<div dir="ltr">Right.<div><br></div><div>Do we spend a lot of time with red tape currently?</div><div><br></div><div>Matt</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Oct 12, 2015 at 10:59 PM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>The motivation here is efficiency, removal of red tape and encouragement to spend for the mission. Once an expense type is approved the goal of this "bill" is to have that expense type auto-approved.</div><div><br><div>--</div><div>Jim Manico</div><div><div><div style="word-wrap:break-word"><div><span style="background-color:rgba(255,255,255,0)">Global Board Member</span></div><span style="background-color:rgba(255,255,255,0)">OWASP Foundation</span><div><a href="https://www.owasp.org/" style="background-color:rgba(255,255,255,0)" target="_blank"><font color="#000000">https://www.owasp.org</font></a></div></div></div><div><span style="background-color:rgba(255,255,255,0)">Join me in Rome for AppSecEU 2016!</span></div></div></div><div><div class="h5"><div><br>On Oct 13, 2015, at 4:26 AM, Matt Konda <<a href="mailto:matt.konda@owasp.org" target="_blank">matt.konda@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">I'm still considering #6 as are all but Josh and Jim based on this discussion thread.<div><br></div><div>I am supportive of the idea behind it and would vote yes if it came to a head.  </div><div><br></div><div>Honestly, I don't think it is risky but I don't think I grasp the motivation - perhaps Josh and/or Paul could elaborate on how this might help the Foundation.</div><div><br></div><div>Matt</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 9, 2015 at 4:18 PM, Josh Sokol <span dir="ltr"><<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>Andrew,<br><br></div>I definitely hear you, but we have rules in place to even prevent that.  For example <a href="https://www.owasp.org/index.php/Chapter_Handbook/Chapter_4:_Chapter_Administration#.28Signing.29_Contracts" target="_blank">Section 4.10 of the Chapter Leader Handbook</a> says that "Chapter leaders are not authorized to sign contracts or enter into any legal agreements on behalf of the OWASP Foundation".  You will not have any sort of a $50k venue guarantee for services without a signed contract.  This is the control that prevents abuse in that specific situation.  There are many others.<br><br></div>Also, keep in mind that they are authorized only so long as "<b>they have an account balance which covers that expense in full</b>".  So, if a Chapter or Project has $50k in their account, and wants to spend it on a venue for a conference, why should we stand in their way or require additional approvals if others have done the exact same thing in the past?  The limiting factor here is their account balance and we need to empower them to spend it how they desire as long as it is in adherence with the OWASP mission.<br><br></div>Tobias: This has not been motioned or seconded yet.  I put it out there for discussion first, since there was not a general consensus on it.<span><font color="#888888"><br><br></font></span></div><span><font color="#888888">~josh<br></font></span></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 9, 2015 at 3:49 PM, Tobias <span dir="ltr"><<a href="mailto:tobias.gondrom@owasp.org" target="_blank">tobias.gondrom@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    <div>As our mailing-list got a bit swamped,
      this might have got lost in the hundred voting emails, do we have
      any further discussion elements on this one? <br>
      And if people like vote on this, can they please confirm that they
      have at least acknowledged this discussion when casting their
      vote? <br>
      Thanks, Tobias<div><div><br>
      <br>
      <br>
      On 09/10/15 14:17, Andrew van der Stock wrote:<br>
    </div></div></div><div><div>
    <blockquote type="cite">
      <div dir="ltr">
        <div>I am really keen to reduce the amount of bureaucracy
          involved in expense management, but this is a really well
          trodden path in every single SME to major enterprise. </div>
        <div><br>
        </div>
        <div>My main concern is no upper bounds on pre-approved
          expenses. This means that a local chapter that managed to get
          an approval for a $50k conference centre fee, say AppSec AU in
          2011, would mean that all chapters would be automatically
          allowed to claim that expense too. I want to enable that,
          whilst not allowing us to be hit with hundreds of large
          conferences being organised throughout the year. We simply
          don't have the staff bandwidth nor the funds to do that
          today. </div>
        <div><br>
        </div>
        Typical financial governance is pre-approval for expenses under
        a certain dollar value, and a single sign off within the
        Foundation approval for expenses between say the cut off and say
        a $10k limit, and senior management approval above $10k. In my
        view, we can hit the home run we all are looking for, whilst
        still maintaining good financial governance over major expenses
        whilst not ruling out ANY type of expense that a chapter might
        be able to come up with.
        <div>
          <div><br>
          </div>
          <div>My view is that we go through all the paid out expenses
            over the last two years, and work out some limits. We can
            tummy tussle over the exact limits, but I feel the following
            would be a good start:</div>
          <div><br>
          </div>
          <div>$0 - $1500 should cover nearly all expenses paid to date
            along with the above proposal's list of pre-approved
            expenses</div>
          <div>$1500 to $10k should be an approval level granted to a
            project coordinator or chapters coordinator. All expenses
            are subject to sign off prior to incurring the expense</div>
          <div>$10k ... $100k is within the signing range of the
            Executive Director, and would require pre-approval before
            incurring the expense</div>
          <div>Above $100k would require Exec Dir + Board approval. </div>
          <div><br>
          </div>
          <div>That way, local area conference bills of $50k don't hit
            us without forewarning, and yet we have the flexibility of
            allowing LAScon and AppSec Cali to work without a special
            rule or budgetary process. The majority of projectors,
            catering, room fees, and so on would never be huge amounts
            of work for Foundation staff.<br>
          </div>
          <div><br>
          </div>
          <div>I think it hits what you're trying to achieve without
            opening us up to some serious financial problems down the
            track. </div>
          <div><br>
          </div>
          <div>thanks,</div>
          <div>Andrew</div>
        </div>
      </div>
      <div class="gmail_extra"><br>
        <div class="gmail_quote">On Fri, Oct 9, 2015 at 1:20 PM, Josh
          Sokol <span dir="ltr"><<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>></span>
          wrote:<br>
          <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
            <div dir="ltr">
              <div>
                <div>
                  <div>Here is the current text for proposal 6:<br>
                    <br>
                    <div style="margin-left:40px">
                      <b>If a request for funding has been approved for
                        one chapter or project, then it can be
                        considered an acceptable expense for all
                        chapters or projects.  If they have an account
                        balance which covers that expense in full, then
                        they should be considered pre-approved for
                        spending.</b></div>
                     <br>
                    <u><b>Tobias:</b></u><br>
                    I agree in spirit, but I think this needs
                    clarification and am a bit concerned about liberal
                    interpretations of what is the same expense type.
                    Expenses tend to not be exactly identical and I like
                    to safe chapter and project leads from searching the
                    public expense lists for precedence. As one example
                    if a flight ticket is approved for a chapter leader
                    to attend the AppSec chapter leader workshop, that
                    should not mean we also approve a flight ticket to
                    Bahamas for holiday for another chapter leader.
                    Technically both are flight expenses for chapter
                    leaders. (I know I am splitting hairs...)<br>
                    <br>
                    Suggested revision:<br>
                    Proposal 6: If a request for funding has been
                    approved for one chapter or project, then it can be
                    considered an acceptable expense for all chapters or
                    projects. Our operations team shall periodically (at
                    least once every 3 months) review the list of
                    published expenses and if new expense types come up
                    add them to the published list of acceptable
                    expenses. If the chapters or projects have an
                    account balance which covers that expense in full,
                    then they should be considered pre-approved for
                    spending.<br>
                    <br>
                    <u><b>Josh:</b></u><br>
                    I think that we need to trust people to do the right
                    thing.  To my knowledge, we have never had a person
                    try to request reimbursement for a trip to the
                    Bahamas because someone got a flight paid for to
                    AppSec.  Also, keep in mind that this is a
                    reimbursement process so our Operations Team
                    determines whether a request is legit.  To me, it
                    would seem like you're putting a lot of extra work
                    on the Ops Team with little added benefit since they
                    are still going to have to find a way to write it up
                    so that it will not be misinterpreted.  I think we
                    have reasonable controls in place to prevent abuse
                    and our liability here is minimal.  I don't see a
                    need to revise it in this manner.<br>
                    <br>
                    <u><b>Tobias:</b></u><br>
                    Well, I don't think to maintain a list of good
                    examples is unnecessarily heavy workload. And in the
                    long run, searching through a long unstructured list
                    of published expense claims will be more work load
                    for both the staff and the community to check for
                    good expense precedents. If we do this one time per
                    quarter, the effort is clearly limited. If we (staff
                    and leaders) have to review an unlimited year long
                    list for precedent, this seems much more effort.<br>
                    <br>
                  </div>
                  <u><b>Josh:</b></u><br>
                </div>
                In theory we are supposed to be maintaining a list of
                good examples already.  Some of them are listed in the
                Chapter and Project Leader Handbooks.  That said, they
                aren't anywhere close to all of the possible things one
                would want to spend their money on.  The idea here was
                simply to maintain the running list of all expenses that
                are approved or denied (proposal 5) and use that to
                drive spending.  Again, I think this comes down to a
                matter of trust.  We need to trust our Leaders to do the
                right thing.  We need to trust the staff to ensure that
                the reimbursement is legitimate before sending them a
                check.  With so many complaints about difficulties withe
                the reimbursement process (as much as I've never seen
                them), we should be looking for ways to strip away the
                red tape, not add more of it.<span><font color="#888888"><br>
                    <br>
                  </font></span></div>
              <span><font color="#888888">~josh<br>
                </font></span></div>
            <br>
            _______________________________________________<br>
            Owasp-board mailing list<br>
            <a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
            <a href="https://lists.owasp.org/mailman/listinfo/owasp-board" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
            <br>
          </blockquote>
        </div>
        <br>
      </div>
      <br>
      <fieldset></fieldset>
      <br>
      <pre>_______________________________________________
Owasp-board mailing list
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a>
</pre>
    </blockquote>
    <br>
  </div></div></div>

</blockquote></div><br></div>
</div></div><br>_______________________________________________<br>
Owasp-board mailing list<br>
<a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-board" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><br>
<br></blockquote></div><br></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Owasp-board mailing list</span><br><span><a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a></span><br></div></blockquote></div></div></div></blockquote></div><br></div>