Annex 2
Amenaces, riscos i possibles solucions
En aquest document figura una relació dels riscos més significatius relacionats amb el procés d'autorització i seguiment d'un AEO, i al mateix temps, una llista de possibles solucions per mantenir tals riscos sota control. Les possibles solucions proposades per a un determinat indicador poden ser aplicables a més d'una àrea de risc identificada. La llista suggerida no és exhaustiva ni definitiva, i, en la pràctica, les solucions possibles variaran d'uns casos a uns altres depenent de factors com la mida de l'operador, el tipus de mercaderies, el tipus de sistemes automatitzats i el grau de modernització de l'operador.
El qüestionari d'autoavaluació el complimenten els operadors econòmics a l'inici del procés de sol·licitud, i amb ell es pretén obtenir una visió general de la seva activitat empresarial i els seus procediments, així com de la pertinència dels mateixos amb vistes a l'autorització com AEO. El document «Amenaces, riscos i possibles solucions» s'adreça tant a autoritats duaneres com a operadors econòmics, per tal de facilitar l'auditoria i la revisió i de garantir així el compliment dels criteris aplicats als AEO, en comparar la informació facilitada en el CAU i les àrees de risc identificades, així com les possibles solucions per atendre els riscos identificats.
1. Historial de compliment (secció 2 del CAU)
Criteri: Un historial de compliment dels requisits duaners apropiat [artículos 39, lletra a), del CAU i 24 de l'AE CAU]
Indicador | Descripció del risc | Possibles solucions | Referències |
Compliment dels requisits duaners |
Conducta infractora respecte de:
Una conducta d'infracció en el passat eleva la possibilitat que futures normes i reglaments es passin per alt o s'infringeixin. |
Política de compliment actiu per l'operador, en el sentit que aquest hagi establert i apliqueu unes normes internes de compliment. Aplicació de mesures internes de compliment; utilització dels recursos d'auditoria per comprovar i garantir que els procediments s'apliquen correctament. |
CAU-2.1 |
2. El sistema comptable i logístic del sol·licitant (secció 3 del CAU)
Criteri: un sistema adequat de gestió dels registres comercials i, si escau, de transport, que permeti un control duaner apropiat [artículos 39, lletra b), del CAU i 25 de l'AE CAU]
2.1. Sistema comptable (subsecció 3.2 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Entorn informàtic Sistema integrat de comptabilitat |
Risc de què el sistema comptable no s'ajusti als principis de comptabilitat generalment acceptats aplicats en l'Estat membre. Registre incomplet i/o incorrecte de les operacions en el sistema de comptabilitat. Falta de correspondència entre el registre d'existències i el registre comptable. Falta de separació de les tasques corresponents a les diferents funcions. Absència d'accés físic o electrònic als registres duaners i, si escau, als registres de transport. Deteriorament de la auditabilidad. Incapacitat d'emprendre oportunament una auditoria, a causa de la manera com està estructurada la comptabilitat del sol·licitant. Possibilitat d'encobrir operacions il·legals, donada la complexitat del sistema de gestió. Indisponibilitat de dades històriques. |
La separació de tasques corresponents a les diferents funcions haurà d'examinar-se en estreta relació amb la mida de l'empresa del sol·licitant. Per exemple, en el cas d'una microempresa activa en el transport per carretera que tingui un volum molt reduït d'operacions diàries, l'envasament, la manipulació i la càrrega i descàrrega de les mercaderies pot encarregar-se al conductor del camió. En canvi, la recepció de les mercaderies, la seva introducció en el sistema d'administració i el pagament i la recepció de factures haurien d'encomanar-se a tercers. Desenvolupament d'una interfície entre els programes informàtics de despatx duaner i de comptabilitat, per evitar errors de marcat. |
CAU - 3.2 ISO 9001:2015, secció 6 |
2.2. Pista d'auditoria (subsecció 3.1 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Pista d'auditoria | L'absència d'una pista d'auditoria adequada dificulta la realització d'un control duaner eficaç i efectiu basat en l'auditoria. Falta de control sobre la seguretat i l'accés al sistema. |
Consulta amb les autoritats duaneres prèvia a la introducció dels nous sistemes de comptabilitat duanera, per tal de garantir la seva compatibilitat amb els requisits duaners. Comprovació i garantia de l'existència de la pista d'auditoria en la fase de preauditoria. |
CAU - 3.1 ISO 9001:2015, secció 6 |
2.3. Sistema logístic que distingeix entre mercaderies de la Unió i mercaderies que no pertanyen a la Unió
Indicador | Descripció del risc | Possibles solucions | Referències |
Amalgama de mercaderies de la Unió amb mercaderies que no pertanyen a la Unió | Absència d'un sistema logístic que distingeixi entre les mercaderies de la Unió i les mercaderies que no pertanyen a la Unió. Substitució de les mercaderies que no pertanyen a la Unió. |
Procediments de control intern. Comprovacions de la integritat en la introducció de dades per verificar que les introduccions de dades siguin correctes. |
CAU 3.2.2 |
2.4. Sistema de control intern (subsecció 3.3 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Procediments de control intern | Control inadequat, en l'empresa del sol·licitant, dels processos operatius. La inexistència de controls interns o la seva ineficàcia possibilita el frau i el desenvolupament d'activitats no autoritzades o il·legals. Registre incomplet i/o incorrecte de les operacions en el sistema de comptabilitat. Informació incorrecta o incompleta en les declaracions duaneres i altres documents presentats en duanes. |
Designació d'una persona responsable de la qualitat i encarregada dels procediments i els controls interns de l'empresa. Establiment de procediments per registrar i corregir els errors i les transaccions en marxa. |
CAU 3.3 ISO 9001:2015, seccions 5, 6, 7 i 8 |
2.5. Flux de mercaderies (subsecció 3.4 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Disposicions generals | L'absència de control dels moviments d'existències augmenta el risc de què s'incorporin mercaderies perilloses o relacionades amb el terrorisme, o que es retirin mercaderies sense l'adequat registre. | Informació sobre el personal pertinent i presentació de la declaració segons les previsions. Registres dels moviments d'existències. Conciliacions periòdiques d'existències. Mecanismes d'investigació de les discrepàncies d'inventari. Capacitat per distingir en el sistema informàtic si les mercaderies s'han despatxat o segueixen estant subjectes a drets i impostos. |
CAU - 3.4 ISO 9001:2015, secció 6 |
Flux de mercaderies entrant | Falta de coincidència entre les mercaderies peticions, les mercaderies rebudes i els assentaments comptables. | Registres de les mercaderies entrants. Comparació de les ordres de compra amb les mercaderies rebudes. Procediments per a la devolució o el rebuig de mercaderies, per a la comptabilitat i la comunicació d'insuficiències o excessos en els enviaments i per a la identificació i l'esmena d'anotacions incorrectes en el registre d'inventari. Formalització dels procediments d'importació. Execució periòdica d'inventaris. Realització de controls de coherència puntuals entre l'entrada i la sortida de mercaderies. Protecció de les àrees d'emmagatzematge (protecció externa especial, rutines d'accés especials) per lluitar contra la substitució de mercaderies. |
|
Emmagatzematge | Absència de control dels moviments d'existències. | Determinació clara de les àrees d'emmagatzematge. Procediments per a la realització periòdica d'inventaris. Protecció de les àrees d'emmagatzematge per lluitar contra la substitució de mercaderies. |
CAU - 3.4 ISO 9001:2015, secció 6 |
Producció | Absència de control de les existències utilitzades en el procés de fabricació. | Seguiment i control de gestió de la taxa de rendiment. Controls sobre variacions, residus, subproductes i pèrdues. Protecció de les àrees d'emmagatzematge per lluitar contra la substitució de mercaderies. |
CAU - 3.4 ISO 9001:2015, secció 6 |
Flux de mercaderies de sortida Entrega a partir del dipòsit i expedició i trasllat de les mercaderies |
Falta de correspondència entre els registres d'existències i els assentaments comptables. | Designació de persones per autoritzar i supervisar el procés de venda i llevant. Formalització dels procediments d'exportació. Controls previs al llevant per comparar l'ordre de llevant amb les mercaderies que carregaran. Mecanismes per a la gestió de les irregularitats, les insuficiències en les entregues i les variacions en les mercaderies. Procediments normalitzats per a la gestió de la devolució, la inspecció i el registre de mercaderies. Comprovació de què la declaració s'ha enllestestit en el cas de procediments duaners amb repercussió econòmica. |
CAU - 3.4 ISO 9001:2015, seccions 6 i 7 |
2.6. Procediments duaners (subsecció 3.5 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Disposicions generals |
Utilització inadmissible dels procediments.
Absència de procediments per informar a les autoritats duaneres de les irregularitats identificades, de conformitat amb els requisits duaners pertinents. |
Adopció de procediments formals per a la gestió i el seguiment de cada activitat duanera i formalització de determinats clientes (classificació de mercaderies, origen, valor, etc.). Amb aquests procediments es pretén garantir la continuïtat del departament duaner en cas d'absència de personal assignat.
Aplicació de procediments per a la notificació d'irregularitats a les autoritats duaneres. |
CAU - 3.5 ISO 9001:2015, secció 6 |
Representació a través de tercers | Falta de control | Procediments per comprovar la tasca de tercers (p. ex., en les declaracions duaneres) i identificar les irregularitats i infraccions de representants. No n'hi ha prou amb confiar plenament en serveis externalitzats. Verificació de la competència del representant empleat. Si la responsabilitat respecte de l'emplenament de les declaracions duaneres s'externalitza: disposicions contractuals específiques per controlar les dades de duana; procediment específic per transmetre les dades que necessiti el declarant per determinar l'aranzel (és a dir, especificacions tècniques de les mercaderies, mostres, etc.). En cas d'externalització de l'exportació de mercaderies per un exportador aprovat, aquesta tasca externalitzada pot assignar-se a un agent de duanes que hagi obtingut l'autorització per actuar com representant autoritzat, sempre que l'agent pugui provar el caràcter originari de les mercaderies. Adopció de procediments formals de control intern per tal de verificar l'exactitud de les dades duaners utilitzats. |
|
Llicències d'importació i/o exportació vinculades a mesures comercials o a intercanvis de productes agrícoles | Ús inadmissible de les mercaderies |
Procediments normalitzats de registre de llicències. Controls interns periòdics de les llicències vigents i registre de les mateixes. |
2.7 Requisits no fiscals (subsecció 3.5.4 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Aspectes no fiscals | Ús inadmissible de mercaderies subjectes a prohibicions, restriccions o mesures de política comercial. | Procediments per a la gestió de mercaderies subjectes a requisits no fiscals. Establiment de rutines i procediments apropiats: Distinció entre les mercaderies subjectes a requisits de caràcter no fiscal i les altres mercaderies. Verificació de què les operacions es desenvolupen conforme a la legislació vigent (diferent de la fiscal). Gestió de les mercaderies subjectes a restriccions, prohibicions o embargaments, incloses les de doble ús. Tramitació de llicències conforme als requisits individuals. Formació per potenciar la sensibilització del personal que s'ocupa de les mercaderies subjectes a requisits no fiscals. |
CAU - 3.5.4 |
2.8. Procediments relatius a la còpia de seguretat, a la recuperació normal i d'emergència i a l'arxiu (subsecció 3.6 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Requisits relatius al manteniment i arxiu dels documents. |
Incapacitat d'emprendre oportunament una auditoria a causa de la pèrdua d'informació o a deficiències en els arxius. Falta de procediments relatius a la còpia de seguretat. |
Presentació d'una certificada ISO 27001 que demostri uns estàndards elevats en l'àmbit de la seguretat de les TI. Procediments de comprovació de les còpies de seguretat i la recuperació. |
ISO 9001:2015, secció 6 ISO 27001:2013 Normes ISO relatives a la seguretat en l'àmbit de les TI |
2.9 Seguretat de la informació: Protecció dels sistemes informàtics (subsecció 3.7 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Disposicions generals | Accés no autoritzat o intrusió en els sistemes o programes informàtics de l'operador econòmic. |
Adopció i posada a disposició del personal d'una política de seguretat, procediments i normes en matèria de TU.
Tallafocs. |
CAU - 3.7 ISO 27001:2013 |
Disposicions generals | Destrucció deliberada o pèrdua d'informació important. | Pla de contingència en cas de pèrdua de dades. Procediments de còpia de seguretat en cas de pertorbació o errada dels sistemes. Procediments per a la supressió del dret d'accés. Procediments per impedir l'ús de dispositius personals, com memòries USB, CD, DVD o uns altres perifèrics electrònics personals. Restricció de l'ús d'Internet als llocs que només són apropiats per a l'activitat comercial. |
ISO 28001:2007, secció A 3 ISO 27001:2013 |
2.10 Seguretat de la informació: Seguretat de la documentació (subsecció 3.8 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Disposicions generals | Ús indegut del sistema d'informació de l'operador econòmic que posa en situació de risc la cadena de subministrament. Destrucció deliberada o pèrdua d'informació important. |
Presentació d'una certificada ISO 27001 que demostri uns estàndards elevats en l'àmbit de la seguretat de les TI. Procediments per a l'accés autoritzat als documents. Arxiu i emmagatzematge assegurança de documents. Procediments per abordar els incidents i emprendre accions correctives. Registre i còpia de seguretat dels documents, inclòs l'escanejat. Pla de contingència per gestionar les pèrdues. Possibilitat d'utilitzar programes de xifrat en cas necessari. Coneixement pels agents comercials de les mesures de seguretat en els desplaçaments (no consultar mai documents «sensibles» en mitjans de transport). Establiment de nivells d'accés a la informació estratègica conforme a les diferents categories del personal. Gestió segura dels ordinadors rebutjats. Acords amb socis comercials respecte de la protecció i l'ús de documentació. |
CAU - 3.8 ISO 28001:2007, secció A 4 ISO 27001:2013 |
Requisits de seguretat i protecció impostos a tercers | Ús indegut del sistema d'informació de l'operador econòmic que posa en situació de risc la cadena de subministrament. Destrucció deliberada o pèrdua d'informació important. |
Inclusió de requisits per a la protecció de dades en els contractes. Procediments per al control i l'auditoria dels requisits en els contractes. |
3. Solvència financera (secció 4 del CAU)
Criteri: Solvència financera demostrada [artículos 39, lletra c), del CAU i 26 de l'AE CAU]
3.1. Solvència acreditada
Indicador | Descripció del risc | Possibles solucions | Referències |
Insolvència o incapacitat per atendre compromisos financers | Vulnerabilitat financera que pot donar lloc en el futur a conductes d'incompliment. | Examen dels estats financers i els moviments financers del sol·licitant per tal d'avaluar la seva capacitat per fer front als deutes legals. En la majoria dels casos, l'entitat bancària del sol·licitant podrà proporcionar informació sobre la solvència d'aquest últim. Procediments de seguiment interns per evitar amenaces financeres. |
4. Requisits en matèria de protecció i seguretat (secció 6 del CAU)
Criteri: Nivells de seguretat i protecció adequats [artículos 39, lletra e), del CAU i 28 de l'AE CAU]
4.1 Avaluació de la seguretat duta a terme per l'operador econòmic (autoavaluació)
Indicador | Descripció del risc | Possibles solucions | Referències |
Autoavaluació | Coneixement inadequat de les qüestions relacionades amb la seguretat i la protecció en tots els departaments rellevants de l'empresa. | Autoavaluació de riscos i amenaces, revisió, actualització i documentació periòdiques de la mateixa. Identificació necessita els riscos en matèria de seguretat i protecció que es deriven de les activitats de l'empresa. Avaluació dels riscos relacionats amb la seguretat i la protecció (% de probabilitat o nivell de risc: sota/mitjà/alt). Certesa de què tots els riscos pertinents s'aborden amb mesures preventives i correctives. |
CAU - 6.1.2 ISO/PAS 28001:2007, secció A.4 Codi PBIP Apèndix 6-B «Llista de control de validació per a expedidors coneguts», criteris de seguretat del transport aeri per a Agent Acreditat / Expedidor Conegut |
Gestió de la seguretat i organització interna | Coordinació inadequada en matèria de protecció i seguretat dins l'empresa del sol·licitant | Designació d'una persona encarregada amb autoritat suficient per coordinar i executar les mesures de seguretat apropiades en tots els departaments pertinents de l'empresa. Adopció de procediments formals per a la gestió i el seguiment de cada activitat logística des del punt de vista de la seguretat i la protecció. Execució de procediments per garantir la seguretat i la protecció de les mercaderies en vacances i altres situacions d'absència del personal assignat. |
CAU - 6.1.4 ISO 28001:2007, secció A.3 ISO 9001:2015, secció 5 Codi PBIP |
Procediments de control intern | Control inadequat de les qüestions relacionades amb la protecció i la seguretat dins l'empresa del sol·licitant | Execució de procediments de control intern dels procediments i les qüestions relacionats amb la seguretat i la protecció. Procediments per al registre i la investigació d'incidents de seguretat, incloses la revisió de les avaluacions de riscos i amenaces i l'adopció d'accions correctives, si escau. |
CAU - 6.1.7 ISO 28001:2007, seccions A.3, A.4 Codi PBIP |
Procediments de control intern | Control inadequat de les qüestions relacionades amb la protecció i la seguretat dins l'empresa del sol·licitant | Possibilitat de què el registre s'efectuï en un arxiu que contingui, per exemple, la data, l'anomalia observada, el nom de la persona que l'ha detectat, les mesures de resposta, la signatura de la persona competent, etc. Posada del registre d'incidents de seguretat i protecció a disposició dels empleats de l'empresa. |
ISO 28001:2007, seccions A.3, A.4 Codi PBIP |
Requisits en matèria de protecció i seguretat destinats específicament a les mercaderies | Alteració de les mercaderies | Implementació d'un sistema de rastreig de mercaderies. Requisits especials quant a embalatge i emmagatzematge de les mercaderies perilloses. |
Codi PBIP |
4.2. Accés a les instal·lacions (subsecció 6.3 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Procediments per a l'entrada o l'accés de persones, vehicles, i mercaderies | Entrada o accés no autoritzats de vehicles, persones o mercaderies a les instal·lacions o als voltants de la zona de càrrega i expedició. | Limitació màxima del nombre de vehicles amb accés a les instal·lacions. Per consegüent, ubicació de l'aparcament per al personal preferiblement fora del perímetre de seguretat. A més, obligació, si és possible, de què els camions esperin abans i després de la càrrega en una àrea al marge fora de la zona de seguretat. Únicament els camions registrats obtindran accés a l'àrea de càrrega, prèvia petició, a l'hora d'execució d'aquestes operacions. La utilització de targetes d'identificació és raonable. Hauran d'incloure una fotografia. En cas que no figuri una foto, les targetes hauran d'indicar com a mínim el nom de l'operador o de les instal·lacions per a les quals és vàlida (risc d'abús en cas de pèrdua). La utilització d'aquestes targetes ha de ser supervisada per una persona competent en aquesta matèria. Els visitants portaran targetes d'identificació temporals i estaran acompanyats en qualsevol moment. Les dades relatives a les entrades, inclosos els noms dels visitants i conductors, les hores d'arribada i sortida i el personal auxiliar, hauran de registrar-se i emmagatzemar-se en un formulari adequat (p. ex., un diari, un sistema de TI) i s'enumeraran. Les targetes no podran utilitzar-se dues vegades consecutives, per evitar la seva utilització per un acompanyant. Control d'accés mitjançant codis: rutines per al canvi periòdic de codis. Les targetes d'identificació i els codis només seran vàlids durant l'horari laboral de cada empleat. Procediments normalitzats de retorn de totes les autoritzacions d'accés. L'empresa haurà d'acompanyar i supervisar als visitants per tal d'impedir qualsevol activitat no autoritzada. Els visitants hauran de portar les targetes d'identificació en un lloc visible. Parlar amb els desconeguts. Indumentària corporativa per distingir als desconeguts. En cas de treball temporal (p. ex., tasques de manteniment), una llista dels treballadors autoritzats de l'empresa subcontractada. |
CAU - 6.3 ISO 28001:2007, secció A.3 Codi PBIP |
Procediments operatius normalitzats en cas d'intrusió | Resposta inadequada davant la constatació d'una intrusió. | Execució de procediments aplicables a casos d'intrusió i accessos no autoritzats. Realització de proves d'intrusió i registre dels resultats i, en cas necessari, adopció d'accions correctives. Utilització d'informes d'incidents o altres formularis apropiats per registrar els incidents i les accions empreses. Adopció de mesures correctives arran d'incidents relacionats amb l'accés no autoritzat. |
ISO 28001:2007, secció A.3 Codi PBIP |
4.3. Seguretat física (subsecció 6.2 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Límits exteriors de les instal·lacions | Protecció inadequada de les instal·lacions contra la intrusió. | Quan escaigui, establiment d'una tanca perimetral de seguretat subjecte a inspeccions periòdiques per comprovar la seva integritat i possibles danys i planificació del seu manteniment i reparació. Quan escaigui, establiment d'àrees controlades adequades únicament per al personal autoritzat, subjectes a mecanismes d'aprovació i control apropiats. Patrulles no sistemàtiques del personal de seguretat. |
CAU - 6.2 ISO 28001:2007, secció A.3 Codi PBIP |
Entrades i accessos | Existència d'entrades i accessos no vigilats. | Aplicació de mesures apropiades per assegurar totes les entrades i accessos en ús, com un CCTV o sistemes de control d'accés (il·luminació, projectors, etc.). El CCTV només és útil si els gravacions són avaluables i admeten reaccions immediates. En el seu cas, execució de procediments per garantir la protecció dels punts d'accés. |
ISO 28001:2007, secció A.3 Codi PBIP |
Dispositius de tancament | Dispositius de tancament inadequats de portes interiors i exteriors, finestres, entrades i reixes. |
Formulació d'instruccions i procediments sobre la utilització de claus a disposició del personal pertinent. Elaboració d'inventaris periòdics de claus i dispositius de tancament. |
CAU - 6.2.4 ISO 28001:2007, secció A.3 |
Il·luminació | Il·luminació inadequada de portes, finestres, portals i barreres, tant interiors com exteriors. | Il·luminació adequada en interiors i exteriors. En el seu cas, utilització de generadors de suport i fonts d'energia elèctrica alternatives per garantir una il·luminació constant en cas d'interrupció del subministrament elèctric local. Existència de plans de manteniment i reparació dels equips. |
CAU - 6.2.4 |
Procediments d'accés a les claus | Absència de procediments adequats d'accés a les claus. Accés no autoritzat a les claus. |
Execució d'un procediment de control d'accés a les claus. Les claus hauran d'entregar-se únicament després del seu registre i es tornaran immediatament després de la seva utilització. La devolució de les claus també ha de registrar-se. |
ISO 28001:2007, secció A.3.3 |
Mesures de seguretat física interna | Accés inadequat a zones interiors de les instal·lacions. | Aplicació d'un procediment per distingir les diferents categories d'empleats que hi ha en les instal·lacions (p. ex., jaquetes, targetes d'identificació). Accés controlat i personalitzat conforme al lloc de cada empleat. |
ISO 28001:2007, seccions A.3, A.4 Codi PBIP |
Aparcament de vehicles privats | Absència de procediments adequats per a l'aparcament de vehicles privats. Protecció inadequada de les instal·lacions contra la intrusió. |
Màxima limitació del nombre de vehicles amb accés a les instal·lacions. Establiment de zones d'aparcament de vehicles especialment designades per a visitants i personal situades a distància de les àrees de manipulació i emmagatzematge de les mercaderies. Identificació de riscos i amenaces associats a l'accés no autoritzat de vehicles privats a àrees protegides. Definició de normes i procediments per a l'accés de vehicles privats a les instal·lacions del sol·licitant. En cas que la zona d'aparcament dels visitants i la dels empleats no estiguin separades, els vehicles dels visitants hauran de portar una identificació. |
|
Manteniment de límits exteriors i edificis | Protecció inadequada de les instal·lacions contra la intrusió com a resultat d'un manteniment inapropiat. | Manteniment periòdic dels límits exteriors de les instal·lacions i els edificis cada vegada que es detecti una anomalia. | ISO 28001:2007, secció A.3 |