investor mit Fremd- bzw Hybridkapital, stellt sich für die österreichische Start-up GmbH die Frage, ob die verrechneten Aufwendungen für Belange des Steuerrechts zum Abzug gebracht werden können. Bereits im Vorfeld zur OECD BEPS-Initiative (Base Erosion und Profit Shifting) hat Österreich eine Vorschrift eingeführt, die eine Abzugsfähigkeit immer dann versagt, wenn das empfangende Unternehmen eine bestimmte Nahebeziehung auf Anteilsinhaber- oder Konzernseite aufweist und einer (sachlichen oder persönlichen) Steuerbefreiung im Ausland unterliegt bzw dort „niedrigbesteuert“ wird. Eine Niedrigbesteuerung wird immer dann angenommen, wenn entweder der (nominale) Steuersatz im Ausland weniger als zehn Prozent beträgt oder die tatsächliche Steuerbelastung weniger als zehn Prozent ausmacht. Sofern der Investor an den Einsatz von hybriden Finanzierungsinstrumenten denkt, sollten sowohl die EU- als auch die OECD-Initiativen zur steuerlichen Bekämpfung dieser Neue Märkte Ist ein Start-up in der Wachstumsphase angekommen, erscheint es zweckdienlich, neue Märkte zu erschließen. Hier stellt sich die Frage, ob dieser Markteintritt bereits eine Betriebsstätte begründet oder ob es sinnvoller ist, eine Tochter-Kapitalgesellschaft zu errichten. Aus buchhalterischer Sicht stellen die Errichtung und der laufende Betrieb einer Kapitalgesellschaft keine größeren Anforderungen als das „Aufsetzen“ einer Betriebsstätte dar: Beide werden im anderen Staat steuerpflichtig und es sind ähnliche Jahresabschlüsse aufzustellen. Auch aus Sicht der Verrechnungspreise sind die Thematiken ähnlich. Dieses Thema kommt allerdings bei der Internationalisierung unweigerlich auf das Start-up zu: Sowohl bei Leistungs- als auch bei Finanzierungsbeziehungen ist anhand des internationalen Steuerrechts (und dessen jeweiliger nationaler Umsetzung) auf eine fremdübliche Abgrenzung von Aufwendungen und Erträgen zu achten. Gerade in den letzten Jahren haben auch die Aufzeichnungspflichten bei gruppeninternen Leistungsbeziehungen stark zugenommen und sollten von den Start-ups auch gleich bei Markteintritt ernst genommen werden. Weitere steuerliche Themen betreffen mögliche Quellensteuern (auf Dividenden, Zinsen, Lizenzgebühren), Verlustverwertungen (zB durch Bildung einer steuerlichen Unternehmensgruppe), Teilwertabschreibungen oder Mitarbeiterentsendungen. Umzug ins Drittland Sollten die Gründer sich überlegen, ihr Unternehmen durch einen Umzug zB ins Silicon Valley besser voranbringen zu können, so sind die Folgen der neuen österreichischen Wegzugsbesteuerung (eingeführt durch die Steuerreform 2015/16) zu bedenken. Ähnlich wie beim Einstieg eines ausländischen Investors ergibt sich hier eine sofortige Realisation der stillen Reserven (mit Antrag auf Versteuerung in sieben Jahresraten). Um diese Folgen zu vermeiden, ist rechtzeitig eine Strategie zu wählen. 36 START-UP SPEZIAL (Self)made in Austria Michael Petritz ([email protected]) Start-ups in Österreich stehen nach ihrer Gründung und Ausarbeitung des Businessplans vor allem in der ersten Finanzierungs- und Wachstumsphase vor vielfältigen Herausforderungen, die auch steuerliche Folgen haben. Zwei dieser typischen Situationen sollen im vorliegenden Beitrag dargestellt werden. Phantom Shares vs ESOP Die wesentliche Ressource bei Start-ups in Österreich sind häufig die Mitarbeiter, die gerade in der Frühphase unentgeltlich bzw unterpreisig für das Start-up tätig werden. Um die Mitarbeiter langfristig zu binden (und zu motivieren), entspricht es der oftmaligen Praxis, dass Start-ups den Key-Mitarbeitern Stock Option-Pläne anbieten. Diese Stock Option-Pläne können unterschiedlich ausgestaltet sein. Aus der Sicht des österreichischen Steuerrechts kommt es wesentlich auf folgende Faktoren an: • Sind die Aktienoptionen (bzw die späteren Aktien) handelbar? • Werden die Optionen dem Dienstnehmer ohne Erwerbspreis gewährt oder muss der Dienstnehmer hierfür ein marktübliches Entgelt bezahlen? • Bestehen Sperrfristen, Veräußerungseinschränkungen oder Vor- oder Rückkaufsrechte? Die Vorteile für den Dienstnehmer sind regelmäßig bei diesem steuerpflichtig, oft wird auch eine Lohnsteuerpflicht für das gewährende Unternehmen bestehen. Relevant für den Dienstnehmer wird aber a) der Besteuerungszeitpunkt, b) die Bemessungsgrundlage für die Besteuerung und c) der Steuersatz sein. Insbesondere bei stark wachsenden Unternehmen mit laufenden Kapitalisierungsrunden, die aber noch nicht in der Gewinnzone sind und deren Aktien noch gar nicht handelbar sind, können sich für Dienstnehmer oftmals unschöne steuerliche „Aha“-Erlebnisse ergeben. Für Dienstnehmer wird es daher regelmäßig von Vorteil sein, möglichst rasch zu frei verfügbaren Aktien zu kommen, da damit die Bemessungsgrundlage wohl noch recht günstig (zu versteuern als lohnwerte Vorteile mit dem Tarifsteuersatz) ist und der Verkauf der Aktien zum Sondersteuersatz von 27,5 Prozent erfolgen kann. In der Praxis sind auch regelmäßig sog Phantom Share-Programme als eine Unterart von Employee Stock Option Plans (ESOP) anzutreffen. Bei solchen Phantomaktien erhalten die Mitarbeiter keine realen Unternehmensanteile, sondern es wird ihnen eine schuldrechtliche Erfolgsbeteiligung zu einem bestimmten Zeitpunkt eingeräumt. Da es sich um eine zivilrechtliche Vereinbarung handelt, ist die Definition des Erfolgsfalls beliebig: Es kann sowohl auf einen bestimmten Unternehmenswert, eine bestimmte Umsatz- oder Gewinnschwelle als auch auf eine Veräußerung der Anteile im Exit-Fall abgestellt werden. Der Vorteil gegenüber herkömmlichen ESOP kann für die Dienstnehmer nun darin liegen, dass sie nicht schon bei Zuzählung der Optionen oder Aktien bzw bei deren freien Verfügbarkeit steuerpflichtig werden, sondern erst im Zeitpunkt des Verkaufs der Anteile durch die Gründer. An dieser Stelle ist allerdings zu betonen, dass aus der Sicht der Besteuerung des Dienstnehmers zu beachten ist, dass im Fall von Phantom Shares eine Besteuerung zum Sondersteuersatz von 27,5 Prozent nicht erreichbar ist, sondern die Besteuerung zum Tarif zu erfolgen hat. Earn Out-Klauseln und Einbringungen Mittels Earn Out-Klauseln werden bei Käufen von Unternehmen Kaufpreisanpassungen aufgrund bestimmter variabler, im Kaufvertrag definierter Ereignisse vollzogen. Diese Thematik hat auch bei Start-ups besondere Bedeutung. Zu erinnern ist aber an dieser Stelle, dass die Finanzverwaltung (bereits durch den Salzburger Steuerdialog, nunmehr aber auch durch die Umgründungssteuerrichtlinien – trotz mannigfaltiger Kritik im Fachschrifttum) die Auffassung vertritt, dass im Fall von Sacheinbringungen in Kapitalgesellschaften, welche ansonsten die steuerlichen Voraussetzungen für Einbringungen nach dem Umgründungssteuergesetz erfüllen würden, eine Realisation vorliegt (anstelle der üblichen Steuerneutralität der Einbringung). Dass die Finanzverwaltung gerade IT-Start-ups als Anwendungsfälle ihrer Rechtsansicht auserkoren hat, zeigt ein Fachartikel zweier hochrangiger Vertreter des Bundesministeriums für Finanzen (BMF) aus dem Jahr 2014. Wenig hilfreich ist dabei die Einschränkung des BMF, dass die vertretene Ansicht nur auf Einbringungen mit Stichtagen nach dem 31. Dezember 2014 anzuwenden sein soll. Eine Besserung der steuerlichen Situation erscheint in diesem Bereich nur durch die Gerichte möglich. START-UP SPEZIAL 37 Eine gute Anlage Tim Dümichen ([email protected]), Stefan Kimmel ([email protected]) Mit dem Fokus auf Produktentwicklung und erste Markterfolge fehlt den Start-ups oft das Kapital für eine angemessene rechtliche und steuerliche Beratung. Erfahrene Experten tragen von Beginn an zum Erfolg eines Jungunternehmens bei. 38 START-UP SPEZIAL Start-ups sollten frühzeitig darüber nachdenken, wie sie knappe finanzielle Mittel auf Produktentwicklung und Beratung aufteilen. Start-ups kombinieren innovative Technologien und/oder Geschäftsmodelle mit exponentiellem, meist internationalem Wachstum. Aufgrund des damit verbundenen hohen Unternehmensrisikos sind sie fast vollständig durch spezialisierte Wagniskapitalgeber finanziert. Das führt dazu, dass sich Jungunternehmer ab dem Zeitpunkt der Gründung mit einer Vielzahl zum Teil komplexer Rechtsfragen konfrontiert sehen. Anfangsfehler vermeiden Die Beurteilung, welche Herausforderungen und Risiken – aber auch Chancen – sich in einer konkreten Situation überhaupt stellen, sollte Experten überlassen werden. Sofern sich nicht im Managementteam eine Person mit umfassender juristischer und steuerlicher Erfahrung befindet, wird hierzu der Rat eines Rechtsanwalts und eines versierten Steuerberaters benötigt. Auch bei ersten Finanzierungsrunden verzichten Gründer häufig auf Beratung. Das Argument dafür ist oftmals, dass der Investor ja erfahrene Rechts- und Steuerberater habe, die schon wüssten, was zu tun ist. Das spart zwar kurzfristig Kosten für die Gründer, ist aber ein gefährlicher Ansatz: Rechtsanwälte und Steuerberater vertreten die Interessen ihrer Mandanten. Die Ziele des neu beitretenden Investors sind jedoch nie deckungsgleich mit denen der Gründer. Deshalb ist es ratsam, die wirtschaftlichen und rechtlichen Belange durch einen eigenen Experten zu wahren. Viele Fehler, die anfangs gemacht werden, führen langfristig zu Nachteilen. Die Entwicklung eines marktfähigen Produkts ist unbestritten das Ziel mit der höchsten Priorität. Gleichzeitig ist es notwendig, rechtliche Risiken zu vermeiden, welche das Produkt oder gar den Bestand des Unternehmens gefährden können oder erhebliche Folgekosten bei einer späteren Behebung nach sich ziehen. Ein von Gründern häufig gewählter – aber nur in seltenen Fällen erfolgreicher – Weg ist es, einen Anwalt oder Steuerberater aus dem Freundes- oder Bekanntenkreis zu wählen. Ein guter Scheidungs-, Familien- oder Verkehrsrechtler ist aber nicht immer auch ein qualifizierter Start-up-Berater. Die künftige Rechtsvertretung sollte unbedingt Beratungserfahrung im Bereich Start-ups und Venture Capital haben und gegebenenfalls auch Referenzmandanten nennen können. Hilfreich ist dabei ein Erfahrungsaustausch mit anderen Gründerteams. Start-ups sollten sich frühzeitig damit beschäftigen, welchen (steuer-)rechtlichen Herausforderungen sie ausgesetzt sind und wie die knappen finanziellen Mittel auf die Produktentwicklung und die Beratung aufgeteilt werden. In der Praxis zeigt sich oftmals, dass neu gegründete Firmen ein erfolgreiches Produkt entwickeln, dessen Vertrieb aber in den Zielmärkten gesetzlich nicht zulässig ist. Auch das andere Extrem ist möglich: Die Zulässigkeit einer neu entwickelten Dienstleistung wurde in allen Zielmärkten und in allen Feinheiten rechtlich durchleuchtet, der Entwicklungsprozess muss aber wegen Liquiditätsmangel kurz vor dem Ziel eingestellt werden. Das Ergebnis in beiden Fällen: Das Start-up endet auf dem Friedhof der gescheiterten Ideen. Berater im Austausch Ambitionierte Start-ups haben – je nach Geschäftsmodell und Reifegrad – in einer ganzen Reihe von Rechtsgebieten Beratungsbedarf, die ein Experte meist nicht abdecken kann. Das reicht vom Gesellschafts- über Arbeitsrecht, Urheber- und Steuerrecht bis hin zur Transaktionsberatung. Es gilt also sicherzustellen, dass der Berater die notwendigen Kompetenzen entweder selbst besitzt oder über ein Netzwerk zur Verfügung stellen kann. Nichts ist ineffizienter als Grundlagenforschung eines Experten oder Steuerberaters in ihm unbekannten Gebieten. Ein wichtiger Punkt ist dabei, dass die Berater aus den verschiedenen Bereichen sauber miteinander kommunizieren. Die meisten START-UP SPEZIAL 39 problembehafteten Sachverhalte betreffen mehrere Gebiete. Die Implementierung eines Mitarbeiterbeteiligungsprogramms hat zB arbeitsrechtliche, gesellschaftsrechtliche, steuerliche und bilanzielle Auswirkungen. Es ist wenig zielführend, wenn aus all diesen verschiedenen Bereichen unabgestimmt Lösungen entwickelt werden und daraus unterschiedliche Empfehlungen resultieren. Gute Start-up-Berater müssen darüber hinaus die Geschäftsmodelle der Unternehmen und die Usancen der Wagniskapitalfinanzierung kennen. Sie müssen sich der Tatsache bewusst sein, dass bei der Verwendung des zumeist knappen Budgets der Fokus auf Wachstum und Überleben des Unternehmens gerichtet ist. Nur wenn der Berater diese Kompetenzen mitbringt, ist er auch in der Lage, einem Start-up die Art von Expertise zu geben, die einen wirklichen Mehrwert bringt. Akzeptable Lösungen Last, but not least muss der Berater bereit sein, den anfänglich eingeschränkten finanziellen Ressourcen eines Start-ups Rechnung zu tragen. Das österreichische Berufsrecht setzt hier Grenzen, so sind erfolgsabhängige Honorare beispielsweise nicht zulässig. Niedrigere Stundensätze für Frühphasenunternehmen, Paketlösungen für Standardfragen und Konzilianz bei Zahlungszielen sind aber marktübliche Lösungsansätze, die im Regelfall zu für beide Seiten akzeptablen Lösungen führen. Darüber hinaus können Rechtsberatung und Leistungen von Wirtschaftstreuhändern aufgrund der berufsrechtlichen Bestimmungen in Österreich nicht aus einer Hand angeboten werden. Umso wichtiger ist es, dass Anwalt und Steuerberater regelmäßig in ähnlichen Projekten kooperieren. Tim Dümichen ist Gründer und Leiter der Smart StartInitiative von KPMG Deutschland, die sich auf die Beratung junger Unternehmen spezialisiert. Stefan Kimmel ist Leiter der Rechtsberatung innerhalb der deutschen Smart Start-Initiative. Beide stehen Smart Start Austria regelmäßig als Sparringpartner zur Verfügung und bringen ihre Erfahrungen aus der erfolgreichen deutschen Start-up-Initiative ein. Viwieeguter Thesen, Start-up-Beratung beschaffen sein muss: 1. Der Berater (bzw das Beraterteam) muss die Erfahrung besitzen, um zusammen mit dem Gründerteam nach einer Analyse des Geschäftsmodells, des Finanzbedarfs und des Reifegrads des Start-ups die relevanten rechtlichen und steuerlichen Themenstellungen zu ermitteln und zu priorisieren. 2. Er muss mit dem Gründerteam bestimmen, wo die Beratung wirklich notwendig ist und wo die Gründer durch eigene gute Vorbereitung den Beratungsaufwand minimieren können. Er weist die Gründer darauf hin, zu welchen Themen sie sich im Vorfeld Gedanken machen müssen, wie sie sich hierzu vorbereiten können und welche Entscheidungen sie treffen müssen. 3. Der multidisziplinäre Ansatz, also die Verbindung der verschiedenen Rechtsgebiete mit steuerlichem, bilanziellem und wirtschaftlichem Sachverstand vermeidet Insellösungen, die zwar in einem der Rechtsgebiete zu guten Lösungen führen, aber in anderen Baustellen aufreißen. 4. Ein globales Netzwerk ist bei auf internationales Wachstum ausgerichteten Start-ups ein großer Vorteil. 40 BERATUNG Den Rückhalt nutzen Beratung Ob komplexe Sachverhalte vereinfachen, Risiken absichern oder die Performance steigern – Ziele können nur verwirklicht werden, wenn sie innerhalb des Unternehmens getragen werden. BERATUNG 41 42 BERATUNG Aktionärsaktivismus im Aufwind Peter Kirkow ([email protected]) Aktionärsaktivismus hat sich zu einer kontroversen Investmentstrategie der proaktiven Einflussnahme auf die Unternehmensführung US-amerikanischer und auch europäischer Konzerne entwickelt. Aktivistische Hedgefonds erzielen einen wachsenden Erfolg bei den von ihnen angeregten unternehmerischen Veränderungen und werden von etablierten Investmentfonds immer mehr unterstützt. In Österreich sind erst Ansätze sichtbar. Eine ganze Generation an Investmentbankern fand in Gordon Gekkos „Gier ist gut.“ in den 1980er Jahren (Michael Douglas im Film „Wall Street“) ein professionelles Leitmotiv. Diese sogenannten Corporate Raiders und „Schakale des Kapitalismus“ waren berühmt dafür, schwächelnde Unternehmen in ihre Bestandteile zu zerstückeln, um Profite zu maximieren. Sie verließen jedoch die Schaubühne nach einer ganzen Reihe an Skandalen und dem Zusammenbruch des Junk Bond-Marktes zum Ende der 1980er Jahre. Bis heute hat sich Aktionärsaktivismus zu einer weitverbreiteten Investmentstrategie einer kleinen aber sehr einflussreichen Gruppe an Hedgefonds (knapp über 70 oder gerade einmal ein Prozent der etwa 8.000 Hedgefonds weltweit) entwickelt. Dabei geht es darum, die strategischen Fundamente eines Unternehmens infrage zu stellen, allerdings inzwischen mit sehr schneidigen Argumenten und einer klug geführten Kampagne. Allein seit 2011 hat sich das verwaltete Vermögen aktivistischer Hedgefonds von USD 50 Mrd auf USD 125 Mrd im Jahr 2015 mehr als verdoppelt (Abbildung 1); vielfach auch deshalb, weil diese opportunistischen Strategien gegenüber herkömmlichen Ansätzen höhere Renditen erzielten. Keine Angst vor den Großen Dabei schreckt die neue Generation an Aktivisten weder vor Größe des Konzerns noch vor „systemischer Relevanz“ einer Bank zurück. So mussten seit 2011 sowohl die CEOs von Proctor & Gamble als auch von Microsoft ihren Hut nehmen, während Motorola, eBay und Yahoo durch Intervention von Aktivisten in ihre Bestandteile aufgeteilt bzw Anteile verkauft wurden. Apple musste einen Großteil der „stillen Cashreserven“ in Dividenden auszahlen, andere Großkonzerne wie PepsiCo haben mittlerweile Aktivisten als Vertreter in deren Aufsichtsräten. BERATUNG 43 Zwei Hauptangriffsziele haben sich dabei etabliert: zum einen eine schwache Performance, zum anderen eine als „wertzerstörend“ angesehene M&A-Strategie. Zudem sprechen Aktivisten vielfach schon im Vorfeld mit den wichtigsten institutionellen Investoren des angegriffenen Unternehmens und den relevanten Proxy-Beratern. Damit hat die Unternehmensführung oftmals keine andere Chance, als sich mit den Aktionärsaktivisten an einen Tisch zu setzen, um eine öffentlich ausgetragene „feindliche“ Kampagne zu vermeiden. Neuer Fokus Europa und Asien Nachdem in mehr als der Hälfte der S&P 500-Unternehmen aktivistische Fonds investiert sind und damit der US-amerikanische Markt zunehmend gesättigt ist, hat sich der Fokus auf Europa und Asien verlagert, wo fehlende Transparenz und Ineffizienzen im Bereich Corporate Governance bemängelt werden. Dabei ist vor allem die Anzahl der aktivistischen Kampagnen in Kontinentaleuropa (außerhalb Großbritanniens) in den vergangenen Jahren gestiegen. Im Zeitraum 2011 bis 2015 kam es in Deutschland allein zu 23 Angriffen – lediglich fünf waren es in Österreich (Abbildung 2). Auch hier wurde vor großen Namen nicht zurückgeschreckt (UBS, Airbus, Danone, Nokia, Carrefour). Neben den erfolgreichsten US-amerikanischen Aktivisten (ValueAct, Elliott Advisors, Harris Assc) hat sich nunmehr auch eine neue Generation an europäischen Hedgefonds (Cevian, Knight Vinke, TCI) etabliert, die weitaus vorsichtiger auftritt und sich stärker mit dem Management engagiert (Abbildung 3 auf Seite 44). Dies erwies sich kulturell oftmals als bessere Strategie als der stellenweise antagonistische Stil der US-amerikanischen Aktivisten. Abbildung 1: Activist hedge fund assets under management (USD bn) 120 125 125 15 14 Nordic 66 75 23 Germany France 93 100 Abbildung 2: European activist campaigns – Total by country 2011–2015 50 Benelux 11 Switz 11 Italy 50 9 Ireland 25 Austria Other Eur 0 2011 2012 Quelle: Hedge Fund Research 2013 2014 2015 Quelle: Activist Insight 7 5 3 44 BERATUNG Abbildung 3: Notable activist engagements with European companies 2012–2015 Target Activist 69 UBS Airbus 51 Xstrata 49,9 TCI Knight Vinke 43,5 Danone Trian 28,4 Vivendi Schoenfeld 25,4 Nokia Knight Vinke Third Point Carrefour 20,1 Knight Vinke Safran 19,7 TCI Danske Bank 19,1 Cevian ThyssenKrupp 16,4 Cevian Eni 16,1 Knight Vinke Adecco Artisan Partners 14,1 Kabel D Elliott 12,7 DSM Third Point 11,9 Sky D Odey 7,4 Lanxess 5,5 Atlantic Investment TNT Express 5,3 JANA Partners Celesio 5,3 Elliott Bilfinger Berger 4,6 Cevian Transocean 4,5 Carl Icahn 0 20 40 60 Quellen: Activist Insight, Datastream; market capitalizations as of December 3, 2015 Wichtige Warnsignale Vier Schwerpunkte sollten als „rote Warnsignale“ für einen möglichen aktivistischen Angriff hervorgehoben werden: 1. schwächere Performance gegenüber den Mitbewerbern über eine längere Zeitperiode (Wachstum, Gewinnmargen, Renditen) 2. Diskrepanz in der Bewertung, insbesondere die Summe der Bestandteile verglichen mit dem Liquidationswert 3. fehlende Finanzdisziplin und ineffizientes Cash-Management 4. fragwürdige Glaubwürdigkeit der Unternehmensführung (Nichterfüllung langfristiger Ziele oder gar kurzfristiger Prognosen) Veränderungen möglich Aktionärsaktivismus kann langfristig Anschub für positive Veränderungen in der Unternehmensführung sein. Zum einen wird dieser als komplementär zur etablierten Fondsmanagementindustrie gesehen, bei dem spezialisierte Investmentboutiquen in die strategische Positionierung einer kleinen Anzahl an Unternehmen eingreifen, die ihr Potenzial nicht erreicht haben. Zum anderen könnte es so weit USD bn market cap reichen, dass sich passive Indexfonds und aktive Fondsmanager stärker in den Unternehmen engagieren, in die sie investiert sind. Dafür gibt es nicht nur erste Anzeichen seitens der Indexfonds (BlackRock, Vanguard) sondern auch der Staatsfonds (Norges). Somit könnten Aktionärsaktivisten zumindest in den von Aktivisten stark „geschüttelten“ angelsächsischen Kapitalmärkten zunehmend überflüssig werden. In Österreich gibt es noch ein großes Betätigungsfeld, solange mehrheitliche staatliche oder auch familieneigene Interessen einer effizienten Unternehmensführung im Wege stehen. Rudimentäre Ansätze beim Flughafen Wien oder auch bei einheimischen Immobilienkonzernen erinnern dabei vielleicht noch mehr an persönliche Fehden, die über die Medien ausgetragen werden, jedoch haben Minderheitsaktionäre dabei bisher den Kürzeren gezogen. Wie stark Aktionärsaktivismus suboptimal gelenkte Unternehmen wachrütteln kann, zeigen Deutschland und die Schweiz. Dort haben ursprüngliche aktivistische Kampagnen zur Vergütungspolitik oder auch ineffizienter Segmente ganze Strategien auf den Kopf gestellt und zu personellen Konsequenzen in den Führungsetagen geführt. BERATUNG 45 Eurostat stellt klar David Kohl ([email protected]), Stefan Rufera ([email protected]) Die Neuausgabe des Manuals on Government Deficit and Debt (2016 edition) bringt neben einigen strukturellen Verbesserungen zur Erzielung einer vereinfachten praktischen Anwendbarkeit auch inhaltliche Neuerungen. Diese könnten insbesondere im Zusammenhang mit PPP-Projekten erhebliche Relevanz für die ESVG-Klassifizierung von öffentlichen InfrastrukturBeschaffungsvorgängen haben. Im März 2016 wurde von Eurostat die Neuauflage des Manuals on Government Deficit and Debt (MGDD), welches zur Auslegung und Implementierung der Regelungen des ESVG 2010 dient, veröffentlicht. In dieser neuen Version wurden, ohne grundlegende strukturelle Änderungen vorzunehmen, insbesondere methodische Ansätze in einigen Abschnitten angepasst bzw auf Basis von aktuellen makroökonomischen Entwicklungen neue Anwendungsfälle hinzugefügt. Daneben erfolgten jedoch auch einige inhaltliche Neuerungen und Klarstellungen mit potenziellen Implikationen auf zukünftige Transaktionen. Einige dieser Neuerung werden im Folgenden kurz erläutert. Markt oder Nichtmarkt Hinsichtlich der Sektorklassifizierung nach dem ESVG 2010 kam es etwa in den Abschnitten I.2.3 („Konzept einer staatlich kontrollierten institutionellen Einheit“) und I.2.4.3 („Der quantitative Markt-/Nichtmarkttest“) zu Anpassungen. Ersterer wurde besonders im Zusammenhang mit den dort angeführten Kriterien staatlicher Kontrolle verfeinert, ohne jedoch umfassende inhaltliche Änderungen zu enthalten. Der Abschnitt I.2.4.3 beinhaltet in der Neuauflage des MGDD, neben einer verbesserten Definition der für den Markt-/ Nichtmarkttest wesentlichen Parameter des „Warenverkaufs“ und der „Produktionskosten“, nun auch einen ausdrücklichen Verweis auf die Vorrangigkeit der qualitativen Kriterien des Abschnittes I.2.4.21 bei der Einstufung von institutionellen Einheiten als Markt- bzw Nichtmarktproduzent. Sollte eines dieser qualitativen Kriterien nicht erfüllt sein, reicht dies für eine Klassifizierung einer institutionellen Einheit im Sektor Staat aus. Ein quantitativer Markt-/Nichtmarkttest muss in diesem Fall ausdrücklich nicht mehr durchgeführt werden. Darüber hinaus wurden dieser „Markt-/Nichtmarktproduzenten Prüfung“ drei neue Unterabschnitte betreffend „Staatlicher Einheiten in Abwicklung“, „Unterstellter Transaktionen“ und dem „Sonderfall öffentlich-rechtliches Fernsehen und Rundfunk“ angefügt, welche die Behandlung von Spezialfällen in der Praxis erleichtern sollen. Public Private Partnerships Von den Überarbeitungen in der Neuauflage des MGDD betroffen ist auch der Abschnitt über Public Private Partnerships (PPP), welcher neben einer teilweisen Neustrukturierung auch wesentliche inhaltliche Neuerungen und Klarstellungen aufweist. Diese Änderungen betreffen ua den Zeithorizont von PPP-Verträgen, die Behandlung von Renovierungen, Zubauten und Umbauten, und die ausdrückliche Definition von Force Majeure Events in einem neuen Unterabschnitt. Hierbei ist insbesondere die geänderte Wahrnehmung der Eurostat in Bezug auf die Langfristigkeit von PPP-Verträgen hervorzuheben. Während in der Vorgängerversion des MGDD (2014 edition) eine dreijährige Laufzeit eines solchen Vertrages als ausreichend angesehen wurde, wird in der Neuauflage des MGDD auf Vertragslaufzeiten von zehn bis 20 Jahren abgestellt. PPP-Projekte mit kürzeren Laufzeiten müssen nach der neuen Regelung des MGDD im Rahmen einer Einzelfallanalyse auf ihre konkrete Eignung als PPP untersucht werden. Wie dieser kurze Überblick über die Änderungen in der neuen Version des MGDD zeigt, hat die Eurostat ihr Augenmerk darin insbesondere auf eine Verbesserung und Erleichterung der praktischen Anwendung der Regelungen des ESVG 2010 gelegt. Jedoch beinhaltet die Neuauflage des Manuals, wie vor allem die Neuerungen bezüglich PPP-Projekten deutlich machen, auch einige inhaltliche Änderungen und Klarstellungen, die bei der Konzeption und Planung zukünftiger Projekte jedenfalls bedacht werden müssen. 1 Hierbei kommt es insbesondere auf die wesentlichen Abnehmer der Waren und Dienstleistungen des öffentlichen Produzenten an, sowie auf dessen Qualifikation als institutionelle Einheit im Sinne des ESVG 2010. 46 BERATUNG Den Turbo einschalten Stefan Rufera ([email protected]), Jürgen Schuster ([email protected]) Der Europäische Fonds für strategische Investitionen (EFSI) stellt das Kernelement der Investitionsoffensive für Europa dar. Die Europäische Kommission und die Europäische Investitionsbank (EIB-Gruppe) wollen mit der Einrichtung des EFSI einen Beitrag dazu leisten, die in der EU klaffende Investitionslücke durch die Mobilisierung privater Mittel für strategische Investitionen zu schließen. BERATUNG 47 Die wirtschaftliche Entwicklung in Europa ist in den vergangenen Jahren von fehlendem innovativen Wachstum und einer schrumpfenden Wettbewerbsfähigkeit gekennzeichnet. Insbesondere wichtige Investitionen in Infrastruktur und Innovationen sind auf bescheidenem Niveau oder gänzlich ausgeblieben. Derzeit liegt das Investitionsvolumen in Europa rund 15 Prozent unter dem Niveau vor der Wirtschaftskrise. Die wirtschaftliche Unsicherheit in Europa hält viele Investoren davon ab, Risiken einzugehen und Investitionen zu tätigen. Denn Liquidität ist grundsätzlich ausreichend vorhanden. Europa muss diese Lücke schließen, um sich von der Krise zu erholen und seine internationale Wettbewerbsfähigkeit zu stärken. Zur Belebung des Wirtschaftswachstums Europas und Schließung der Investitionslücke hat die EU den Investitionsplan für Europa entwickelt, dessen wesentliche Säule der Europäische Fonds für strategische Investitionen (EFSI) bildet. Struktur und Wirkungsweise des Fonds Der EFSI ist eine gemeinsame Initiative der EIB-Gruppe und der Europäischen Kommission, um Mittel aus dem Privatsektor zu mobilisieren und die Investitionsschwächen in der EU zu beseitigen. Dafür stellt der EFSI Instrumente zur Risikofinanzierung (keine Finanzhilfen) über die Europäische Investitionsbank bereit. Die Administration des Fonds ist in die EIB-Gruppe eingebettet und durchläuft die üblichen Projektzyklen und Governance-Regeln der EIB (Abbildung). Abbildung: Struktur des EFSI, Quelle: EIB EFSI risikotragfähige Kapazität EUR 21 Mrd = Garantie aus EU-Haushalt EUR 16 Mrd EIB-Mittel + EUR 5 Mrd 15 x Europäischer Fonds für strategische Investitionen EUR 21 Mrd (anfänglich) Infrastruktur & Innovation KMUs Finanzmittel für langfristige Investitionen Finanzmittel für KMU und Midcap-Unternehmen rund EUR 240 Mrd + rund EUR 75 Mrd Zusätzliche Gesamtmittel im Zeitraum 2015–2017 Gesamtinvestitionsvolumen in der EU rund EUR 315 Mrd EUR 315 Mrd 48 BERATUNG Der EFSI ist im Wesentlichen für Großobjekte konzipiert, die mit der Unterstützung von privatem Kapital realisiert werden sollen. Die Ausstattung des EFSI mit risikotragfähigem Kapital in Höhe von EUR 21 Mrd dient zur Absicherung von Krediten bei neuen EIB-Aktivitäten und ermöglicht der Bank, ein Finanzierungsvolumen von rund EUR 63 Mrd für Projekte bereitzustellen. Auf Basis dieser Finanzierungsbereitschaft sollen weitere private Investoren für Infrastrukturprojekte gewonnen und folglich ein Gesamtinvestitionsvolumen von rund EUR 315 Mrd in den nächsten drei Jahren ausgelöst werden. Die EIB kann dabei je nach Projekterfordernis folgende Finanzierungsinstrumente einsetzen: • Darlehen • Garantien • Produkte zur Bonitätsverbesserung, um Kapitalmarktfinanzierungen anzukurbeln • eigenkapitalähnliche Produkte (auch bei Technologie-, Nachfrageoder Regulierungsrisiken) Förderfähige Projekte Der EFSI wird sich schwerpunktmäßig auf Projekte konzentrieren, die risikoreicher sind als die gewöhnlichen EIB-Aktivitäten, und auf jene Sektoren, die für die europäische Wirtschaft insgesamt eine wichtige Rolle spielen: • strategische Infrastruktur, einschließlich digitaler Netze, Verkehr und Energie • Bildung, Forschung, Entwicklung und Innovation • Ausbau der erneuerbaren Energien und Ressourceneffizienz • Förderung von KMU und MidcapUnternehmen EFSI-unterstützte Projekte sind daher nicht grundsätzlich „Maastrichtneutral“. Bei Einzahlungen von Mitgliedsstaaten in den EFSI für den Fall, dass der Referenzwert bzgl des Defizits von drei Prozent nicht eingehalten wurde, wird die Kommission allerdings kein Defizitverfahren einleiten, wenn die Abweichung auf den eingezahlten Beitrag zurückzuführen ist und die Abweichung geringfügig und voraussichtlich von vorübergehender Dauer ist. Die Projektvorschläge müssen professionell vorbereitet sein, da sie das Standardverfahren der EIB für die Projektprüfung durchlaufen und dabei folgende Nachweise erbringen: Co-Investitionen von Mitgliedsstaaten in EFSI-unterstützte Projekte sind nur für Mitgliedsstaaten im Rahmen der präventiven Komponente des Stabilitäts- und Wachstums-Paktes unter zusätzlichen Bedingungen gesondert zu betrachten (häufig als „Investitionsklausel“ bezeichnet). • wirtschaftlich und technisch solide • in förderfähigen Sektoren durchgeführt • den EU-Zielen entsprechen und nachhaltiges Wachstum und Beschäftigung fördern • so weit ausgereift sein, dass sie bankfähig sind • eine dem Risiko angemessene Rendite bieten Nur solche Mitgliedsstaaten können diesbezüglich vorübergehend von ihrem mittelfristigen Haushaltsziel oder vom vereinbarten haushaltspolitischen Anpassungspfad abweichen, jedoch nur, sofern zusätzliche Kriterien erfüllt sind (bspw BIP-Wachstum negativ oder BIP deutlich hinter dem Potenzial; kein Verstoß gegen die Defizitgrenze von drei Prozent etc). Außerdem muss der EFSI-Investitionsausschuss grünes Licht geben, dass ein Projekt für die Unterstützung in Betracht kommt. Neue Spielräume • Die schlechte Nachricht: Österreich kann sich derzeit nicht auf diese Investitionsklausel berufen, und solche Investitionen sind von den Regeln des Stabilitäts- und Wachstums-Paktes nicht automatisch ausgenommen. Laut Mitteilungen hat Österreich rund 20 Projekte zur Unterstützung durch den EFSI eingereicht und hofft, Finanzierungen von über EUR 28 Mrd für diese Projekte zu generieren. Den Schwerpunkt bilden dabei Projekte im Verkehrs- und Energiebereich. Auswirkung auf Stabilitäts- und Wachstumspakt In ihrer Mitteilung vom 13. Jänner 2015 hat die Kommission klargestellt, dass sowohl Einzahlungen von Mitgliedsstaaten in den EFSI als auch staatliche Mittel zur Co-Finanzierung von EFSI-Projekten jedenfalls nach den Regeln des ESVG 2010 statistisch erfasst werden. • Die gute Nachricht: Der EFSI ist im Wesentlichen für Großobjekte konzipiert, die mit der Unterstützung von privatem Kapital realisiert werden sollen. Eine entsprechende Strukturierung vorausgesetzt, besteht genau für solche Projekte die Möglichkeit, Investitionen in Gesundheit, öffentlichen Verkehr oder Bildung zu tätigen, ohne in Konflikt mit dem Stabilitätsregime zu kommen. Damit können neue Spielräume unter Wahrung der Ziele des Stabilitätspakts geschaffen werden. BERATUNG 49 Tax in aller Kürze Clemens Endfellner ([email protected]) Bilanzsteuerrecht Bilanzsteuerrecht Bilanzsteuerrecht Netzzutritts- vs Netzbereitstellungsentgelt AfA und die Einheitlichkeit eines Gebäudes Rekultivierungsrückstellung für Golfplätze Der Netznutzer hat dem Netzbetreiber einmalig ein Netzzutrittsentgelt zu bezahlen. Dieses gilt die Aufwendungen ab, die mit der erstmaligen Herstellung oder Abänderung eines Netzanschlusses unmittelbar verbunden sind. Es ist auf das Gebäude zu aktivieren. Das Netzbereitstellungsentgelt ist dagegen kostenmindernd für das laufende Netznutzungsentgelt und kann auf andere Objekte des Netznutzers übertragen werden. Es ist eine Vorleistung für ein zeitraumbezogenes Verhalten des Netzbetreibers und führt laut BFG zu einem Rechnungsabgrenzungsposten, der auf 20 Jahre verteilt aufzulösen ist. Eine Gesellschaft errichtet einen Skelettbau und ein Stiegenhaus in Massivbauweise mit einer Nutzungsdauer von 50 Jahren. In dieses Stahlskeletttragwerk werden Modulcontainer eingeschoben. Der Bürokomplex ist überwiegend in Container- bzw Leichtbauweise ausgeführt. Laut VwGH weist das Bürogebäude nach dem äußeren Erscheinungsbild eine typische Gebäudeform auf. Die Container bilden unstrittig eine bauliche Einheit mit dem Stahlskeletttragwerk, weil dieses ohne die Container nicht nutzbar ist. Die Container sind daher unselbstständige Bestandteile des Gebäudes ohne eigene kürzere Nutzungsdauer. Eine Gesellschaft errichtet und betreibt Golfplatzanlagen. Die Verpächter haben am Ende des Bestandverhältnisses ein Wahlrecht, das Zurückversetzen in den ursprünglichen Zustand zu verlangen oder den Pachtgegenstand zu übernehmen. Da sich die Golfplätze in günstigen Lagen befinden, unterstellt die Gesellschaft, dass die Verpächter die Verträge nach Ablauf der Laufzeit beenden und eine attraktivere Verwertung anstreben werden. Rekultivierungsrückstellungen werden dotiert. Dagegen liegen laut BFG keine konkreten Umstände vor, nach denen mit dem Entstehen einer Verbindlichkeit ernsthaft zu rechnen ist. Ertragsteuer Ertragsteuer Ertragsteuer Berufskleidung vs bürgerliche Kleidung Aufzahlung für die Business Class Ersatz von Verwaltungsstrafen Ein Dirigent kauft Fracks und macht den Vorsteuer- und Betriebsausgabenabzug geltend. Dies ist laut VwGH zulässig. Aufwendungen sind dann als typische Berufskleidung abzugsfähig, wenn es sich nicht um bürgerliche Kleidung handelt. Ausgaben für eine bürgerliche Kleidung werden auch dann nicht abzugsfähig, wenn diese tatsächlich nur in der Arbeitszeit getragen wird. Entscheidend ist die objektive Beschaffenheit. Dass Fracks bei privaten Veranstaltungen wie Bällen verwendet werden können, ändert nichts daran, dass diese üblicherweise nicht im Rahmen der privaten Lebensführung genutzt werden. Ein Arbeitnehmer geht auf Dienstreise, die Kosten für die Economy Class trägt der Arbeitgeber. Der Arbeitnehmer zahlt aus gesundheitlichen Überlegungen EUR 4.709 für die Business Class auf. Diese Zusatzkosten sind laut BFG steuerlich abzugsfähig und nicht privat veranlasst. Ein Arbeitnehmer ist nicht verpflichtet, das billigste Verkehrsmittel oder die billigste Klasse zu wählen (zB 2. Klasse der Bahn). Entscheidend bleiben die berufliche Veranlassung und die tatsächlichen Kosten. Fahrtkosten anlässlich einer beruflich veranlassten Reise gelten im tatsächlich getragenen Umfang als Werbungskosten. Ein GmbH-Geschäftsführer beauftragt eine ungarische Gesellschaft damit, Rindfleisch zu zerlegen. Der UVS wertete die Vereinbarung als Arbeitskräfteüberlassung, aufgrund einer Verletzung des Ausländerbeschäftigungsgesetzes wurde über den Geschäftsführer eine Verwaltungsstrafe iHv mehr als EUR 10.000 verhängt. Da die ungarische Gesellschaft gegenüber dem Geschäftsführer eine Schad- und Klagloserklärung abgegeben hatte, ersetzt sie ihm diesen Betrag. Laut VwGH führt der Ersatz zu steuerpflichtigen Einnahmen; gleichzeitig ist die bezahlte Strafe gem § 20 Abs 1 Z 5 lit b EStG nicht abzugsfähig. 50 KPMG INSIDE Das Wissen weitergeben KPMG Inside Wir möchten unsere jahrelange Erfahrung und unsere Expertise zu aktuellen Themen mit Ihnen teilen. KPMG INSIDE 51 52 KPMG INSIDE Lesbar Der steuerliche Fitness-Test für Unternehmen Hans Zöchling/Christoph Plott Die Einhaltung steuerlicher Pflichten wird immer wichtiger. Entscheidungsträger im Unternehmen müssen durch geeignete organisatorische Maßnahmen sicherstellen, dass die steuerlichen Aufzeichnungs-, Erklärungs- und Entrichtungspflichten eingehalten werden. Versäumnisse bei abgabenrechtlichen Pflichten können zu empfindlichen finanziellen Belastungen für das Unternehmen, Reputationsschäden und persönlichen Konsequenzen für Geschäftsführer und leitende Mitarbeiter führen. Das Buch stellt erstmals die Tax-Compliance-Anforderungen für österreichische Unternehmen in einzelnen Unternehmensbereichen dar. Dabei wird auch auf steuerliche Risiken bei der Umsatzsteuer und Lohnabgaben eingegangen. Ein besonderer Schwerpunkt gilt grenzüberschreitend tätigen Unternehmen. Praktische Tipps zur Risikominimierung sind ebenso enthalten wie Empfehlungen, was zu tun ist, wenn sich die Betriebsprüfung ankündigt oder eine Selbstanzeige vorzunehmen ist. Linde Verlag 1. Auflage 2016 ISBN: 9783707334791 Eine Bestellung des Buchs über KPMG ist leider nicht möglich. Handbuch Einlagenrückzahlung Gunter Mayr/Christoph Schlager/ Hans Zöchling Im Zuge der Steuerreform 2015/2016 wurde die Einlagenrückzahlung als fundamentaler Bestandteil der Beziehung zwischen einer Körperschaft und ihren Anteilsinhabern novelliert. Die soeben erlassene Innenfinanzierungsverordnung (BGBl II 2016/90) präzisiert die steuerlichen Folgen der Einlagenrückzahlung neu für Umgründungen. Körperschaften müssen nunmehr nicht nur Einlagen, sondern auch den Stand der Innenfinanzierung erheben und evident halten. Durch die neue Regelung werden zukünftig viele Gewinnausschüttungen als Einlagenrückzahlungen zu behandeln sein, die beim Anteilsinhaber den steuerlichen Wert der Beteiligung vermindern und zu steuerpflichtigen Veräußerungsgewinnen führen können. Das Autorenteam aus den Bereichen Bundesministerium für Finanzen, Beratungspraxis und Wissenschaft beleuchtet den Hintergrund, das Konzept sowie die noch ungelösten Fragestellungen dieser Neuregelungen und bietet Lösungen zu den Spezialthemen Umgründungen und Steuerplanung. Eine Bestellung des Buchs über KPMG ist leider nicht möglich. The Pulse of Fintech, Q1 2016 Fintechs starten erfolgreich in das Jahr 2016: bereits im 1. Quartal wurden weltweit insgesamt USD 5,7 Mrd in private Fintech-Unternehmen investiert. Zu diesem Ergebnis kommt die KPMG Studie The Pulse of Fintech. Nach einem starken Finanzierungsrückgang Ende des letzten Jahres, scheint sich der Investitionstrend nun wieder zugunsten der Fintechs zu drehen. Linde Verlag 1. Auflage 2016 ISBN: 9783707334982 KPMG INSIDE 53 Sie suchen eine Studie oder Publikation von KPMG? Senden Sie un s Ihre Anfrage unter publikatione [email protected] CIO Survey Bei der jährlichen Studie von Harvey Nash in Kooperation mit KPMG werden weltweit Führungskräfte der Technologiebranche zu aktuellen Themen und Trends befragt. Mehr als je zuvor zeigen die Ergebnisse eine Steigerung des Einflusses der Chief Information Officers (CIO). Die Mehrheit der IT-Führungskräfte (87 Prozent) berichtet direkt an die Geschäftsführung. Im Vergleich zum Vorjahr zeigt sich ein Anstieg um 10 Prozent. Jene, die direkt an die Unternehmensleitung berichten, sind auch am zufriedensten – knapp 90 Prozent bezeichnen ihre Arbeit als erfüllend. The European Elite 2016 Die Studie „The European Elite 2016. Football Clubs’ Valuation“ zeigt den Unternehmenswert der bekanntesten Fußballvereine Europas zum 1. Januar 2016. Eindeutige Sieger sind Real Madrid und Manchester United. Die Fußballvereine nehmen mit einem Unternehmenswert von jeweils EUR 2,9 Mrd den ersten Platz im Ranking der 32 führenden europäischen Vereine ein. Grundlage für den Bericht ist eine Analyse der öffentlich verfügbaren Informationen finanzieller und nichtfinanzieller Natur aus den Spielzeiten 2013/14 und 2014/15. Carrots & Sticks 2016 Der KPMG Bericht beschäftigt sich mit Nachhaltigkeitsberichterstattung, -regulierungen und -politik aus 71 Ländern. Es konnte dabei ein weltweiter Anstieg von Instrumenten zur Berichterstattung identifiziert werden. Seit 2006 veröffentlicht KPMG die Publikation gemeinsam mit der Global Reporting Initiative, dem United Nations Environment Programme und dem Centre for Corporate Governance in Afrika. Room for Improvement In der sechsten Ausgabe von Room for Improvement werden die sechs Must Dos in der Kommunikation der Unternehmensstrategie und Performance im Jahresbericht näher erläutert. Die Erkenntnisse konnten dabei aus einer globalen Analyse der Geschäftsberichte von 270 großen börsennotierten Unternehmen gewonnen werden. Football clubs’ valuation The European Elite 2016 footballbenchmark.com 54 KPMG INSIDE Eventmomente Bild oben links: Gerlinde Kaltenbrunner: „Ich habe gelernt, voll und ganz auf mein Bauchgefühl zu vertrauen.“ Bild oben rechts: Gerlinde Kaltenbrunner (Mitte) mit den KPMG Partnerinnen (v.l.n.r.) Lieve Van Utterbeeck, Heidi Schachinger, Barbara Polster und Sabine Bernegger Bild Mitte rechts: Rund 70 Business Ladies erschienen zum Vortrag. „Das Ziel nie aus den Augen verlieren“ Wie sie sich immer wieder aufs Neue motivieren konnte, was die Berge in ihr bewirken und wie sie diese Erfahrungen heute noch nutzen kann, erzählte Gerlinde Kaltenbrunner, eine der erfolgreichsten Höhenbergsteigerinnen der Welt, beim KPMG Ladies‘ Talk. Unter dem Titel „Die hohen Berge waren meine Lehrmeister" zog die Extremsportlerin, die alle vierzehn Achttausender ohne zusätzlichen Sauerstoff bestiegen hat, das Publikum beim 13. KPMG Ladies‘ Talk, einem inspirierenden Frühstück für weibliche Führungskräfte, in ihren Bann. KPMG INSIDE 55 Alles Cyber „Die Zeiten, in denen Cyberkriminalität und Cyber Security belächelte Begriffe von Fach-Exoten waren, sind vorbei“, bringt es KPMG Partner Michael Schirmbrand im Rahmen der Studienpräsentation „Cyber Security in Österreich“ auf den Punkt. Neben einem Impulsvortrag von Jurist und Datenschutzaktivist Max Schrems erläuterte KPMG Senior Manager Robert Lamprecht die wesentlichen Erkenntnisse der Studie. Anschließend stellten sich im Rahmen einer Podiumsdiskussion (Foto rechts, v.l.n.r.) Max Schrems, Walter Unger (Bundesministerium für Landesverteidigung), Jimmy Heschl (Red Bull), Moderator Michael Nikbakhsh (profil), Thomas Stubbings (Cyber Security Plattform der österreichischen Bundesregierung) und Michael Schirmbrand (KPMG) dem Thema Cyber Security. Bild links: Robert Lamprecht über die aktuelle Situation in Österreich Bild Mitte: Max Schrems bei seinem Impulsvortrag „Cyber Security & Datenschutz“ Bild unten: (v.l.n.r.) Robert Lamprecht (KPMG), Walter Unger (BM für Landesverteidigung), Jimmy Heschl (Red Bull), Michael Schirmbrand (KPMG), Max Schrems (Jurist und Datenschutzaktivist), Thomas Stubbings (Cyber Security Plattform der österreichischen Bundesregierung) 56 KPMG INSIDE Zukunft des Aufsichtsrats Über die Umsetzung der EU Audit Reform in Österreich und die Zukunft des Aufsichtsrats sprachen Sonja Bydlinski (Bundesministerium für Justiz), Christian Nowotny (WU Wien) und Helmut Kerschbaumer (KPMG) unter der Moderation von KPMG Partner Rainer Hassler beim Audit Committee Institute (ACI) Round Table. Neben den wesentlichen gesetzlichen Änderungen wurden die neuen Aufgaben für Prüfungsausschüsse und die Neuerungen in der Abschlussprüfung und Berichterstattung näher behandelt. Auch in Linz trafen sich Aufsichtsräte im Rahmen eines ACI Round Tables zu Diskussion und Erfahrungsaustausch mit Sonja Bydlinski, Ewald Aschauer (JKU Linz) und KPMG Partner Michael Ahammer. Bild oben (v.l.n.r.) ACI Round Table in Wien: Helmut Kerschbaumer, Rainer Hassler (beide KPMG), Sonja Bydlinski (Bundesministerium für Justiz), Christian Nowotny (WU Wien) Bild unten (v.l.n.r.) ACI Round Table in Linz: Ewald Aschauer (JKU Linz), Sonja Bydlinski, Michael Ahammer und Helge Löffler (beide KPMG) Accounting Circle Rund 200 Fach- und Führungskräfte folgten der Einladung von KPMG und dem Controller Institut zum diesjährigen Accounting Circle. Nach einer Reihe von Vorträgen zum Thema: „RÄG 2014: Top-Themen zur neuen UGB-Bilanzierung“ stellten sich die Experten den Fragen aus dem Publikum. Im Bild (v.l.n.r.): Lieve Van Utterbeeck (KPMG), Klaus Hirschler (WU Wien), Christoph Plott (KPMG), Werner Gedlicka (KPMG), Alexander Schiebel (Österreichischer Raiffeisenverband), Helmut Kerschbaumer (KPMG), Rita Niedermayr (Controller Institut) 58 KPMG INSIDE „Hunger nach Erfolg muss gestärkt werden“ Sebastian Kurz, Bundesminister für Europa, Integration und Äußeres, sprach beim Alumni-Club Treffen von KPMG über den fehlenden Hunger nach Erfolg in Österreich und welche Persönlichkeiten ihn in seiner bisherigen Laufbahn am meisten beeindruckt haben. Das eindrucksvollste Gespräch hatte ich mit Kofi Annan. Auf seinen Reisen hat Minister Kurz das Gefühl, dass man viel von anderen Ländern lernen kann. Sowohl von einigen Nachbarn als auch außerhalb Europas – vor allem in China oder Indien – wird stärker das Ziel verfolgt, erfolgreich zu sein und Wohlstand aufzubauen. „Was ich in Österreich vermisse, ist der Hunger nach Erfolg“, so Kurz. Zur Flüchtlingskrise betonte der Minister, dass es eine gesamteuropäische Lösung benötige, die einen ordentlichen Schutz der Außengrenzen beinhalte sowie verstärkte Hilfe vor Ort. Vorbilder In seiner politischen Laufbahn ist Kurz zahlreichen beeindruckenden Persönlichkeiten begegnet. Viel lernen konnte er unter anderem vom deutschen Außenminister Frank-Walter Steinmeier, der für ihn auch auf europäischer Ebene eine führende Rolle einnimmt. „Das eindrucksvollste Gespräch hatte ich mit Kofi Annan“, schildert Kurz. Er findet es wichtig, über die Politikgrenzen hinaus zu blicken: „Ich suche gezielt Gespräche außerhalb des politischen Bereichs. Da kann man oft viel mehr mitnehmen.“ KPMG INSIDE 59 Bild rechts: BM Sebastian Kurz mit KPMG Senior Partner Michael Schlenk und Moderator Andreas Weber (trend) 60 KPMG INSIDE Sie sind Geschäftsführer bei KPMG: Welche Charaktereigenschaften haben aus Ihrer Sicht maßgeblich Ihre Karriere beeinflusst? Die Eignung zur Reduktion von Komplexitäten und zur Vermittlung einfacher Lösungen. Welche Aussage Ihres Vorgesetzten/Mentors hat Sie nachhaltig geprägt? „Schreiben Sie jeden Text so, dass er dem Leser innerlich hinunter rinnt und er nirgendwo einhaken kann.“ von Univ.-Prof. Dr. Werner Doralt Wie beginnt für Sie ein typischer Arbeitstag? So wie jeder Tag endet: Mit einem Blick in die Inbox. Wie lautet Ihr Tipp für Bewerber? Keep it short and simple! Liefern Sie eine Lösung und erschlagen Sie Ihr Gegenüber nicht mit Ihrer Klugheit. Was war Ihr erster Berufswunsch? Da gab es viele Berufe: Schaffner, Polizist, Müllwagenfahrer, Koch. Nur Steuerberater wollte ich nie werden – bis ich die Vorlesung von Prof. Doralt besucht habe. „Keep it short and simple!” Wie würden Ihre Mitarbeiter Sie beschreiben? Als lösungsorientiert und ungeduldig, eine schwierige Kombination! Welche Herausforderung wäre vergleichbar mit Ihrem Arbeitsalltag? Zumeist fühle ich mich wie ein Jongleur, der zehn rohe Eier in der Luft hält und keines fallen lassen darf. Was bedeutet Erfolg für Sie? Wenn ich das Gefühl habe, dass sich die Dinge in die richtige Richtung entwickeln. Der Begriff „Karriereplanung“ bedeutet für jeden etwas anderes. Was bedeutet er für Sie? Ich habe mich immer bemüht, etwas tun zu können, das mir Freude bereitet und Sinn stiftet. Eine Planung steht da nicht dahinter. Ihre größte Aufgabe in den letzten zwölf Monaten? Hans Zöchling als Head of Tax nachzufolgen. In der Serie „Nachgefragt” bittet Dimensionen die Geschäftsleitung bei KPMG zum persönlichen Interview. Diesmal steht Thomas Walter, Head of Tax, der Redaktion Rede und Antwort. Womit macht man Ihnen Freude? Mit guter Laune und einer positiven Einstellung. Welche Bücher haben Sie zuletzt gelesen? „Ghost“ von Robert Harris, „Gefangen im Euro“ von Hans-Werner Sinn. KPMG INSIDE 61 Events und Seminare Juli Sept 04.07. Cyber Security 17:30 Uhr, Metzler & Partner in Kooperation mit KPMG Bregenz 05.07. Tax Talk: Zollrecht und Umsatzsteuer 17:30 Uhr, KPMG Salzburg 06.07. Tax Talk: Zollrecht und Umsatzsteuer 17:30 Uhr, KPMG Innsbruck 13.09. Lehrgang Stiftungsvorstand: INCITE KPMG Referent: Michael Petritz 15.09. Compliance Solutions Day 2016 Apothekertrakt – Schloss Schönbrunn 19.09. Meet the Experts Fachkonferenz zur int. Rechnungslegung 9:00–18:00 Uhr Austria Trend Hotel Park Royal Palace Vienna 22.09. CSR & Compliance inkl. den aktuellen Berichterstattungspflichten: ARS KPMG Referenten: Roman Sartor, Katharina Schönauer 29.09. Jahrestagung Compliance – Update Strafrecht, Datenschutz & Kartellrecht: ARS KPMG Referenten: Roman Sartor 29.09. STEP Konferenz Innsbruck KPMG Referent: Michael Petritz Okt 10.10. 11.10. Lehrgang Unternehmensan- und -verkauf: Akademie für Wirtschaftstreuhänder KPMG Referent: Michael Petritz Effizientes Compliance-Programm für Praxisorientierte: ARS KPMG Referent: Roman Sartor 11.–12.10. IKT Sicherheitskonferenz 2016: BM für Landesverteidigung und Sport KPMG Referent: Robert Lamprecht 12.10. Arbeitswelt und Compliance: ARS KPMG Referent: Roman Sartor 17.10. Gesellschaftsverträge effektiv gestalten: ARS OG/KG – Vertragsgestaltung & steuerliche Behandlung – inkl GmbH & Co KG KPMG Referent: Michael Petritz 20.10. Bilanzanalyse für die Geschäftsleitung: Business Circle Nutzen Sie Kennzahlen als Instrument zur Unternehmenssteuerung KPMG Referent: Christian Losbichler 20.–21.10. Kommunalwirtschaftsforum 2016: Gemeinsam Handeln für die lebenswerte Kommune KPMG Referent: Erich Thewanger Nov 09.11. Konferenz Verrechnungspreise 2016: Linde Auswirkungen der Neuerungen & Ihr konkreter Handlungsbedarf KPMG Referentin: Barbara Polster 17.11. IFRS-Enforcement: Business Circle Worauf ist bei der Prüfung durch die ÖPR zu achten? KPMG Referent: Christian Engelbrechtsmüller, Günther Hirschböck 22.11. Rechnungslegung Versicherungen 9:00–17:00 Uhr Austria Trend Hotel Park Royal Palace Vienna 28.11. Die gemeinnützige Stiftung: ARS KPMG Referent: Michael Petritz 28.11. Alles, was Recht ist 16:30 Uhr, WU Wien 30.11. Latente Steuern im Jahresabschluss: Business Circle Fundiertes Wissen für Ihr steuerliches Berichtswesen KPMG Referentinnen: Sabine Bernegger, Lieve Van Utterbeeck 62 KPMG INSIDE Publikationen Sie suchen eine Studie oder Publikation von KPMG? Gerne helfen wir Ihnen weiter – senden Sie uns Ihre Anfrage unter [email protected] Dimensionen Die KPMG Kundenzeitschrift bietet dreimal jährlich fachliche Neuigkeiten aus den Bereichen Wirtschaftsprüfung und Beratung. Jede Ausgabe widmet sich einem Schwerpunktthema. Dimensionen Runderneuert Dividendenausblick Klare Zuordnung Wechselkurs UGB 2.0 – der „moderne“ Abschluss? Klare Signale zum zukünftigen Geschäftsverlauf? Strengere Regelungen des ESVG 2010 zur Abgrenzung des Sektors Staat Bewertung von Fremdwährungsrisiken im öffentlichen Sektor DIMENSIONEN DIMENSIONEN Die Kundenzeitschrift der KPMG Austria GmbH/Oktober 2015 Die Kundenzeitschrift der KPMG Austria GmbH/Juli 2015 Die Kundenzeitschrift der KPMG Austria GmbH März 2016 Schwerpunkt Compliance 8 Kein Geheimrezept Einführung eines Compliance Management Systems 44 Revolution Der neue Leasingstandard kpmg.at SCHWERPUNKT ÖFFENTLICHE VERWALTUNG SCHWERPUNKT RÄG 2014 Dimensionen Insurance ACNews Die Sonderausgabe der KPMG Kundenzeitschrift für Versicherungsunternehmen beleuchtet aktuelle Themen und Trends aus Audit, Tax und Advisory. Das Magazin erscheint zweimal im Jahr und enthält aktuelle Fragestellungen rund um das Audit Committee, Corporate Governance und die Internationale Rechnungslegung. Dimensionen Insurance ACNews Audit Committee News Fachpublikation für Aufsichtsräte April 2016 Kundenzeitschrift KPMG Austria GmbH Mai 2016 Schwerpunkt EU Audit Reform 8 8 Kein Stein bleibt auf dem anderen IFRS 4 26 In Bewegung Wer muss einen neuen Abschlussprüfer suchen? 10 Mit Vollgas in die Zukunft Kfz-Versicherung Es wird ernst Aufgaben und Zusammensetzung des Prüfungsausschusses NEU kpmg.at kpmg.at Impressum Dimensionen Juli 2016 Herausgeber: KPMG Austria GmbH Für den Inhalt verantwortlich: Barbara Polster Koordination: Julia Haslinger T +43 (1) 313 32-3329 [email protected] Grafik und Satz: www.roither.info Druck: Ferdinand Berger & Söhne GmbH © 2016 KPMG Austria GmbH Wirtschaftsprüfungs- und Steuerberatungsgesellschaft, österreichisches Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Printed in Austria. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs, oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte auf Grund dieser Informationen handeln, ohne geeigneten fachlichen Rat eingeholt zu haben. Die in dieser Zeitschrift vorhandenen personenbezogenen Bezeichnungen sind aufgrund der besseren Lesbarkeit und Verständlichkeit des Textes zumeist in der männlichen Form angegeben, beziehen sich aber selbstverständlich geschlechtsneutral sowohl auf die weibliche als auch auf die männliche Form. Wir danken für Ihr Verständnis. N E X T G E N E R AT I O N A C A D E M Y JETZT BEWERBEN FÜR HERBST 2016 E R F O L G S S T R AT E G I E N D A I LY B U S I N E S S NE T WORKING Erarbeiten Sie gemeinsam mit Experten Business Cases unterschiedlicher Branchen. Schärfen Sie Ihr strategisches Denken und Handeln anhand von praxisorientierten Lösungsansätzen. Werden Sie Teil eines Netzwerks aus erfahrenen und aufstrebenden Managern. www.nextgenerationacademy.at T +43 1 313 32 3840 E [email protected]