All,<div><br></div><div>I wanted to get some background information ahead of the meeting tomorrow.</div><div><br></div><div>I'm neither a Board member, nor a chapter/conference committee member.</div><div><br></div><div>



However, I asked to sit in on this meeting as I hope that OWASP projects will eventually get to the point where they too have large individual budgets. Once that happens, I imagine that we will have to have similar discussions to the ones currently occurring between conferences and chapters. As a result, I'd like to follow the conversation so I have context/input on the future.</div>



<div><br></div><div>I would like to summarize the current situation as I see it and ask some questions to set the context.</div><div><br></div><div>My understanding is that there is currently a Board-approved policy administered by the Conferences Committee that applies to any "event" that either charges for admission <b>*OR*</b> requires $1,000 or more in Foundation funds. Under this policy, profit sharing is based on a varying percentage between 25-50% depending on the size of the event. This profit is further capped somewhere between $3,000-$5,000 USD depending on the scale of the event.</div>



<div><br></div><div>There is also a separate Board-approved policy administered by the Chapter Committee policy that applies to events that do NOT charge admission. For events that do NOT charge admission, there are two variations: one where the Foundation provides $1,000 or more in funding, and one where the Foundation provides less than $1,000 in funding. In situations where the Foundation provides $1,000 or more in funding, the policy enforces a 50/50 profit split for events requiring Foundation funds. If the event requires less than $1,000 in funding and the event does NOT charge admission, then there is no split and the chapter retains all profit. (I'm presuming that such events are somehow obtaining a profit from event sponsorships or training fees since they don't charge admission?)</div>


<div><br></div><div>The current request is to make an exception for the LASCON event with regards to the "Admission Fee Event" profit sharing policy and instead have the event fall under the "Non-Admission Fee event" profit sharing policy. As LASCON is not planning to utilize more than $1,000 in Foundation funds, the local chapter would retain 100% of the profits from the event.</div>


<div><br></div><div>I know the specific request at hand regards only LASCON, but I can see how that decision easily sets off similar requests for future "Admission Fee" events.</div><div><br></div><div>The LASCON event is charging admission so I would like to understand what is the rationale for the "Non-Admission Fee Event" policy applying instead of the "Admission Fee Event" policy? I suspect that there is some unacknowledged or unspoken inequity in this distinction that should be discussed by the group.</div>


<div><br></div><div>I'd like to understand a few things historically to put that discussion in context. My questions:</div><div>1) Historically, I know that the Foundation has supported loss-leading events knowing that the event would not turn a profit. I also know that the Foundation has obviously supported events where the event is projected turn a profit.</div>



<div>    a) Has there ever been an instance where a proposed event projected to turn a profit is denied the supporting funds?</div><div>    b) What percentage of events projected as losses are supported by Foundation funds?</div>



<div><br></div><div>2) Has any chapter historically spent more than $5,000 in a given year for costs *other than* hosting a revenue-generating event?</div><div><br></div><div>3) What percentage of Foundation funds are currently generated from revenue-generating events?</div>



<div><br></div><div>4) Historically, I know that Foundation events have been heavily reliant on local chapters on the "on-the-ground" logistics of Global AppSec events <font color="#222222" face="arial, sans-serif">(e.g. Mark for AppSec US 2009, John for AppSec EU 2009, Andrzej for AppSec EU 2008, </font><span style="color:rgb(34,34,34);font-family:arial,sans-serif">Seba for AppSec EU 2007, etc). My understanding is in those events, there was no profit sharing whatsoever in place aside from the membership revenue from the spike in OWASP registrations at the event.</span></div>



<div>   a) What motivated such chapters to host a revenue-generating event in the past?</div><div>   b) What *currently* motivates chapters to host a revenue-generating event under the current profit-sharing rules?</div>


<div>
   c) If a local chapter have the choice between hosting a revenue-generating event where they keep the profits vs one where they do not, is there any incentive to run an event where they do NOT keep the profits?</div><div>


<br></div><div>5) Holding an event under the OWASP Foundation umbrella entails several implicit "infrastructure" things (e.g. 501(c) status, liability insurance, indemnity, etc)</div><div>    a) What legal considerations are implicitly part of "belonging" to the OWASP Foundation?</div>


<div>    b) What are the associated costs for these protections/considerations?</div><div>    c) What are the implications for an event that runs without these protections/considerations?</div><div>
<br></div><div>6) Historically, what is the membership revenue that a local chapter receives from the spike in registrations at a revenue-generating event?</div><div><br></div><div>7) How do we currently recognize and reward chapters that put on outstanding and/or profitable events? </div>


<div><br></div><div>First, let me state that I think everyone involved with OWASP believes in the mission and wants to do what's right for OWASP.</div>
<div><div><br></div><div>I think the underlying question that no one is vocalizing is, "who decides what's 'right' for OWASP and therefore where money should be spent"?</div><div><br></div><div>On the one hand, it only makes sense that chapters deserve a say in how to drive the spending of funds they worked hard to help create. Hopefully we have a model to reward/recognize such efforts. At the same time, the Foundation clearly depends on chapters and the revenue-generating funds they help create so OWASP clearly needs to careful about changing policies that have indirect impacts on the revenue model.</div>


<div><br></div><div>My recollection is that the Foundation has either barely broke even or lost money the previous couple of years. As stated previously, local chapters provide substantial logistical support for all current OWASP events. If there is a shift in policy that encourages local chapters to host their own events to retain profit, then we need to account for the decrease in the number of chapters willing to support larger events where they retain less profit.</div>


</div><div><br></div><div>It's clearly a delicate balance issue - so in one sense, I'm glad I'm just on the sidelines for this one :)</div><div><br></div><div>-Jason</div>