29 Nov. 2022

IT & Cyber Permanent Control Officer

Description du poste

Contexte de la mission

L'équipe Gouvernance, Risque et Conformité de BNP Paribas Fortis (BNPPF) soutient l'IT et les Business Units dans la protection contre les risques opérationnels liés à l'IT et à la Cybersécurité. Dans ce contexte, les Permanent Control Officers aident le management et le personnel dans l'adoption et la mise en œuvre d'un cadre de contrôle permanent qui correspond le mieux à l'environnement et au profil de risque de la banque, toujours en accord avec les directives de deuxième ligne de défense du Groupe et de BNP Paribas Fortis.

Ce soutien couvre notamment :

  • L'identification et l'évaluation des risques que la direction opérationnelle et ses collaborateurs rencontrent du fait des activités dont ils sont responsables ;
  • La définition et la mise en œuvre des moyens pour maintenir ces risques dans des limites acceptables telles que définies par le Groupe ou l'Executive Committee de Fortis Banque SA ;
  • L'initiation et/ou le suivi de l'avancement de toutes les actions visant à réduire les risques résultant des recommandations de l'audit interne, des recommandations de l'audit externe et de celles déclenchées par le fonctionnement du cadre de contrôle permanent et des alertes émises par celui-ci.

Description de la fonction

En tant qu'agent de contrôle permanent informatique et cybernétique, vous exercerez les activités énumérées ci-dessous :

Identification et évaluation des risques (cartographie des risques).

  • Identifier les processus essentiels, les événements à risque applicables et les contrôles pertinents.
  • Réaliser les travaux d'identification et d'évaluation des risques (réunion d'experts, normalisation, obtention de la validation de la gestion).

Incidents potentiels

  • Définir et quantifier les incidents potentiels (analyse de scénario) sur la base de réunions d'experts, d'études théoriques relatives aux facteurs environnementaux et de contrôle interne et d'autres facteurs de quantification.
  • Obtenir la validation des incidents potentiels
  • Contribuer à la définition des plans d'action
  • Suivi des plans d'action

Incidents historiques

  • Traduire le cadre normatif en instructions opérationnelles (définition des seuils de collecte locaux, organisation de la collecte, etc.)
  • Identifier et accompagner les métiers pour enregistrer les incidents
  • Analyser l'incident avec le responsable opérationnel
  • Contribuer à la définition des plans d'action
  • Suivi des plans d'action
  • Réaliser les contrôles de premier niveau sur la collecte (comparaison avec les bases de données comptables ou autres, processus d'attestation, etc.) et la validation des incidents.

Contrôles

  • Coordonner la transposition des plans de contrôle génériques du Groupe et les mettre en œuvre
  • Étendre les plans de contrôle génériques en fonction de la cartographie des risques.
  • Assurer la mise en œuvre et l'exécution des contrôles (au sein ou en dehors de l'OPC)
  • Analyser et rendre compte des résultats des contrôles
  • Aider à la définition des plans d'action et au suivi de leur mise en œuvre.

Recommandations réglementaires et internes

  • Assurer l'organisation opérationnelle du suivi des recommandations et des actions de contrôle permanent
  • Gérer des rapports locaux et Groupe adaptés au public requis (opérationnel/exécutif)

Organisation et procédures

  • Assurer la mise en œuvre opérationnelle du processus de gestion des procédures
  • Définir les besoins en termes de procédures, notamment en fonction du cadre général.

Reporting

  • Définir et rendre compte de la surveillance permanente et de la gestion des risques opérationnels.
  • Capable de fournir des rapports détaillés / des aperçus ainsi qu'une vue d'ensemble sur différents sujets liés aux risques.
  • Capable de traduire un langage technique à un public non informaticien.
  • Présenter et faire valider les rapports consolidés par la direction générale.

Organes de gouvernance

  • S'assurer que les questions de contrôle permanent et de risque opérationnel sont traitées dans les organes de gouvernance de la première ligne de défense requise.
  • Soutenir l'informatique dans l'organisation des comités de nouvelles activités.

Exigences du poste

Exigences linguistiques

  • Néerlandais : bonne expression orale et écrite (facultatif)
  • Français : Parler et écrire couramment (obligatoire)
  • Anglais : Parler et écrire couramment (obligatoire)

Éducation

  • Master en informatique ou en sciences ou diplôme d'ingénieur, avec une solide expérience en informatique ou une expérience/compétences équivalentes prouvées dans le domaine.

Certification

  • (facultatif) ISO27001 / CISA / CISM / CISSP

Télétravail

  • Attente : 50% sur site et 50% en télétravail

Expérience / connaissances requises

  • 3-5 ans d'expérience en sécurité de l'information et en gestion des processus informatiques.

Expérience technique
obligatoire

  • 3 à 5 ans d'expérience dans les technologies et les processus informatiques et de sécurité.
  • 2 ans d'expérience en gestion des risques, preuve avérée de la capacité à effectuer des évaluations des risques informatiques et cybernétiques ;
  • Expérience dans l'élaboration de définitions de contrôle à partir des exigences, et dans l'exécution de procédures de test ;
  • Expérience dans la définition de métriques et la création de tableaux de bord ;
  • Bonne connaissance d'Excel (tableaux croisés dynamiques, formules) et de Word, PPT ;
  • Connaissance de la méthode Agile
  • Apprentissage rapide de l'utilisation d'une multitude d'outils de reporting / gestion des risques et de collaboration.

souhaitable

  • Expérience dans le développement et la mise en œuvre de politiques et/ou de processus dans le domaine informatique ;
  • Certifié ISO27001 / CISA / CISM / CISSP ;
  • Connaissance du cadre de contrôle NIST, des normes PCI, CIS20, SIG ;
  • Connaissance des outils GRC tels que RSA Archer ou Service Now GRC.

Expérience professionnelle
obligatoire

  • 2 à 5 ans d'expérience dans des environnements informatiques et de sécurité de l'information ;
  • Expérience dans l'interprétation et l'examen des contrôles concernant les exigences réglementaires, les normes ISO/IEC (ex : 27001 Information Security Management Standard,...), les lois et règlements ;
  • Capacité à comprendre rapidement les flux de processus de bout en bout et les besoins de contrôle ;
  • Expérience dans l'établissement de rapports, la rédaction de mémos et la réalisation de présentations destinées aux cadres supérieurs.

souhaitable

  • La préférence sera donnée aux candidats qui ont une bonne connaissance / expérience pratique de différentes entités bancaires / processus si possible.

Compétences générales

  • Autonomie, attitude proactive, esprit d'équipe ;
  • Excellentes compétences rédactionnelles en anglais ;
  • Bonnes capacités de communication et d'influence ; capacité à saisir et à s'adapter aux attentes des parties prenantes tout en maintenant la conformité avec les processus bancaires ;
  • Bonnes capacités d'analyse et de synthèse, capacité à produire des documents structurés et concis ; précis et méthodologique ;
  • Expérience avérée de la capacité à coordonner de/collaborer avec différentes équipes et ressources externes.
  • Capacité à travailler dans un environnement dynamique et multiculturel ;
  • Autonomie, engagement et persévérance dans l'organisation personnelle ;
  • Orienté vers les résultats et le temps ; très performant.

Lieu

Brussel(s)/Bruxelles

Les visiteurs de cette page ont aussi vu :

COTRAIN utilise des cookies pour enregistrer certaines préférences et pour aligner les offres à vos intérêts.