Pilier et axe central de notre action

* Ou «trois lignes de défense»: cadre applicable à l’échelon du groupe pour l’attribution des rôles, des responsabilités et des fonctions de contrôle au sein du système de Governance, Risk and Compliance Management (GRC)

Nos relations tant avec notre propriétaire qu’avec notre clientèle et nos partenaires sont basées sur la confiance, l’intégrité et le respect mutuel. Le conseil d’administration et la direction RUAG veillent à ce que nous agissions toujours dans le respect de nos valeurs ainsi que des prescriptions applicables et des directives internes en vigueur. Tout manquement ou négligence dans l’application de ces principes au profit de notre seul succès commercial serait en contradiction avec notre culture d’entreprise. RUAG accentue cette prise de conscience et place les domaines gestion des risques, compliance, sécurité de l’information de même que la santé, la sécurité et l’environnement (HSSE) au centre de son action.

La gestion des risques est une démarche systémique, qui a pour but de nous soutenir dans la réalisation de nos objectifs et de nos activités, ainsi que dans la conduite de notre entreprise à l’aide d’informations exhaustives, transparentes et actuelles sur les risques. Il s’agit d’améliorer la prédictibilité des événements et de renforcer la confiance de nos parties prenantes. Le compliance management englobe des activités ayant pour vocation de veiller au respect des règlements au sein de l’entreprise. La mise en oeuvre de directives contraignantes ainsi que de mesures, structures et processus ciblés doit garantir un comportement éthiquement correct et conforme aux règles applicables. Le Code de conduite de RUAG sert ici de base et de ligne directrice pour nos actions. La gestion de l’information et de la sécurité informatique constitue la base même de l’implémentation efficace et efficiente de notre stratégie globale de sécurité. La sécurité de l’information doit soutenir nos objectifs commerciaux en protégeant les informations et les infrastructures critiques de notre entreprise, ainsi que celles de notre clientèle, dans les domaines de la confidentialité, de l’intégrité et de la disponibilité. La santé, la sécurité et l’environnement (HSSE) comprend des activités dans le cadre de la sécurité au travail et de la protection de la santé du personnel ainsi que dans les domaines de la sécurité et de la protection de l’environnement.

Après son adoption fin 2021, la directive du groupe «GRC-Managementsystem» a été mise en oeuvre progressivement au cours de l’exercice 2022. L’élément central a été la mise en place de l’organisation GRC selon le modèle Three-Lines-of-Defense et la désignation des responsabilités définies dans les secteurs opérationnels (1st Line of Defense). Le système de reporting GRC harmonisé dans le cadre du système de gestion GRC a également été implémenté. Les rapports GRC permettent d’informer trimestriellement la direction, l’Audit & Risk Management Committee et le conseil d’administration sur la situation des risques à l’échelle du groupe et sur les activités en cours dans les différents secteurs GRC. Autre avancée: les GRC Boards nouvellement constitués ont été mis en place, avec la forme de reporting définie, aux échelons de management correspondants. Les GRC-boards jouent un rôle de trait d'’union entre le conseil d’administration ou l’Audit & Risk Management Committee et les secteurs opérationnels. L’un des points centraux dans le domaine GRC santé, sécurité et environnement (HSSE) a été l'élaboration de la nouvelle directive du groupe «Sécurité et environnement». Des mesures clés ont été initiées dans l’ensemble des domaines GRC afin d’augmenter la maturité et l’utilité du système de gestion GRC. En font partie notamment l’implémentation de mesures appropriées pour garantir la conformité avec la nouvelle loi suisse sur la protection des données ainsi que la création et la mise en place d’un IT Service Continuity Management (ITSCM) au sein du Business Continuity Management (BCM). Durant l’exercice écoulé, de nombreuses initiatives de formation et de sensibilisation ont été mises en oeuvre dans l’ensemble des secteurs GRC, comme le déploiement à l’échelle du groupe d’un module d’e-learning sur la protection des données, des formations sur la sécurité de l’information ou encore la répétition des campagnes de phishing.