前回の投稿で、CPEの監査の対象となったと申し上げました。皆さんの関心も高いようで、ご質問のいただきました。CISA/CISMの認定者の方にとっては、最大の関心事ですから、当然かと思います。
なお、以下は私の私見ですので、ISACA東京支部の公式の見解でないことを、予め確認しておきます。
このネタ、監査結果が出るまで、不定期で掲載する予定です。
(あくまで、予定なので、そこのところはご理解を)
私が、三年前の2005年に対象となった監査は、その時点から過去三年分のCPE、2002、2003、2004年の申請が対象なっていましたが、CISMは対象外でした。これは、この3年が120CPEを要求する3年サイクルに当たっていますが、CISMはこの3年サイクルがずれているからと考えられます。
この監査は、認定の継続に必要な3年間120CPE以上の申請が正当であることを証明することが目的なので、3年サイクルからの逸脱は許されないのは当然です。
今回の監査は、2007年に申請した62CPEが対象です。したがって、CISAとCISMの3年サイクルのずれを考慮する必要ないので、双方が対象となったのでしょう。
では、何故に対象となったのでしょうか。監査対象をなったこと通知すメールでは、無作為に選んだとしていますが、全くの無作為ではないと思います。これは、62CPEという数字に原因があると睨んでいます。
CPEは、CISAもCISM、そしてCGEITも一年間で最低20CPE、3年間で120CPEが必要です。そうすると、一年間で平均40CPE以上ということになります。私の過去の経験でも20CPEという数は、それほどハードルが高いとは言えません。40CPEだと、CPE獲得のための努力が多少必要になってきます。
ISACA国際本部は、20CPE~40CPEという範囲を一年間でのCPE取得の妥当性のある数字として判断しているのではないかと推測しています。以下は、私の過去三年間のCPEの申請数です。
2005年 60
2006年 63
2007年 63
三年合計で186CPEなるので、一年平均で60CPE以上なるので、40CPEを上回るので監査の対象に選ばれてしまったと推測しています。
① 一年間の申告CPEが標準を越える対象者のリストアップ
② 監査対象を上記リストからの無作為抽出
完全な無作為選択と思われないとしたのは、上記の推測からです。2004年までは、40CPEから45CPEの申請なので、そのように考えた次第です。
この3年間のCPE数が増えた理由ですが、それは下記の通りです
① 日本セキュリティ監査協会(JASA)での活動も始めたので、CPEに充当。約10CPEぐらい
(プロジェクト活動、JASA主催セミナー講師など)
② 旧USEN(現Abitus)のCISA試験講座講師。12CPEから18CPE
それまでの40から45CPEの申請に上記分が追加されたので、極めて妥当な数字です。ベンダー主催のセミナーとかは計上していないので、それらを上限の10CPEを上乗せすれば70CPE以上になります。
上記活動のエビデンスを用意するのは、それほど難儀なことと考えてないので、期限までに確実に準備していくつもりです。
CPE監査への対応
前回の過去三年間分の監査では、下記のように対応しました。
① 申請したCPEの内訳をリスト化(当然英語)
例えば、月例会の場合、出席日付、テーマ毎に記載。個別番号をふる
その他のCPEについても、同様にする
② エビデンスを用意。月例会受講票の場合、上記で付与した個別番号を受講票に
追記、申請CPEの内訳と結びつける
③ ISACA国際本部に郵送
過去三年間に申請したCPEのエビデンスを確実に穂保存しておけば、慌てることはありません。英文のサマリーを用意するのが良いのかどうかは、断言できませんが、過去に監査を体験した諸先輩方は、みなさんサマリー用意しているので、参考にしました。
もし、CPEの根拠となるものが無い場合、その時は苦労するでしょうね。しかし、そこは自己責任ですから、各自で対処するしかありません。自分が監査の対象にならない保証など無いのですから。
CPEとして申請するか否かについては、申請時点で判断すればいので、兎にも角にもエビデンスは残しておきましょう。申請しないとなったところで、廃棄すればいいことなのですから。
皆さんが監査の対象となり、その時点でCPEの根拠を集め始めることのないようにしましょう。あと、証明に自信のない、過大な申告も気をつけましょう。私は、上記にあるように証明可能な範囲に留めたつもりです。また、メールによる受講票になってしまうセミナーや、CPEとしての価値を疑われる(つまりは、証明が簡単でない)展示会などは集計にいれていません。
年間20CPE以上、三年間合計で120CPE、年平均40CPEであえば、条件を充足するのですから、確固たるエビデンスがあり、内容のしっかりしたCPEを申請し、水膨れは戒めましょう。120CPEを超えたからといって、何ら特典はありません。監査の際に証明が大変なだけです、と私は思います。
勿論、3年120CPE、年間40CPEを大幅に超過しても、証明に自身がある場合は、その限りではありません。
CPEの申請が必要なのは、CISA/CISM(今後はCGEIT)の他に公認情報セキュリティ監査人補(CAIS)などもあります。制度上の相違もありますし、対象期間のズレがあり、全てのCPEが互換ではないので、ExcelでCPE管理台帳を作成、制度毎のCPEを分類し記録しています。この台帳に記録していると年間に獲得可能なCPE数には、上限があるのではと考えるようになりました。三桁を超える数値は、私にとっては難しいと認識しています。個人差があり、CPE獲得機会に恵まれた方も居られるでしょうが、通常40~50CPEが限度、上記のようにJASA活動だとかCISA/CISM関連の講師なども機会があれば15~20CPEの積上げが可能、という程度だと思います。
① CPEは、証明可能もしくは容易な対象を選択
② エビデンスは確実に保存
③ CPE管理台帳
以上があれば、CPE監査対象になってもあわてずにすむと思います。
以上、あくまで私見まで
SECRET: 0
返信削除PASS: 74be16979710d4c4e7c6647856088456
ありがとうございます。大変参考になりました。
ISACA Control JournalのQuiz、e-Sympo、月例会、翻訳とか加算していったら...さらに、資格を取ったばっかりで1年半ぐらいの通算期間だったもので...いい気になって大台になってしまいました。 来年からは、気をつけないと。なお、CISMは150CPEちょっとほど計上しましたが、こちらは、来ませんでした。まあ、出す証跡は同じだから省略されたのかもしれませんが。
SECRET: 0
返信削除PASS: 74be16979710d4c4e7c6647856088456
>yama様
わたしは、投稿にあるようにCPEは、所定数を満たせば良いと考えているので、申請時に取捨選択しています。この3年間の60CPE以上という数字は、その結果なので、証明そのものは心配していないません。展示会などは、一切計上していませんし、エビデンスが不確実なものも省きました。これも、3年前にCPE監査の受けた経験からです。
CPEの記録をとることをお勧めします。申請時に大変便利です。
200CPEの証明、大変でしょうけれども頑張って下さい。
SECRET: 0
返信削除PASS: 74be16979710d4c4e7c6647856088456
昨日、どうにか証跡をまとめ終わりましたので本部に提出しました。そこで、教えていただきたいのですが、結果は連絡があるのでしょうか?また、どの程度の日数がかかるのでしょうか?
SECRET: 0
返信削除PASS: 74be16979710d4c4e7c6647856088456
>yama様
CPE監査対応、ご苦労様でした。私の方は、日本セキュリティ監査協会の活動の証跡を入手すれば終わりです(証明の発行は了承を得ています)。
CPE監査の結果ですが、当然連絡がきます。私の前回の監査は、過去3年間分であったのと時期が異なるのですが(CPE監査の連絡は9月頃でした)、3ヶ月程度で通知があったと記憶しています。既に証跡を本部に送付しているのであれば、おそらく10月頃、遅くとも年内には結果が通知される思います。