It risk officer - consultant senior it governance, risk & compliance (grc) – cobit / solvabilité ii

Description de mission

Consultant Senior IT Governance, Risk & Compliance (GRC) –

COBIT / Solvabilité II

06/03/2026

Contexte client

Notre client est un acteur international de l’assurance, opéré dans un environnement fortement

régulé (Solvabilité II, mais aussi DORA au niveau des fournisseurs, avec des contraintes comme

SOC 2) et soumis à des exigences de conformité multi-régulateurs en Europe. Dans un contexte

d’externalisation de la production et des opérations IT vers une entité de services interne, la

Direction IT doit maintenir un dispositif robuste de gouvernance, de contrôle interne et de

gestion des risques IT, tout en assurant la qualité des preuves de contrôle et des reportings

réglementaires. La mission vise à renforcer l’équipe IT Governance afin de sécuriser les

campagnes de contrôle, la maîtrise des risques et les interactions avec les auditeurs et

régulateurs.

Contexte & Objectifs de mission

L’externalisation des activités IT (run, delivery et une partie des contrôles) accroît les enjeux de

maîtrise des risques, de traçabilité et de redevabilité côté entité assurantielle. Dans ce cadre, la

mission consiste à piloter et exécuter, en mode « hands-on », le dispositif de contrôle interne IT

basé sur COBIT 5, à challenger la qualité des contrôles opérés par le prestataire intra-groupe, et

à garantir la complétude des évidences (ToD/ToE) attendues par l’audit et les autorités. Les

objectifs clés sont : (i) sécuriser le scoping et l’exécution des campagnes de contrôle, (ii)

renforcer la gestion des risques IT (identification, enregistrement, suivi des plans de

remédiation), (iii) fiabiliser les reportings Solvabilité II et la préparation aux revues des

régulateurs (NBB/Belgique, FINMA/Suisse, BaFin/Allemagne, ACPR/France), et (iv) produire des

synthèses exécutives claires pour les instances de gouvernance et le top management.Périmètre de la mission

- Piloter les campagnes de contrôle interne IT selon COBIT 5, incluant la préparation,

l’animation et le suivi des plans d’action (approche Fit-Gap).

- Réaliser le scoping GRC dans l’outil Archer : qualification de la criticité des actifs, valorisation

CIA (Confidentiality/Integrity/Availability), cartographie des contrôles (incluant contrôles

TMC le cas échéant) et consolidation du périmètre de contrôle.

- Vérifier la conception et l’efficacité opérationnelle des contrôles (ToD / ToE) dans l’outil ARA

(Allianz Risk Assessment) et analyser la qualité des évidences associées.

- Challenger les résultats, constats et justifications fournis par l’entité IT externalisée

(prestataire intra-groupe) ;
identifier les écarts, points de fragilité et risques résiduels.

- Ouvrir, qualifier et suivre les risques IT dans Archer : formulation, évaluation,

documentation, attribution des propriétaires, suivi des plans de mitigation et des échéances.

- Contribuer aux reportings réglementaires Solvabilité II et aux supports de gouvernance :

consolidation des éléments, contrôle de cohérence, préparation des réponses aux

demandes des autorités (NBB, FINMA, BaFin, ACPR).

- Gérer les interactions avec les auditeurs internes/externes : préparation des walkthroughs,

mise à disposition des preuves, suivi des recommandations et coordination des réponses.

- Assurer la tenue et la qualité de la documentation via l’outil de gestion documentaire (SPO

DMS) et, le cas échéant, contribuer aux outils de campagne de contrôle (ex.

FeedGuardTool).

- Produire des livrables ad hoc à destination du top management et des comités (ex. one-

pagers, synthèses ITSB/DRRC, tableaux de bord risques & contrôles, analyses d’écarts et

plans de remédiation).

- Proposer des améliorations pragmatiques du dispositif (standardisation des évidences,

rationalisation du scoping, clarification RACI, optimisation des cycles de contrôle) afin

d’augmenter la robustesse et l’auditabilité.

Profil recherché

Compétences techniques :

- Maîtrise confirmée de COBIT 5 (non négociable) appliqué au contrôle interne et à l’IT

Governance

- Pratique des démarches d’audit IT et de contrôle interne (ToD/ToE, testing, gestion des

evidences, recommandations) - Connaissance des exigences Solvabilité II et des attendus de conformité IT pour une entité

assurantielle régulée

- Bonne culture des référentiels ITIL et NIST (appréciée pour la mise en perspective des

contrôles)

- Expérience d’outils GRC (Archer fortement apprécié ;
capacité à monter rapidement en

compétence si non acquis)

- Expérience d’outils de risk assessment/contrôles et de gestion documentaire (ARA, SPO DMS

ou équivalents fortement appréciés)

- Capacité à structurer des reportings risques/contrôles et à produire des supports exécutifs

(dashboards, synthèses, one-pagers)

Compétences fonctionnelles :

- Expérience significative (minimum 5 ans) en IT Risk, IT Governance, Internal Control ou IT

Audit en banque/assurance

- Habitude de travailler dans des environnements multi-entités et/ou avec des activités IT

externalisées (gestion de la redevabilité et du « challenge » prestataire)

- Aisance dans les interactions avec des parties prenantes senior (CIO, CISO, responsables

risques, compliance, audit interne/externe)

- Compréhension des attentes régulateurs et capacité à préparer des éléments de réponse

structurés (ACPR, NBB, FINMA, BaFin ou équivalents)

- Capacité à prioriser et à piloter un portefeuille d’actions (risques, contrôles, remédiations)

avec rigueur de suivi

Qualités personnelles :

- Profil « doer, rameur, hands-on », pas un rôle réduit à de la stratégie et de la vision

d’ensemble : opérationnel, autonome et orienté exécution, capable de produire rapidement

des résultats tangibles

- Forte proactivité et esprit de proposition (amélioration continue du dispositif, anticipation

des points d’audit)

- Rigueur, sens du détail et exigence sur la qualité des preuves et de la documentation

- Excellentes capacités de communication, y compris face à des interlocuteurs très seniors ;

assertivité constructive

- Anglais irréprochable (langue de travail au quotidien) - Formation solide (grande école ou cursus équivalent) ;
parcours cabinet fortement apprécié

(Big4, Inspection Générale, ou cabinet de stratégie/finance reconnu type Ares & Co / Eight

Advisory)

Modalités de mission

- Date de démarrage : 23 mars

- Durée : Renouvelable par trimestre

- Localisation : Paris La Défense

- Télétravail : 2 jours par semaine possibles

- TJM : Selon profil