Annex 2
Amenaces, riscos i possibles solucions
En este document figura una relació dels riscos més significatius relacionats amb el procés d'autorització i seguiment d'un AEO, i al mateix temps, una llesta de possibles solucions per a mantindre tals riscos sota control. Les possibles solucions proposades per a un determinat indicador poden ser aplicables a més d'una àrea de risc identificada. La llesta suggerida no és exhaustiva ni definitiva, i, en la pràctica, les solucions possibles variaran d'uns casos a uns altres depenent de factors com el tamany de l'operador, el tipus de mercaderies, el tipus de sistemes automatitzats i el grau de modernització de l'operador.
El qüestionari d'autoavaluació el complimenten els operadors econòmics a l'inici del procés de sol·licitud, i amb ell es pretén obtindre una visió general de la seua activitat empresarial i els seus procediments, així com de la pertinència dels mateixos amb vista a l'autorització com AEO. El document «Amenaces, riscos i possibles solucions» s'adreça tant a autoritats duaneres com a operadors econòmics, a fi de facilitar l'auditoria i la revisió i de garantir així el compliment dels criteris aplicats als AEO, al comparar la informació facilitada en el CAU i les àrees de risc identificades, així com les possibles solucions per a atendre els riscos identificats.
1. Historial de compliment (secció 2 del CAU)
Criteri: Un historial de compliment dels requisits duaners apropiat [articles 39, lletra a), del CAU i 24 de l'AE CAU]
Indicador | Descripció del risc | Possibles solucions | Referències |
Compliment dels requisits duaners |
Conducta infractora respecte de:
Una conducta d'infracció en el passat eleva la possibilitat que futures normes i reglaments es passen per alt o s'infringisquen. |
Política de compliment actiu per l'operador, en el sentit que este haja establit i apliqueu unes normes internes de compliment. Aplicació de mesures internes de compliment; utilització dels recursos d'auditoria per a comprovar i garantir que els procediments s'apliquen correctament. |
CAU-2.1 |
2. El sistema comptable i logístic del sol·licitant (secció 3 del CAU)
Criteri: un sistema adequat de gestió dels registres comercials i, si escau, de transporte, que permeta un control duaner apropiat [articles 39, lletra b), del CAU i 25 de l'AE CAU]
2.1. Sistema comptable (subsecció 3.2 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Entorn informàtic Sistema integrat de comptabilitat |
Risc de què el sistema comptable no s'ajuste als principis de comptabilitat generalment acceptats aplicats en l'Estat membre. Registre incomplet i/o incorrecte de les operacions en el sistema de comptabilitat. Falta de correspondència entre el registre d'existències i el registre comptable. Falta de separació de les tasques corresponents a les diferents funcions. Absència d'accés físic o electrònic als registres duaners i, si escau, als registres de transporte. Deteriorament de la auditabilidad. Incapacitat d'emprendre oportunament una auditoria, degut a la manera com està estructurada la comptabilitat del sol·licitant. Possibilitat d'encobrir operacions il·legals, donada la complexitat del sistema de gestió. Indisponibilitat de dades històriques. |
La separació de tasques corresponents a les diferents funcions haurà d'examinar-se en estretix relació amb el tamany de l'empresa del sol·licitant. Per exemple, en el cas d'una microempresa activa en el transporte per carretera que tinga un volum molt reduït d'operacions diàries, l'envasat, la manipulació i la carrega i descàrrega de les mercaderies pot encarregar-se al conductor del camió. En canvi, la recepció de les mercaderies, la seua introducció en el sistema d'administració i el pagament i la recepció de factures haurien d'encomanar-se a tercers. Desenvolupament d'una interfície entre els programes informàtics de despatx duaner i de comptabilitat, per a evitar errors de marcat. |
CAU - 3.2 ISO 9001:2015, secció 6 |
2.2. Pista d'auditoria (subsecció 3.1 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Pista d'auditoria | L'absència d'una pista d'auditoria adequada dificulta la realització d'un control duaner eficaç i efectiu basat en l'auditoria. Falta de control sobre la seguretat i l'accés al sistema. |
Consulta amb les autoritats duaneres prèvia a la introducció dels nous sistemes de comptabilitat duanera, a fi de garantir la seua compatibilitat amb els requisits duaners. Comprovació i garantia de l'existència de la pista d'auditoria en la fase de preauditoria. |
CAU - 3.1 ISO 9001:2015, secció 6 |
2.3. Sistema logístic que distingix entre mercaderies de la Unió i mercaderies que no pertanyen a la Unió
Indicador | Descripció del risc | Possibles solucions | Referències |
Amalgama de mercaderies de la Unió amb mercaderies que no pertanyen a la Unió | Absència d'un sistema logístic que distingisca entre les mercaderies de la Unió i les mercaderies que no pertanyen a la Unió. Substitució de les mercaderies que no pertanyen a la Unió. |
Procediments de control intern. Comprovacions de la integritat en la introducció de dades per a verificar que les introduccions de dades siguen correctes. |
CAU 3.2.2 |
2.4. Sistema de control intern (subsecció 3.3 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Procediments de control intern | Control inadequat, en l'empresa del sol·licitant, dels processos operatius. La inexistència de controles interns o la seua ineficàcia possibilita el frau i el desenvolupament d'activitats no autoritzades o il·legals. Registre incomplet i/o incorrecte de les operacions en el sistema de comptabilitat. Informació incorrecta o incompleta en les declaracions duaneres i altres documents presentats en duanes. |
Designació d'una persona responsable de la qualitat i encarregada dels procediments i els controles interns de l'empresa. Establiment de procediments per a registrar i corregir els errors i les transaccions en marxa. |
CAU 3.3 ISO 9001:2015, secciones 5, 6, 7 i 8 |
2.5. Flux de mercaderies (subsecció 3.4 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Disposicions generals | L'absència de control dels moviments d'existències augmenta el risc de què s'incorporen mercaderies perilloses o relacionades amb el terrorisme, o que es retiren mercaderies sense l'adequat registre. | Informació sobre el personal pertinent i presentació de la declaració segons les previsions. Registres dels moviments d'existències. Conciliacions periòdiques d'existències. Mecanismes d'investigació de les discrepàncies d'inventari. Capacitat per a distingir en el sistema informàtic si les mercaderies s'han despatxat o seguixen estant subjectes a drets i impostos. |
CAU - 3.4 ISO 9001:2015, secció 6 |
Flux de mercaderies entrant | Falta de coincidència entre les mercaderies demanades, les mercaderies rebudes i els assentaments comptables. | Registres de les mercaderies entrants. Comparació de les ordes de compra amb les mercaderies rebudes. Procediments per a la devolució o el rebuig de mercaderies, per a la comptabilitat i la comunicació d'insuficiències o excessos en els enviaments i per a la identificació i l'esmena d'anotacions incorrectes en el registre d'inventari. Formalització dels procediments d'importació. Execució periòdica d'inventaris. Realització de controles de coherència puntuals entre l'entrada i l'eixida de mercaderies. Protecció de les àrees d'emmagatzematge (protecció externa especial, rutines d'accés especials) per a lluitar contra la substitució de mercaderies. |
|
Emmagatzematge | Absència de control dels moviments d'existències. | Determinació clara de les àrees d'emmagatzematge. Procediments per a la realització periòdica d'inventaris. Protecció de les àrees d'emmagatzematge per a lluitar contra la substitució de mercaderies. |
CAU - 3.4 ISO 9001:2015, secció 6 |
Producció | Absència de control de les existències utilitzades en el procés de fabricació. | Seguiment i control de gestió de la taxa de rendiment. Controles sobre variacions, residus, subproductes i pèrdues. Protecció de les àrees d'emmagatzematge per a lluitar contra la substitució de mercaderies. |
CAU - 3.4 ISO 9001:2015, secció 6 |
Flux de mercaderies d'eixida Entrega a partir del depòsit i expedició i trasllat de les mercaderies |
Falta de correspondència entre els registres d'existències i els assentaments comptables. | Designació de persones per a autoritzar i supervisar el procés de venda i alce. Formalització dels procediments d'exportació. Controles previs a l'alce per a comparar l'orde d'alce amb les mercaderies que carregaran. Mecanismes per a la gestió de les irregularitats, les insuficiències en les entregues i les variacions en les mercaderies. Procediments normalitzats per a la gestió de la devolució, la inspecció i el registre de mercaderies. Comprovació de què la declaració s'ha ultimat en el cas de procediments duaners amb repercussió econòmica. |
CAU - 3.4 ISO 9001:2015, secciones 6 i 7 |
2.6. Procediments duaners (subsecció 3.5 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Disposicions generals |
Utilització inadmissible dels procediments.
Absència de procediments per a informar a les autoritats duaneres de les irregularitats identificades, de conformitat amb els requisits duaners pertinents. |
Adopció de procediments formals per a la gestió i el seguiment de cada activitat duanera i formalització de determinats clients (classificació de mercaderies, origen, valor, etc.). Amb estos procediments es pretén garantir la continuïtat del departament duaner en cas d'absència de personal assignat.
Aplicació de procediments per a la notificació d'irregularitats a les autoritats duaneres. |
CAU - 3.5 ISO 9001:2015, secció 6 |
Representació a través de tercers | Falta de control | Procediments per a comprovar la tasca de tercers (p. ex., en les declaracions duaneres) i identificar les irregularitats i infraccions de representants. No n'hi ha prou amb confiar plenament en servicis externalitzats. Verificació de la competència del representant empleat. Si la responsabilitat respecte de l'emplenament de les declaracions duaneres s'externalitza: disposicions contractuals específiques per a controlar les dades de duana; procediment específic per a transmetre les dades que necessite el declarant per a determinar l'aranzel (és a dir, especificacions tècniques de les mercaderies, mostres, etc.). En cas d'externalització de l'exportació de mercaderies per un exportador aprovat, esta tasca externalitzada pot assignar-se a un agent de duanes que haja obtingut l'autorització per a actuar com representant autoritzat, sempre que l'agent puga provar el caràcter originari de les mercaderies. Adopció de procediments formals de control intern a fi de verificar l'exactitud de les dades duaners utilitzats. |
|
Llicencies d'importació i/o exportació vinculades a mesures comercials o a intercanvis de productes agrícoles | Ús inadmissible de les mercaderies |
Procediments normalitzats de registre de llicencies. Controles interns periòdics de les llicencies vigents i registre de les mateixes. |
2.7 Requisits no fiscals (subsecció 3.5.4 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Aspectes no fiscals | Ús inadmissible de mercaderies subjectes a prohibicions, restriccions o mesures de política comercial. | Procediments per a la gestió de mercaderies subjectes a requisits no fiscals. Establiment de rutines i procediments apropiats: Distinció entre les mercaderies subjectes a requisits de caràcter no fiscal i les altres mercaderies. Verificació de què les operacions es desenvolupen d'acord amb la legislació vigent (diferent de la fiscal). Gestió de les mercaderies subjectes a restriccions, prohibicions o embargaments, incloses les de doble ús. Tramitació de llicencies d'acord amb els requisits individuals. Formació per a potenciar la sensibilització del personal que s'ocupa de les mercaderies subjectes a requisits no fiscals. |
CAU - 3.5.4 |
2.8. Procediments relatius a la còpia de seguretat, a la recuperació normal i d'emergència i a l'arxiu (subsecció 3.6 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Requisits relatius al manteniment i arxive dels documents. |
Incapacitat d'emprendre oportunament una auditoria degut a la pèrdua d'informació o a deficiències en els arxius. Falta de procediments relatius a la còpia de seguretat. |
Presentació d'un certificat ISO 27001 que demostre uns estàndards elevats en l'àmbit de la seguretat de les TI. Procediments de comprovació de les còpies de seguretat i la recuperació. |
ISO 9001:2015, secció 6 ISO 27001:2013 Normes ISO relatives a la seguretat en l'àmbit de les TI |
2.9 Seguretat de la informació: Protecció dels sistemes informàtics (subsecció 3.7 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Disposicions generals | Accés no autoritzat o intrusió en els sistemes o programes informàtics de l'operador econòmic. |
Adopció i posada a disposició del personal d'una política de seguretat, procediments i normes en matèria de TU.
Tallafocs. |
CAU - 3.7 ISO 27001:2013 |
Disposicions generals | Destrucció deliberada o pèrdua d'informació important. | Pla de contingència en cas de pèrdua de dades. Procediments de còpia de seguretat en cas de pertorbació o falle dels sistemes. Procediments per a la supressió del dret d'accés. Procediments per a impedir l'ús de dispositius personals, com memòries USB, CD, DVD o uns altres perifèrics electrònics personals. Restricció de l'ús d'Internet als llocs que només són apropiats per a l'activitat comercial. |
ISO 28001:2007, secció A 3 ISO 27001:2013 |
2.10 Seguretat de la informació: Seguretat de la documentació (subsecció 3.8 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Disposicions generals | Ús indegut del sistema d'informació de l'operador econòmic que posa en situació de risc la cadena de subministrament. Destrucció deliberada o pèrdua d'informació important. |
Presentació d'un certificat ISO 27001 que demostre uns estàndards elevats en l'àmbit de la seguretat de les TI. Procediments per a l'accés autoritzat als documents. Arxive i emmagatzematge assegurança de documents. Procediments per a abordar els incidents i emprendre accions correctives. Registre i còpia de seguretat dels documents, inclòs l'escanejat. Pla de contingència per a gestionar les pèrdues. Possibilitat d'utilitzar programes de xifrat en cas necessari. Coneixement pels agents comercials de les mesures de seguretat en els desplaçaments (no consultar mai documents «sensibles» en mitjans de transport). Establiment de nivells d'accés a la informació estratègica d'acord amb les diferents categories del personal. Gestió segura dels ordinadors rebutjats. Acords amb socis comercials respecte de la protecció i l'ús de documentació. |
CAU - 3.8 ISO 28001:2007, secció A 4 ISO 27001:2013 |
Requisits de seguretat i protecció impostos a tercers | Ús indegut del sistema d'informació de l'operador econòmic que posa en situació de risc la cadena de subministrament. Destrucció deliberada o pèrdua d'informació important. |
Inclusió de requisits per a la protecció de dades en els contractes. Procediments per al control i l'auditoria dels requisits en els contractes. |
3. Solvència financera (secció 4 del CAU)
Criteri: Solvència financera demostrada [articles 39, lletra c), del CAU i 26 de l'AE CAU]
3.1. Solvència acreditada
Indicador | Descripció del risc | Possibles solucions | Referències |
Insolvència o incapacitat per a atendre compromisos financers | Vulnerabilitat financera que pot donar lloc en el futur a conductes d'incompliment. | Examen dels estats financers i els moviments financers del sol·licitant per tal d'avaluar la seua capacitat per a fer front als deutes legals. En la majoria dels casos, l'entitat bancària del sol·licitant podrà proporcionar informació sobre la solvència d'este últim. Procediments de seguiment interns per a evitar amenaces financeres. |
4. Requisits en matèria de protecció i seguretat (secció 6 del CAU)
Criteri: Nivells de seguretat i protecció adequats [articles 39, lletra e), del CAU i 28 de l'AE CAU]
4.1 Avaluació de la seguretat duta a terme per l'operador econòmic (autoavaluació)
Indicador | Descripció del risc | Possibles solucions | Referències |
Autoavaluació | Coneixement inadequat de les qüestiones relacionades amb la seguretat i la protecció en tots els departaments rellevants de l'empresa. | Autoavaluació de riscos i amenaces, revisió, actualització i documentació periòdiques de la mateixa. Identificació necessita els riscos en matèria de seguretat i protecció que es deriven de les activitats de l'empresa. Avaluació dels riscos relacionats amb la seguretat i la protecció (% de probabilitat o nivell de risc: baix/mitjà/alt). Certesa de què tots els riscos pertinents s'aborden amb mesures preventives i correctives. |
CAU - 6.1.2 ISO/PAS 28001:2007, secció A.4 Codi PBIP Apèndix 6-B «Llesta de control de validació per a expedidors coneguts», criteris de seguretat del transporte aeri per a Agent Acreditat / Expedidor Conegut |
Gestió de la seguretat i organització interna | Coordinació inadequada en matèria de protecció i seguretat dins de l'empresa del sol·licitant | Designació d'una persona encarregada amb autoritat suficient per a coordinar i executar les mesures de seguretat apropiades en tots els departaments pertinents de l'empresa. Adopció de procediments formals per a la gestió i el seguiment de cada activitat logística des del punt de vista de la seguretat i la protecció. Execució de procediments per a garantir la seguretat i la protecció de les mercaderies en vacances i altres situacions d'absència del personal assignat. |
CAU - 6.1.4 ISO 28001:2007, secció A.3 ISO 9001:2015, secció 5 Codi PBIP |
Procediments de control intern | Control inadequat de les qüestiones relacionades amb la protecció i la seguretat dins de l'empresa del sol·licitant | Execució de procediments de control intern dels procediments i les qüestiones relacionats amb la seguretat i la protecció. Procediments per al registre i la investigació d'incidents de seguretat, incloses la revisió de les avaluacions de riscos i amenaces i l'adopció d'accions correctives, si escau. |
CAU - 6.1.7 ISO 28001:2007, secciones A.3, A.4 Codi PBIP |
Procediments de control intern | Control inadequat de les qüestiones relacionades amb la protecció i la seguretat dins de l'empresa del sol·licitant | Possibilitat de què el registre s'efectue en un arxive que continga, per exemple, la data, l'anomalia observada, el nom de la persona que l'ha detectat, les mesures de resposta, la firma de la persona competent, etc. Posada del registre d'incidents de seguretat i protecció a disposició dels empleats de l'empresa. |
ISO 28001:2007, secciones A.3, A.4 Codi PBIP |
Requisits en matèria de protecció i seguretat destinats específicament a les mercaderies | Alteració de les mercaderies | Implementació d'un sistema de rastrege de mercaderies. Requisits especials quant a embalatge i emmagatzematge de les mercaderies perilloses. |
Codi PBIP |
4.2. Accés a les instal·lacions (subsecció 6.3 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Procediments per a l'entrada o l'accés de persones, vehicles, i mercaderies | Entrada o accés no autoritzats de vehicles, persones o mercaderies a les instal·lacions o als voltants de la zona de carrega i expedició. | Limitació màxima del nombre de vehicles amb accés a les instal·lacions. Per consegüent, ubicació de l'aparcament per al personal preferiblement fora del perímetre de seguretat. A més, obligació, si és possible, de què els camions esperen abans i després de la carrega en una àrea al marge fora de la zona de seguretat. Únicament els camions registrats obtindran accés a l'àrea de carrega, prèvia petició, a l'hora d'execució d'estes operacions. La utilització de targetes d'identificació és raonable. Hauran d'incloure una fotografia. En cas que no figure una foto, les targetes hauran d'indicar com a mínim el nom de l'operador o de les instal·lacions per a les quals és vàlida (risc d'abuse en cas de pèrdua). La utilització d'estes targetes ha de ser supervisada per una persona competent en esta matèria. Els visitants portaran targetes d'identificació temporals i estaran acompanyats en qualsevol moment. Les dades relatives a les entrades, inclosos els noms dels visitants i conductors, les hores d'arribada i eixida i el personal auxiliar, hauran de registrar-se i emmagatzemar-se en un formulari adequat (p. ex., un diari, un sistema de TI) i s'enumeraran. Les targetes no podran utilitzar-se dos vegades consecutives, per a evitar la seua utilització per un acompanyant. Control d'accés mitjançant codis: rutines per al canvi periòdic de codis. Les targetes d'identificació i els codis només seran vàlids durant l'horari laboral de cada empleat. Procediments normalitzats de retorne de totes les autoritzacions d'accés. L'empresa haurà d'acompanyar i supervisar als visitants per tal d'impedir qualsevol activitat no autoritzada. Els visitants hauran de portar les targetes d'identificació en un lloc visible. Parlar amb els desconeguts. Indumentària corporativa per a distingir als desconeguts. En cas de treball temporal (p. ex., tasques de manteniment), una llesta dels treballadors autoritzats de l'empresa subcontractada. |
CAU - 6.3 ISO 28001:2007, secció A.3 Codi PBIP |
Procediments operatius normalitzats en cas d'intrusió | Resposta inadequada davant la constatació d'una intrusió. | Execució de procediments aplicables a casos d'intrusió i accessos no autoritzats. Realització de proves d'intrusió i registre dels resultats i, en cas necessari, adopció d'accions correctives. Utilització d'informes d'incidents o altres formularis apropiats per a registrar els incidents i les accions empreses. Adopció de mesures correctives arran d'incidents relacionats amb l'accés no autoritzat. |
ISO 28001:2007, secció A.3 Codi PBIP |
4.3. Seguretat física (subsecció 6.2 del CAU)
Indicador | Descripció del risc | Possibles solucions | Referències |
Límits exteriors de les instal·lacions | Protecció inadequada de les instal·lacions contra la intrusió. | Quan escaiga, establiment d'un tancat perimetral de seguretat subjecte a inspecciones periòdiques per a comprovar la seua integritat i possibles danys i planificació del seu manteniment i reparació. Quan escaiga, establiment d'àrees controlades adequades únicament per al personal autoritzat, subjectes a mecanismes d'aprovació i control apropiats. Patrulles no sistemàtiques del personal de seguretat. |
CAU - 6.2 ISO 28001:2007, secció A.3 Codi PBIP |
Entrades i accessos | Existència d'entrades i accessos no vigilats. | Aplicació de mesures apropiades per a assegurar totes les entrades i accessos en ús, com un CCTV o sistemes de control d'accés (il·luminació, projectors, etc.). El CCTV només és útil si els gravacions són avaluables i admeten reacciones immediates. Si escau, execució de procediments per a garantir la protecció dels punts d'accés. |
ISO 28001:2007, secció A.3 Codi PBIP |
Dispositius de tancament | Dispositius de tancament inadequats de portes interiors i exteriors, finestres, entrades i reixes. |
Formulació d'instruccions i procediments sobre la utilització de claus a disposició del personal pertinent. Elaboració d'inventaris periòdics de claus i dispositius de tancament. |
CAU - 6.2.4 ISO 28001:2007, secció A.3 |
Il·luminació | Il·luminació inadequada de portes, finestres, portals i barreres, tant interiors com exteriors. | Il·luminació adequada en interiors i exteriors. Si escau, utilització de generadors de suport i fonts d'energia elèctrica alternatives per a garantir una il·luminació constant en cas d'interrupció del subministrament elèctric local. Existència de plans de manteniment i reparació dels equips. |
CAU - 6.2.4 |
Procediments d'accés a les claus | Absència de procediments adequats d'accés a les claus. Accés no autoritzat a les claus. |
Execució d'un procediment de control d'accés a les claus. Les claus hauran de lliurar-se únicament després del seu registre i es tornaran immediatament després de la seua utilització. La devolució de les claus també ha de registrar-se. |
ISO 28001:2007, secció A.3.3 |
Mesures de seguretat física interna | Accés inadequat a zones interiors de les instal·lacions. | Aplicació d'un procediment per a distingir les diferents categories d'empleats que hi ha en les instal·lacions (p. ex., jaquetes, targetes d'identificació). Accés controlat i personalitzat d'acord amb el lloc de cada empleat. |
ISO 28001:2007, secciones A.3, A.4 Codi PBIP |
Aparcament de vehicles privats | Absència de procediments adequats per a l'aparcament de vehicles privats. Protecció inadequada de les instal·lacions contra la intrusió. |
Màxima limitació del nombre de vehicles amb accés a les instal·lacions. Establiment de zones d'aparcament de vehicles especialment designades per a visitants i personal situades a distancia de les àrees de manipulació i emmagatzematge de les mercaderies. Identificació de riscos i amenaces associats a l'accés no autoritzat de vehicles privats a àrees protegides. Definició de normes i procediments per a l'accés de vehicles privats a les instal·lacions del sol·licitant. En cas que la zona d'aparcament dels visitants i la dels empleats no estiguen separades, els vehicles dels visitants hauran de portar una identificació. |
|
Manteniment de límits exteriors i edificis | Protecció inadequada de les instal·lacions contra la intrusió com a resultat d'un manteniment inapropiat. | Manteniment periòdic dels límits exteriors de les instal·lacions i els edificis tota vegada que es detecte una anomalia. | ISO 28001:2007, secció A.3 |