<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Sep 28, 2017 at 3:11 AM, Kirk Hall <span dir="ltr"><<a href="mailto:Kirk.Hall@entrustdatacard.com" target="_blank">Kirk.Hall@entrustdatacard.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="blue" vlink="purple">
<div class="m_-4642391576194359850WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Eric – root program decisions (such as excusing compliance with something) do not affect the auditors application of BR requirements through the BR WebTrust audit. </span></p></div></div></blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-4642391576194359850WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">
<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">The auditors generally must follow what the BRs say, as incorporated in their audit standards.  (After all, we have only gotten permission to violate the BRs
 from three browsers, but there are other browsers and applications that require full BR compliance to remain in their root program.) 
<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">That is why the best way to avoid possible audit failure on this issue is to further amend the BRs to what we all want them to say, effective as of Sept. 8, 2017.</span></p></div></div></blockquote><div><br></div><div>Kirk,</div><div><br></div><div>Changes to the Baseline Requirements do not directly change WebTrust or ETSI. So your proposed solution for the problem you see (which is not an accurate understanding of the problem) does not work.</div><div><br></div><div>If the BRs are changed, it must still be incorporated into the WebTrust or ETSI criteria. If the BRs change, but the audit criteria are not, auditors are still bound to the criteria - and while they can use the changes in the BR to inform their opinions as secondary sources, they are primarily bound by ethical and professional obligations to evaluate the criteria and principles.</div><div><br></div><div>This has been a regular topic for discussion in the Forum with respect to imposing new requirements. I am surprised to hear you expressing concern, given that it is addressed directly or indirectly in nearly every WebTrust update. It may simply be that the connection between the updates Don and Jeff provide with respect to updated criteria, how audits are conducted, and how the Forum operates hasn't been made, but if that's the case, we should try to solve for that problem first, so that you can see that the concerns you have are unfounded. </div></div><br></div></div>