Consultant OCEG / GRC : Capability Model
Le métier de consultant OCEG / GRC : GRC Capability Model, Red Book, certifications GRCP / GRC Audit / IT Risk et plateformes IRM/GRC.
Consultant OCEG / GRC : Capability Model
L'OCEG (Open Compliance & Ethics Group) propose le GRC Capability Model (Red Book), référentiel mondial de la gouvernance, des risques et de la conformité intégrés. Le consultant OCEG / GRC industrialise ces principes via des plateformes IRM/GRC et des programmes transverses.
Le métier en quelques mots
Le consultant OCEG / GRC accompagne directions générales, risk officers, compliance officers et internal audit :
- GRC Capability Model : LEARN, ALIGN, PERFORM, REVIEW.
- Principled Performance : alignement objectifs, risques, conformité, éthique.
- Convergence des fonctions de contrôle : risk, compliance, audit, qualité, sécurité.
- Plateformes IRM / GRC : choix, déploiement, gouvernance fonctionnelle.
- Gestion des politiques : policy lifecycle, attestation, communication.
- Continuous controls monitoring : automatisation des contrôles clés.
Le GRC Capability Model (Red Book)
| Phase | Objectif |
|---|---|
| LEARN | Comprendre contexte interne / externe, parties prenantes |
| ALIGN | Aligner stratégie, objectifs, risques, contrôles |
| PERFORM | Exécuter, traiter, détecter, prévenir, promouvoir |
| REVIEW | Surveiller, mesurer, améliorer, rendre compte |
Chaque phase regroupe des éléments de capacité (Capability Elements) et des pratiques détaillées.
Les plateformes IRM / GRC
| Catégorie | Solutions |
|---|---|
| GRC intégré | RSA Archer, ServiceNow IRM, IBM OpenPages, MetricStream, SAI360 |
| Privacy & Trust | OneTrust, TrustArc |
| Policy & training | NAVEX, LogicGate, Convercent |
| Audit interne | AuditBoard, TeamMate+, Workiva |
| IT risk | ServiceNow IRM, LogicManager, Archer IT |
| Continuous monitoring | Galvanize HighBond (Diligent), CaseWare, ACL |
Compétences clés
- OCEG GRC Capability Model et Red Book.
- Référentiels complémentaires : COSO ERM 2017, COSO IC 2013, ISO 31000, ISO 37301.
- Conformité sectorielle : RGPD, NIS2, DORA, SOX, HIPAA, anti-corruption (Sapin II, FCPA, UKBA).
- Configuration GRC : Archer, ServiceNow IRM, OneTrust, MetricStream.
- Process design : BPMN, cartographie des contrôles, RACI.
- Data & reporting : Power BI, Tableau, indicateurs GRC.
- Anglais professionnel indispensable (OCEG est international).
- Communication exécutive : reporting au board et au COMEX.
Certifications recommandées
- OCEG GRC Professional (GRCP) — référence du métier.
- OCEG GRC Audit Specialist (GRCA).
- OCEG IT Risk Specialist ou Cyber Risk Specialist.
- CRMA (Certification in Risk Management Assurance — IIA).
- CRISC (ISACA) pour le volet IT risk.
- ISO 37301 (Compliance Management Systems) Lead Implementer.
- CCEP / CCEP-I (Compliance & Ethics Professional — SCCE).
Types de missions
- Déploiement d'une plateforme GRC alignée sur le Red Book.
- Programme de convergence des fonctions de contrôle (3 lignes de défense).
- Refonte du policy management et workflow d'attestation.
- Automatisation des contrôles SOX / ICOFR.
- Cartographie intégrée risques / contrôles / conformité.
- Reporting GRC au COMEX et au board.
- Conformité NIS2 / DORA / RGPD outillée via plateforme GRC.
- Évaluation de la maturité GRC (assessment OCEG).
Évolution de carrière
- Analyste GRC ou junior compliance.
- Consultant GRC confirmé, GRCP certifié.
- Senior GRC consultant avec spécialité (IT risk, audit, compliance).
- Manager GRC ou Lead GRC Architect.
- Chief Compliance Officer, Chief Ethics Officer ou Head of GRC.
En conclusion
Le GRC intégré est la cible de toutes les directions générales : convergence des contrôles, plateformes uniques, reporting board-ready. Les profils OCEG certifiés (GRCP, GRCA, IT Risk) sont rares et fortement valorisés.
Vous êtes consultant OCEG / GRC et cherchez votre prochaine mission ? Rejoignez ForTeam IT.
À lire aussi
Vous êtes consultant IT freelance ?
Rejoignez ForTeam IT et accédez à des missions sélectionnées chez nos clients grands comptes.
Rejoindre la communauté