Saltar ao contido principal
Orientacións 2016 OEA

Anexo 2

Ameazas, riscos e posibles solucións

No presente documento figura unha relación dos riscos máis significativos relacionados co proceso de autorización e seguimento dun AEO , e ao mesmo tempo, unha lista de posibles solucións para manter tales riscos baixo control. As posibles solucións propostas para un determinado indicador poden ser aplicables a máis dun área de risco identificada. A lista suxerida non é exhaustiva nin definitiva, e, na práctica, as solucións posibles variarán duns casos a outros dependendo de factores como o tamaño do operador, o tipo de mercadorías, o tipo de sistemas automatizados e o grao de modernización do operador.

O cuestionario de autoavaliación cóbreno os operadores económicos ao inicio do proceso de solicitude, e con el preténdese obter unha visión xeral da súa actividade empresarial e os seus procedementos, así como da pertinencia dos mesmos con vistas á autorización como AEO. O documento «Ameazas, riscos e posibles solucións» diríxese tanto a autoridades aduaneiras como a operadores económicos, co fin de facilitar a auditoría e a revisión e de garantir así o cumprimento dos criterios aplicados aos AEO , ao cotexar a información facilitada no CAE e as áreas de risco identificadas, así como as posibles solucións para atender os riscos identificados.

1. Historial de cumprimento (sección 2 do CAE)
Criterio: Un historial de cumprimento dos requisitos aduaneiros apropiados [artigos 39, letra a), do CAU e 24 do AE CAU]

Indicador Descrición do risco Posibles solucións Referencias
Cumprimento
dos requisitos aduaneiros

Conduta infractora respecto de:

  • a formalización das declaracións aduaneiras, incluída a comisión de erros nos apartados de clasificación, valoración ou
    orixe;
  • o uso dos procedementos aduaneiros;
  • a normativa fiscal;
  • a aplicación de medidas relacionadas con prohibicións e restricións, a política comercial;
  • a introdución das mercadorías no territorio aduaneiro da Unión, etc.

Unha conduta de infracción no pasado eleva a posibilidade de que futuras normas e regulamentos pásense por alto ou infrínxanse.
Coñecemento insuficiente das infraccións contra os requisitos aduaneiros.

Política de cumprimento activo polo operador, no sentido de que este establecese e aplique unhas normas internas de cumprimento.
Prefírense instrucións operativas escritas no que fai ás responsabilidades relativas á realización de controis de precisión, exhaustividade e oportunidade das operacións e á comunicación de irregularidades e erros, incluída a sospeita de actividade delituosa, ás
autoridades aduaneiras.
Procedementos para investigar e comunicar os erros detectados e de revisión e mellora dos procesos.
Identificación clara da persoa competente ou responsable na empresa e establecemento do réxime de vacacións e outros tipos de ausencia.

Aplicación de medidas internas de cumprimento; utilización dos recursos de auditoría para comprobar e garantir que os procedementos se aplican correctamente.
Instrucións internas e programas de formación para garantir que o persoal coñeza os requisitos aduaneiros.

CAE-2.1

2. O sistema contable e loxístico do solicitante (sección 3 do CAE)
Criterio: un sistema axeitado de xestión dos rexistros comerciais e, se é o caso, de transporte, que permita un control aduaneiro apropiado [artigos 39, letra b), do CAU e 25 do AE CAU]

2.1. Sistema contable (subsección 3.2 do CAE)

Indicador Descrición do risco Posibles solucións Referencias

Medio informático Sistema integrado de contabilidade

Risco de que o sistema contable non axústese aos principios de contabilidade xeralmente aceptados aplicados no Estado membro.
Rexistro incompleto e / ou incorrecto das operacións no sistema de contabilidade.
Falta de correspondencia entre o rexistro de existencias e o rexistro contable.
Falta de separación das tarefas correspondentes ás distintas funcións.
Ausencia de acceso físico ou electrónico aos rexistros aduaneiros e, se é o caso, aos rexistros de transporte.
Deterioración da auditabilidad .
Incapacidade de emprender oportunamente unha auditoría, debido á forma en que está estruturada a contabilidade do solicitante.
Posibilidade de encubrir operacións ilegais, dada a complexidade do sistema de xestión.
Indisponibilidad de datos históricos.

A separación de tarefas correspondentes ás distintas funcións deberá examinarse en estreita relación co tamaño da empresa do solicitante. Por exemplo, no caso dunha microempresa activa no transporte por estrada que teña un volume moi reducido de operacións diarias, o envasado, a manipulación e a carga e descarga das mercadorías pode encargarse ao condutor do camión. En cambio, a recepción das mercadorías, a súa introdución no sistema de administración e o pagamento e a recepción de facturas deberían encomendarse a terceiros.
Adopción dun sistema de alertas que permita identificar operacións sospeitosas.

Desenvolvemento dunha interface entre os programas informáticos de despacho aduaneiro e de contabilidade, para evitar erros de marcado.
Adopción dunha planificación dos recursos empresariais (PRE).
Desenvolvemento de iniciativas de formación e elaboración de instrucións para a utilización do software.
Posibilidade dun control cruzado da información.

CAE - 3.2
ISO 9001:2015, sección 6

2.2. Pista de auditoría (subsección 3.1 do CAE)

Indicador Descrición do risco Posibles solucións Referencias
Pista de auditoría A ausencia dunha pista de auditoría axeitada dificulta a realización dun control aduaneiro eficaz e efectivo baseado na auditoría.
Falta de control sobre a seguridade e o acceso ao sistema.
Consulta coas autoridades aduaneiras previas á introdución dos novos sistemas de contabilidade aduaneira, co fin de garantir a súa compatibilidade cos requisitos aduaneiros.
Comprobación e garantía da existencia da pista de auditoría na fase de preauditoría.
CAE - 3.1
ISO 9001:2015, sección 6

2.3. Sistema loxístico que distingue entre mercadorías da Unión e mercadorías non pertencentes á Unión

Indicador Descrición do risco Posibles solucións Referencias
Amálgama de mercadorías da Unión con mercadorías non pertencentes á Unión Ausencia dun sistema loxístico que distinga entre as mercadorías da Unión e as mercadorías non pertencentes á Unión.
Substitución das mercadorías non pertencentes á Unión.
Procedementos de control interno.
Comprobacións da integridade na introdución de datos para verificar que as introducións de datos sexan correctas.
CAE 3.2.2

2.4. Sistema de control interno (subsección 3.3 do CAE)

Indicador Descrición do risco Posibles solucións Referencias
Procedementos de control interno Control desaxeitado, na empresa do solicitante, dos procesos operativos.
A inexistencia de controis internos ou a súa ineficacia posibilita a fraude e o desenvolvemento de actividades non autorizadas ou ilegais.
Rexistro incompleto e / ou incorrecto das operacións no sistema de contabilidade.
Información incorrecta ou incompleta nas declaracións aduaneiras e outras documentos presentados en aduanas.

Designación dunha persoa responsable da calidade e encargada dos procedementos e os controis internos da empresa.
Plena conciencia, por cada xefe de departamento, dos controis internos do seu respectivo departamento.
Rexistro das datas dos controis internos e as auditorías e corrección das deficiencias detectadas mediante correctivas.
Notificación ás autoridades aduaneiras dos casos de fraude ou actividade non autorizada ou ilegal que se detecten.
Posta a disposición do persoal competente dos procedementos de control interno pertinentes.
Creación dunha carpeta ou arquivo en que cada tipo de mercadoría vincúlese á súa respectiva información aduaneira (código arancelario, tipos dos dereitos aduaneiros, orixe e réxime aduaneiro).
Designación da persoa ou persoas encargadas de xestionar e actualizar a normativa sobre aduanas aplicables (inventario de regulamentos); p. ex., actualización dos datos na planificación de recursos empresariais (PRE), liquidación de contas, software.
Información e formación do persoal en relación coas inexactitudes e sobre como pódese evitar que se presenten.

Establecemento de procedementos para rexistrar e corrixir os erros e as transaccións en marcha.

CAE 3.3
ISO 9001:2015, seccións 5, 6, 7 e 8

2.5. Fluxo de mercadorías (subsección 3.4 do CAE)

Indicador Descrición do risco Posibles solucións Referencias
Disposicións xerais A ausencia de control dos movementos de existencias aumenta o risco de que se incorporen mercadorías perigosas ou relacionadas co terrorismo, ou que se retiren mercadorías sen o axeitado rexistro. Información sobre o persoal pertinente e presentación da declaración segundo as previsións.
Rexistros dos movementos de existencias.
Conciliacións periódicas de existencias.
Mecanismos de investigación das discrepancias de inventario.
Capacidade para distinguir no sistema informático se as mercadorías se despacharon ou seguen estando suxeitas a dereitos e impostos.
CAE - 3.4
ISO 9001:2015, sección 6
Fluxo de mercadorías entrante Falta de coincidencia entre as mercadorías pedidas, as mercadorías recibidas e os asentos contables. Rexistros das mercadorías entrantes.
Cotexo das ordes de compra coas mercadorías recibidas.
Procedementos para a devolución ou o rexeitamento de mercadorías, para a contabilidade e a comunicación de insuficiencias ou excesos nos envíos e para a identificación e a emenda de anotacións incorrectas no rexistro de inventario.
Formalización dos procedementos de importación.
Execución periódica de inventarios.
Realización de controis de coherencia puntual entre a entrada e a saída de mercadorías.
Protección das áreas de almacenaxe (protección externa especial, rutinas de acceso especial) para loitar contra a substitución de mercadorías.
Almacenaxe Ausencia de control dos movementos de existencias. Determinación clara das áreas de almacenaxe.
Procedementos para a realización periódica de inventarios.
Protección das áreas de almacenaxe para loitar contra a substitución de mercadorías.
CAE - 3.4
ISO 9001:2015, sección 6
Produción Ausencia de control das existencias utilizadas no proceso de fabricación. Seguimento e control de xestión da taxa de rendemento.
Controis sobre variacións, residuos, subprodutos e perdas.
Protección das áreas de almacenaxe para loitar contra a substitución de mercadorías.
CAE - 3.4
ISO 9001:2015, sección 6
Fluxo de mercadorías de saída
Entrega a partir do depósito e expedición e traslado das mercadorías
Falta de correspondencia entre os rexistros de existencias e os asentos contables. Designación de persoas para autorizar e supervisar o proceso de venda e levante.
Formalización dos procedementos de exportación.
Controis previos ao levante para cotexar a orde de levante coas mercadorías que van cargarse.
Mecanismos para a xestión das irregularidades, as insuficiencias nas entregas e as variacións nas mercadorías.
Procedementos normalizados para a xestión da devolución, a inspección e o rexistro de mercadorías.
Comprobación de que a declaración se ultimou no caso de procedementos aduaneiros con repercusión económica.
CAE - 3.4
ISO 9001:2015, seccións 6 e 7

2.6. Procedementos aduaneiros (subsección 3.5 do CAE)

Indicador Descrición do risco Posibles solucións Referencias
Disposicións xerais

Utilización inadmisible dos procedementos.
Declaracións aduaneiras incompletas e incorrectas e información igualmente incompleta e incorrecta acerca doutras actividades aduaneiras.
Utilización de datos permanentes (números de artigo, códigos aduaneiros) incorrectos ou non actualizados.

  • Clasificación incorrecta das mercadorías.
  • Código arancelario incorrecto.
  • Valor en aduana incorrecta.

Ausencia de procedementos para informar ás autoridades aduaneiras das irregularidades identificadas, de conformidade cos requisitos aduaneiros pertinentes.
Actualmente, a información arancelaria vinculante (IAV) tamén é obrigatoria para o titular da IAV . A declaración en aduana ten que facer referencia á IAV (artigo 33 do CAU).

Adopción de procedementos formais para a xestión e o seguimento de cada actividade aduaneira e formalización de determinados clientes (clasificación de mercadorías, orixe, valor, etc.). Con estes procedementos preténdese garantir a continuidade do departamento aduaneiro en caso de ausencia de persoal asignado.
Utilización da IAV que establece os dereitos e impostos de importación e a normativa aplicable (sanitaria, técnica, medidas de política comercial, etc.).
Utilización da IAV que proporciona o asesoramento da Administración respecto de:

  • A orixe do produto que vostede desexa importar ou exportar, sobre todo cando diversas fases da produción tiveron lugar en diferentes países.
  • A posibilidade de obter ou non un trato preferencial de acordo cun convenio ou un acordo internacional.
    Establecemento de procedementos formais para a determinación e a declaración do valor en aduana (método de valoración, cálculo, recadros que deben cubrirse na declaración e documentación que debe achegarse).

Aplicación de procedementos para a notificación de irregularidades ás autoridades aduaneiras.

CAE - 3.5
ISO 9001:2015, sección 6
Representación a través de terceiros Falta de control Procedementos para comprobar o labor de terceiros (p. ex., nas declaracións aduaneiras) e identificar as irregularidades e infraccións de representantes. Non abonda con confiar plenamente en servizos externalizados.
Verificación da competencia do representante empregado.
Se a responsabilidade respecto da formalización das declaracións aduaneiras externalízase:
disposicións contractuais específicas para controlar os datos de aduana;
procedemento específico para transmitir os datos que necesite o declarante para determinar o arancel (é dicir, especificacións técnicas das mercadorías, mostras, etc.).
En caso de externalización da exportación de mercadorías por un exportador aprobado, este labor externalizado pode asignarse a un axente de aduanas que obtivese a autorización para actuar como representante autorizado, sempre que o axente poida probar o carácter orixinario das mercadorías.
Adopción de procedementos formais de control interno co fin de verificar a exactitude dos datos aduaneiros utilizados.
Licenzas de importación e / ou exportación vinculada a medidas comerciais ou a intercambios de produtos agrícolas Uso inadmisible das mercadorías

Procedementos normalizados de rexistro de licenzas.

Controis internos xornais das licenzas vixentes e rexistro das mesmas.
Segregación de tarefas entre o rexistro e os controis internos.
Normas sobre comunicación de irregularidades.
Procedementos para garantir que a utilización de mercadorías sexa conforme coa licenza.

2.7 Requisitos non fiscais (subsección 3.5.4 do CAE)

Indicador Descrición do risco Posibles solucións Referencias
Aspectos non fiscais Uso inadmisible de mercadorías suxeitas a prohibicións, restricións ou medidas de política comercial. Procedementos para a xestión de mercadorías suxeitas a requisitos non fiscais.
Establecemento de rutinas e procedementos apropiados:
Distinción entre as mercadorías suxeitas a requisitos de carácter non fiscal e as demais mercadorías.
Verificación de que as operacións se desenvolven de acordo coa lexislación vixente (distinta da fiscal).
Xestión das mercadorías suxeitas a restricións, prohibicións ou embargos, incluídas as de dobre uso.
Tramitación de licenzas de acordo cos requisitos individuais.
Formación para potenciar a sensibilización do persoal que se ocupa das mercadorías suxeitas a requisitos non fiscais.
CAE - 3.5.4

2.8. Procedementos relativos á copia de seguridade, á recuperación normal e de emerxencia e ao arquivo (subsección 3.6 do CAE)

Indicador Descrición do risco Posibles solucións Referencias
Requisitos relativos ao mantemento e arquivo dos documentos.

Incapacidade de emprender oportunamente unha auditoría debido á perda de información ou a deficiencias nos arquivos.

Falta de procedementos relativos á copia de seguridade.
Ausencia de procedementos satisfactorios para o arquivo dos rexistros e a información do solicitante.
Destrución deliberada ou perda de información importante.

Presentación dun certificado ISO 27001 que demostre uns estándares elevados no ámbito da seguridade das TI.
Procedementos de copia de seguridade, recuperación e protección de datos fronte a danos ou perdas.
Plans de emerxencia en caso de perturbación ou fallo dos sistemas.

Procedementos de comprobación das copias de seguridade e a recuperación.
Conservación dos arquivos aduaneiros e os documentos mercantís en instalacións seguras.
Establecemento dun de clasificación.
Cumprimento dos prazos legais de arquivo.
As copias de seguridade teñen que ser diarias, de carácter incremental ou completo. Teñén quese facer copias de seguridade completas polo menos unha vez por semana. En todo momento deben estar dispoñibles como mínimo as tres últimas copias de seguridade consecutivas. É preferible que as copias de seguridade se realicen de maneira remota, mediante un método seguro desde o punto de vista electrónico, nunha instalación de almacenaxe situada a unha distancia mínima de 300 metros. Tamén se ten que facer unha copia de seguridade da clave de cifrado, que se gardará lonxe da instalación de almacenaxe.

ISO 9001:2015, sección 6
ISO 27001:2013
Normas ISO relativas á seguridade no ámbito das TI

2.9 Seguridade da información: Protección dos sistemas informáticos (subsección 3.7 do CAE)

Indicador Descrición do risco Posibles solucións Referencias
Disposicións xerais Acceso non autorizado ou intrusión nos sistemas ou programas informáticos do operador económico.

Adopción e posta a disposición do persoal dunha política de seguridade, procedementos e normas en materia de TI.
Presentación dun certificado ISO 27001 que demostre estándares elevados no ámbito da seguridade das TI.
Establecemento dunha política de seguridade da información.
Designación dun responsable da seguridade da información. - Avaliación da seguridade da información e identificación de cuestións asociadas ao risco no ámbito das TI.
Procedementos para a concesión de dereitos de acceso a persoas autorizadas; os dereitos de acceso deben retirarse inmediatamente en caso de transferencia de obrigas ou cesamento de emprego.

  • Acceso a datos na medida necesaria.
    Utilización de programas de cifrado, cando conveña.

Devasas.
Protección contra virus.
Protección mediante contrasinal de todos os ordenadores persoais e, se é posible, dos programas importantes.
Se os empregados deixan o posto de traballo, o ordenador débese protexer sempre cunha palabra clave.
O contrasinal debe estar formada por un mínimo de oito caracteres, cunha mestura de dous ou máis letras maiúsculas e minúsculas, números e outros caracteres. Canto máis longa sexa o contrasinal, máis segura será. Os nomes de usuario e os contrasinais nunca se deben compartir.
Realización de probas sobre accesos non autorizados.
Limitación do acceso a salas de servidores ás persoas autorizadas.
Probas de intrusión a intervalos periódicos; as probas de intrusión teñén quese rexistrar.
Execución de procedementos para o tratamento dos incidentes.

CAE - 3.7
ISO 27001:2013
Disposicións xerais Destrución deliberada ou perda de información importante. Plan de continxencia en caso de perda de datos.
Procedementos de copia de seguridade en caso de perturbación ou fallo dos sistemas.
Procedementos para a supresión do dereito de acceso.
Procedementos para impedir o uso de dispositivos persoais, como memorias USB, CD, DVD ou outros periféricos electrónicos persoais.
Restrición do uso de Internet aos lugares que só son apropiados para a actividade comercial.
ISO 28001:2007, sección A 3
ISO 27001:2013

2.10 Seguridade da información: Seguridade da documentación (subsección 3.8 do CAE)

Indicador Descrición do risco Posibles solucións Referencias
Disposicións xerais Uso indebido do sistema de información do operador económico que pon en situación de risco a cadea de subministración.
Destrución deliberada ou perda de información importante.
Presentación dun certificado ISO 27001 que demostre uns estándares elevados no ámbito da seguridade das TI.
Procedementos para o acceso autorizado aos documentos.
Arquivo e almacenaxe segura de documentos.
Procedementos para abordar os incidentes e emprender accións correctivas.
Rexistro e copia de seguridade dos documentos, incluído o escaneado.
Plan de continxencia para xestionar as perdas.
Posibilidade de utilizar programas de cifrado en caso necesario.
Coñecemento polos axentes comerciais das medidas de seguridade nos desprazamentos (non consultar nunca documentos «sensibles» en medios de transporte).
Establecemento de niveis de acceso á información estratéxica de acordo coas diferentes categorías do persoal.
Xestión segura dos ordenadores refugados.
Acordos con socios comerciais respecto da protección e o uso de documentación.
CAE - 3.8
ISO 28001:2007, sección A 4
ISO 27001:2013
Requisitos de seguridade e protección imposta a terceiros Uso indebido do sistema de información do operador económico que pon en situación de risco a cadea de subministración.
Destrución deliberada ou perda de información importante.
Inclusión de requisitos para a protección de datos nos contratos.
Procedementos para o control e a auditoría dos requisitos nos contratos.

3. Solvencia financeira (sección 4 do CAE)
Criterio: Solvencia financeira demostrados [artigos 39, letra c), do CAU e 26 do AE CAU]

3.1. Solvencia acreditada

Indicador Descrición do risco Posibles solucións Referencias
Insolvencia ou incapacidade para atender compromisos financeiros  Vulnerabilidade financeira que pode dar lugar no futuro a condutas de incumprimento. Exame dos estados financeiros e os movementos financeiros do solicitante a fin de avaliar a súa capacidade para facer fronte ás débedas legais. Na maioría dos casos, a entidade bancaria do solicitante poderá proporcionar información sobre a solvencia deste último.
Procedementos de seguimento interno para evitar ameazas financeiras.

4. Requisitos en materia de protección e seguridade (sección 6 do CAE)
Criterio: Niveis de seguridade e protección axeitada [artigos 39, letra e), do CAU e 28 do AE CAU]


4.1 Avaliación da seguridade levada a cabo polo operador económico (autoavaliación)

Indicador Descrición do risco Posibles solucións Referencias
Autoavaliación Coñecemento desaxeitado das cuestións relacionadas coa seguridade e a protección en todos os departamentos relevantes da empresa. Autoavaliación de riscos e ameazas, revisión, actualización e documentación periódica da mesma.
Identificación precisa dos riscos en materia de seguridade e protección que se derivan das actividades da empresa.
Avaliación dos riscos relacionados coa seguridade e a protección (% de probabilidade ou nivel de risco: baixo/medio/alto).
Certeza de que todos os riscos pertinentes abórdanse con medidas preventivas e correctivas.
CAE - 6.1.2
ISO/PAS 28001:2007, sección A.4
Código PBIP
Apéndice 6-B «Lista de control de validación para expedidores coñecidos»,
criterios de seguridade do transporte aéreo para Axente Acreditado / Expedidor Coñecido
Xestión da seguridade e organización interna Coordinación desaxeitada en materia de protección e seguridade dentro da empresa do solicitante Designación dunha persoa encargada con autoridade suficiente para coordinar e executar as medidas de seguridade apropiadas en todos os departamentos pertinentes da empresa.
Adopción de procedementos formais para a xestión e o seguimento de cada actividade loxística desde o punto de vista da seguridade e a protección.
Execución de procedementos para garantir a seguridade e a protección das mercadorías en vacacións e outras situacións de ausencia do persoal asignado.
CAE - 6.1.4
ISO 28001:2007, sección A.3
ISO 9001:2015, sección 5
Código PBIP
Procedementos de control interno Control desaxeitado das cuestións relacionadas coa protección e a seguridade dentro da empresa do solicitante Execución de procedementos de control interno dos procedementos e as cuestións relacionadas coa seguridade e a protección.
Procedementos para o rexistro e a investigación de incidentes de seguridade, incluídas a revisión das avaliacións de riscos e ameazas e a adopción de accións correctivas, se é o caso.
CAE - 6.1.7
ISO 28001:2007, seccións A.3, A.4
Código PBIP
Procedementos de control interno Control desaxeitado das cuestións relacionadas coa protección e a seguridade dentro da empresa do solicitante Posibilidade de que o rexistro se efectúe nun arquivo que conteña, por exemplo, a data, a anomalía observada, o nome da persoa que a detectou, as medidas de resposta, a sinatura da persoa competente, etc.
Posta do rexistro de incidentes de seguridade e protección a disposición dos empregados da empresa.
ISO 28001:2007, seccións A.3, A.4
Código PBIP
Requisitos en materia de protección e seguridade destinada especificamente ás mercadorías Alteración das mercadorías Implantación dun sistema de arrastre de mercadorías.
Requisitos especiais no referente a embalaxe e almacenaxe das mercadorías perigosas.
Código PBIP

4.2. Acceso ás instalacións (subsección 6.3 do CAE)

Indicador Descrición do risco Posibles solucións Referencias
Procedementos para a entrada ou o acceso de persoas, vehículos, e mercadorías Entrada ou accesos non autorizados de vehículos, persoas ou mercadorías ás instalacións ou aos inmediacións da zona de carga e expedición. Limitación máxima do número de vehículos con acceso ás instalacións.
Por conseguinte, situación do aparcadoiro para o persoal preferiblemente fóra do perímetro de seguridade.
Ademais, obriga, se é posible, de que os camións esperen antes e despois da carga nunha área á marxe fóra da zona de seguridade. Unicamente os camións rexistrados obterán acceso á área de carga, previa petición, á hora de execución destas operacións.
A utilización de tarxetas de identificación é razoable. Deberán incluír unha fotografía. No caso de que non figure unha foto, as tarxetas deberán indicar polo menos o nome do operador ou das instalacións para as que é válida (risco de abuso en caso de perda).
A utilización destas tarxetas debe ser supervisada por unha persoa competente nesta materia. Os visitantes portarán tarxetas de identificación temporal e estarán acompañados en todo momento.
Os datos relativos ás entradas, incluídos os nomes dos visitantes e condutores, as horas de chegada e saída e o persoal auxiliar, deberán rexistrarse e almacenarse nun formulario axeitado (p. ex., un diario, un sistema de TI) e enumeraranse.
As tarxetas non poderán utilizarse dúas veces consecutivas, para evitar a súa utilización por un acompañante.
Control de acceso mediante códigos: rutinas para o cambio xornal de códigos.
As tarxetas de identificación e os códigos só serán válidos durante o horario laboral de cada empregado.
Procedementos normalizados de retorno de todas as autorizacións de acceso.
A empresa deberá acompañar e supervisar aos visitantes a fin de impedir toda actividade non autorizada.
Os visitantes deberán levar as tarxetas de identificación nun lugar visible.
Falar cos descoñecidos.
Indumentaria corporativa para distinguir aos descoñecidos.
En caso de traballo temporal (p. ex., tarefas de mantemento), unha lista dos traballadores autorizados da empresa subcontratada.
CAE - 6.3
ISO 28001:2007, sección A.3
Código PBIP
Procedementos operativos normalizados en caso de intrusión Resposta desaxeitada ante a constatación dunha intrusión . Execución de procedementos aplicables a casos de intrusión e accesos non autorizados.
Realización de probas de intrusión e rexistro dos resultados e, en caso necesario, adopción de accións correctivas.
Utilización de informes de incidentes ou outros formularios apropiados para rexistrar os incidentes e as accións emprendidas.
Adopción de medidas correctivas a raíz de incidentes relacionados co acceso non autorizado.
ISO 28001:2007, sección A.3
Código PBIP

4.3. Seguridade física (subsección 6.2 do CAE)

Indicador Descrición do risco Posibles solucións Referencias
Límites exteriores das instalacións Protección desaxeitada das instalacións contra a intrusión. Cando proceder, establecemento dun valado perimétrico de seguridade suxeita a inspeccións periódicas para comprobar a súa integridade e posibles danos e planificación do seu mantemento e reparación.
Cando proceder, establecemento de áreas controladas axeitadas unicamente para o persoal autorizado, suxeitas a mecanismos de aprobación e control apropiado.
Patrullas non sistemáticas do persoal de seguridade.
CAE - 6.2
ISO 28001:2007, sección A.3
Código PBIP
Entradas e accesos Existencia de entradas e accesos non vixiados. Aplicación de medidas apropiadas para asegurar todas as entradas e accesos en uso, como un CCTV ou sistemas de control de acceso (iluminación, proxectores, etc.).
O CCTV só é útil se as gravacións son avaliables e admiten reaccións inmediatas.
Se é o caso, execución de procedementos para garantir a protección dos puntos de acceso.
ISO 28001:2007, sección A.3
Código PBIP
Dispositivos de peche Dispositivos de peche desaxeitado de portas interiores e exteriores, xanelas, entradas e enreixados.

Formulación de instrucións e procedementos sobre a utilización de chaves a disposición do persoal pertinente.
Unicamente o persoal autorizado pode acceder ás chaves dos dispositivos de peche empregados en edificios, instalacións, salas, áreas de seguridade, arquivos, caixas de seguridade, vehículos, maquinaria e carga aérea.

Elaboración de inventarios periódicos de chaves e dispositivos de peche.
Rexistro dos intentos de acceso non autorizado e comprobación periódica desta información.
As portas e xanelas débense pechar con chave cando non haxa ninguén traballando na sala ou oficina de que se trate.

CAE - 6.2.4
ISO 28001:2007, sección A.3
Iluminación Iluminación desaxeitada de portas, xanelas, portais e barreiras, tanto interiores como exteriores. Iluminación axeitada en interiores e exteriores.
Se é o caso, utilización de xeradores de apoio e fontes de enerxía eléctrica alternativas para garantir unha iluminación constante en caso de interrupción da subministración eléctrico local.
Existencia de plans de mantemento e reparación dos equipos.
CAE - 6.2.4
Procedementos de acceso ás chaves Ausencia de procedementos axeitados de acceso ás chaves.
Acceso non autorizado ás chaves.
Execución dun procedemento de control de acceso ás chaves.
As chaves deberán entregarse unicamente tras o seu rexistro e devolveranse inmediatamente despois da súa utilización. A devolución das chaves tamén debe rexistrarse.
ISO 28001:2007, sección A.3.3
Medidas de seguridade física interna Acceso desaxeitado a zonas interiores das instalacións. Aplicación dun procedemento para distinguir as diferentes categorías de empregados que hai nas instalacións (p. ex., chaquetas, tarxetas de identificación).
Acceso controlado e personalizado de acordo co posto de cada empregado.
ISO 28001:2007, seccións A.3, A.4
Código PBIP
Aparcadoiro de vehículos privados Ausencia de procedementos axeitados para o aparcadoiro de vehículos privados.
Protección desaxeitada das instalacións contra a intrusión.
Máxima limitación do número de vehículos con acceso ás instalacións.
Establecemento de zonas de aparcadoiro de vehículos especialmente designadas para visitantes e persoal situada a distancia das áreas de manipulación e almacenaxe das mercadorías.
Identificación de riscos e ameazas asociadas ao acceso non autorizado de vehículos privados a áreas protexidas.
Definición de normas e procedementos para o acceso de vehículos privados ás instalacións do solicitante.
No caso de que a zona de aparcadoiro dos visitantes e a dos empregados non estean separadas, os vehículos dos visitantes deberán levar unha identificación.
Mantemento de límites exteriores e edificios Protección desaxeitada das instalacións contra a intrusión como resultado dun mantemento desaxeitado. Mantemento periódico dos límites exteriores das instalacións e os edificios cada vez que se detecte unha anomalía. ISO 28001:2007, sección A.3