pe risks что это
How to Avoid Permanent Establishment Risk
Business has never been more global. Companies of all sizes can take advantage of opportunities on an unprecedented scale, regardless of size or resources. Thanks to the rise of mobile communications, business can be done from virtually anywhere, making it easier than ever to outsource projects to independents to save on costs such as employee taxes and social security. However, global expansion has its risks. Any company entering a new market knows that the new venture could fail or under-perform. That’s a business risk that goes with every business decision.
Other risks involve matters of compliance that could result in fines for the company and damage to its reputation. One such risk that has been discussed a great deal over the past year is the misclassification of contract workers. Too often, companies treat their contractors as regular employees but continue to classify them as independents to avoid their obligations to the workers. Governments have begun to crack down on the practice dramatically.
Another risk is permanent establishment. Permanent establishment risk refers to the risk of a local tax authority in a foreign country determining that your business is operating in that country continuously rather than just sporadically. It can then declare the business a permanent establishment liable for all corporate taxes.
Knowing what might trigger the tax authorities to declare your business can help you avoid fines and unplanned tax expenses. Good advanced planning can help you reduce the risk.
What is Permanent Establishment?
Permanent establishment (PE) is a tax concept that varies from country to country and is often included in trade agreements, but is generally understood to mean that a tax authority deems a business to have a stable and ongoing presence in the country and is therefore subject to corporate taxes and possibly VAT.
A company’s auxiliary activities, such as preparatory work that does not generate revenue does not trigger permanent establishment status. The final authority on status, however, is the local tax authority. The burden of proof is with the company to demonstrate that the activities are auxiliary and do not warrant a permanent establishment status.
If a company is deemed to have permanent establishment, it will be subject to all of the taxes it would pay for profits generated in the country, according to the local tax rates. In addition, the company can be levied charges for interest on the taxes, depending on the country and the period of time over which the company’s activities took place.
Types of Activities that Increase PE Risk
Many businesses operate abroad at various points without setting up corporate entities. A company might send an agent to a foreign country to close a deal for import or export, for example. Another company might make an occasional visit to a foreign country to provide maintenance for a product it sold, such as software that needs occasional technical assistance or training.
Depending on circumstances and the country, even those activities can be a risk. If the agent generates profits or sales, it could be enough to warrant tax authorities to take action. If the maintenance is long-term rather than sporadic, it could be deemed permanent.
Activities do not have to involve commerce and or even concluding contracts. It may be enough for a company to have the word “sales” in the title of one of the workers.
The following are basic guidelines for the types of activities that can result in permanent establishment:
While the OECD does not have the power to enforce a particular definition and it remains up to each country to adopt its own standards and definitions, the OECD has proven to be highly influential in this area. While the concept is not new, the OECD’s emphasis on the issue has increased the frequency of local tax authorities claiming jurisdiction over business activities of foreign companies.
What is a Fixed Place of Business?
According to the OECD guidelines, permanent establishment has a number of elements. It is “fixed,” done in a particular “place” and for the purpose of “business.”
If your company operates from a particular, set location on a regularly recurring or continuous basis abroad, it could be deemed to have a fixed presence. If your workers return to the same location to carry out work on behalf of the company when they visit, or if there is a mailing address for your company or bank account, there is a risk that the venture could be considered a permanent establishment.
The idea of a place refers to a facility you company has access to when it does business in the country. The place does not have to be used exclusively for business, but if it remains in the control of the business and used for business, it could increase risk of permanent establishment.
The third element is that the fixed location is used for the purposes intended to increase profits for the company. The element of profits are the main issue for the tax authorities, and may trigger a designation of permanent establishment even without a fixed place if they are gained through the company’s primary source of business.
Avoid the Risk with a Global PEO
The companies most at risk for permanent establishment status are those that bypass their tax burden by operating without a legal entity or any other reporting mechanism, either intentionally or because they believe their activity is merely auxiliary.
For a company that has occasional but recurring business in a particular country, or an ongoing project, opening a Global PEO could mitigate the risk. The goal is to maximize profits in a business venture while working within a planned budget. A PEO or an associated vendor serves as the employer of record, so all of the business activity is in full compliance with tax authorities and all necessary taxes are reported and paid.
A Global PEO provides a legitimate means for reporting taxes through a recognized entity in the local area. Papaya Global offers PEO services in more than 100 countries through our network of local venders, all of whom are vetted by Papaya. All workers receive payslips for the hours worked and all taxes are withheld, according to the local standards.
It is easier to grow across the globe than ever before, and there are employment options that were unavailable just a few years earlier. Take advantage of the new opportunities, but do so from an informed perspective. Don’t take risks that could upend an otherwise successful operation. Plan well, and your company could always remain in full compliance.
Payroll, PEO or Contractors for Global Expansion
Download our free whitepaper outlining payroll, PEO and contractors and the best options for hiring workers abroad
Download Free Whitepaper
Navigating permanent establishment risks in a global mobility setting
What is a permanent establishment (PE)?
Permanent establishment refers to an international tax concept that applies when a tax authority regards an entity as having a “fixed place of business” in the country and is therefore liable for corporate taxes.
When a company is considered to have permanent establishment in its host country, all of its profits made within the location will be subjected to the appropriate taxes and the accompanying rates.
Permanent establishment risk
Being able to identify the potential triggers for PE risks can help companies avoid any fines and unwanted tax expenses. According to the current treaty definition of PE, the creation of a PE in a foreign territory can be established by two factors:
A fixed place of business
Refers to when an enterprise has a facility in a foreign territory that is used to conduct all business activities. According to the OECD, there are three components that ascertain whether the enterprise is at risk of PE according to the phrase “fixed place of business”.
Fixed
A geographic place where business regularly operates
Place
Having a facility at the disposal of the company
Business
The business activity of the company that regularly operates at the site
A dependent agent
An enterprise is subject to PE in a foreign territory when there is a person (other than the independent agent) conducting business on the enterprise’s behalf in the foreign territory
Some double tax treaties also encompass a Service PE that applies to when an enterprise from one territory performs services (such as consultancy services) through employees or other personnel engaged by the enterprise in the foreign territory over a defined time period.
Source:oatawa/Shutterstock
Within a global mobility context, even short-term business activities can create a permanent establishment within the foreign territory
Entities must take care to ensure that they don’t run the risk of unwittingly creating a PE status. Failure to monitor PE risks can lead to consequences to the effect of:
Examples of activities that increase PE risk
Source: New Africa/Shutterstock
Ask yourself these questions before running any activities in a foreign territory
«Do my employees visit or work from a fixed location or facility when they travel to the host country?»
A strong indicator of a permanent establishment is having a fixed place of business.
«Do I regularly conduct company business from this specific location?»
Habitually performing business activities within the same location can put your company at risk for a PE. The timeframe however, varies in between countries.
«Is the facility I work from in the foreign territory always available to me?»
As long as a space is at your disposal for an extended period of time, you may run the risk of permanent establishment. The type of space can include a rented office and even a co-working space.
Source: Halfpoint/Shutterstock
What types of activities exclude businesses from being a permanent establishment?
According to article 5(4) of the OECD manual, certain activities that are performed to support the main activities for an entity but does not generate revenue will be exempted from triggering PE status. Referred to as preparatory or ancillary activities, these include:
Ultimately it is on the entity to prove that these activities are ancillary and therefore, not subject to permanent establishment status.
How can I manage permanent establishment risks?
Being able to identify and proactively manage PE risks protects your company from being vulnerable to unexpected tax payments as well as fines and sudden interest charges. It also puts you in the position to make the right calls amidst tax disclosures in the foreign territory.
Here are three things you can do to manage PE risks for your business.
Set up a local business entity
Establishing a foreign subsidiary in the host country will allow your business to maintain full compliance with local tax authorities. It will also prevent any uncertainty surrounding your company’s tax status.
From a tax perspective, a foreign subsidiary will be liable for its own set of tax and compliance obligations that are independent to the parent company. Protecting it from any PE risks.
However, setting up a local entity can be a costly commitment that can take up to a year before it is fully mobilised.
Consult local tax experts
Obtaining up to date and detailed tax advice from local tax experts can help you gauge where your business stands and come up with a strategy on how to protect your company from running any risks that can put you in breach of any local tax regulations.
From reviewing contracts with your local business partners, navigating tax liabilities and more, enlisting a local tax expert can save you the trouble of running into any permanent establishment risk challenges.
Work with an Employer of Record (EOR)
Engaging the services of an EOR can help business put their global expansion plans into motion without setting up a fixed place of business.
By taking on the role of the legal entity, the EOR will be responsible for acting as legal employer of your workforce whilst staying compliant with the local tax laws of the foreign territory.
This solution allows business to quickly enter and operate in new international markets and hire international talent without prompting a permanent establishment status.
It also enables businesses to work with experts on the local regulations. This might include labour laws, employee compensation and benefits to ensure that their international workforce is being fairly supported.
Put your expansion plans into motion with Airswift
If international expansion is in the cards for your business, we want to be able to support you in every step of the way. Our global mobility experience of over 40 years has granted us the expertise in navigating various circumstances to help you ensure your expansion plans happen as smoothly as possible.
Whether you need help with refining your HR solutions or want to collaborate with an Employer of Record, our services can be customised to meet your specific needs.
This post was written by: Leanna Seah, Content Marketing Coordinator
Управление рисками информационной безопасности (конспект лекции)
Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
CC BY 4.0 © Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision), 2020
Риск информационной безопасности – это потенциальная возможность использования уязвимостей активов конкретной угрозой для причинения ущерба организации.
ВеличинаРиска=ВероятностьСобытия*РазмерУщерба, где
ВероятностьСобытия=ВероятностьУгрозы*ВеличинаУязвимости
Цели процесса анализа рисков ИБ:
1. Идентифицировать активы и оценить их ценность
2. Идентифицировать угрозы активам и уязвимости в системе защиты
3. Просчитать вероятность реализации угроз и их влияние на бизнес
4. Соблюсти баланс между стоимостью возможных негативных последствий и стоимостью мер защиты, дать рекомендации руководству компании по обработке выявленных рисков.
Этапы 1-3: оценка риска (risk assessment), т.е. сбор имеющейся информации.
Этап 4: анализ рисков (risk analysis), т.е. изучение собранных данных, предоставление указаний для дальнейших действий (выбор способа обработки для каждого из оцененных и актуальных киберрисков, выбор финансово приемлемого уровня рисков).
Способы обработки киберриска:
игнорировать, принять, избежать, передать, минимизировать.
Пример количественного анализа рисков:
Значение SLE вычисляется как произведение расчётной стоимости актива и значения EF:
Значение ALE вычисляется как произведение SLE и ARO:
Ценность мер защиты:
Пример качественного анализа рисков:
метод Дельфи (анонимный опрос экспертов в несколько итераций до достижения консенсуса), мозговой штурм, оценка «экспертным методом».
Положение ЦБ РФ от 08.04.2020 №716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе“
Содержит требование о включении рисков ИБ и рисков отказов информационных систем в список операционных рисков, от величины которых зависит требуемый размер достаточности капитала банка.
Процедуры управления операционным риском:
1. Идентификация риска:
анализ базы событий
анализ динамики количественных показателей (ключевых индикаторов риска)
анализ результатов регуляторных проверок
анализ результатов внешнего аудита
анализ поступающих сигналов от сотрудников.
2. Сбор и регистрация информации о событиях операционного риска:
автоматизированное (из информационных систем), неавтоматизированное (экспертным методом), алгоритмизированное выявление информации о рисках
классификация рисковых событий
оценка потерь, стоимости возмещения потерь
регистрация рисковых событий в базе событий
обновление информации, актуализация источников информации.
3. Количественная и качественная оценка уровней операционного риска.
Организации сами разрабатывают способы оценки.
4. Выбор и применение способов реагирования на риск.
Перечень мер для минимизации рисков приведен в приложении №3 к Положению.
5. Мониторинг рисков:
анализ индикаторов риска и статистики
контроль выполнения мероприятий
1. Фреймворк «NIST Risk Management Framework» на базе американских правительственных документов NIST (National Institute of Standards and Technology, Национальный институт стандартов и технологий США) включает в себя набор взаимосвязанных т.н. «специальных публикаций» (англ. Special Publication (SP), будем для простоты восприятия называть их стандартами):
1.1. Стандарт NIST SP 800-39 «Managing Information Security Risk» («Управление рисками информационной безопасности») предлагает трехуровневый подход к управлению рисками: организация, бизнес-процессы, информационные системы. Данный стандарт описывает методологию процесса управления рисками: определение, оценка, реагирование и мониторинг рисков.
1.2. Стандарт NIST SP 800-37 «Risk Management Framework for Information Systems and Organizations» («Фреймворк управления рисками для информационных систем и организаций») предлагает для обеспечения безопасности и конфиденциальности использовать подход управления жизненным циклом систем.
1.3. Стандарт NIST SP 800-30 «Guide for Conducting Risk Assessments» («Руководство по проведению оценки рисков») сфокусирован на ИТ, ИБ и операционных рисках, описывает подход к процессам подготовки и проведения оценки рисков, коммуницирования результатов оценки, а также дальнейшей поддержки процесса оценки.
1.4. Стандарт NIST SP 800-137 «Information Security Continuous Monitoring» («Непрерывный мониторинг информационной безопасности») описывает подход к процессу мониторинга информационных систем и ИТ-сред в целях контроля примененных мер обработки рисков ИБ и необходимости их пересмотра.
2. Стандарты Международной организации по стандартизации ISO (International Organization for Standardization):
3. Методология FRAP (Facilitated Risk Analysis Process) является относительно упрощенным способом оценки рисков, с фокусом только на самых критичных активах. Качественный анализ проводится с помощью экспертной оценки.
4. Методология OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) сфокусирована на самостоятельной работе членов бизнес-подразделений. Она используется для масштабной оценки всех информационных систем и бизнес-процессов компании.
5. Методология FMEA (Failure Modes and Effect Analysis) предлагает проведение оценки системы с точки зрения её слабых мест для поиска ненадежных элементов.
6. Методология CRAMM (Central Computing and Telecommunications Agency Risk Analysis and Management Method) предлагает использование автоматизированных средств для управления рисками.
8. Концепция COSO ERM (Enterprise Risk Management) описывает пути интеграции риск-менеджмента со стратегией и финансовой эффективностью деятельности компании и акцентирует внимание на важность их взаимосвязи. В документе описаны такие компоненты управление рисками, как стратегия и постановка целей, экономическая эффективность деятельности компании, анализ и пересмотр рисков, корпоративное управление и культура, а также информация, коммуникация и отчетность.
Этапы процесса управления рисками ИБ по документу NIST SP 800-39 «Managing Information Security Risk» («Управление рисками информационной безопасности»):
1. На этапе определения рисков организации следует выявить:
предположения о рисках, т.е. идентифицировать актуальные угрозы, уязвимости, последствия, вероятность возникновения рисков
ограничения рисков, т.е. возможности осуществления оценки, реагирования и мониторинга;
приоритеты и возможные компромиссы, т.е. нужно приоритизировать бизнес-процессы, изучить компромиссы, на которые может пойти организация при обработке рисков, а также временные ограничения и факторы неопределенности, сопровождающие этот процесс.
2. На этапе оценки рисков организации следует выявить:
угрозы ИБ, т.е. конкретные действия, лиц или сущности, которые могут являться угрозами для самой организации или могут быть направлены на другие организации
внутренние и внешние уязвимости, включая организационные уязвимости в бизнес-процессах управления компанией, архитектуре ИТ-систем и т.д.
ущерб организации с учетом возможностей эксплуатации уязвимостей угрозами
вероятность возникновения ущерба.
В итоге организация получает детерминанты риска, т.е. уровень ущерба и вероятность возникновения ущерба для каждого риска.
Для обеспечения процесса оценки рисков организация предварительно определяет:
инструменты, техники и методологии, используемые для оценки риска
допущения относительно оценки рисков
ограничения, которые могут повлиять на оценки рисков
роли и ответственность
способы сбора, обработки и передачи информации об оценке рисков в пределах организации
способы проведения оценки рисков в организации
частота проведения оценки рисков
способы получения информации об угрозах (источники и методы).
3. На этапе реагирования на риск организация выполняет следующие работы:
разработка возможных планов реагирования на риск
оценка возможных планов реагирования на риск
определение планов реагирования на риск, допустимых с точки зрения риск-толерантности организации
реализация принятых планов реагирования на риск.
Для обеспечения возможности реагирования на риски организация определяет типы возможной обработки рисков (принятие, избегание, минимизация, разделение или передача риска), а также инструменты, технологии и методологии для разработки планов реагирования, способы оценки планов реагирования и методы оповещения о предпринятых мерах реагирования в рамках организации и/или внешних контрагентов.
4. На этапе мониторинга рисков решаются следующие задачи:
проверка реализации принятых планов реагирования на риск и выполнения нормативных требований ИБ
определение текущей эффективности мер реагирования на риски
определение значимых для риск-менеджмента изменений в ИТ-системах и средах, включая ландшафт угроз, уязвимости, бизнес-функции и процессы, архитектуру ИТ-инфраструктуры, взаимоотношения с поставщиками, риск-толерантность организации и т.д.
Организации описывают методы оценки нормативного соответствия и эффективности мер реагирования на риски, а также то, как контролируются изменения, способные повлиять на эффективность реагирования на риски.
Управление рисками ведется на уровнях организации, бизнес-процессов и информационных систем, при этом следует обеспечивать взаимосвязь и обмен информацией между данными уровнями в целях непрерывного повышения эффективности осуществляемых действий и коммуникации рисков всем стейкхолдерам.
Уровень организации: принятие решений, финансирование, назначение ответственных.
Уровень бизнес-процессов: архитектура рабочих процессов, в т.ч. процессов ИБ.
Уровень информационных систем: реализация мер управления рисками.
Документ NIST SP 800-37 ”Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy” («Фреймворк управления рисками для информационных систем и организаций: жизненный цикл систем для обеспечения безопасности и конфиденциальности»)
обеспечение безопасности и конфиденциальности в ИТ-системах на протяжении всего жизненного цикла
непрерывный мониторинг состояния защиты ИТ систем
Типы рисков по NIST SP 800-37:
риск несоответствия законодательству
риск безопасности и конфиденциальности (включая риск цепочки поставок)
риск безопасности жизнедеятельности
риск стратегического планирования.
Этапы применения фреймворка управления рисками (NIST SP 800-37):
Документ NIST SP 800-30 «Guide for Conducting Risk Assessments» («Руководство по проведению оценок риска») посвящен процедуре проведения оценки риска ИБ.
Процесс оценки рисков по NIST SP 800-30 включает в себя:
1. Подготовку к оценке рисков:
Идентификация цели оценки рисков
Идентификация области (англ. scope) оценки рисков
Идентификация специфичных предположений и ограничений
Идентификация источников предварительной информации, источников угроз и уязвимостей
Идентификация модели рисков, способа оценки рисков и подхода к анализу
2. Проведение оценки рисков:
Идентификация и характеризация актуальных источников угроз
Идентификация потенциальных событий угроз, релевантности этих событий, а также источников угроз
Определение вероятности того, что актуальные события угроз приведут к негативному влиянию
Определение негативного влияния, порожденного источниками угроз
Определение риска от реализации актуальных событий угроз
3. Коммуницирование результатов оценки и передачу информации внутри организации:
Коммуницирование результатов оценки рисков лицам, принимающим решения, для реагирования на риски
4. Поддержание достигнутых результатов:
Проведение непрерывного мониторинга факторов риска
Способы анализа факторов рисков:
ориентированный на активы
Документ NIST SP 800-137 ”Information Security Continuous Monitoring for Federal information Systems and Organizations” («Непрерывный мониторинг информационной безопасности для федеральных информационных систем и организаций»)
Рекомендуемый процессный подход к выстраиванию системы мониторинга ИБ, состоящий из:
определения стратегии непрерывного мониторинга ИБ
разработки программы непрерывного мониторинга ИБ
внедрения программы непрерывного мониторинга ИБ
анализа найденных недочетов и отчета о них
реагирования на выявленные недочеты
пересмотра и обновления стратегии и программы непрерывного мониторинга ИБ.
Рекомендации по выбору инструментов обеспечения непрерывного мониторинга ИБ:
поддержка ими большого количества источников данных
интеграция с другим ПО, таким как системы Help Desk, системы управления инвентаризацией и конфигурациями, системами реагирования на инциденты
поддержка процесса анализа соответствия применимым законодательным нормам
гибкий процесс создания отчетов, возможность «проваливаться» (англ. drill-down) в глубину рассматриваемых данных
поддержка систем Security Information and Event Management (SIEM) и систем визуализации данных.
1. Оценка рисков ведется с учетом последствий рисков для бизнеса и вероятности возникновения рисков. Осуществляются идентификация рисков, их анализ и сравнение (с учетом выбранного уровня риск-толерантности).
2. Вероятность и последствия рисков доводятся до заинтересованных сторон и принимаются ими.
3. Устанавливается приоритет обработки рисков и конкретных действий по снижению рисков.
4. В процесс принятия решений по управлению рисками вовлекаются стейкхолдеры, которые затем также информируются о статусе управления рисками.
5. Оценивается эффективность проведенной обработки рисков.
6. Контролируются и регулярно пересматриваются риски и сам процесс управления ими.
7. На основе получаемой новой информации процесс управления рисками непрерывно улучшается.
8. Проводится обучение сотрудников и руководителей относительно рисков и предпринимаемых действий для их снижения.
1. Определение контекста
Выбирается подход к управлению рисками, который должен включать в себя критерии оценки рисков, критерии оценки негативного влияния, критерии принятия рисков, оценка и выделение необходимых ресурсов.
Проводится с различной глубиной, в зависимости от критичности активов, количества известных уязвимостей, а также с учетом ранее произошедших инцидентов. Методология анализа рисков может быть как качественной, так и количественной: как правило, вначале применяют качественный анализ для выделения высокоприоритетных рисков, а затем уже для выявленных рисков применяют количественный анализ, который является более трудоемким и дает более точные результаты.
2.3 Оценка опасности рисков
Сравнение полученных на предыдущем этапе уровней рисков с критериями сравнения рисков и критериями принятия рисков, полученными на этапе определения контекста.
3. Обработка рисков ИБ
3.1. Модификация риска
3.2. Сохранение риска
3.3. Избегание риска
Формируется и утверждается руководством список принимаемых рисков.
5. Внедрение разработанного плана обработки рисков
Закупаются и настраиваются средства защиты и оборудование, заключаются договоры киберстрахования и реагирования на инциденты, ведется юридическая работа с контрагентами.
6. Непрерывный мониторинг и пересмотр рисков
Риски могут незаметно меняться со временем: изменяются активы и их ценность, появляются новые угрозы и уязвимости, изменяются вероятность реализации угроз и уровень их негативного влияния.
7. Поддержка и улучшение процесса управления рисками ИБ
Контекст, оценка и план обработки рисков должны оставаться релевантными текущей ситуации и обстоятельствам.
Входит в серию стандартов по управлению бизнес-рисками без привязки конкретно к рискам ИБ.
В стандарте приведено более 40-ка разнообразных техник оценки риска, к каждой дано пояснение, указан способ применения для всех подпроцессов оценки риска (идентификация риска, определение источников и причин риска, анализ мер защиты, анализ последствий, вероятностей, взаимосвязей и взаимодействий, измерение и оценка уровня риска, выбор мер защиты, отчетность), а для некоторых техник приведены и практические примеры использования.
На данный стандарт в его отечественном варианте ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска» ссылается 607-П ЦБ РФ «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков».