Anexo 2

Conduta infractora respecto de:

• a formalización das declaracións aduaneiras, incluída a comisión de erros nos apartados de clasificación, valoración ou
  orixe;
• o uso dos procedementos aduaneiros;
• a normativa fiscal;
• a aplicación de medidas relacionadas con prohibicións e restricións, a política comercial;
• a introdución das mercadorías no territorio aduaneiro da Unión, etc.

Unha conduta de infracción no pasado eleva a posibilidade de que futuras normas e regulamentos pásense por alto ou infrínxanse.
Coñecemento insuficiente das infraccións contra os requisitos aduaneiros.

Política de cumprimento activo polo operador, no sentido de que este establecese e aplique unhas normas internas de cumprimento.
Prefírense instrucións operativas escritas no que fai ás responsabilidades relativas á realización de controis de precisión, exhaustividade e oportunidade das operacións e á comunicación de irregularidades e erros, incluída a sospeita de actividade delituosa, ás
autoridades aduaneiras.
Procedementos para investigar e comunicar os erros detectados e de revisión e mellora dos procesos.
Identificación clara da persoa competente ou responsable na empresa e establecemento do réxime de vacacións e outros tipos de ausencia.

Aplicación de medidas internas de cumprimento; utilización dos recursos de auditoría para comprobar e garantir que os procedementos se aplican correctamente.
Instrucións internas e programas de formación para garantir que o persoal coñeza os requisitos aduaneiros.

Designación dunha persoa responsable da calidade e encargada dos procedementos e os controis internos da empresa.
Plena conciencia, por cada xefe de departamento, dos controis internos do seu respectivo departamento.
Rexistro das datas dos controis internos e as auditorías e corrección das deficiencias detectadas mediante correctivas.
Notificación ás autoridades aduaneiras dos casos de fraude ou actividade non autorizada ou ilegal que se detecten.
Posta a disposición do persoal competente dos procedementos de control interno pertinentes.
Creación dunha carpeta ou arquivo en que cada tipo de mercadoría vincúlese á súa respectiva información aduaneira (código arancelario, tipos dos dereitos aduaneiros, orixe e réxime aduaneiro).
Designación da persoa ou persoas encargadas de xestionar e actualizar a normativa sobre aduanas aplicables (inventario de regulamentos); p. ex., actualización dos datos na planificación de recursos empresariais (PRE), liquidación de contas, software.
Información e formación do persoal en relación coas inexactitudes e sobre como pódese evitar que se presenten.

Establecemento de procedementos para rexistrar e corrixir os erros e as transaccións en marcha.

Utilización inadmisible dos procedementos.
Declaracións aduaneiras incompletas e incorrectas e información igualmente incompleta e incorrecta acerca doutras actividades aduaneiras.
Utilización de datos permanentes (números de artigo, códigos aduaneiros) incorrectos ou non actualizados.

• Clasificación incorrecta das mercadorías.
• Código arancelario incorrecto.
• Valor en aduana incorrecta.

Ausencia de procedementos para informar ás autoridades aduaneiras das irregularidades identificadas, de conformidade cos requisitos aduaneiros pertinentes.
Actualmente, a información arancelaria vinculante (IAV) tamén é obrigatoria para o titular da IAV . A declaración en aduana ten que facer referencia á IAV (artigo 33 do CAU).

Adopción de procedementos formais para a xestión e o seguimento de cada actividade aduaneira e formalización de determinados clientes (clasificación de mercadorías, orixe, valor, etc.). Con estes procedementos preténdese garantir a continuidade do departamento aduaneiro en caso de ausencia de persoal asignado.
Utilización da IAV que establece os dereitos e impostos de importación e a normativa aplicable (sanitaria, técnica, medidas de política comercial, etc.).
Utilización da IAV que proporciona o asesoramento da Administración respecto de:

• A orixe do produto que vostede desexa importar ou exportar, sobre todo cando diversas fases da produción tiveron lugar en diferentes países.
• A posibilidade de obter ou non un trato preferencial de acordo cun convenio ou un acordo internacional.
  Establecemento de procedementos formais para a determinación e a declaración do valor en aduana (método de valoración, cálculo, recadros que deben cubrirse na declaración e documentación que debe achegarse).

Aplicación de procedementos para a notificación de irregularidades ás autoridades aduaneiras.

Procedementos normalizados de rexistro de licenzas.

Controis internos xornais das licenzas vixentes e rexistro das mesmas.
Segregación de tarefas entre o rexistro e os controis internos.
Normas sobre comunicación de irregularidades.
Procedementos para garantir que a utilización de mercadorías sexa conforme coa licenza.

Incapacidade de emprender oportunamente unha auditoría debido á perda de información ou a deficiencias nos arquivos.

Falta de procedementos relativos á copia de seguridade.
Ausencia de procedementos satisfactorios para o arquivo dos rexistros e a información do solicitante.
Destrución deliberada ou perda de información importante.

Presentación dun certificado ISO 27001 que demostre uns estándares elevados no ámbito da seguridade das TI.
Procedementos de copia de seguridade, recuperación e protección de datos fronte a danos ou perdas.
Plans de emerxencia en caso de perturbación ou fallo dos sistemas.

Procedementos de comprobación das copias de seguridade e a recuperación.
Conservación dos arquivos aduaneiros e os documentos mercantís en instalacións seguras.
Establecemento dun de clasificación.
Cumprimento dos prazos legais de arquivo.
As copias de seguridade teñen que ser diarias, de carácter incremental ou completo. Teñén quese facer copias de seguridade completas polo menos unha vez por semana. En todo momento deben estar dispoñibles como mínimo as tres últimas copias de seguridade consecutivas. É preferible que as copias de seguridade se realicen de maneira remota, mediante un método seguro desde o punto de vista electrónico, nunha instalación de almacenaxe situada a unha distancia mínima de 300 metros. Tamén se ten que facer unha copia de seguridade da clave de cifrado, que se gardará lonxe da instalación de almacenaxe.

Adopción e posta a disposición do persoal dunha política de seguridade, procedementos e normas en materia de TI.
Presentación dun certificado ISO 27001 que demostre estándares elevados no ámbito da seguridade das TI.
Establecemento dunha política de seguridade da información.
Designación dun responsable da seguridade da información. - Avaliación da seguridade da información e identificación de cuestións asociadas ao risco no ámbito das TI.
Procedementos para a concesión de dereitos de acceso a persoas autorizadas; os dereitos de acceso deben retirarse inmediatamente en caso de transferencia de obrigas ou cesamento de emprego.

• Acceso a datos na medida necesaria.
  Utilización de programas de cifrado, cando conveña.

Devasas.
Protección contra virus.
Protección mediante contrasinal de todos os ordenadores persoais e, se é posible, dos programas importantes.
Se os empregados deixan o posto de traballo, o ordenador débese protexer sempre cunha palabra clave.
O contrasinal debe estar formada por un mínimo de oito caracteres, cunha mestura de dous ou máis letras maiúsculas e minúsculas, números e outros caracteres. Canto máis longa sexa o contrasinal, máis segura será. Os nomes de usuario e os contrasinais nunca se deben compartir.
Realización de probas sobre accesos non autorizados.
Limitación do acceso a salas de servidores ás persoas autorizadas.
Probas de intrusión a intervalos periódicos; as probas de intrusión teñén quese rexistrar.
Execución de procedementos para o tratamento dos incidentes.

Formulación de instrucións e procedementos sobre a utilización de chaves a disposición do persoal pertinente.
Unicamente o persoal autorizado pode acceder ás chaves dos dispositivos de peche empregados en edificios, instalacións, salas, áreas de seguridade, arquivos, caixas de seguridade, vehículos, maquinaria e carga aérea.

Elaboración de inventarios periódicos de chaves e dispositivos de peche.
Rexistro dos intentos de acceso non autorizado e comprobación periódica desta información.
As portas e xanelas débense pechar con chave cando non haxa ninguén traballando na sala ou oficina de que se trate.