<html><head></head><body bgcolor="#FFFFFF"><div>Pay back this time but limit liability going forward in the contractual sense, as we discussed.<br><br>On 21 Dec 2011, at 17:12, Michael Coates <<a href="mailto:michael.coates@owasp.org">michael.coates@owasp.org</a>> wrote:<br><br></div><div><span></span></div><blockquote type="cite"><div>Board Vote requested to pay $5500 to cover a portion of the AppSec Asia losses. <div><br></div><div><br></div><div>Further actions (not part of this vote) - We'll work with conference committee to shore up the contracts and avoid this situation in the future. An item to discuss in January's call.</div><div><br><div>
<span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><br>Michael Coates<br>OWASP<br><br><br></span>
</div>
<div><br><div>Begin forwarded message:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px;"><span style="font-family:'Helvetica'; font-size:medium; color:rgba(0, 0, 0, 1);"><b>From: </b></span><span style="font-family:'Helvetica'; font-size:medium;">Michael Coates <<a href="mailto:michael.coates@owasp.org">michael.coates@owasp.org</a>><br></span></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px;"><span style="font-family:'Helvetica'; font-size:medium; color:rgba(0, 0, 0, 1);"><b>Date: </b></span><span style="font-family:'Helvetica'; font-size:medium;">December 15, 2011 6:08:25 PM PST<br></span></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px;"><span style="font-family:'Helvetica'; font-size:medium; color:rgba(0, 0, 0, 1);"><b>To: </b></span><span style="font-family:'Helvetica'; font-size:medium;">Sarah Baso <<a href="mailto:sarah.baso@owasp.org">sarah.baso@owasp.org</a>><br></span></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px;"><span style="font-family:'Helvetica'; font-size:medium; color:rgba(0, 0, 0, 1);"><b>Cc: </b></span><span style="font-family:'Helvetica'; font-size:medium;">Kate Hartmann <<a href="mailto:kate.hartmann@owasp.org">kate.hartmann@owasp.org</a>>, Tin Zaw <<a href="mailto:tin.zaw@owasp.org">tin.zaw@owasp.org</a>>, Mark Bristow <<a href="mailto:mark.bristow@owasp.org">mark.bristow@owasp.org</a>>, alison mcnamee <<a href="mailto:alison.shrader@owasp.org">alison.shrader@owasp.org</a>>, MattTesauro Tesauro <<a href="mailto:mtesauro@gmail.com">mtesauro@gmail.com</a>>, OWASP Foundation Board List <<a href="mailto:owasp-board@lists.owasp.org">owasp-board@lists.owasp.org</a>>, Lucas Ferreira <<a href="mailto:lucas.ferreira@owasp.org">lucas.ferreira@owasp.org</a>>, global_conference_committee <<a href="mailto:global_conference_committee@lists.owasp.org">global_conference_committee@lists.owasp.org</a>><br></span></div><div style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px;"><span style="font-family:'Helvetica'; font-size:medium; color:rgba(0, 0, 0, 1);"><b>Subject: </b></span><span style="font-family:'Helvetica'; font-size:medium;"><b>Re: [Owasp-board] [Global_conference_committee] Loss from AppSec Asia</b><br></span></div><br><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Sarah,<div><br></div><div>Thanks for this summary.  I've reread the threads on this issue and also Sarah's summary below.  </div><div><br></div><div>Here is where I am sitting on this issue:</div><div><br></div><div>- OWASP was made aware of this event and signed off on it as an official owasp event</div><div>- Per Lucas Ferreira's email (forwarded by Sarah on 12/7/11) OWASP did enter into a relationship with SecZone</div><div>- We had some controls in place to require visibility into expenses. These controls failed since we did not receive requested documentation</div><div>- The total loss is at $16,166.22 </div><div>-- DBAppSecurity will cover $4742</div><div>-- SecZone will cover $6,000</div><div>-- This leaves $5,500</div><div><br></div><div><b>I believe we should cover a share of this loss ($5500) and also look at the $5,500 as an investment in the China region</b>.  We have tremendous growth opportunities in the AsiaPac region and hopefully we can help this OWASP region get on its feet for self funding events too.</div><div> </div><div><br></div><div>Moving forward:</div><div>Mark suggested several items to refine our policies to help prevent future situations such as this.  Lucas as pointed out that we need to be more effective in reacting when our intermediate checkpoints are not being met.  In addition we should update our agreements to ensure caps are established and clear boundaries on who is controlling what aspects of the financial operations.</div><div><br></div><div>Sarah, you also outlined several action items in your email. I'd like to get those on the schedule so we can work to address each of those points to strengthen our ability to work with other organizations for future conferences.</div><div><br></div><div><br></div><div><br></div><div><div><span class="Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; ">Michael Coates<br>OWASP<br><br><br></span>
</div>
<br><div><div>On Dec 9, 2011, at 9:50 AM, Sarah Baso wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">Michael -<div><br></div><div>I think there are 3 different "issues" being discussed in this thread. </div><div><br></div><div><b>1. How can OWASP to limit its liability and ensure financial transparency when organizations other then the OWASP Foundation (US) and OWASP, Inc. (Europe) are handling event or chapter money?</b></div>
<div><b><br></b></div><div><div>As explained in Lucas's email (which I agree with): Event contract we entered into with SecZone defines the relationship between the parties as well as responsibilities.  That being said, there are a couple big "responsibilities" that SecZone had that they did not follow through on: providing monthly statements on the financials of the conference AND <span>seeking authorization from the foundation before taking any actions that</span></div>

<span style="color:rgb(34,34,34);font-family:Arial,sans-serif"><span>may incur any expenses to the event.</span></span><div>
<font color="#222222" face="Arial, sans-serif"><br></font></div><div><span style="color:rgb(34,34,34);font-family:Arial,sans-serif"><span>"In short, I think the problem is not in defining rules. If the process </span></span><span style="color:rgb(34,34,34);font-family:Arial,sans-serif"><span><span>had been followed, we would have better information and early warnings</span></span><br>

<span><span>about the problems, making it easier to manage. The problem we have is </span></span><span><span>that we have been unable to enforce the process with conference</span></span><br>
<span><span>organizers. My feeling is that we need to rely less on trust and </span></span><span><span>really require the organizers to follow the process define in the </span></span><span><span>contract."</span></span></span></div>

</div><div><br></div><div><b>So action points for the committee:</b></div><div><ul><li>Ensure that a detailed and comprehensive contract is signed by all 3rd parties handling event finances (anytime it is someone other than the OWASP Foundation in US and OWASP Inc in Europe) should include certain terms decided by the Board.</li>
</ul><ul><li>Better define and vet budgets and impose additional auditing requirements as event planning is in process. This includes:</li></ul><div>           --> Require initial budgets as described for approvals</div>
<div>           --> Require events to report actual expenditures/revised budgets monthly</div><div>           --> Have all expenditures not within the original budget for that line item be approved by the GCC liaison (and updated on subsequent</div>
<div>                projections).<b> I would recommend that expenditures over a certain dollar amount require a "second signer" who is aware        </b></div><div><b>                of current </b><b>OWASP financial situation (committee chair, board member, Kate, etc.)</b> </div>
<div><p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;
margin-left:45.0pt;text-indent:-.25in;mso-list:l0 level1 lfo1;tab-stops:list .5in"><font class="Apple-style-span" color="#500050" face="Symbol"><br></font></p></div><b>Action points for the Board/Foundation</b></div><div>
<br></div><div><b>Adopt a template contract (or contract terms) to be used any time a 3rd party --someone other than the OWASP Foundation (US) and OWASP Inc. (Europe)-- is handling OWASP Funds</b>. It should require the exact things we asked for in the agreement with SecZone:  providing monthly statements on the financials of the conference AND seeking authorization from the foundation before taking any actions that <span class="Apple-style-span" style="color: rgb(34, 34, 34); font-family: Arial, sans-serif; ">may incur any expenses to the event or chapter (that will be covered by the Foundation)</span></div>
<div><span class="Apple-style-span" style="color: rgb(34, 34, 34); font-family: Arial, sans-serif; "><br></span></div><div><div>This contract can set a maximum out of pocket liability (set dollar amount) if the terms are not adhered to.  While I certainly don't want      anyone to be held personally liable for running a conference that results in a loss, when the Foundation is authorizing another entity to make expenditures (and decisions) on its behalf, we need to be pro-active in limiting our liability. They can either involve us in their decisions (by providing budget updates and getting authorization before spending), or take on complete responsibility for the financial liability.</div>
<div><br></div><div>One thing no one has mentioned (although it undoubtedly is a consideration):<font class="Apple-style-span" face="arial, helvetica, sans-serif"> <span class="Apple-style-span" style="white-space: pre-wrap; ">OWASP has a responsibility to show its supporters that their donations (via members, sponsorship or other) are being used properly - in support of the OWASP mission. Anytime we (OWASP) is giving up control of how its funds are used, we also are supposing a level of trust that the funds will be spent appropriately. I think this trust is good to a certain extent, but people in China (or other areas of the world) may not have the same understanding of this Fiducuary Duty that we do, and they will not be held accountable as we will here in the US.  Thus, the only financially responsible decision is for us to limit the amount of money we will will "reimburse" or "cover" when the expenses haven't been provided or pre-approved.</span></font></div>
<div><font class="Apple-style-span" face="arial, helvetica, sans-serif"><span class="Apple-style-span" style="white-space: pre-wrap;"><br></span></font></div><div><font class="Apple-style-span" face="arial, helvetica, sans-serif"><span class="Apple-style-span" style="white-space: pre-wrap;"><b>I am happy to work on putting a draft contract together based on the 3rd party contracts we have used in the past.</b></span></font></div>
<div>          </div></div><div><div><b>2. What is relationship between SecZone and OWASP - both OWASP China and the OWASP Foundation? </b></div><div>I am going to follow up on this in a separate thread. It is important, but slightly tangential to the purpose of this thread. </div>
</div><div><br></div><div><b>3. Event Specific: How do we handle this loss?</b></div>
<div>In this case, the OWASP Foundation should realize a $5,500 loss for this event (which is what the event organizers are asking for).  <span style="color:rgb(34,34,34);font-family:Arial,sans-serif">They are currently at a
$16,166.22 loss, but Frank Fan's company (DBAppSecurity) still owes $4742 and
SecZone has said they can cover about $6,000 of the loss. The leaves about
$5,500 for us to cover. </span></div><div><span style="color:rgb(34,34,34);font-family:Arial,sans-serif"><br></span></div><div><span style="color:rgb(34,34,34);font-family:Arial,sans-serif">Seczone did not adhere to its financial responsibilities as outlined in our event contract with them. However, since they acted in good faith and we could have done a better job setting forth the repercussions for not adhering to the contract, I think it is fair for us to pay about $5500 or splitting the loss with Seczone.  This is a good chance for us to learn from our mistakes and understand what we can do differently to prevent this (or larger losses) from happening in the future.</span></div>

<div><br></div><div><div><p class="MsoNormal"><font class="Apple-style-span" color="#222222" face="Arial, sans-serif"><br></font></p><p class="MsoNormal"><font class="Apple-style-span" color="#222222" face="Arial, sans-serif">Regards,</font></p><p class="MsoNormal"><font class="Apple-style-span" color="#222222" face="Arial, sans-serif">Sarah Baso</font></p><p class="MsoNormal"><font class="Apple-style-span" color="#222222" face="Arial, sans-serif"><br></font></p><p class="MsoNormal">-- <br></p><div><div style="text-align: left; ">Administrator for</div><div style="text-align: left; ">OWASP Global Conference Committee</div><div style="text-align: left; ">OWASP Global Chapter Committee </div>
</div><div style="text-align: left; "><br></div>Dir: <a href="tel:312-869-2779" value="+13128692779" target="_blank">312-869-2779</a><br><div>skype: sarah.baso<br></div><div><br></div><div><br class="webkit-block-placeholder"></div>
</div><div><font color="#222222" face="arial, sans-serif"><br></font></div>
<div><br><div><br><div class="gmail_quote">On Wed, Dec 7, 2011 at 3:44 PM, Michael Coates <span dir="ltr"><<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



From the brief details I've gleaned here it sounds like everyone has been working for the common good. But we have some losses and need to appropriately handle them.  There are several moving parts.  Kate, Sarah, can one of yo</blockquote></div></div></div></div></blockquote></div></div></div></blockquote></div></div></div><div><span>_______________________________________________</span><br><span>Owasp-board mailing list</span><br><span><a href="mailto:Owasp-board@lists.owasp.org">Owasp-board@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-board">https://lists.owasp.org/mailman/listinfo/owasp-board</a></span><br></div></blockquote></body></html>