Grundpfeiler und Zentrum unseres Handelns
Das Governance-, Risk- und Compliance-Managementsystem (GRC) bildet den Grundpfeiler und das Zentrum unseres Handelns. Die Organisation des GRC-Managementsystems und die damit verbundenen Aktivitäten und Verantwortlichkeiten richten sich nach dem Three-Lines-of-Defense-Modell*.
* Konzernweiter Ordnungsrahmen für die Zuordnung der Rollen, Verantwortlichkeiten und Kontrollfunktionen innerhalb des Governance-, Risk- und Compliance-Managementsystems (GRC)
Für RUAG basieren Beziehungen sowohl mit dem Eigner als auch mit unseren Kunden und Partnern auf Vertrauen, Integrität und gegenseitigem Respekt. Der Verwaltungsrat und die Geschäftsleitung setzen sich dafür ein, dass wir uns stets in Übereinstimmung mit unseren Werten und im Einklang mit den anwendbaren Vorschriften und internen Richtlinien verhalten. Eine Vernachlässigung oder Missachtung dieser Grundsätze zugunsten geschäftlicher Erfolge steht im Widerspruch zu unserer Unternehmenskultur. RUAG fördert dieses Bewusstsein und stellt die Bereiche Risikomanagement, Compliance, Informationssicherheit sowie Gesundheit, Sicherheit und Umwelt (HSSE) ins Zentrum.
Das Risikomanagement umfasst den konsistenten Umgang mit Risiken, um die Zielerreichung, die Aufgabenerfüllung sowie die Führung des Unternehmens mit umfassenden, transparenten und aktuellen Risikoinformationen zu unterstützen. Ziel ist es, die Vorhersehbarkeit von Ereignissen zu verbessern und das Vertrauen unserer Anspruchsgruppen zu stärken. Das Compliance Management umfasst Aktivitäten zur Sicherstellung der Regelkonformität innerhalb des Unternehmens. Verbindliche Vorgaben sowie gezielte Massnahmen, Strukturen und Prozesse sollen ein ethisch korrektes und regelkonformes Verhalten gewährleisten. Der RUAG Verhaltenskodex stellt dabei die Grundlage und die Richtlinie für unser Handeln dar. Das Informations- und IT- Sicherheitsmanagement bildet die Basis für eine effiziente und effektive Umsetzung der ganzheitlichen Sicherheitsstrategie. Die Informationssicherheit ist darauf ausgerichtet, die Geschäftsziele zu unterstützen und Informationen sowie unsere eigene wie auch die kritische Infrastruktur unserer Kunden in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit zu schützen. Gesundheit, Sicherheit und Umwelt (HSSE) beinhaltet Aktivitäten im Rahmen der Arbeitssicherheit und des Gesundheitsschutzes der Mitarbeitenden sowie in den Bereichen Sicherheit und Umweltschutz.
Nach der Verabschiedung der Konzernweisung «GRC- Managementsystem » Ende 2021 erfolgte im Geschäftsjahr 2022 deren schrittweise Implementierung. Zentral war hierbei die Etablierung der GRC-Organisation gemäss dem Three-Linesof-Defense-Modell und die Benennung der definierten Verantwortlichkeiten in den operativen Bereichen (1st Line of Defense). Weiter konnte das im Zuge des GRC-Managementsystems vereinheitlichte GRC-Berichtswesen umgesetzt werden. Durch die GRC-Berichterstattung werden die Geschäftsleitung, das Audit & Risk Management Committee sowie der Verwaltungsrat vierteljährlich über die konzernweite Risikolage und über die laufenden Aktivitäten in den einzelnen GRC-Bereichen unterrichtet. Auch wurden die neu konstituierten GRC-Boards auf den entsprechenden Managementstufen mit der festgelegten Berichtsform eingerichtet. Die GRC-Boards agieren als Bindeglied zwischen dem Verwaltungsrat bzw. Audit & Risk Management Committee und den operativen Geschäftsbereichen. Im GRC-Bereich Gesundheit, Sicherheit und Umwelt (HSSE) bildete die Erarbeitung der neuen Konzernweisung «Sicherheit & Umwelt» einen der Schwerpunkte. In sämtlichen GRC-Bereichen wurden Schlüsselmassnahmen initiiert, um die Maturität und den Nutzen des GRC Managementsystems weiter steigern zu können. Zu diesen gehören u.a. die Implementierung angemessener Massnahmen zur Sicherstellung der Compliance mit dem neuen Datenschutzgesetz der Schweiz sowie der Aufbau und die Implementierung eines IT Service Continuity Managements (ITSCM) im Rahmen des übergeordneten Business Continuity Managements (BCM). In allen GRC-Bereichen wurden auch im letzten Geschäftsjahr zahlreiche Schulungs- und Awareness-Initiativen umgesetzt wie das konzernweite Ausrollen eines E-Learning-Moduls zum Thema «Datenschutz», Informationssicherheits- Schulungen oder die erneute Durchführung von Phishing-Kampagnen.