Yetkilendirilmiş Yükümlü Statüsü Gümrük işlemlerinin ve Ticaretin kolaylaştırılması

Transkript

1 Yetkilendirilmiş Yükümlü Statüsü Gümrük işlemlerinin ve Ticaretin kolaylaştırılması 10/01/2013 tarihinde Gümrük ve Ticaret Bakanlığı tarafından gümrük mevzuatıyla ilgili bir yönetmelik yayınlanmıştır. Bu yönetmelikte mevzuatından kaynaklanan basitleştirilmiş uygulamalara ilişkin usul ve esaslar belirlenmiştir. Kuruluşların basit ve güvenli ticaret yapmaları temel alınan bu yönetmelikle, ticaretin hızlandırılması hedeflenmiştir. İsterseniz bu yönetmelikle ilgili merak edilen konuları, Gümrük ve Ticaret Bakanlığının yayınladığı açıklayıcı bilgileri esas alarak biraz inceleyelim. Yetkilendirilmiş yükümlü statüsü nedir? Yetkilendirilmiş yükümlü, gümrük yükümlülüklerini yerine getiren, kayıt sistemi düzenli ve izlenebilir olan, mali yeterlilik, emniyet ve güvenlik standartlarına sahip bulunan, kendi oto kontrolünü yapabilen güvenilir firmalara gümrük işlemlerinde birtakım kolaylık ve imtiyazlar tanıyan uluslararası bir statüdür. Kimler yetkilendirilmiş yükümlü olabilir? Serbest Bölgeler dâhil Türkiye Gümrük Bölgesinde yerleşik, en az üç yıldır faaliyette bulunan gerçek ve tüzel kişiler ile kamu kurum ve kuruluşları yetkilendirilmiş yükümlü olabilir. Üç yıldan az süredir faaliyette bulunan kişilerin durumu ise Bakanlıkça ayrıca değerlendirilir. Yetkilendirilmiş yükümlü statüsünün sağladığı kolaylıklar nelerdir? a) Basitleştirilmiş Usullere İlişkin Kolaylıklar: İhracatta yerinde gümrükleme (ihracat eşyasını ihracat gümrük idaresine sunmadan işlemlerini kendi tesislerinden yapabilme), İzinli gönderici (transit eşyasını hareket gümrük idaresine sunmadan kendi tesislerinden sevk edebilme), Teminatlı işlemlerinde her bir işlem için ayrı teminat yerine götürü teminat uygulaması kapsamında tutarı önceden belirlenmiş süresiz ve düşümsüz teminat verebilme, Teminatlı işlemlerinde kısmi oranda teminat verebilme, Odalarca onay ve gümrük müdürlüklerince vize işlemlerine gerek kalmaksızın A.TR dolaşım belgesi düzenleyebilme, Eşyanın kıymetine bakılmaksızın Fatura Beyanı ve EUR.MED Fatura Beyanı düzenleyebilme, Eksik belgeyle beyanda bulunabilme, Eşya türüne göre sınırlama olmaksızın tam beyanlı yaygın basitleştirilmiş usulden (gümrük işlemlerinin, eşya taşıttan indirilmeden tamamlanması) yararlanabilme,

2 Gümrük Yönetmeliğiyle belirlenmiş eşyanın ithalinde 6 ay öncesine kadar alınmış tahlil raporu ibraz edebilme, Gümrük Yönetmeliğiyle belirlenmiş eşyayı tahlil sonuçları alınmadan teslim alabilme, Konşimentosu ibraz edilemeyen petrol ve türevlerini konşimento ibrazından önce teslim alabilme, Ayniyat tespitine ilişkin Bakanlıkça yapılacak farklı düzenlemelerden faydalanabilme. b) Emniyet ve Güvenliğe İlişkin Kolaylıklar: Azaltılmış zorunlu bilgilerden oluşan özet beyan verebilme, İthalatta ve ihracatta gümrük işlemlerinin eşyanın tesliminden önce fiziki muayene ve belge kontrolünün olmadığı hat olan mavi hatta işlem görebilme, Taşıt üstü işlemlerde de mavi hattan yararlanabilme, Daha az belge kontrolü veya muayeneye tabi tutulabilme, Belge kontrolü veya muayenenin yapılacak olması halinde, bu işlemleri öncelikle gerçekleştirebilme. Başvuru sırasında hangi belgeler istenir? Başvuru Formu Soru Formu Adli sicil belgeleri/beyan formları T.C uyruklu ve/veya Türkiye de ikamet eden yabancı uyruklu yönetim kurulu üyeleri, şirket sermayesinin yüzde onundan fazlasına sahip gerçek kişiler ile gümrük ve dış ticaret işlemlerinde temsil yetkisini haiz çalışanlar için resmi kuruma verilmek üzere alınan adli sicil belgeleri Varsa, sürekli olarak yurtdışında ikamet eden yabancı uyruklu yönetim kurulu üyeleri, şirket sermayesinin yüzde onundan fazlasına sahip gerçek kişiler ile gümrük ve dış ticaret işlemlerinde temsil yetkisini haiz çalışanlar için imzalı Beyan Formu. Borcu yoktur belgeleri Vergi borcu olmadığını gösterir yazı SGK prim borcu olmadığını gösterir yazı Mali durumunu gösteren YMM Raporu ISO 9001 ve ISO Sertifikaları

3 ISO Belgeleri Hangi Özellikte Olmalıdır? Başvuru sahibince başvuruya eklenecek ISO 9001 ve ISO Sertifikaları; Avrupa Akreditasyon Birliğinin karşılıklı tanıma anlaşmalarına imza atmış akreditasyon kurumları (örneğin Türkiye de Türk Akreditasyon Kurumu) tarafından akredite edilmiş uygunluk değerlendirme kuruluşlarınca düzenlenmiş olmalıdır. Akreditasyon kurumunun markasını taşımalıdır. Güncel olmalıdır. En son revize edilen standart serisine göre düzenlenmiş olmalıdır. (Örneğin; bu kitabın yayınlandığı tarih itibariyle ISO 9001:2008 ile ISO 27001:2005 güncel sertifikalardır.) Yetkilendirilmiş yükümlü sertifikası başvurusu tarihi itibariyle 3 yıldan eski olmamalıdır. Bu noktada, VERİCERT Belgelendirme gibi Belgelendirme kuruluşlarının, TÜRKAK gibi akredite bir kuruluştan akredite olmaları, ve belge üzerinde akreditasyon markası olması gerektiği özellikle belirtilmiştir. Ayrıca belge kapsamının, ilgili prosesleri ve alanları içermesi gerektiği, daha sonra çıkan tebliğlerde açıklanmıştır. Kuruluşların ISO/IEC Belgesi yapmaları gerekn hazırlıklar nelerdir? Ve bu standart neyi kapsamaktadır? ISO/IEC 27001:2005 Standardı ISO/IEC Standardı bir yönetim standardıdır. Nasıl ki ISO 9001 Standardı kuruluşun Kalite Yönetim Sistemi için gerekleri tarif eden, ISO kuruluşun Çevre Yönetim Sistemi için gerekleri tarif eden bir standarttır, ISO de kuruluşun Bilgi Güvenlik sistemi için gerekleri tarif eden bir yönetim sistemidir. Diğer yönetim sistemlerinde olduğu gibi gerekli dokümantasyonun hazırlanması ve bu dokümantasyonda tarif edilen uygulamaların kuruluş içinde gerçekleştirilerek kanıtlarının/kayıtlarının oluşturulması gerekmektedir. İsterseniz bu standart için en az oluşturulması gerekn dokümantasyona ve kayıtlara hızlı bir şekilde bakalım. ISO/IEC 27001:2005 için hazırlanması gereken zorunlu dokümantasyon Aşağıda ISO/IEC 27001:2005 standardına uyumluluk için gerekli minimum dokümantasyonu ve kayıtlar tarif edilmiştir. Dokümanlar BGYS Politikası ve hedefleri b), a) BGYS Kapsamı a), b) Risk değerlendirme metodolojisi c), d)

4 Dokümanlar Risk değerlendirme raporu e) Uygulanabilirlik bildirgesi j), i) Risk işleme planı b) ve c), f) Ölçüm kontrolleri etkililiğinin tarifi g) Doküman kontrol prosedürü Kayıtların kontrolü İç tetkik prosedürü 6 Düzeltici faaliyetler prosedürü 8.2 Önleyici faaliyetler prosedürü 8.3 Bilgi güvenliği politikası Varlık envanteri Kabul edilebilir varlık kullanımı Güvenlik rolü ve sorumluluklarının tanımı Bilgi teknolojileri için operasyon prosedürleri Erişim kontrol politikası Yasal ve sözleşmesel şartlar Kayıtlar BGYS nin etkililiği ve/veya performansı ile ilgili kayıtlar A.5.1.1* A.7.1.1* A.7.1.3* A.8.1.1* A * A * A * h) Yönetim kararları ile ilgili kayıtlar Önemli güvenlik olayları ile ilgili kayıtlar Eğitim, beceri, deneyimler ve yetkinlikler için kayıtlar d) İç denetim kayıtları 6 Gözden geçirme kayıtları 7.1 Düzeltici faaliyet kayıtları 8.2 Önleyici faaliyet kayıtları 8.3

5 Kayıtlar * Organizasyon tarafından, kontrollerin yapılmasını gerektirecek riskin oluşmadığı veya gerekliliklerin bulunmadığı yargısına varılırsa Ek A daki kontroller hariç tutulabilir. ISO/IEC 27001:2005 uygulanmasına dair kesin ve mutlak bir dokümantasyon listesi bulunmamakla birlikte, başka dokümantasyonun eklenerek bilgi güvenliğinin iyileştirilmesine, standart izin vermektedir. Zorunlu Dokümanları ve kayıtları nasıl yapılandıracaksınız? Bilgi Güvenliği Yönetim Sistemi (BGYS) Kapsamı Bu doküman kısa, basit ama ISO uygulamalarının en başında gelen dokümandır. Bütün yapı bu kapsama göre oluşturulacaktır. Bu doküman başlı başına hazırlanıp yayınlanacağı gibi, var olan herhangi bir dokümantasyonun içinde de yer alabilir. Örneğin BGYS Politikası veya BGYS El Kitabı BGYS Politikası ve hedefleri; Bilgi Güvenliği Politikası Bilgi Güvenliği Politikası genelde BGYS ni tarif eden üst seviye bir dokümandır. Kuruluşlar genellikle bunu ayrı bir doküman olarak yayınlarlar ve BGYS El Kitaplarının içine de yerleştirirler. Hedefler de aynı şekilde ayrı bir doküman olarak hazırlanmaktadır. Risk Değerlendirme Metodolojisi ve Raporu Risk değerlendirme metodolojisi normalde 4-5 sayfadan oluşan bir dokümandır. Risk değerlendirme ve risk işlenmesini kapsamaktadır. Risk değerlendirme raporu risk değerlendirmesi ve risklerin işlenmesinden sonra yazılmalı ve tüm sonuçlar özetlemelidir. Uygulanabilirlik Bildirgesi Uygulanabilirlik Bildirgesi genellikle risklerin işlenmesine göre oluşturulmaktadır. Bu doküman BGYS nin merkezinde yer almaktadır. Bu doküman sadece Ek A daki kontrollerden hangilerinin uygulanabilir olduğunu tarif etmemekte, aynı zamanda bunun nasıl uygulanacağı hakkında da bilgi vermektedir. Risk İşleme Planı Bu Uygulanabilirlik Bildirgesinde tarif edilen farklı kontrollerin nasıl uygulanacağını anlatan faaliyet planıdır. Uygulanabilirlik Bildirgesi temel alınarak geliştirilen bir dokümandır ve BGYS nin uygulanması esnasında aktif olarak kullanılmakta ve güncellenmektedir. Bazen bu plan bir proje planına da dahil edilebilir. Etkililik ölçümleri kontrollerinin tanımı Kontrollerin en kolay şekilde nasıl ölçüleceğinin tanımlanması gerekmektedir. Bu tanımlama politikalarda ve prosedürlerde tarif edilebilir. Normal olarak bu tanımlama her dokümanın altında yer alabilir. Yapılan bu tanımlamalarda, ölçüm yapılacak olan Anahtar Performans Göstergelerini işaret etmektedir. 3. tarafların yaptığı hizmetlerin kayıtları A * Kullanıcıların log kayıtları ve güvenlik olayları A *

6 Doküman Kontrol Prosedürü Bu genellikle 2-3 sayfalık bir prosedürdür. Eğer hali hazırda uyguladığınız ISO 9001, ISO gibi bir yönetim sistemi varsa aynı prosedürü bu standard içinde kullanabilirsiniz. Kayıtların Kontrolü Prosedürü Oluşturulan kayıtların nasıl kontrol edileceği, en kolay ilgili prosedürlerde veya politikalarda tanımlanabilir. Genellikle her bir dokümanın altında kayıt kontrolleri tarif edilir. Bu tarifte nasıl dosyalanacağı, kimlerin erişebileceği, nasıl korunacağı, ne kadar süreyle dosyalanacağı tarif edilebilir. İç Tetkik Prosedürü Bu genellikle 2-3 sayfalık bir prosedürdür. Eğer hali hazırda uyguladığınız ISO 9001 gibi bir yönetim sistemi varsa aynı prosedürü bu standard içinde kullanabilirsiniz. Düzeltici ve Önleyici Faaliyet Prosedürü Bu iki prosedür tek bir prosedür halde yazılabilir ve 2-3 sayfalık bir dokümantasyondan oluşur. Bu prosedür hali hazırda uyguladığınız bir yönetim sisteminde bulunan bir prosedür de olabilir. Eğer yazılı değilse sistem kurma projenizin en başında bu prosedürün yazılması personelin alışması açısından önemli olacaktır. Varlık Envanteri Eğer daha önce kuruluşunuzda bir envanter çalışması yapmadıysanız bu çalışmalar için kullanabileceğiniz en temel çalışma risk değerlendirme çalışmasıdır. Risk değerlendirmesi esnasında tüm varlıklar ve bunların sahiplerde belirlenmiş olacaktır. Güvenlik görevleri ve sorumlulukları Bunu tarif etmek için belirleyebileceğiniz en iyi yöntem, tüm ilgili dokümanlarınızda (prosedürlerinizde ve politikalarınızda) bunu tarif etmektir. Genel tabirlerden çok kesin tabirler kullanmaya dikkat ediniz. (Örn. Ağ güvenlik kontrolleri yapılmaktadır. yerine Ağ güvenlik kontrolleri her Pazartesi saat 9.00 da yapılır. gibi) Bazı firmalar güvenlik görev ve sorumluluklarını iş tanımlarında yapmayı tercih etmektedirler. Bilgi Teknolojileri için Çalışma Prosedürleri Bu dokümanı bazı politika ve prosedürlerde tanımlayabilirsiniz. Eğer küçük bir firmaysanız daha az çalışma prosedürünüz olacaktır. Normal olarak A.10 da bulunan tüm alanları dahil etmeniz gerekmektedir. Değişim yönetimi, 3. taraf hizmetler, yedekleme, ağ güvenliği, hata kodları, bertaraf etme ve yok etme, bilgi alış verişi, e-ticaret, sistem izleme vs. Bu dokümanı risk değerlendirmesini ve risk işleme prosesini tamamladıktan sonra yazmanız daha doğru olacaktır. Erişim Kontrol Politikası Bu dokümanda belirli bir türdeki bilgi ve sisteme erişimin kısıtlamaları tarif edilirken, teknik olarak nasıl yapıldığı ve iş birimlerinden hangilerinin ne tür kısıtlamalara maruz kalacağının da tarif edilmesi gerekmektedir. Ayrıca fiziksel erişim için kuralların tarif edilmesi gerekir. Risk değerlendirme ve risk işleme prosesleriniz tamamlandıktan sonra hazırlanması gerekmektedir. Yasal, düzenleyici ve sözleşmesel şartlar Bu liste sistem kurma çalışmalarında olabildiğince erken şekilde hazırlanmalıdır, çünkü birçok doküman bu doküman esas alınarak hazırlanacaktır. Bu dokümanda gerekli şartların nasıl karşılanacağına dair tanımlamaların yapılması gerekmektedir.

7 BGYS nin etkililiği ve performansı ile ilgili dokümanlar Etkililik ölçümleri kontrollerinin tanımı kısmında tanımlanan kurallara göre kayıtlar oluşturulmalıdır. Bu kuralları oluşturduktan sonra bütün kayıtları ilgili şekilde tutmanız gerekmektedir. Bunları değerlendirmeyle ilgili kişilere düzenli olarak rapor etmeniz gerekmektedir. Yönetim Kararları ile ilgili Kayıtlar Kayıtlar birçok farklı şekilde olabilir - toplantı tutanakları, e-postalar, uygulama değişiklikleri, politikalar, prosedürler vs. Burada önemli olan hangi kararı kimin vereceğinin belirtilmesidir. Önemli güvenlik olaylarının kayıt edilmesi Normal koşullar altında olayların kayıt edildiği bir kayıt ortamı olmalıdır ve buraya önemli güvenlik olayları kayıt edilmelidir - Bu görevi yerine getirmek için organizasyonda hangi bölümün uygun olduğu belirlenmesli ve görevlendirme yapılmalıdır. Eğitim, beceri, deneyim ve yetkinliklerin kayıtları Bu kayıtlar normal koşullarda İnsan Kaynakları veya Personel bölümünde tutulmaktadır. Genel olarak her personel için oluşturulacak bir dosyada bu dokümanlar tutulmalıdır. İç Tetkik Sonuçları Bir tetkikçi, bir İç tetkik raporu oluşturarak tetkik sırasında elde edilen bulguları (gözlemler ve düzeltici faaliyetler) kayıt altına almalıdır. İç tetkikin yapımasının ardından bu rapor yayınlanmalıdır. Yönetim Gözden Geçirmenin Sonuçları Bu kayıtlar genellikle toplantı tutanakları şeklinde oluşmaktadır. Yönetim gözden geçirmesi esnasında görüşülen tüm konuları eksiksik olarak bulundurmalıdır. Düzeltici ve Önleyici Faaliyetlerin Sonuçları Bunlar genellikle Düzeltici Faaliyet ve Önleyici Faaliyet formlarında bulunmaktadır. 3. tarafların yaptığı hizmetlerin kayıtları Bu kayıtlar esasen tedarikçileriniz, taşeronlarınız, iş ortaklarınız, müşterileriniz, kamu kuruluşlarının gerçekleştirdiği tüm faaliyetlerdir. Bunlar e-posta, rapor, kağıt dokümanlar olabilirler. Burada önemli olan herbir bilginin nerede olduğunun sistematik bir biçimde takip edilebilmesini sağlamaktır. Kullanıcıların log kayıtları ve güvenlik olayları Bunlar genelde iki şekilde tutulmaktadır (1) Bilgi Teknolojileri kullanılarak, dijital yapıda otomatik veya yarı otomatik şekilde üretilen loglar (2) kağıt şeklinde her bir kaydın elle yazılması sonucunda. Yukarda ISO/IEC 27001:2005 Belgesini almak isteyen firmaların yapması gerekenleri tarif etmeye çalıştık. Sadece minimum şartların tarif edildiği bu yazıyı referans alarak çalışmalarınıza başlayabilirsiniz. Bunun ardından sayfasında yer alan ve ücretsiz olarak uygulayabileceğiniz ISO/IEC Check-Listini kullanarak kuruluşunuzun denetime ne kadar hazır olduğu hakkında bilgi alabilirsiniz. Tüm kuruluşlara başarılar. Vericert Belgelendirme Fuad Almeman /Endüstri Mühendisi, Başdenetçi falmeman@vericert.com.tr