La banque d'un monde qui change

Nous recherchons un

Spécialiste sénior en évaluation des risques TIC

Horaires Temps plein
Métier Risques
Marque BNP Paribas
Niveau d'expérience 6 à 10 ans
Niveau d'études Niveau BAC+2/3
Postuler REF: RISK-031019-001-CR

RATTACHEMENT

• Responsable Technologies émergentes & Gouvernance, Amériques

MISSION ET OBJECTIFS

 Le département des Risques liés aux Technologies de l’information et communication (ICT) fait partie de la fonction Groupe Risque au sein de BNP Paribas. Il s’agit de la 2e ligne de défense sous le Chef des risques technologiques et cyber de la banque. Le département a pour responsabilité d’identifier les risques technologiques clés et d’influencer ses partenaires d’affaires et technologiques afin de prendre des décisions judicieuses en matière de gestion des risques. Ceci est accompli en effectuant :
 
• Évaluations des risques liés aux applications et à l'infrastructure, en collaboration avec les équipes de gestion et de technologie, afin d'identifier les problèmes de sécurité des systèmes existants et nouveaux, et de convenir des actions correspondantes pour atténuer ou accepter les risques. Suivi des problèmes et actions convenues jusqu'à leur achèvement.
• Évaluation horizontale des risques: Évaluer les risques technologiques liés à un projet, à un thème ou à une technologie de grande envergure dans l'ensemble de l'organisation. Des exemples pourraient être les évaluations du processus de modification de pare-feu, le traitement des applications de plus de 5 millions de dollars par jour, les applications hébergées dans le cloud, etc.
• Évaluations verticales des risques: évaluer les risques pour un produit, un service, une technologie ou une infrastructure. Par exemple, nous pouvons effectuer une évaluation verticale de notre solution de travail à distance (y compris infrastructure, applications, données, menaces, etc.) ou de notre connectivité Internet.
• Évaluation des risques stratégiques: évaluation des risques dans les plans stratégiques des entités du groupe.
• Partenariat avec les équipes Affaires et Technologiques pour les aider à comprendre leur profil de risque technologique et influencer leurs décisions en matière de gestion des risques.
• Analyse récurrente de la maturité des contrôles sur toutes les entités du groupe.

  

RESPONSABILITÉS PRINCIPALES

 Impliqué dans la gestion et l’amélioration du développement et de la mise en œuvre du programme mondial d’évaluation des risques liés aux TIC, le candidat possédera une solide expérience dans l’élaboration et la mise en œuvre de programmes d’évaluation des risques dans des organisations mondiales, avec une solide connaissance de la technologie, des risques, des architectures et des outils associés. Une expérience préalable des risques liés aux TIC (informatique, cyber, vendeurs, etc.) est requise.

L’individu élaborera, utilisera et communiquera les modèles de mission d’évaluation des risques afin de s’assurer que les considérations liées aux risques liés aux TIC sont prises en compte dans toutes les opérations de la banque.

Il s’agit d’un rôle de start-up qui aidera à créer la fonction et le programme de pilotage d’une équipe de 10 personnes dans le monde. Il est nécessaire de regrouper certaines des autres fonctions de gestion des risques opérationnels, informatiques et cybernétiques existantes d'autres groupes dans celui-ci et de les déployer dans l'ensemble de l'entreprise. Un influenceur et un bâtisseur de relations de confiance capable de vendre une proposition de valeur est donc important. Les compétences en matière de négociation et de gestion des conflits sont un impératif absolu. La Banque est en train de procéder à une réorganisation / transformation technique et opérationnelle importante, comprenant des fonctions d'impartition, de rationalisation et de réingénierie des applications. Le candidat participera à cet effort en procédant à une évaluation indépendante des risques liés à ces projets et présentera ses conclusions au conseil d’administration et aux comités de direction. Une excellente présentation et une excellente présence sont donc nécessaires. Expérience d'interaction avec les organismes de réglementation est requise.


Environnement de gestion des risques:
• Évaluations: Participe à l'identification et à l'évaluation des risques opérationnels qui doivent être efficacement mis en œuvre dans l'ensemble de l'organisation en mettant en corrélation les données des constatations d'audit, de la collecte et de l'analyse de données sur les pertes internes, de la collecte et de l'analyse de données externes, d'auto-évaluations du contrôle des risques, de la cartographie des processus métiers, KPI & KRI, Analyse de scénario, Mesure quantifiée et Analyse comparative.
• Surveillance et reporting: Participe à la mise en œuvre d'un processus permettant de surveiller régulièrement les profils de risque opérationnel et l'exposition significative aux pertes et fournit des mécanismes de reporting appropriés au conseil d'administration, à la direction et aux secteurs d'activité. La saisie des données et les rapports sur les risques opérationnels devraient être améliorés en permanence et fournir une boucle de rétroaction pour améliorer les politiques, procédures et pratiques de gestion des risques.
• Contrôle et atténuation: Améliore l'efficacité du programme de contrôles internes en examinant l'environnement de contrôle, évalue les risques liés aux processus, aux activités de contrôle, aux activités d'information et de communication et de surveillance. Évalue les stratégies de réponse aux risques opérationnels. Valide les options de transfert de risque. Participe au développement de la culture du risque dans l'entreprise. Mesurer périodiquement la conception et l'efficacité des contrôles.
 

Divulgation des risques:
• Fournit des mises à jour sur les informations réglementaires et financières tout en respectant les normes de communication externes et réglementaires et en décrivant le cadre de gestion des risques opérationnels de la banque d'une manière conforme à la politique de publicité officielle approuvée par le conseil d'administration.
• Participe à la détermination des informations à fournir sur les risques opérationnels et aux contrôles internes sur le processus de divulgation. Met en œuvre un processus visant à évaluer le caractère approprié des informations à fournir, notamment la vérification et la fréquence.


Gouvernance et surveillance:
• Participe à la mise en place du programme d'évaluation des risques informatiques et cybernétiques de la banque selon le modèle des trois lignes de défense, conformément au cadre de gestion des risques du groupe.
• Participe à la mise en œuvre et à la communication efficaces des politiques et directives de gestion des risques opérationnels.
• Fournir un soutien aux autres équipes en ce qui concerne la gestion des risques liés à la sécurité et à la technologie des systèmes et applications centraux.
• Participe à la supervision de l'infrastructure de gestion des risques opérationnels et s'assure que les pratiques sont conformes aux attentes réglementaires et aux bonnes pratiques de l'industrie.
• Fournit des services de conseil en gestion des risques informatiques et cybernétiques aux groupes commerciaux, techniques et opérationnels.
• Participer aux comités de gouvernance de la gestion des risques appropriés et organiser les ordres du jour selon les besoins.
• Participe au modèle de surveillance pour les projets de transformation informatique et des opérations, y compris l’examen des principaux partenaires d’externalisation.


FORMATION ET EXPÉRIENCE

• 8 à 15 ans d'expérience de la sécurité de l'information, en particulier dans l'évaluation des risques, les évaluations par des tiers et les technologies.
• Une formation pertinente sur la sécurité de l'information (diplôme universitaire, CISA, CISSP, CISM, CRISC, ITIL);
• Connaissance de la réglementation applicable au secteur financier (ex : Basel, ECB, AMF, FSA, FFIEC, SMA, HKMA, FED, CNI, EBA…);
• Connaissance des cadres de contrôle (COSO, Cobit…);
• Compréhension approfondie des normes et directives ISO27005 / ISO31000 et de la série ISO 2700X dans son ensemble;
• Une bonne compréhension de l'infrastructure technologique à grande échelle et de l'architecture des systèmes d'information;
• Excellente compréhension des technologies émergentes: CLOUD, IoTs, etc.
• Une expérience dans le secteur des services financiers est indispensable.
• Expérience avec les outils de GRC et autres systèmes d'information de gestion des risques est préférable. 

EXIGENCES PARTICULIÈRES ESSENTIELLES

• Bilingue : français et anglais, Espagnol un atout;
• Joueur d'équipe: concentrez-vous sur le succès de toute l'équipe. Travailler bien avec les autres, ainsi qu’individuellement;
• Bonnes compétences en gestion des parties prenantes;
• Intérêt ou expérience dans un rôle de contrôle des risques technologiques, de sécurité de l'information ou de contrôle informatique;
• Bonnes capacités d'écoute et d'analyse; être capable de parvenir rapidement à une conclusion réfléchie et axée sur les affaires;
• Capacité à coopérer et à bien travailler avec d'autres personnes en adoptant un style accessible. Important car nous travaillons en étroite collaboration avec un large éventail de fournisseurs et de clients;
• Capacité à connaître le point de vue du client, c’est-à-dire que, du point de vue commercial, la solution la plus sécurisée n’est pas toujours réalisable ni réaliste compte tenu des coûts et des avantages;
• Assumer la responsabilité de ses actes et être ouvert et honnête lorsque les choses tournent mal et célébrer les succès lorsque les choses vont bien;
• Être rigoureux et complet, en particulier lors de la journalisation et du suivi des problèmes jusqu'à leur conclusion;
• Capacité à gérer leur charge de travail de manière à respecter les objectifs et les priorités réalistes fixés conjointement avec la direction;
• Expérience de la création de documents formels, tels que la création de présentations, de rapports ou de procédures. Présenter la documentation dans un format professionnel et bien structuré;
• Solides compétences en MS Office (applications principales), notamment capacité à analyser des données avec XL.
• Démontrer un haut niveau d'engagement et d'auto-motivation, combiné à un enthousiasme et à un réel intérêt pour le rôle de l'évaluation des risques en entreprise.;
• Capacité à exprimer des points de vue clairement et couramment, à l'oral et à l'écrit. Considère le public, évitant le jargon technique chaque fois que cela est nécessaire et approprié.

APTITUDES ET COMPORTEMENTS

• Faire preuve de proactivité et de transparence;
• Prenez en compte les implications de vos actions sur vos collègues, partenaires et clients avant de prendre des décisions, puis transmettez les problèmes à votre responsable en cas de doute.

  

Une politique de recrutement qui favorise l’équité et la diversité :

Parce qu’elles favorisent la créativité et l’efficacité, qui sont entre autres, sources d’une meilleure performance et une plus grande productivité, l’équité et la diversité font partie intégrante de notre politique de recrutement. Nous nous efforçons de refléter la société qui nous entoure et d’être à l’image de nos clients.

 

La règle de non-discrimination s’applique à chacun de nos recrutements.

Seules les candidatures qui répondent aux exigences de l'emploi en termes de formation et d'expérience seront évaluées et informées.

 

 

A propos de BNP Paribas

BNP Paribas est une banque de premier plan en Europe avec un rayonnement international. Elle est présente dans 73 pays, avec plus de 196 000 collaborateurs, dont plus de  148 000 en Europe. Le Groupe détient des positions clés dans ses trois grands domaines d'activité : Domestic Markets et International Financial Services, dont les réseaux de banques de détail et les services financiers sont regroupés dans Retail Banking & Services, et Corporate & Institutional Banking, centré sur les clientèles Entreprises et Institutionnels. Le Groupe accompagne l’ensemble de ses clients (particuliers, associations, entrepreneurs, PME, grandes entreprises et institutionnels) pour les aider à réaliser leurs projets en leur proposant des services de financement, d’investissement, d’épargne et de protection.  En Europe, le Groupe a quatre marchés domestiques (la Belgique, la France, l'Italie et le Luxembourg) et BNP Paribas Personal Finance est numéro un du crédit aux particuliers. BNP Paribas développe également son modèle intégré de banque de détail dans les pays du bassin méditerranéen, en Turquie, en Europe de l’Est et a un réseau important dans l'Ouest des Etats-Unis. Dans ses activités Corporate & Institutional Banking et International Financial Services, BNP Paribas bénéficie d'un leadership en Europe, d'une forte présence dans les Amériques, ainsi que d'un dispositif solide et en forte croissance en Asie-Pacifique.

A propos de BNP Paribas au Canada

En tant que l’une des plus grandes banques étrangères au Canada, BNP Paribas est déterminée à continuer de consolider sa plateforme. Devenue, en 2013, le centre opérationnel pour les activités du groupe en Amérique du Nord, elle affiche une croissance importante comptant actuellement plus de 700 employés et entend poursuivre sur cette lancée au cours des prochaines années. Grâce à ses avancées continues dans les secteurs de la technologie et des finances, BNP Paribas au Canada continue d’attirer des experts de divers domaines ainsi que de jeunes talents ambitieux venant du monde entier. Offrant une mobilité internationale et des capacités d’envergure mondiale dont bien peu de sociétés peuvent se targuer, BNP Paribas est fière de proposer à ses employés un milieu de travail enrichissant où ils peuvent bâtir leur carrière professionnelle en perfectionnant leurs connaissances, en relevant des défis et en s’épanouissant.

Primary Location: CA-QC-MontréalJob Type: CDIJob: RISQUESEducation Level: Bachelor / Licence ou équivalent (>= 3 ans)Experience Level: Au moins 10 ansSchedule: Temps plein Behavioural competency: Capacité à collaborer / travail d'équipeTransversal competency: Capacité d'analyse