Anexo 2
Ameazas, riscos e posibles solucións
No presente documento figura unha relación dos riscos máis significativos relacionados co proceso de autorización e seguimento dun AEO , e ao mesmo tempo, unha lista de posibles solucións para manter tales riscos baixo control. As posibles solucións propostas para un determinado indicador poden ser aplicables a máis dun área de risco identificada. A lista suxerida non é exhaustiva nin definitiva, e, na práctica, as solucións posibles variarán duns casos a outros dependendo de factores como o tamaño do operador, o tipo de mercadorías, o tipo de sistemas automatizados e o grao de modernización do operador.
O cuestionario de autoavaliación cóbreno os operadores económicos ao inicio do proceso de solicitude, e con el preténdese obter unha visión xeral da súa actividade empresarial e os seus procedementos, así como da pertinencia dos mesmos con vistas á autorización como AEO. O documento «Ameazas, riscos e posibles solucións» diríxese tanto a autoridades aduaneiras como a operadores económicos, co fin de facilitar a auditoría e a revisión e de garantir así o cumprimento dos criterios aplicados aos AEO , ao cotexar a información facilitada no CAE e as áreas de risco identificadas, así como as posibles solucións para atender os riscos identificados.
1. Historial de cumprimento (sección 2 do CAE)
Criterio: Un historial de cumprimento dos requisitos aduaneiros apropiados [artigos 39, letra a), do CAU e 24 do AE CAU]
Indicador | Descrición do risco | Posibles solucións | Referencias |
Cumprimento dos requisitos aduaneiros |
Conduta infractora respecto de:
Unha conduta de infracción no pasado eleva a posibilidade de que futuras normas e regulamentos pásense por alto ou infrínxanse. |
Política de cumprimento activo polo operador, no sentido de que este establecese e aplique unhas normas internas de cumprimento. Aplicación de medidas internas de cumprimento; utilización dos recursos de auditoría para comprobar e garantir que os procedementos se aplican correctamente. |
CAE-2.1 |
2. O sistema contable e loxístico do solicitante (sección 3 do CAE)
Criterio: un sistema axeitado de xestión dos rexistros comerciais e, se é o caso, de transporte, que permita un control aduaneiro apropiado [artigos 39, letra b), do CAU e 25 do AE CAU]
2.1. Sistema contable (subsección 3.2 do CAE)
Indicador | Descrición do risco | Posibles solucións | Referencias |
Medio informático Sistema integrado de contabilidade |
Risco de que o sistema contable non axústese aos principios de contabilidade xeralmente aceptados aplicados no Estado membro. Rexistro incompleto e / ou incorrecto das operacións no sistema de contabilidade. Falta de correspondencia entre o rexistro de existencias e o rexistro contable. Falta de separación das tarefas correspondentes ás distintas funcións. Ausencia de acceso físico ou electrónico aos rexistros aduaneiros e, se é o caso, aos rexistros de transporte. Deterioración da auditabilidad . Incapacidade de emprender oportunamente unha auditoría, debido á forma en que está estruturada a contabilidade do solicitante. Posibilidade de encubrir operacións ilegais, dada a complexidade do sistema de xestión. Indisponibilidad de datos históricos. |
A separación de tarefas correspondentes ás distintas funcións deberá examinarse en estreita relación co tamaño da empresa do solicitante. Por exemplo, no caso dunha microempresa activa no transporte por estrada que teña un volume moi reducido de operacións diarias, o envasado, a manipulación e a carga e descarga das mercadorías pode encargarse ao condutor do camión. En cambio, a recepción das mercadorías, a súa introdución no sistema de administración e o pagamento e a recepción de facturas deberían encomendarse a terceiros. Desenvolvemento dunha interface entre os programas informáticos de despacho aduaneiro e de contabilidade, para evitar erros de marcado. |
CAE - 3.2 ISO 9001:2015, sección 6 |
2.2. Pista de auditoría (subsección 3.1 do CAE)
Indicador | Descrición do risco | Posibles solucións | Referencias |
Pista de auditoría | A ausencia dunha pista de auditoría axeitada dificulta a realización dun control aduaneiro eficaz e efectivo baseado na auditoría. Falta de control sobre a seguridade e o acceso ao sistema. |
Consulta coas autoridades aduaneiras previas á introdución dos novos sistemas de contabilidade aduaneira, co fin de garantir a súa compatibilidade cos requisitos aduaneiros. Comprobación e garantía da existencia da pista de auditoría na fase de preauditoría. |
CAE - 3.1 ISO 9001:2015, sección 6 |
2.3. Sistema loxístico que distingue entre mercadorías da Unión e mercadorías non pertencentes á Unión
Indicador | Descrición do risco | Posibles solucións | Referencias |
Amálgama de mercadorías da Unión con mercadorías non pertencentes á Unión | Ausencia dun sistema loxístico que distinga entre as mercadorías da Unión e as mercadorías non pertencentes á Unión. Substitución das mercadorías non pertencentes á Unión. |
Procedementos de control interno. Comprobacións da integridade na introdución de datos para verificar que as introducións de datos sexan correctas. |
CAE 3.2.2 |
2.4. Sistema de control interno (subsección 3.3 do CAE)
Indicador | Descrición do risco | Posibles solucións | Referencias |
Procedementos de control interno | Control desaxeitado, na empresa do solicitante, dos procesos operativos. A inexistencia de controis internos ou a súa ineficacia posibilita a fraude e o desenvolvemento de actividades non autorizadas ou ilegais. Rexistro incompleto e / ou incorrecto das operacións no sistema de contabilidade. Información incorrecta ou incompleta nas declaracións aduaneiras e outras documentos presentados en aduanas. |
Designación dunha persoa responsable da calidade e encargada dos procedementos e os controis internos da empresa. Establecemento de procedementos para rexistrar e corrixir os erros e as transaccións en marcha. |
CAE 3.3 ISO 9001:2015, seccións 5, 6, 7 e 8 |
2.5. Fluxo de mercadorías (subsección 3.4 do CAE)
Indicador | Descrición do risco | Posibles solucións | Referencias |
Disposicións xerais | A ausencia de control dos movementos de existencias aumenta o risco de que se incorporen mercadorías perigosas ou relacionadas co terrorismo, ou que se retiren mercadorías sen o axeitado rexistro. | Información sobre o persoal pertinente e presentación da declaración segundo as previsións. Rexistros dos movementos de existencias. Conciliacións periódicas de existencias. Mecanismos de investigación das discrepancias de inventario. Capacidade para distinguir no sistema informático se as mercadorías se despacharon ou seguen estando suxeitas a dereitos e impostos. |
CAE - 3.4 ISO 9001:2015, sección 6 |
Fluxo de mercadorías entrante | Falta de coincidencia entre as mercadorías pedidas, as mercadorías recibidas e os asentos contables. | Rexistros das mercadorías entrantes. Cotexo das ordes de compra coas mercadorías recibidas. Procedementos para a devolución ou o rexeitamento de mercadorías, para a contabilidade e a comunicación de insuficiencias ou excesos nos envíos e para a identificación e a emenda de anotacións incorrectas no rexistro de inventario. Formalización dos procedementos de importación. Execución periódica de inventarios. Realización de controis de coherencia puntual entre a entrada e a saída de mercadorías. Protección das áreas de almacenaxe (protección externa especial, rutinas de acceso especial) para loitar contra a substitución de mercadorías. |
|
Almacenaxe | Ausencia de control dos movementos de existencias. | Determinación clara das áreas de almacenaxe. Procedementos para a realización periódica de inventarios. Protección das áreas de almacenaxe para loitar contra a substitución de mercadorías. |
CAE - 3.4 ISO 9001:2015, sección 6 |
Produción | Ausencia de control das existencias utilizadas no proceso de fabricación. | Seguimento e control de xestión da taxa de rendemento. Controis sobre variacións, residuos, subprodutos e perdas. Protección das áreas de almacenaxe para loitar contra a substitución de mercadorías. |
CAE - 3.4 ISO 9001:2015, sección 6 |
Fluxo de mercadorías de saída Entrega a partir do depósito e expedición e traslado das mercadorías |
Falta de correspondencia entre os rexistros de existencias e os asentos contables. | Designación de persoas para autorizar e supervisar o proceso de venda e levante. Formalización dos procedementos de exportación. Controis previos ao levante para cotexar a orde de levante coas mercadorías que van cargarse. Mecanismos para a xestión das irregularidades, as insuficiencias nas entregas e as variacións nas mercadorías. Procedementos normalizados para a xestión da devolución, a inspección e o rexistro de mercadorías. Comprobación de que a declaración se ultimou no caso de procedementos aduaneiros con repercusión económica. |
CAE - 3.4 ISO 9001:2015, seccións 6 e 7 |
2.6. Procedementos aduaneiros (subsección 3.5 do CAE)
Indicador | Descrición do risco | Posibles solucións | Referencias |
Disposicións xerais |
Utilización inadmisible dos procedementos.
Ausencia de procedementos para informar ás autoridades aduaneiras das irregularidades identificadas, de conformidade cos requisitos aduaneiros pertinentes. |
Adopción de procedementos formais para a xestión e o seguimento de cada actividade aduaneira e formalización de determinados clientes (clasificación de mercadorías, orixe, valor, etc.). Con estes procedementos preténdese garantir a continuidade do departamento aduaneiro en caso de ausencia de persoal asignado.
Aplicación de procedementos para a notificación de irregularidades ás autoridades aduaneiras. |
CAE - 3.5 ISO 9001:2015, sección 6 |
Representación a través de terceiros | Falta de control | Procedementos para comprobar o labor de terceiros (p. ex., nas declaracións aduaneiras) e identificar as irregularidades e infraccións de representantes. Non abonda con confiar plenamente en servizos externalizados. Verificación da competencia do representante empregado. Se a responsabilidade respecto da formalización das declaracións aduaneiras externalízase: disposicións contractuais específicas para controlar os datos de aduana; procedemento específico para transmitir os datos que necesite o declarante para determinar o arancel (é dicir, especificacións técnicas das mercadorías, mostras, etc.). En caso de externalización da exportación de mercadorías por un exportador aprobado, este labor externalizado pode asignarse a un axente de aduanas que obtivese a autorización para actuar como representante autorizado, sempre que o axente poida probar o carácter orixinario das mercadorías. Adopción de procedementos formais de control interno co fin de verificar a exactitude dos datos aduaneiros utilizados. |
|
Licenzas de importación e / ou exportación vinculada a medidas comerciais ou a intercambios de produtos agrícolas | Uso inadmisible das mercadorías |
Procedementos normalizados de rexistro de licenzas. Controis internos xornais das licenzas vixentes e rexistro das mesmas. |
2.7 Requisitos non fiscais (subsección 3.5.4 do CAE)
Indicador | Descrición do risco | Posibles solucións | Referencias |
Aspectos non fiscais | Uso inadmisible de mercadorías suxeitas a prohibicións, restricións ou medidas de política comercial. | Procedementos para a xestión de mercadorías suxeitas a requisitos non fiscais. Establecemento de rutinas e procedementos apropiados: Distinción entre as mercadorías suxeitas a requisitos de carácter non fiscal e as demais mercadorías. Verificación de que as operacións se desenvolven de acordo coa lexislación vixente (distinta da fiscal). Xestión das mercadorías suxeitas a restricións, prohibicións ou embargos, incluídas as de dobre uso. Tramitación de licenzas de acordo cos requisitos individuais. Formación para potenciar a sensibilización do persoal que se ocupa das mercadorías suxeitas a requisitos non fiscais. |
CAE - 3.5.4 |
2.8. Procedementos relativos á copia de seguridade, á recuperación normal e de emerxencia e ao arquivo (subsección 3.6 do CAE)
Indicador | Descrición do risco | Posibles solucións | Referencias |
Requisitos relativos ao mantemento e arquivo dos documentos. |
Incapacidade de emprender oportunamente unha auditoría debido á perda de información ou a deficiencias nos arquivos. Falta de procedementos relativos á copia de seguridade. |
Presentación dun certificado ISO 27001 que demostre uns estándares elevados no ámbito da seguridade das TI. Procedementos de comprobación das copias de seguridade e a recuperación. |
ISO 9001:2015, sección 6 ISO 27001:2013 Normas ISO relativas á seguridade no ámbito das TI |
2.9 Seguridade da información: Protección dos sistemas informáticos (subsección 3.7 do CAE)
Indicador | Descrición do risco | Posibles solucións | Referencias |
Disposicións xerais | Acceso non autorizado ou intrusión nos sistemas ou programas informáticos do operador económico. |
Adopción e posta a disposición do persoal dunha política de seguridade, procedementos e normas en materia de TI.
Devasas. |
CAE - 3.7 ISO 27001:2013 |
Disposicións xerais | Destrución deliberada ou perda de información importante. | Plan de continxencia en caso de perda de datos. Procedementos de copia de seguridade en caso de perturbación ou fallo dos sistemas. Procedementos para a supresión do dereito de acceso. Procedementos para impedir o uso de dispositivos persoais, como memorias USB, CD, DVD ou outros periféricos electrónicos persoais. Restrición do uso de Internet aos lugares que só son apropiados para a actividade comercial. |
ISO 28001:2007, sección A 3 ISO 27001:2013 |
2.10 Seguridade da información: Seguridade da documentación (subsección 3.8 do CAE)
Indicador | Descrición do risco | Posibles solucións | Referencias |
Disposicións xerais | Uso indebido do sistema de información do operador económico que pon en situación de risco a cadea de subministración. Destrución deliberada ou perda de información importante. |
Presentación dun certificado ISO 27001 que demostre uns estándares elevados no ámbito da seguridade das TI. Procedementos para o acceso autorizado aos documentos. Arquivo e almacenaxe segura de documentos. Procedementos para abordar os incidentes e emprender accións correctivas. Rexistro e copia de seguridade dos documentos, incluído o escaneado. Plan de continxencia para xestionar as perdas. Posibilidade de utilizar programas de cifrado en caso necesario. Coñecemento polos axentes comerciais das medidas de seguridade nos desprazamentos (non consultar nunca documentos «sensibles» en medios de transporte). Establecemento de niveis de acceso á información estratéxica de acordo coas diferentes categorías do persoal. Xestión segura dos ordenadores refugados. Acordos con socios comerciais respecto da protección e o uso de documentación. |
CAE - 3.8 ISO 28001:2007, sección A 4 ISO 27001:2013 |
Requisitos de seguridade e protección imposta a terceiros | Uso indebido do sistema de información do operador económico que pon en situación de risco a cadea de subministración. Destrución deliberada ou perda de información importante. |
Inclusión de requisitos para a protección de datos nos contratos. Procedementos para o control e a auditoría dos requisitos nos contratos. |
3. Solvencia financeira (sección 4 do CAE)
Criterio: Solvencia financeira demostrados [artigos 39, letra c), do CAU e 26 do AE CAU]
3.1. Solvencia acreditada
Indicador | Descrición do risco | Posibles solucións | Referencias |
Insolvencia ou incapacidade para atender compromisos financeiros | Vulnerabilidade financeira que pode dar lugar no futuro a condutas de incumprimento. | Exame dos estados financeiros e os movementos financeiros do solicitante a fin de avaliar a súa capacidade para facer fronte ás débedas legais. Na maioría dos casos, a entidade bancaria do solicitante poderá proporcionar información sobre a solvencia deste último. Procedementos de seguimento interno para evitar ameazas financeiras. |
4. Requisitos en materia de protección e seguridade (sección 6 do CAE)
Criterio: Niveis de seguridade e protección axeitada [artigos 39, letra e), do CAU e 28 do AE CAU]
4.1 Avaliación da seguridade levada a cabo polo operador económico (autoavaliación)
Indicador | Descrición do risco | Posibles solucións | Referencias |
Autoavaliación | Coñecemento desaxeitado das cuestións relacionadas coa seguridade e a protección en todos os departamentos relevantes da empresa. | Autoavaliación de riscos e ameazas, revisión, actualización e documentación periódica da mesma. Identificación precisa dos riscos en materia de seguridade e protección que se derivan das actividades da empresa. Avaliación dos riscos relacionados coa seguridade e a protección (% de probabilidade ou nivel de risco: baixo/medio/alto). Certeza de que todos os riscos pertinentes abórdanse con medidas preventivas e correctivas. |
CAE - 6.1.2 ISO/PAS 28001:2007, sección A.4 Código PBIP Apéndice 6-B «Lista de control de validación para expedidores coñecidos», criterios de seguridade do transporte aéreo para Axente Acreditado / Expedidor Coñecido |
Xestión da seguridade e organización interna | Coordinación desaxeitada en materia de protección e seguridade dentro da empresa do solicitante | Designación dunha persoa encargada con autoridade suficiente para coordinar e executar as medidas de seguridade apropiadas en todos os departamentos pertinentes da empresa. Adopción de procedementos formais para a xestión e o seguimento de cada actividade loxística desde o punto de vista da seguridade e a protección. Execución de procedementos para garantir a seguridade e a protección das mercadorías en vacacións e outras situacións de ausencia do persoal asignado. |
CAE - 6.1.4 ISO 28001:2007, sección A.3 ISO 9001:2015, sección 5 Código PBIP |
Procedementos de control interno | Control desaxeitado das cuestións relacionadas coa protección e a seguridade dentro da empresa do solicitante | Execución de procedementos de control interno dos procedementos e as cuestións relacionadas coa seguridade e a protección. Procedementos para o rexistro e a investigación de incidentes de seguridade, incluídas a revisión das avaliacións de riscos e ameazas e a adopción de accións correctivas, se é o caso. |
CAE - 6.1.7 ISO 28001:2007, seccións A.3, A.4 Código PBIP |
Procedementos de control interno | Control desaxeitado das cuestións relacionadas coa protección e a seguridade dentro da empresa do solicitante | Posibilidade de que o rexistro se efectúe nun arquivo que conteña, por exemplo, a data, a anomalía observada, o nome da persoa que a detectou, as medidas de resposta, a sinatura da persoa competente, etc. Posta do rexistro de incidentes de seguridade e protección a disposición dos empregados da empresa. |
ISO 28001:2007, seccións A.3, A.4 Código PBIP |
Requisitos en materia de protección e seguridade destinada especificamente ás mercadorías | Alteración das mercadorías | Implantación dun sistema de arrastre de mercadorías. Requisitos especiais no referente a embalaxe e almacenaxe das mercadorías perigosas. |
Código PBIP |
4.2. Acceso ás instalacións (subsección 6.3 do CAE)
Indicador | Descrición do risco | Posibles solucións | Referencias |
Procedementos para a entrada ou o acceso de persoas, vehículos, e mercadorías | Entrada ou accesos non autorizados de vehículos, persoas ou mercadorías ás instalacións ou aos inmediacións da zona de carga e expedición. | Limitación máxima do número de vehículos con acceso ás instalacións. Por conseguinte, situación do aparcadoiro para o persoal preferiblemente fóra do perímetro de seguridade. Ademais, obriga, se é posible, de que os camións esperen antes e despois da carga nunha área á marxe fóra da zona de seguridade. Unicamente os camións rexistrados obterán acceso á área de carga, previa petición, á hora de execución destas operacións. A utilización de tarxetas de identificación é razoable. Deberán incluír unha fotografía. No caso de que non figure unha foto, as tarxetas deberán indicar polo menos o nome do operador ou das instalacións para as que é válida (risco de abuso en caso de perda). A utilización destas tarxetas debe ser supervisada por unha persoa competente nesta materia. Os visitantes portarán tarxetas de identificación temporal e estarán acompañados en todo momento. Os datos relativos ás entradas, incluídos os nomes dos visitantes e condutores, as horas de chegada e saída e o persoal auxiliar, deberán rexistrarse e almacenarse nun formulario axeitado (p. ex., un diario, un sistema de TI) e enumeraranse. As tarxetas non poderán utilizarse dúas veces consecutivas, para evitar a súa utilización por un acompañante. Control de acceso mediante códigos: rutinas para o cambio xornal de códigos. As tarxetas de identificación e os códigos só serán válidos durante o horario laboral de cada empregado. Procedementos normalizados de retorno de todas as autorizacións de acceso. A empresa deberá acompañar e supervisar aos visitantes a fin de impedir toda actividade non autorizada. Os visitantes deberán levar as tarxetas de identificación nun lugar visible. Falar cos descoñecidos. Indumentaria corporativa para distinguir aos descoñecidos. En caso de traballo temporal (p. ex., tarefas de mantemento), unha lista dos traballadores autorizados da empresa subcontratada. |
CAE - 6.3 ISO 28001:2007, sección A.3 Código PBIP |
Procedementos operativos normalizados en caso de intrusión | Resposta desaxeitada ante a constatación dunha intrusión . | Execución de procedementos aplicables a casos de intrusión e accesos non autorizados. Realización de probas de intrusión e rexistro dos resultados e, en caso necesario, adopción de accións correctivas. Utilización de informes de incidentes ou outros formularios apropiados para rexistrar os incidentes e as accións emprendidas. Adopción de medidas correctivas a raíz de incidentes relacionados co acceso non autorizado. |
ISO 28001:2007, sección A.3 Código PBIP |
4.3. Seguridade física (subsección 6.2 do CAE)
Indicador | Descrición do risco | Posibles solucións | Referencias |
Límites exteriores das instalacións | Protección desaxeitada das instalacións contra a intrusión. | Cando proceder, establecemento dun valado perimétrico de seguridade suxeita a inspeccións periódicas para comprobar a súa integridade e posibles danos e planificación do seu mantemento e reparación. Cando proceder, establecemento de áreas controladas axeitadas unicamente para o persoal autorizado, suxeitas a mecanismos de aprobación e control apropiado. Patrullas non sistemáticas do persoal de seguridade. |
CAE - 6.2 ISO 28001:2007, sección A.3 Código PBIP |
Entradas e accesos | Existencia de entradas e accesos non vixiados. | Aplicación de medidas apropiadas para asegurar todas as entradas e accesos en uso, como un CCTV ou sistemas de control de acceso (iluminación, proxectores, etc.). O CCTV só é útil se as gravacións son avaliables e admiten reaccións inmediatas. Se é o caso, execución de procedementos para garantir a protección dos puntos de acceso. |
ISO 28001:2007, sección A.3 Código PBIP |
Dispositivos de peche | Dispositivos de peche desaxeitado de portas interiores e exteriores, xanelas, entradas e enreixados. |
Formulación de instrucións e procedementos sobre a utilización de chaves a disposición do persoal pertinente. Elaboración de inventarios periódicos de chaves e dispositivos de peche. |
CAE - 6.2.4 ISO 28001:2007, sección A.3 |
Iluminación | Iluminación desaxeitada de portas, xanelas, portais e barreiras, tanto interiores como exteriores. | Iluminación axeitada en interiores e exteriores. Se é o caso, utilización de xeradores de apoio e fontes de enerxía eléctrica alternativas para garantir unha iluminación constante en caso de interrupción da subministración eléctrico local. Existencia de plans de mantemento e reparación dos equipos. |
CAE - 6.2.4 |
Procedementos de acceso ás chaves | Ausencia de procedementos axeitados de acceso ás chaves. Acceso non autorizado ás chaves. |
Execución dun procedemento de control de acceso ás chaves. As chaves deberán entregarse unicamente tras o seu rexistro e devolveranse inmediatamente despois da súa utilización. A devolución das chaves tamén debe rexistrarse. |
ISO 28001:2007, sección A.3.3 |
Medidas de seguridade física interna | Acceso desaxeitado a zonas interiores das instalacións. | Aplicación dun procedemento para distinguir as diferentes categorías de empregados que hai nas instalacións (p. ex., chaquetas, tarxetas de identificación). Acceso controlado e personalizado de acordo co posto de cada empregado. |
ISO 28001:2007, seccións A.3, A.4 Código PBIP |
Aparcadoiro de vehículos privados | Ausencia de procedementos axeitados para o aparcadoiro de vehículos privados. Protección desaxeitada das instalacións contra a intrusión. |
Máxima limitación do número de vehículos con acceso ás instalacións. Establecemento de zonas de aparcadoiro de vehículos especialmente designadas para visitantes e persoal situada a distancia das áreas de manipulación e almacenaxe das mercadorías. Identificación de riscos e ameazas asociadas ao acceso non autorizado de vehículos privados a áreas protexidas. Definición de normas e procedementos para o acceso de vehículos privados ás instalacións do solicitante. No caso de que a zona de aparcadoiro dos visitantes e a dos empregados non estean separadas, os vehículos dos visitantes deberán levar unha identificación. |
|
Mantemento de límites exteriores e edificios | Protección desaxeitada das instalacións contra a intrusión como resultado dun mantemento desaxeitado. | Mantemento periódico dos límites exteriores das instalacións e os edificios cada vez que se detecte unha anomalía. | ISO 28001:2007, sección A.3 |