IT RIsk Officer

Une compagnie d’assurance internationale a externalisé une partie de ses services informatiques (infrastructure et développement d’applications métiers) auprès d’une entité IT du groupe.

En tant qu’acteur réglementé du secteur de l’assurance, l’organisation doit se conformer à un cadre réglementaire prudentiel exigeant, nécessitant la mise en place d’un dispositif robuste de gestion des risques liés aux systèmes d’information et aux applications.

Missions principales

• Mettre en œuvre et maintenir le cadre de contrôle informatique interne
• Déployer des processus de contrôle interne permettant de surveiller efficacement les applications du système d’information
• Interagir avec les différents prestataires et fournisseurs IT afin de s’assurer de la conformité et de l’efficacité des contrôles réalisés de leur côté
• Participer au déploiement d’un processus de gestion des risques IT basé sur un framework reconnu de gouvernance IT

Coordonner les relations avec les différentes parties prenantes internes et externes :

• équipes risques
• audit interne
• auditeurs externes
• autorités de régulation

Assurer le suivi des recommandations issues des campagnes de contrôle et des plans d’actions associés

Suivre la mise en œuvre des mesures de remédiation ou d’acceptation du risque, qualifier les contrôles réalisés et contester ou challenger les résultats des campagnes de contrôle lorsque nécessaire.

Gestion du périmètre de contrôle

• Déployer les processus de classification et de criticité des actifs IT
• Identifier les exigences de sécurité (confidentialité, intégrité, disponibilité) et les contrôles associés
• Mettre en œuvre les contrôles IT couvrant notamment les domaines suivants :

Opérations informatiques :

• gestion des actifs IT
• gestion des changements
• gestion des incidents et des problèmes
• gestion des sauvegardes
• gestion des configurations
• gestion des infrastructures et serveurs

Gouvernance, risques et conformité :

• gestion de l’architecture d’entreprise
• gestion des risques liés aux systèmes d’information
• gestion des contrôles internes
• conformité réglementaire
• gestion budgétaire IT
• gestion des fournisseurs IT
• gestion des solutions applicatives

Activités de contrôle et d’audit

• Réaliser des analyses d’écart (fit-gap) sur les contrôles IT
• Vérifier les preuves de contrôle fournies par les prestataires IT
• Qualifier les contrôles réalisés (design et efficacité opérationnelle)
• Collecter des preuves complémentaires et déployer des actions correctives pour les contrôles déficients
• Suivre la mise en œuvre des mesures de remédiation ou d’acceptation du risque

Reporting et conformité réglementaire

• Contribuer à la production des rapports réglementaires liés aux risques IT
• Participer à la préparation des reportings réglementaires liés au cadre prudentiel applicable aux assurances
• Produire des livrables synthétiques à destination du management (analyses de contrôle, synthèses de campagnes, documents de gouvernance IT)

Support et coordination

• Apporter un support aux équipes opérationnelles et aux responsables des actifs IT
• Gérer certains outils documentaires et processus de gestion documentaire liés à la gouvernance IT
• Analyser et mettre en œuvre les contrôles liés aux rapports d’audit de type assurance sur les prestataires IT