IT Risk Officer - Senior IT Governance, Risk & Compliance – COBIT Solvabilité II

Description de mission

Consultant Senior IT Governance, Risk & Compliance (GRC) – COBIT / Solvabilité II

Date : 06/03/2026

Contexte client

Notre client est un acteur international de l'assurance, opéré dans un environnement fortement régulé (Solvabilité II, mais aussi DORA au niveau des fournisseurs, avec des contraintes comme SOC 2) et soumis à des exigences de conformité multi-régulateurs en Europe. Dans un contexte d'externalisation de la production et des opérations IT vers une entité de services interne, la Direction IT doit maintenir un dispositif robuste de gouvernance, de contrôle interne et de gestion des risques IT, tout en assurant la qualité des preuves de contrôle et des reportings réglementaires. La mission vise à renforcer l'équipe IT Governance afin de sécuriser les campagnes de contrôle, la maîtrise des risques et les interactions avec les auditeurs et régulateurs.

Contexte & Objectifs de mission

L'externalisation des activités IT (run, delivery et une partie des contrôles) accroît les enjeux de maîtrise des risques, de traçabilité et de redevabilité côté entité assurantielle. Dans ce cadre, la mission consiste à piloter et exécuter, en mode « hands-on », le dispositif de contrôle interne IT basé sur COBIT 5, à challenger la qualité des contrôles opérés par le prestataire intra-groupe, et à garantir la complétude des évidences (ToD/ToE) attendues par l'audit et les autorités.

Les objectifs clés sont :

• Sécuriser le scoping et l'exécution des campagnes de contrôle

• Renforcer la gestion des risques IT (identification, enregistrement, suivi des plans de remédiation)

• Fiabiliser les reportings Solvabilité II et la préparation aux revues des régulateurs (NBB/Belgique, FINMA/Suisse, BaFin/Allemagne, ACPR/France)

• Produire des synthèses exécutives claires pour les instances de gouvernance et le top management

Périmètre de la mission

• Piloter les campagnes de contrôle interne IT selon COBIT 5, incluant la préparation, l'animation et le suivi des plans d'action (approche Fit-Gap)

• Réaliser le scoping GRC dans l'outil Archer : qualification de la criticité des actifs, valorisation CIA (Confidentiality/Integrity/Availability), cartographie des contrôles (incluant contrôles TMC le cas échéant) et consolidation du périmètre de contrôle

• Vérifier la conception et l'efficacité opérationnelle des contrôles (ToD / ToE) dans l'outil ARA (Allianz Risk Assessment) et analyser la qualité des évidences associées

• Challenger les résultats, constats et justifications fournis par l'entité IT externalisée (prestataire intra-groupe) ; identifier les écarts, points de fragilité et risques résiduels

• Ouvrir, qualifier et suivre les risques IT dans Archer : formulation, évaluation, documentation, attribution des propriétaires, suivi des plans de mitigation et des échéances

• Contribuer aux reportings réglementaires Solvabilité II et aux supports de gouvernance : consolidation des éléments, contrôle de cohérence, préparation des réponses aux demandes des autorités (NBB, FINMA, BaFin, ACPR)

• Gérer les interactions avec les auditeurs internes/externes : préparation des walkthroughs, mise à disposition des preuves, suivi des recommandations et coordination des réponses

• Assurer la tenue et la qualité de la documentation via l'outil de gestion documentaire (SPO DMS) et, le cas échéant, contribuer aux outils de campagne de contrôle (ex. FeedGuardTool)

• Produire des livrables ad hoc à destination du top management et des comités (ex. one-pagers, synthèses ITSB/DRRC, tableaux de bord risques & contrôles, analyses d'écarts et plans de remédiation)

• Proposer des améliorations pragmatiques du dispositif (standardisation des évidences, rationalisation du scoping, clarification RACI, optimisation des cycles de contrôle) afin d'augmenter la robustesse et l'auditabilité

Profil recherché

Compétences techniques

• Maîtrise confirmée de COBIT 5 (non négociable) appliqué au contrôle interne et à l'IT Governance

• Pratique des démarches d'audit IT et de contrôle interne (ToD/ToE, testing, gestion des evidences, recommandations)

• Connaissance des exigences Solvabilité II et des attendus de conformité IT pour une entité assurantielle régulée

• Bonne culture des référentiels ITIL et NIST (appréciée pour la mise en perspective des contrôles)

• Expérience d'outils GRC (Archer fortement apprécié ; capacité à monter rapidement en compétence si non acquis)

• Expérience d'outils de risk assessment/contrôles et de gestion documentaire (ARA, SPO DMS ou équivalents fortement appréciés)

• Capacité à structurer des reportings risques/contrôles et à produire des supports exécutifs (dashboards, synthèses, one-pagers)

Compétences fonctionnelles

• Expérience significative (minimum 5 ans) en IT Risk, IT Governance, Internal Control ou IT Audit en banque/assurance

• Habitude de travailler dans des environnements multi-entités et/ou avec des activités IT externalisées (gestion de la redevabilité et du « challenge » prestataire)

• Aisance dans les interactions avec des parties prenantes senior (CIO, CISO, responsables risques, compliance, audit interne/externe)

• Compréhension des attentes régulateurs et capacité à préparer des éléments de réponse structurés (ACPR, NBB, FINMA, BaFin ou équivalents)

• Capacité à prioriser et à piloter un portefeuille d'actions (risques, contrôles, remédiations) avec rigueur de suivi

Qualités personnelles

• Profil « doer, rameur, hands-on », pas un rôle réduit à de la stratégie et de la vision d'ensemble : opérationnel, autonome et orienté exécution, capable de produire rapidement des résultats tangibles

• Forte proactivité et esprit de proposition (amélioration continue du dispositif, anticipation des points d'audit)

• Rigueur, sens du détail et exigence sur la qualité des preuves et de la documentation

• Excellentes capacités de communication, y compris face à des interlocuteurs très seniors ; assertivité constructive

• Anglais irréprochable (langue de travail au quotidien)

• Formation solide (grande école ou cursus équivalent) ; parcours cabinet fortement apprécié (Big4, Inspection Générale, ou cabinet de stratégie/finance reconnu type Ares & Co / Eight Advisory)

Modalités de mission

• Date de démarrage : 23 mars

• Durée : Renouvelable par trimestre

• Localisation : Paris La Défense

• Télétravail : 2 jours par semaine possibles

• TJM : Selon profil