2008年7月10日木曜日

CPE監査

先週、7月4日の金曜日にCGEIT認定の電子メールが到着して、大になる安心と少なからずの喜びを感じた、ここ数日でしたが、現実は甘いことばかりではありませんでした。

ISACAが認定するCISA、CISM、CGEITにはCPE、継続教育ポイントを申告する義務があります。一年最低20ポイント、3年間で120ポイントに達しないと認定を取り消されます。

CPEの申告の正当性を確保するため、無作為に選んだ認定者を対象として監査を実施します。この監査、どうやら2種類あるらしく、3年間の申告を全て証明する場合と指定された年、一年間のCPEの場合とです。

3年前にCISAの3年間の申告が監査対象になり、エビデンスを掻き集めて証明し、これでしばらく大丈夫だと思っていたのですが、CGEIT認定の高揚感に冷や水を浴びせる二通のメールがISACA国際本部から送られてきました。

以下は、国際本部からきたメールの引用です。
Re: Audit of 2007 CISM Continuing Professional Education Records
Certification Number 0301582
Dear Mr. Masuda Seiichi, CISM,CISA:
In accordance with the CISM Continuing Professional Education (CPE) Policy, each year an audit of individual compliance is performed. You have been randomly selected for this audit. This email is to inform you that a hard copy audit notification letter was sent to you via the postal service on 27 June 2008 advising you of the audit of your 2007 CPE. This email is a reiteration of that information.
Listed below are the CPE hours you reported for the 2007 period. Please provide full and complete documentation as required by the policy in support of the CPE hours reported, otherwise additional follow-up will be necessary and will delay the verification process.
2007 CPE Hours Reported: 63
For CPE hours earned that were associated with a training activity, documentation should be in the form of a letter, certificate of completion, attendance roster, Verification of Attendance form or other independent attestation of completion. At a minimum, each record should include the name of the attendee, name of the sponsoring organization, activity title, activity description, presenter name(s), activity date and location, and the number of continuing professional education hours awarded or claimed. Please see www.isaca.org/cismcpepolicy for documentation requirements of CPE hours earned in other ways.
To clearly identify that the information you are sending pertains to this audit request, mail a copy of this email or the hard copy notification letter, along with your documentation to the address below. Please submit copies of supporting documentation as documents will not be returned. 
 

要は、CISMの2007年のCPEポイントの証明となる完全なるドキュメントを9月1日までに送ってこいとのことですが、このほかにCISAについても全く同内容のメールがきています。
CISA/CISMについて、監査の対処となった訳です。しかも、タイプが違うとは言え、2回目の。
エビデンスが取ってありますし、前回の経験もありますので、何とかなるとは思いますが、何でまた、というのが正直なところです。長い間、一度も監査対象にならない方もいますし、東京支部の前々会長は、3回対象となっています。どうも不公平感が・・・・・・
日本セキュリティ監査協会(JASA)の重鎮N氏が、私の前回の監査の際に、この制度をJASAでも取り入れようと言っていましたが、出来れば勘弁して欲しいです。
2007年のCPEには、JASAでの活動も対象にしているので、証明にためにJASA事務局の署名も必要なのに、今気がつきました。
後で、事情説明のメール出して、頼んでおかないと。
歓喜の数日の後、とほほ状態です。

3 件のコメント:

  1. SECRET: 0
    PASS: c2f1366c51911b52369fe27df307ff84
    私にも、10日4:00AM(TokyoTime)にCISAについてメールが来ました。CPEの提出のやり方、方法等を教えていただけないでしょうか?
    どのような書類(表紙やその他)を作って、証跡を付けて、郵便でエビデンスを送るのでしょうか? 200CPE強を1年間で申告してしまったので...大変です。月例会とか翻訳とか試験立ち会いとか....

    返信削除
  2. SECRET: 0
    PASS: 74be16979710d4c4e7c6647856088456
    本日現在、メールが来ていないと言うことは、とりあえず、今年のauditは無いと考えて良いのか。
    でも、増田さんの例があるので、バウチャー類は、3年間は保存しないとダメなんですよね。
    セミナーの資料等、かなりの分量になっているんですが、pdf化したりしたらダメなんですかね。

    返信削除
  3. マスダ@お気楽blog2008年7月13日 19:57

    SECRET: 0
    PASS: 74be16979710d4c4e7c6647856088456
    Julianusさん
    >本日現在、メールが来ていないと言うことは、とりあえず、今年のauditは無いと考えて良いのか。
    答えは、否ですので、安心しないようにして下さい。今回は、昨年のCPE申請に対象を絞っているタイプです。簡易監査とでも表現するのが適切でしょうか。
    過去3年分が対象となる監査が別途ありますので、こちらの対象となる可能性もありますんで、残念ながら、YESとは言えません。
    yamaさん
    コメントありがとうございます。お問い合わせへの回答は、最新の投稿を参照して下さい。
    監査の対象となったのは、おそらく200CPEという数字だと思います。その推測の理由も最新投稿に記載しておきます。

    返信削除