Annex 2

Conducta infractora respecte de:

• l'emplenament de les declaracions duaneres, inclosa la comissió d'errors en els apartats de classificació, valoració o
  origen;
• l'ús dels procediments duaners;
• la normativa fiscal;
• l'aplicació de mesures relacionades amb prohibicions i restriccions, la política comercial;
• la introducció de les mercaderies en el territori duaner de la Unió, etc.

Una conducta d'infracció en el passat eleva la possibilitat que futures normes i reglaments es passen per alt o s'infringisquen.
Coneixement insuficient de les infraccions contra els requisits duaners.

Política de compliment actiu per l'operador, en el sentit que este haja establit i apliqueu unes normes internes de compliment.
Es preferixen instruccions operatives escrites pel que fa a les responsabilitats relatives a la realització de controles de precisió, exhaustivitat i oportunitat de les operacions i a la comunicació d'irregularitats i errors, inclosa la sospita d'activitat delictiva, a les
autoritats duaneres.
Procediments per a investigar i comunicar els errors detectats i de revisió i millora dels processos.
Identificació clara de la persona competent o responsable en l'empresa i establiment del règim de vacances i altres tipus d'absència.

Aplicació de mesures internes de compliment; utilització dels recursos d'auditoria per a comprovar i garantir que els procediments s'apliquen correctament.
Instruccions internes i programes de formació per a garantir que el personal conega els requisits duaners.

Designació d'una persona responsable de la qualitat i encarregada dels procediments i els controles interns de l'empresa.
Plena consciencia, per cada cap de departament, dels controles interns del seu respectiu departament.
Registre de les dates dels controles interns i les auditories i correcció de les deficiències detectades mitjançant correctives.
Notificació a les autoritats duaneres dels casos de frau o activitat no autoritzada o il·legal que es detecten.
Posada a disposició del personal competent dels procediments de control interns pertinents.
Creació d'una carpeta o arxive en el que cada tipus de mercaderia es vincule a la seua respectiva informació duanera (codi aranzelari, tipus dels drets duaners, origen i règim duaner).
Designació de la persona o persones encarregades de gestionar i actualitzar la normativa sobre duanes aplicable (inventari de reglaments); p.e., actualització de les dades en la planificació de recursos empresarials (PRE), liquidació de comptes, programa.
Informació i formació del personal en relació amb les inexactituds i sobre com es pot evitar que es presenten.

Establiment de procediments per a registrar i corregir els errors i les transaccions en marxa.

Utilització inadmissible dels procediments.
Declaracions duaneres incompletes i incorrectes i informació igualment incompleta i incorrecta sobre unes altres activitats duaneres.
Utilització de dades permanents (números d'article, codis duaners) incorrectes o no actualitzats.

• Classificació incorrecta de les mercaderies.
• Codi aranzelari incorrecte.
• Valor en duana incorrecte.

Absència de procediments per a informar a les autoritats duaneres de les irregularitats identificades, de conformitat amb els requisits duaners pertinents.
Actualment, la informació aranzelària vinculant (IAV) també és obligatòria per al titular de la IAV. La declaració en duana ha de fer referència a la IAV (article 33 del CAU).

Adopció de procediments formals per a la gestió i el seguiment de cada activitat duanera i formalització de determinats clients (classificació de mercaderies, origen, valor, etc.). Amb estos procediments es pretén garantir la continuïtat del departament duaner en cas d'absència de personal assignat.
Utilització de la IAV que establix els drets i impostos d'importació i la normativa aplicable (sanitària, tècnica, mesures de política comercial, etc.).
Utilització de la IAV que proporciona l'assessorament de l'Administració respecte de:

• L'origen del producte que vosté desitja importar o exportar, sobretot quan diverses fases de la producció han tingut lloc en diferents països.
• La possibilitat d'obtindre o no un tracte preferencial d'acord amb un conveni o un acord internacional.
  Establiment de procediments formals per a la determinació i la declaració del valor en duana (mètode de valoració, càlcul, caselles que han de complimentar-se en la declaració i documentació que ha d'aportar-se).

Aplicació de procediments per a la notificació d'irregularitats a les autoritats duaneres.

Procediments normalitzats de registre de llicencies.

Controles interns periòdics de les llicencies vigents i registre de les mateixes.
Segregació de tasques entre el registre i els controles interns.
Normes sobre comunicació d'irregularitats.
Procediments per a garantir que la utilització de mercaderies siga conforme amb la llicencia.

Incapacitat d'emprendre oportunament una auditoria degut a la pèrdua d'informació o a deficiències en els arxius.

Falta de procediments relatius a la còpia de seguretat.
Absència de procediments satisfactoris per a l'arxivament dels registres i la informació del sol·licitant.
Destrucció deliberada o pèrdua d'informació important.

Presentació d'un certificat ISO 27001 que demostre uns estàndards elevats en l'àmbit de la seguretat de les TI.
Procediments de còpia de seguretat, recuperació i protecció de dades enfront de danys o pèrdues.
Plans d'emergència en cas de pertorbació o falle dels sistemes.

Procediments de comprovació de les còpies de seguretat i la recuperació.
Conservació dels arxius duaners i els documents mercantils en instal·lacions segures.
Establiment d'un de classificació.
Compliment dels terminis legals d'arxive.
Les còpies de seguretat han de ser diàries, de caràcter incremental o complets. S'han de fer còpies de seguretat completes com a mínim una vegada per setmana. En qualsevol moment han d'estar disponibles com a mínim les tres últimes còpies de seguretat consecutives. És preferible que les còpies de seguretat es realitzen de manera remota, mitjançant un mètode segur des del punt de vista electrònic, en una instal·lació d'emmagatzematge situada a una distancia mínima de 300 metres. També s'ha de fer una còpia de seguretat de la clau de xifrat, que es guardarà lluny de la instal·lació d'emmagatzematge.

Adopció i posada a disposició del personal d'una política de seguretat, procediments i normes en matèria de TU.
Presentació d'un certificat ISO 27001 que demostre estàndards elevats en l'àmbit de la seguretat de les TI.
Establiment d'una política de seguretat de la informació.
Designació d'un responsable de la seguretat de la informació. - Avaluació de la seguretat de la informació i identificació de qüestiones associades al risc en l'àmbit de les TI.
Procediments per a la concessió de drets d'accés a persones autoritzades; els drets d'accés han de retirar-se immediatament en cas de transferència d'obligacions o cessació de treball.

• Accés a dades en la mesura necessària.
  Utilització de programes de xifrat, quan convinga.

Tallafocs.
Protecció contra virus.
Protecció mitjançant clau d'accés de tots els ordinadors personals i, si és possible, dels programes importants.
Si els empleats deixen el lloc de treball, l'ordinador s'ha de protegir sempre amb una paraula clau.
La clau d'accés ha d'estar formada per un mínim de huit caràcters, amb una mescla de dos o més lletres majúscules i minúscules, números i altres caràcters. Com més llarga siga la clau d'accés, més segura serà. Els noms d'usuari i les claus d'accés mai s'han de compartir.
Realització de proves sobre accessos no autoritzats.
Limitació de l'accés a sales de servidors a les persones autoritzades.
Proves d'intrusió a intervals periòdics; les proves d'intrusió s'han de registrar.
Execució de procediments per al tractament dels incidents.

Formulació d'instruccions i procediments sobre la utilització de claus a disposició del personal pertinent.
Únicament el personal autoritzat pot accedir a les claus dels dispositius de tancament empleats en edificis, instal·lacions, sales, àrees de seguretat, arxius, caixes de seguretat, vehicles, maquinària i carrega aèria.

Elaboració d'inventaris periòdics de claus i dispositius de tancament.
Registre dels intents d'accés no autoritzat i comprovació periòdica d'esta informació.
Les portes i finestres s'han de tancar amb clau quan no hi haja ningú treballant en la sala o oficina de què es tracte.