<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Feb 23, 2017 at 11:50 AM, Gervase Markham via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">The term "audit period" is used in the BRs but not defined, and Kathleen<br>
tells me she keeps running into CAs who don't understand it, often<br>
confusing it with the period of time the auditor is on the premises.<br>
Would anyone be opposed to a ballot to add a definition of Audit Period<br>
along the following lines?<br>
<br>
Audit Period: the period of CA operations a Qualified Auditor considers<br>
when assessing the work of a CA in order to write an Audit Report. This<br>
is not the same as the (much shorter) period of time during which the<br>
auditor is carrying out the audit. Audit Periods MUST NOT exceed 1 year<br>
in duration, and Audit Periods for successive audits of a particular<br>
type MUST be continuous.<br>
<br>
(The latter sentence is added for clarity, and repeats something said in<br>
section 8.1.)<br>
<br>
The ballot would also replace "audit period" with "Audit Period" throughout.<br></blockquote><div><br></div><div>Having encountered an auditor (!!!) who tried to argue this, and pointing them to their professional standards (as auditors) that defined the term, I can understand and am sensitive to (... and still incredulous at) this being confusing/controversial.</div><div><br></div><div>I have three concrete concerns with the wording proposed:</div><div>- The possibility of conflict with AICPA & ETSI (and more generally, terms of art in the auditing professions)</div><div>  - For example, the "time on premises" has a specific name - "Period of the Professional Engagement" - <a href="https://definedterm.com/period_of_the_professional_engagement">https://definedterm.com/period_of_the_professional_engagement</a></div><div>- It be seen as conflicting/more liberal than what the BRs state at present (for example, "For both government and commercial CAs, the CA SHOULD make its
Audit Report publicly available no later than three months after the end of the audit period." in 8.6)</div><div>- I believe we should be very careful when introducing normative requirements in definitions, given their ability to be ignored.</div><div><br></div><div>I'm curious whether there's a way to word it such that the Audit Period is the Period of Time of CA operations, stated in the Audit Report, that the Qualified Auditor has examined and is offering opinions on.</div><div><br></div><div>I suspect Jeff, Don, and our ETSI colleagues can offer a suitable definition that doesn't let auditors shirk any expected duties while gives CAs the clarity they need :)</div></div></div></div>