Salta al contingut principal
Orientacions 2016 OEA

Annex 2

Amenaces, riscos i possibles solucions

En aquest document figura una relació dels riscos més significatius relacionats amb el procés d'autorització i seguiment d'un AEO, i al mateix temps, una llista de possibles solucions per mantenir tals riscos sota control. Les possibles solucions proposades per a un determinat indicador poden ser aplicables a més d'una àrea de risc identificada. La llista suggerida no és exhaustiva ni definitiva, i, en la pràctica, les solucions possibles variaran d'uns casos a uns altres depenent de factors com la mida de l'operador, el tipus de mercaderies, el tipus de sistemes automatitzats i el grau de modernització de l'operador.

El qüestionari d'autoavaluació el complimenten els operadors econòmics a l'inici del procés de sol·licitud, i amb ell es pretén obtenir una visió general de la seva activitat empresarial i els seus procediments, així com de la pertinència dels mateixos amb vistes a l'autorització com AEO. El document «Amenaces, riscos i possibles solucions» s'adreça tant a autoritats duaneres com a operadors econòmics, per tal de facilitar l'auditoria i la revisió i de garantir així el compliment dels criteris aplicats als AEO, en comparar la informació facilitada en el CAU i les àrees de risc identificades, així com les possibles solucions per atendre els riscos identificats.

1. Historial de compliment (secció 2 del CAU)
Criteri: Un historial de compliment dels requisits duaners apropiat [artículos 39, lletra a), del CAU i 24 de l'AE CAU]

Indicador Descripció del risc Possibles solucions Referències
Compliment
dels requisits duaners

Conducta infractora respecte de:

  • l'emplenament de les declaracions duaneres, inclosa la comissió d'errors en els apartats de classificació, valoració o
    origen;
  • l'ús dels procediments duaners;
  • la normativa fiscal;
  • l'aplicació de mesures relacionades amb prohibicions i restriccions, la política comercial;
  • la introducció de les mercaderies en el territori duaner de la Unió, etc.

Una conducta d'infracció en el passat eleva la possibilitat que futures normes i reglaments es passin per alt o s'infringeixin.
Coneixement insuficient de les infraccions contra els requisits duaners.

Política de compliment actiu per l'operador, en el sentit que aquest hagi establert i apliqueu unes normes internes de compliment.
Es prefereixen instruccions operatives escrites pel que fa a les responsabilitats relatives a la realització de controls de precisió, exhaustivitat i oportunitat de les operacions i a la comunicació d'irregularitats i errors, inclosa la sospita d'activitat delictiva, a les
autoritats duaneres.
Procediments per investigar i comunicar els errors detectats i de revisió i millora dels processos.
Identificació clara de la persona competent o responsable en l'empresa i establiment del règim de vacances i altres tipus d'absència.

Aplicació de mesures internes de compliment; utilització dels recursos d'auditoria per comprovar i garantir que els procediments s'apliquen correctament.
Instruccions internes i programes de formació per garantir que el personal conegui els requisits duaners.

 CAU-2.1

2. El sistema comptable i logístic del sol·licitant (secció 3 del CAU)
Criteri: un sistema adequat de gestió dels registres comercials i, si escau, de transport, que permeti un control duaner apropiat [artículos 39, lletra b), del CAU i 25 de l'AE CAU]

2.1. Sistema comptable (subsecció 3.2 del CAU)

Indicador Descripció del risc Possibles solucions Referències

Entorn informàtic Sistema integrat de comptabilitat

 Risc de què el sistema comptable no s'ajusti als principis de comptabilitat generalment acceptats aplicats en l'Estat membre.
Registre incomplet i/o incorrecte de les operacions en el sistema de comptabilitat.
Falta de correspondència entre el registre d'existències i el registre comptable.
Falta de separació de les tasques corresponents a les diferents funcions.
Absència d'accés físic o electrònic als registres duaners i, si escau, als registres de transport.
Deteriorament de la auditabilidad.
Incapacitat d'emprendre oportunament una auditoria, a causa de la manera com està estructurada la comptabilitat del sol·licitant.
Possibilitat d'encobrir operacions il·legals, donada la complexitat del sistema de gestió.
Indisponibilitat de dades històriques.

La separació de tasques corresponents a les diferents funcions haurà d'examinar-se en estreta relació amb la mida de l'empresa del sol·licitant. Per exemple, en el cas d'una microempresa activa en el transport per carretera que tingui un volum molt reduït d'operacions diàries, l'envasament, la manipulació i la càrrega i descàrrega de les mercaderies pot encarregar-se al conductor del camió. En canvi, la recepció de les mercaderies, la seva introducció en el sistema d'administració i el pagament i la recepció de factures haurien d'encomanar-se a tercers.
Adopció d'un sistema d'alertes que permeti identificar operacions sospitoses.

Desenvolupament d'una interfície entre els programes informàtics de despatx duaner i de comptabilitat, per evitar errors de marcat.
Adopció d'una planificació dels recursos empresarials (PRE).
Desenvolupament d'iniciatives de formació i elaboració d'instruccions per a la utilització del programa.
Possibilitat d'un control creuat de la informació.

 CAU - 3.2
ISO 9001:2015, secció 6

2.2. Pista d'auditoria (subsecció 3.1 del CAU)

Indicador Descripció del risc Possibles solucions Referències
Pista d'auditoria L'absència d'una pista d'auditoria adequada dificulta la realització d'un control duaner eficaç i efectiu basat en l'auditoria.
Falta de control sobre la seguretat i l'accés al sistema.		 Consulta amb les autoritats duaneres prèvia a la introducció dels nous sistemes de comptabilitat duanera, per tal de garantir la seva compatibilitat amb els requisits duaners.
Comprovació i garantia de l'existència de la pista d'auditoria en la fase de preauditoria.		 CAU - 3.1
ISO 9001:2015, secció 6

2.3. Sistema logístic que distingeix entre mercaderies de la Unió i mercaderies que no pertanyen a la Unió

Indicador Descripció del risc Possibles solucions Referències
Amalgama de mercaderies de la Unió amb mercaderies que no pertanyen a la Unió Absència d'un sistema logístic que distingeixi entre les mercaderies de la Unió i les mercaderies que no pertanyen a la Unió.
Substitució de les mercaderies que no pertanyen a la Unió.		 Procediments de control intern.
Comprovacions de la integritat en la introducció de dades per verificar que les introduccions de dades siguin correctes.		 CAU 3.2.2

2.4. Sistema de control intern (subsecció 3.3 del CAU)

Indicador Descripció del risc Possibles solucions Referències
Procediments de control intern Control inadequat, en l'empresa del sol·licitant, dels processos operatius.
La inexistència de controls interns o la seva ineficàcia possibilita el frau i el desenvolupament d'activitats no autoritzades o il·legals.
Registre incomplet i/o incorrecte de les operacions en el sistema de comptabilitat.
Informació incorrecta o incompleta en les declaracions duaneres i altres documents presentats en duanes.

Designació d'una persona responsable de la qualitat i encarregada dels procediments i els controls interns de l'empresa.
Plena consciència, per cada cap de departament, dels controls interns del seu respectiu departament.
Registre de les dates dels controls interns i les auditories i correcció de les deficiències detectades mitjançant correctives.
Notificació a les autoritats duaneres dels casos de frau o activitat no autoritzada o il·legal que es detectin.
Posada a disposició del personal competent dels procediments de control interns pertinents.
Creació d'una carpeta o arxiu en el que cada tipus de mercaderia es vinculi a la seva respectiva informació duanera (codi aranzelari, tipus dels drets duaners, origen i règim duaner).
Designació de la persona o persones encarregades de gestionar i actualitzar la normativa sobre duanes aplicable (inventari de reglaments); p.e., actualització de les dades en la planificació de recursos empresarials (PRE), liquidació de comptes, programa.
Informació i formació del personal en relació amb les inexactituds i sobre com es pot evitar que es presentin.

Establiment de procediments per registrar i corregir els errors i les transaccions en marxa.

 CAU 3.3
ISO 9001:2015, seccions 5, 6, 7 i 8

2.5. Flux de mercaderies (subsecció 3.4 del CAU)

Indicador Descripció del risc Possibles solucions Referències
Disposicions generals L'absència de control dels moviments d'existències augmenta el risc de què s'incorporin mercaderies perilloses o relacionades amb el terrorisme, o que es retirin mercaderies sense l'adequat registre. Informació sobre el personal pertinent i presentació de la declaració segons les previsions.
Registres dels moviments d'existències.
Conciliacions periòdiques d'existències.
Mecanismes d'investigació de les discrepàncies d'inventari.
Capacitat per distingir en el sistema informàtic si les mercaderies s'han despatxat o segueixen estant subjectes a drets i impostos.		 CAU - 3.4
ISO 9001:2015, secció 6
Flux de mercaderies entrant Falta de coincidència entre les mercaderies peticions, les mercaderies rebudes i els assentaments comptables. Registres de les mercaderies entrants.
Comparació de les ordres de compra amb les mercaderies rebudes.
Procediments per a la devolució o el rebuig de mercaderies, per a la comptabilitat i la comunicació d'insuficiències o excessos en els enviaments i per a la identificació i l'esmena d'anotacions incorrectes en el registre d'inventari.
Formalització dels procediments d'importació.
Execució periòdica d'inventaris.
Realització de controls de coherència puntuals entre l'entrada i la sortida de mercaderies.
Protecció de les àrees d'emmagatzematge (protecció externa especial, rutines d'accés especials) per lluitar contra la substitució de mercaderies.
Emmagatzematge Absència de control dels moviments d'existències. Determinació clara de les àrees d'emmagatzematge.
Procediments per a la realització periòdica d'inventaris.
Protecció de les àrees d'emmagatzematge per lluitar contra la substitució de mercaderies.		 CAU - 3.4
ISO 9001:2015, secció 6
Producció Absència de control de les existències utilitzades en el procés de fabricació. Seguiment i control de gestió de la taxa de rendiment.
Controls sobre variacions, residus, subproductes i pèrdues.
Protecció de les àrees d'emmagatzematge per lluitar contra la substitució de mercaderies.		 CAU - 3.4
ISO 9001:2015, secció 6
Flux de mercaderies de sortida
Entrega a partir del dipòsit i expedició i trasllat de les mercaderies		 Falta de correspondència entre els registres d'existències i els assentaments comptables. Designació de persones per autoritzar i supervisar el procés de venda i llevant.
Formalització dels procediments d'exportació.
Controls previs al llevant per comparar l'ordre de llevant amb les mercaderies que carregaran.
Mecanismes per a la gestió de les irregularitats, les insuficiències en les entregues i les variacions en les mercaderies.
Procediments normalitzats per a la gestió de la devolució, la inspecció i el registre de mercaderies.
Comprovació de què la declaració s'ha enllestestit en el cas de procediments duaners amb repercussió econòmica.		 CAU - 3.4
ISO 9001:2015, seccions 6 i 7

2.6. Procediments duaners (subsecció 3.5 del CAU)

Indicador Descripció del risc Possibles solucions Referències
Disposicions generals

Utilització inadmissible dels procediments.
Declaracions duaneres incompletes i incorrectes i informació igualment incompleta i incorrecta sobre unes altres activitats duaneres.
Utilització de dades permanents (números d'article, codis duaners) incorrectes o no actualitzats.

  • Classificació incorrecta de les mercaderies.
  • Codi aranzelari incorrecte.
  • Valor en duana incorrecta.

Absència de procediments per informar a les autoritats duaneres de les irregularitats identificades, de conformitat amb els requisits duaners pertinents.
Actualment, la informació aranzelària vinculant (IAV) també és obligatòria per al titular de la IAV. La declaració en duana ha de fer referència a la IAV (article 33 del CAU).

Adopció de procediments formals per a la gestió i el seguiment de cada activitat duanera i formalització de determinats clientes (classificació de mercaderies, origen, valor, etc.). Amb aquests procediments es pretén garantir la continuïtat del departament duaner en cas d'absència de personal assignat.
Utilització de la IAV que estableix els drets i impostos d'importació i la normativa aplicable (sanitària, tècnica, mesures de política comercial, etc.).
Utilització de la IAV que proporciona l'assessorament de l'Administració respecte de:

  • L'origen del producte que vostè desitja importar o exportar, sobretot quan diverses fases de la producció han tingut lloc en diferents països.
  • La possibilitat d'obtenir o no un tracte preferencial conforme a un conveni o un acord internacional.
    Establiment de procediments formals per a la determinació i la declaració del valor en duana (mètode de valoració, càlcul, caselles que han de complimentar-se en la declaració i documentació que ha d'aportar-se).

Aplicació de procediments per a la notificació d'irregularitats a les autoritats duaneres.

 CAU - 3.5
ISO 9001:2015, secció 6
Representació a través de tercers Falta de control Procediments per comprovar la tasca de tercers (p. ex., en les declaracions duaneres) i identificar les irregularitats i infraccions de representants. No n'hi ha prou amb confiar plenament en serveis externalitzats.
Verificació de la competència del representant empleat.
Si la responsabilitat respecte de l'emplenament de les declaracions duaneres s'externalitza:
disposicions contractuals específiques per controlar les dades de duana;
procediment específic per transmetre les dades que necessiti el declarant per determinar l'aranzel (és a dir, especificacions tècniques de les mercaderies, mostres, etc.).
En cas d'externalització de l'exportació de mercaderies per un exportador aprovat, aquesta tasca externalitzada pot assignar-se a un agent de duanes que hagi obtingut l'autorització per actuar com representant autoritzat, sempre que l'agent pugui provar el caràcter originari de les mercaderies.
Adopció de procediments formals de control intern per tal de verificar l'exactitud de les dades duaners utilitzats.
Llicències d'importació i/o exportació vinculades a mesures comercials o a intercanvis de productes agrícoles Ús inadmissible de les mercaderies

Procediments normalitzats de registre de llicències.

Controls interns periòdics de les llicències vigents i registre de les mateixes.
Segregació de tasques entre el registre i els controls interns.
Normes sobre comunicació d'irregularitats.
Procediments per garantir que la utilització de mercaderies sigui conforme amb la llicència.

2.7 Requisits no fiscals (subsecció 3.5.4 del CAU)

Indicador Descripció del risc Possibles solucions Referències
Aspectes no fiscals Ús inadmissible de mercaderies subjectes a prohibicions, restriccions o mesures de política comercial. Procediments per a la gestió de mercaderies subjectes a requisits no fiscals.
Establiment de rutines i procediments apropiats:
Distinció entre les mercaderies subjectes a requisits de caràcter no fiscal i les altres mercaderies.
Verificació de què les operacions es desenvolupen conforme a la legislació vigent (diferent de la fiscal).
Gestió de les mercaderies subjectes a restriccions, prohibicions o embargaments, incloses les de doble ús.
Tramitació de llicències conforme als requisits individuals.
Formació per potenciar la sensibilització del personal que s'ocupa de les mercaderies subjectes a requisits no fiscals.		 CAU - 3.5.4

2.8. Procediments relatius a la còpia de seguretat, a la recuperació normal i d'emergència i a l'arxiu (subsecció 3.6 del CAU)

Indicador Descripció del risc Possibles solucions Referències
Requisits relatius al manteniment i arxiu dels documents.

Incapacitat d'emprendre oportunament una auditoria a causa de la pèrdua d'informació o a deficiències en els arxius.

Falta de procediments relatius a la còpia de seguretat.
Absència de procediments satisfactoris per a l'arxivament dels registres i la informació del sol·licitant.
Destrucció deliberada o pèrdua d'informació important.

Presentació d'una certificada ISO 27001 que demostri uns estàndards elevats en l'àmbit de la seguretat de les TI.
Procediments de còpia de seguretat, recuperació i protecció de dades davant danys o pèrdues.
Plans d'emergència en cas de pertorbació o errada dels sistemes.

Procediments de comprovació de les còpies de seguretat i la recuperació.
Conservació dels arxius duaners i els documents mercantils en instal·lacions segures.
Establiment d'un de classificació.
Compliment dels terminis legals d'arxiu.
Les còpies de seguretat han de ser diàries, de caràcter incremental o complets. S'han de fer còpies de seguretat completes com a mínim una vegada per setmana. En qualsevol moment han d'estar disponibles com a mínim les tres últimes còpies de seguretat consecutives. És preferible que les còpies de seguretat es realitzin de manera remota, mitjançant un mètode segur des del punt de vista electrònic, en una instal·lació d'emmagatzematge situada a una distància mínima de 300 metres. També s'ha de fer una còpia de seguretat de la clau de xifrat, que es guardarà lluny de la instal·lació d'emmagatzematge.

 ISO 9001:2015, secció 6
ISO 27001:2013
Normes ISO relatives a la seguretat en l'àmbit de les TI

2.9 Seguretat de la informació: Protecció dels sistemes informàtics (subsecció 3.7 del CAU)

Indicador Descripció del risc Possibles solucions Referències
Disposicions generals Accés no autoritzat o intrusió en els sistemes o programes informàtics de l'operador econòmic.

Adopció i posada a disposició del personal d'una política de seguretat, procediments i normes en matèria de TU.
Presentació d'una certificada ISO 27001 que demostri estàndards elevats en l'àmbit de la seguretat de les TI.
Establiment d'una política de seguretat de la informació.
Designació d'un responsable de la seguretat de la informació. - Avaluació de la seguretat de la informació i identificació de qüestions associades al risc en l'àmbit de les TI.
Procediments per a la concessió de drets d'accés a persones autoritzades; els drets d'accés han de retirar-se immediatament en cas de transferència d'obligacions o cessament de treball.

  • Accés a dades en la mesura necessària.
    Utilització de programes de xifrat, quan convingui.

Tallafocs.
Protecció contra virus.
Protecció mitjançant contrasenya de tots els ordinadors personals i, si és possible, dels programes importants.
Si els empleats deixen el lloc de treball, l'ordinador s'ha de protegir sempre amb una paraula clau.
La contrasenya ha d'estar formada per un mínim de vuit caràcters, amb una barreja de dos o més lletres majúscules i minúscules, números i altres caràcters. Com més llarga sigui la contrasenya, més segura serà. Els noms d'usuari i les contrasenyes mai s'han de compartir.
Realització de proves sobre accessos no autoritzats.
Limitació de l'accés a sales de servidors a les persones autoritzades.
Proves d'intrusió a intervals periòdics; les proves d'intrusió s'han de registrar.
Execució de procediments per al tractament dels incidents.

 CAU - 3.7
ISO 27001:2013
Disposicions generals Destrucció deliberada o pèrdua d'informació important. Pla de contingència en cas de pèrdua de dades.
Procediments de còpia de seguretat en cas de pertorbació o errada dels sistemes.
Procediments per a la supressió del dret d'accés.
Procediments per impedir l'ús de dispositius personals, com memòries USB, CD, DVD o uns altres perifèrics electrònics personals.
Restricció de l'ús d'Internet als llocs que només són apropiats per a l'activitat comercial.		 ISO 28001:2007, secció A 3
ISO 27001:2013

2.10 Seguretat de la informació: Seguretat de la documentació (subsecció 3.8 del CAU)

Indicador Descripció del risc Possibles solucions Referències
Disposicions generals Ús indegut del sistema d'informació de l'operador econòmic que posa en situació de risc la cadena de subministrament.
Destrucció deliberada o pèrdua d'informació important.		 Presentació d'una certificada ISO 27001 que demostri uns estàndards elevats en l'àmbit de la seguretat de les TI.
Procediments per a l'accés autoritzat als documents.
Arxiu i emmagatzematge assegurança de documents.
Procediments per abordar els incidents i emprendre accions correctives.
Registre i còpia de seguretat dels documents, inclòs l'escanejat.
Pla de contingència per gestionar les pèrdues.
Possibilitat d'utilitzar programes de xifrat en cas necessari.
Coneixement pels agents comercials de les mesures de seguretat en els desplaçaments (no consultar mai documents «sensibles» en mitjans de transport).
Establiment de nivells d'accés a la informació estratègica conforme a les diferents categories del personal.
Gestió segura dels ordinadors rebutjats.
Acords amb socis comercials respecte de la protecció i l'ús de documentació.		 CAU - 3.8
ISO 28001:2007, secció A 4
ISO 27001:2013
Requisits de seguretat i protecció impostos a tercers Ús indegut del sistema d'informació de l'operador econòmic que posa en situació de risc la cadena de subministrament.
Destrucció deliberada o pèrdua d'informació important.		 Inclusió de requisits per a la protecció de dades en els contractes.
Procediments per al control i l'auditoria dels requisits en els contractes.

3. Solvència financera (secció 4 del CAU)
Criteri: Solvència financera demostrada [artículos 39, lletra c), del CAU i 26 de l'AE CAU]

3.1. Solvència acreditada

Indicador Descripció del risc Possibles solucions Referències
Insolvència o incapacitat per atendre compromisos financers  Vulnerabilitat financera que pot donar lloc en el futur a conductes d'incompliment. Examen dels estats financers i els moviments financers del sol·licitant per tal d'avaluar la seva capacitat per fer front als deutes legals. En la majoria dels casos, l'entitat bancària del sol·licitant podrà proporcionar informació sobre la solvència d'aquest últim.
Procediments de seguiment interns per evitar amenaces financeres.

4. Requisits en matèria de protecció i seguretat (secció 6 del CAU)
Criteri: Nivells de seguretat i protecció adequats [artículos 39, lletra e), del CAU i 28 de l'AE CAU]


4.1 Avaluació de la seguretat duta a terme per l'operador econòmic (autoavaluació)

Indicador Descripció del risc Possibles solucions Referències
Autoavaluació Coneixement inadequat de les qüestions relacionades amb la seguretat i la protecció en tots els departaments rellevants de l'empresa. Autoavaluació de riscos i amenaces, revisió, actualització i documentació periòdiques de la mateixa.
Identificació necessita els riscos en matèria de seguretat i protecció que es deriven de les activitats de l'empresa.
Avaluació dels riscos relacionats amb la seguretat i la protecció (% de probabilitat o nivell de risc: sota/mitjà/alt).
Certesa de què tots els riscos pertinents s'aborden amb mesures preventives i correctives.		 CAU - 6.1.2
ISO/PAS 28001:2007, secció A.4
Codi PBIP
Apèndix 6-B «Llista de control de validació per a expedidors coneguts»,
criteris de seguretat del transport aeri per a Agent Acreditat / Expedidor Conegut
Gestió de la seguretat i organització interna Coordinació inadequada en matèria de protecció i seguretat dins l'empresa del sol·licitant Designació d'una persona encarregada amb autoritat suficient per coordinar i executar les mesures de seguretat apropiades en tots els departaments pertinents de l'empresa.
Adopció de procediments formals per a la gestió i el seguiment de cada activitat logística des del punt de vista de la seguretat i la protecció.
Execució de procediments per garantir la seguretat i la protecció de les mercaderies en vacances i altres situacions d'absència del personal assignat.		 CAU - 6.1.4
ISO 28001:2007, secció A.3
ISO 9001:2015, secció 5
Codi PBIP
Procediments de control intern Control inadequat de les qüestions relacionades amb la protecció i la seguretat dins l'empresa del sol·licitant Execució de procediments de control intern dels procediments i les qüestions relacionats amb la seguretat i la protecció.
Procediments per al registre i la investigació d'incidents de seguretat, incloses la revisió de les avaluacions de riscos i amenaces i l'adopció d'accions correctives, si escau.		 CAU - 6.1.7
ISO 28001:2007, seccions A.3, A.4
Codi PBIP
Procediments de control intern Control inadequat de les qüestions relacionades amb la protecció i la seguretat dins l'empresa del sol·licitant Possibilitat de què el registre s'efectuï en un arxiu que contingui, per exemple, la data, l'anomalia observada, el nom de la persona que l'ha detectat, les mesures de resposta, la signatura de la persona competent, etc.
Posada del registre d'incidents de seguretat i protecció a disposició dels empleats de l'empresa.		 ISO 28001:2007, seccions A.3, A.4
Codi PBIP
Requisits en matèria de protecció i seguretat destinats específicament a les mercaderies Alteració de les mercaderies Implementació d'un sistema de rastreig de mercaderies.
Requisits especials quant a embalatge i emmagatzematge de les mercaderies perilloses.		 Codi PBIP

4.2. Accés a les instal·lacions (subsecció 6.3 del CAU)

Indicador Descripció del risc Possibles solucions Referències
Procediments per a l'entrada o l'accés de persones, vehicles, i mercaderies Entrada o accés no autoritzats de vehicles, persones o mercaderies a les instal·lacions o als voltants de la zona de càrrega i expedició. Limitació màxima del nombre de vehicles amb accés a les instal·lacions.
Per consegüent, ubicació de l'aparcament per al personal preferiblement fora del perímetre de seguretat.
A més, obligació, si és possible, de què els camions esperin abans i després de la càrrega en una àrea al marge fora de la zona de seguretat. Únicament els camions registrats obtindran accés a l'àrea de càrrega, prèvia petició, a l'hora d'execució d'aquestes operacions.
La utilització de targetes d'identificació és raonable. Hauran d'incloure una fotografia. En cas que no figuri una foto, les targetes hauran d'indicar com a mínim el nom de l'operador o de les instal·lacions per a les quals és vàlida (risc d'abús en cas de pèrdua).
La utilització d'aquestes targetes ha de ser supervisada per una persona competent en aquesta matèria. Els visitants portaran targetes d'identificació temporals i estaran acompanyats en qualsevol moment.
Les dades relatives a les entrades, inclosos els noms dels visitants i conductors, les hores d'arribada i sortida i el personal auxiliar, hauran de registrar-se i emmagatzemar-se en un formulari adequat (p. ex., un diari, un sistema de TI) i s'enumeraran.
Les targetes no podran utilitzar-se dues vegades consecutives, per evitar la seva utilització per un acompanyant.
Control d'accés mitjançant codis: rutines per al canvi periòdic de codis.
Les targetes d'identificació i els codis només seran vàlids durant l'horari laboral de cada empleat.
Procediments normalitzats de retorn de totes les autoritzacions d'accés.
L'empresa haurà d'acompanyar i supervisar als visitants per tal d'impedir qualsevol activitat no autoritzada.
Els visitants hauran de portar les targetes d'identificació en un lloc visible.
Parlar amb els desconeguts.
Indumentària corporativa per distingir als desconeguts.
En cas de treball temporal (p. ex., tasques de manteniment), una llista dels treballadors autoritzats de l'empresa subcontractada.		 CAU - 6.3
ISO 28001:2007, secció A.3
Codi PBIP
Procediments operatius normalitzats en cas d'intrusió Resposta inadequada davant la constatació d'una intrusió. Execució de procediments aplicables a casos d'intrusió i accessos no autoritzats.
Realització de proves d'intrusió i registre dels resultats i, en cas necessari, adopció d'accions correctives.
Utilització d'informes d'incidents o altres formularis apropiats per registrar els incidents i les accions empreses.
Adopció de mesures correctives arran d'incidents relacionats amb l'accés no autoritzat.		 ISO 28001:2007, secció A.3
Codi PBIP

4.3. Seguretat física (subsecció 6.2 del CAU)

Indicador Descripció del risc Possibles solucions Referències
Límits exteriors de les instal·lacions Protecció inadequada de les instal·lacions contra la intrusió. Quan escaigui, establiment d'una tanca perimetral de seguretat subjecte a inspeccions periòdiques per comprovar la seva integritat i possibles danys i planificació del seu manteniment i reparació.
Quan escaigui, establiment d'àrees controlades adequades únicament per al personal autoritzat, subjectes a mecanismes d'aprovació i control apropiats.
Patrulles no sistemàtiques del personal de seguretat.		 CAU - 6.2
ISO 28001:2007, secció A.3
Codi PBIP
Entrades i accessos Existència d'entrades i accessos no vigilats. Aplicació de mesures apropiades per assegurar totes les entrades i accessos en ús, com un CCTV o sistemes de control d'accés (il·luminació, projectors, etc.).
El CCTV només és útil si els gravacions són avaluables i admeten reaccions immediates.
En el seu cas, execució de procediments per garantir la protecció dels punts d'accés.		 ISO 28001:2007, secció A.3
Codi PBIP
Dispositius de tancament Dispositius de tancament inadequats de portes interiors i exteriors, finestres, entrades i reixes.

Formulació d'instruccions i procediments sobre la utilització de claus a disposició del personal pertinent.
Únicament el personal autoritzat pot accedir a les claus dels dispositius de tancament empleats en edificis, instal·lacions, sales, àrees de seguretat, arxius, caixes de seguretat, vehicles, maquinària i càrrega aèria.

Elaboració d'inventaris periòdics de claus i dispositius de tancament.
Registre dels intents d'accés no autoritzat i comprovació periòdica d'aquesta informació.
Les portes i finestres s'han de tancar amb clau quan no hagi ningú treballant en la sala o oficina de què es tracti.

 CAU - 6.2.4
ISO 28001:2007, secció A.3
Il·luminació Il·luminació inadequada de portes, finestres, portals i barreres, tant interiors com exteriors. Il·luminació adequada en interiors i exteriors.
En el seu cas, utilització de generadors de suport i fonts d'energia elèctrica alternatives per garantir una il·luminació constant en cas d'interrupció del subministrament elèctric local.
Existència de plans de manteniment i reparació dels equips.		 CAU - 6.2.4
Procediments d'accés a les claus Absència de procediments adequats d'accés a les claus.
Accés no autoritzat a les claus.		 Execució d'un procediment de control d'accés a les claus.
Les claus hauran d'entregar-se únicament després del seu registre i es tornaran immediatament després de la seva utilització. La devolució de les claus també ha de registrar-se.		 ISO 28001:2007, secció A.3.3
Mesures de seguretat física interna Accés inadequat a zones interiors de les instal·lacions. Aplicació d'un procediment per distingir les diferents categories d'empleats que hi ha en les instal·lacions (p. ex., jaquetes, targetes d'identificació).
Accés controlat i personalitzat conforme al lloc de cada empleat.		 ISO 28001:2007, seccions A.3, A.4
Codi PBIP
Aparcament de vehicles privats Absència de procediments adequats per a l'aparcament de vehicles privats.
Protecció inadequada de les instal·lacions contra la intrusió.		 Màxima limitació del nombre de vehicles amb accés a les instal·lacions.
Establiment de zones d'aparcament de vehicles especialment designades per a visitants i personal situades a distància de les àrees de manipulació i emmagatzematge de les mercaderies.
Identificació de riscos i amenaces associats a l'accés no autoritzat de vehicles privats a àrees protegides.
Definició de normes i procediments per a l'accés de vehicles privats a les instal·lacions del sol·licitant.
En cas que la zona d'aparcament dels visitants i la dels empleats no estiguin separades, els vehicles dels visitants hauran de portar una identificació.
Manteniment de límits exteriors i edificis Protecció inadequada de les instal·lacions contra la intrusió com a resultat d'un manteniment inapropiat. Manteniment periòdic dels límits exteriors de les instal·lacions i els edificis cada vegada que es detecti una anomalia. ISO 28001:2007, secció A.3