La pietra angolare e il centro delle nostre azioni
Il sistema di gestione della governance, dei rischi e della conformità (GRC) è la pietra angolare e il centro di tutto ciò che facciamo. L'organizzazione del sistema di gestione GRC e le relative attività e responsabilità si basano sul modello delle tre linee di difesa*.
* Quadro normativo a livello di Gruppo per l'assegnazione di ruoli, responsabilità e funzioni di controllo nell'ambito del sistema di gestione della governance, dei rischi e della compliance (GRC)
Per RUAG i rapporti con la proprietà, i clienti e i partner si basano su fiducia, integrità e rispetto reciproco. Il Consiglio di amministrazione e la Direzione generale si impegnano a garantire una condotta sempre in linea con i nostri valori e in conformità con le normative vigenti e le linee guida interne. Trascurare o ignorare questi principi a favore del successo commerciale è contrario alla nostra cultura aziendale. RUAG promuove questa consapevolezza e si concentra sulla gestione del rischio, sulla conformità, sulla sicurezza delle informazioni e sulla salute, sicurezza e ambiente (HSSE).
La gestione del rischio comprende la gestione coerente dei rischi al fine di supportare il raggiungimento degli obiettivi, l'adempimento dei compiti e la gestione dell'azienda con informazioni complete, trasparenti e aggiornate sui rischi. L'obiettivo è migliorare la prevedibilità degli eventi e rafforzare la fiducia dei nostri stakeholder. La gestione della conformità comprende le attività volte a garantire la conformità alle norme all'interno dell'azienda. Requisiti vincolanti e misure mirate, strutture e processi sono concepiti per garantire un comportamento eticamente corretto e conforme. Il Codice di Condotta RUAG costituisce la base e le linee guida delle nostre azioni. La gestione della sicurezza informatica e delle informazioni costituisce la base per un'implementazione efficiente ed efficace della strategia di sicurezza olistica. La sicurezza delle informazioni è orientata a sostenere gli obiettivi aziendali e a proteggere le informazioni e le infrastrutture critiche nostre e dei nostri clienti in termini di riservatezza, integrità e disponibilità. Salute, sicurezza e ambiente (HSSE) comprende le attività relative alla salute e alla sicurezza sul lavoro dei dipendenti, nonché alla sicurezza e alla tutela dell'ambiente.
Dopo l'adozione della direttiva del Gruppo "Sistema di gestione GRC" alla fine del 2021, la sua graduale attuazione è avvenuta nell'esercizio 2022. L'istituzione dell'organizzazione GRC secondo il modello delle tre linee di difesa e la designazione delle responsabilità definite nelle aree operative (prima linea di difesa) sono state fondamentali. Inoltre, è stato implementato il sistema di reporting GRC, standardizzato nel corso del sistema di gestione GRC. Grazie al sistema di reporting GRC, il Comitato esecutivo, il Comitato di revisione e gestione dei rischi e il Consiglio di amministrazione sono informati su base trimestrale sulla situazione dei rischi a livello di Gruppo e sulle attività in corso nelle singole aree GRC. Inoltre, i consigli GRC di recente costituzione sono stati istituiti ai livelli dirigenziali appropriati con il formato di reporting stabilito. I consigli GRC fungono da collegamento tra il Consiglio di amministrazione o il Comitato di revisione e gestione dei rischi e le unità operative. Nell'area GRC Salute, sicurezza e ambiente (HSSE), uno dei punti focali è stato lo sviluppo della nuova direttiva del Gruppo "Sicurezza e ambiente". In tutte le aree GRC sono state avviate misure chiave per aumentare ulteriormente la maturità e i benefici del sistema di gestione GRC. Tra queste, l'implementazione di misure appropriate per garantire la conformità alla nuova legge svizzera sulla protezione dei dati, nonché lo sviluppo e l'implementazione di un IT Service Continuity Management (ITSCM) come parte del Business Continuity Management (BCM). In tutte le aree GRC, nell'ultimo esercizio sono state attuate anche numerose iniziative di formazione e sensibilizzazione, come l'introduzione a livello di Gruppo di un modulo di e-learning sul tema della "protezione dei dati", la formazione sulla sicurezza delle informazioni o la rinnovata attuazione di campagne di phishing.