This is an HTML version of an attachment to the Freedom of Information request 'SFC Financial Memorandum and Internal Audit'.



University of Glasgow
Internal Audit Update and Annual Report 
Audit Committee Meeting 
23 November 2006 
Please note that a hard copy of this report with A3 size appendix page will be 
posted directly to Audit Committee members and attendees. 
This report and the work connected therewith is subject to the Terms & Conditions of the contract 
between University of Glasgow and Deloitte & Touche LLP.  This report is for the sole use of 
management and should not be released to any third party. 

Contents
Page 
Introduction & Executive Summary
1
Overall Activity Summary
2
Project by Project Summaries
3
Follow Up on Prior Year Recommendations
7
Priority One Recommendations
8
Annual Internal Audit Report
9
Statement  of Responsibility 
10
Appendix A – Revised Internal Audit Plan 2006/7
2

Introduction and Executive Summary  
As Internal Auditors, our role is to provide the Audit Committee, University Court and management with independent assurance 
as to the adequacy and effectiveness of the systems of internal control we review and to report weaknesses identified together 
with recommendations for improvement.  We fulfil this role by performing appropriate audit work as agreed with the Audit 
Committee. The key messages for the Audit Committee for this meeting are as follows: 

Our work in respect of the year 2005/06 has continued in the last month and we have produced reports including recommendations for 
improvement  in  respect  of  Registry  Revenue,  Accommodation  Revenue,  and  IT  Governance  and  Controls.    The  results  of  these 
reviews are summarised on pages 4-5. 

The  results  of  our  Registry  and  Accommodation  Revenue  reviews  highlighted  several  opportunities  for  improvement  but  no 
recommendations that have been rated Priority One.

Our IT Governance and Controls review has highlighted a number of issues around IT security, virus protection, change management
and  backup  processes.    Our  team  are  working  closely  with  the  Director  of  IT  and  have  given  a  presentation  to  the  IT  community 
including central and faculty-based IT staff.  Our 2006/07 audit plan will continue to place a focus on IT related processes and systems.  

To  provide  additional  assurance  over  the  payroll  processes,  in  particular  since  the  system  has  recently  been  upgraded,  we  have 
conducted a data analysis project.  The results of this are positive with a small number of minor recommendations made to improve the 
processes and cleanse the data.  This is summarised on page 6.

Follow up work has been undertaken on prior year internal audit recommendations to assess the action taken by management.  This 
work has focused on the higher priority issues only, and the results highlight that over 75% of recommendations have been actioned by 
management.  Results are included on page 7.

Our overall assessment, considering the work we have undertaken to date, is that there is an adequate framework of control across the 
systems examined.  This is subject to the satisfactory implementation of our recommendations, in particular those rated Priority One.  
Our annual internal audit report is contained on page 9. 

Our recommendations to date have been fully agreed and  supported by  University  management who have  provided  comprehensive 
responses and detailed action plans for improvement. 

Our audit plan has been agreed for 2006/07 and work has commenced in the areas of Research Management, General Ledger and 
Agresso User Profiles.  

Initial planning has commenced for our reviews of HR Recruitment & Selection and Governance, which we intend to commence in the 
next month.  Some other minor amendments have been made to the 2006/07 plan – see Appendix A.
3
1

Overall Activity Summary
The following table provides a summary of the work we have undertaken in respect of the year ended 31 July 2006, and the work we have commenced in 
respect of the year ending 31 July 2007.
Time to Date 
Project Title
Status
Number of Recommendations
(days)
2005/06
Priority 1
Priority 2
Priority 3
End to End Review - Payroll
Complete
26
2
9
8
End to End Review - Purchase to Pay
Complete
29
4
15
2
End to End Review - Revenue - General Sales Ledger & Research
Complete
23
4
10
0
End to End Review - Revenue - Registry
Management comments received
16
0
5
3
End to End Review - Revenue - Accommodation
Complete
11
0
2
0
Review of IT Governance and Control
Complete
18
0
7
1
Payroll Data Analysis
Draft report stage
6
0
0
4
Risk Workshop
Complete
6
IT Risk Workshop
Postponed, awaiting revised date
1
Follow up on 2004/05 Recommendations
Complete
7
Management and Planning Meetings (Finance, IT, Faculty Secretaries etc)
Complete
16
159
10
48
18
2006/07
Review of Agresso User Profiles
Fieldwork ongoing
2
Review of Research Management
Draft report stage
17
Review of General Ledger Controls
Fieldwork ongoing
12
IT Community Presentation
Complete
0.5
Planning and Management Time
Ongoing
4
35.5
4
2


Project by Project Summary
A summary of the projects which have been undertaken since the last meeting is outlined on the following pages. Where applicable, the 
‘temperature gauge’ is intended to provide Audit Committee members with a relative feel for the impact and overall importance of the 
findings of each project.
5
3

Project by Project Summary
Review of Revenue - Registry
X
As part of our work on revenue controls, we reviewed the processes within Registry for the calculation of student fees, issue of invoices and recovery of 
outstanding amounts owed.  While we identified a number of specific control weaknesses and opportunities for improvement, there were no fundamental 
control breakdowns identified.     
The  key  observations  from  our  review  were  in  relation  to  the  lack  of  formalised  procedures  regarding  the  management  of  outstanding  debt  and  the 
associated reporting to Central Finance.  Our recommendations relate to the following:

We noted a number of unallocated invoices, credit notes and cash receipts with some dating back to 2002.  Management should aim to remove 
the  ability to  create an invoice/credit  note  against  a  suspense  account.   More formal  reviews  of  suspense  balances  should  be  undertaken  and 
these balances allocated and cleaned out on a timely basis.

Standard  reporting  from  Student  Records  System  is  limited  (eg:  no  reports  on  aged  debt  or  suspense  account  balances).    These  monitoring 
reports should be developed and run at least monthly.

Reminder letters for chasing student  debt are not  produced  and  sent  regularly.  Arrangements for  passing  debt  to  collection  agencies could  be 
improved by forwarding unpaid debt straight after the third reminder letter has been unsuccessful.

A log of all credit card transaction numbers should be maintained, in particular to ensure there is appropriate back up for all refunds through the 
credit card terminals.

Testing  exceptions:    invoice  batch  validation  reports  not  filed  or  reviewed  and  limited  approval  documentation  to  evidence  fee  waivers  or 
discounts for staff/students.
Review of Revenue - Accommodation
X
Our work on revenue controls included a separate  review  of the  processes  and  controls for identification  and  recovery  of accommodation  revenue.   The 
processes were generally satisfactory and our review did not highlight any critical breakdowns in control.
Our two recommendations were in relation to: 

The planned implementation of a new system should improve reporting capabilities – there is a need to monitor the progress of implementation and 
ensure compatibility with Agresso.

There  are  opportunities  for  centralisation  to  increase  efficiency,  eg credit  control,  cash  collection  and  bank  reconciliation  activity  is  carried  out 
separately by the Accommodation team.
6
4

Project by Project Summary
Review of IT Governance and Controls
X
The purpose of this review was to conduct an overview assessment of the  University’s  IT  environment.  Whist  we  did  not identify  any  significant  control 
weaknesses  in  the  processes  supporting  the  University’s  IT  operations  a  number  of  areas  of  potential  improvement  were  noted.  A  number  of  these 
opportunities relate to the evidence supporting the controls in operation and in the general reporting of the IT department’s activity.  Improvements in these 
areas  will  allow  IT  management  to  gain  additional  comfort  over  the  operation  of  the  controls  it  has  implemented.    Additionally,  the  formal  definition  of 
Service Level Agreements (SLAs) and the associated monitoring will permit IT management to measure the performance of the department.
The following summarises the key findings from our review:

Individual  Faculties  have  the  ability  to  override  the  default  Netware  password  settings  specified  by  the  Computer  Services  team  potentially 
weakening the overall security of the University’s Netware environment.

Environmental  controls  including  fire  detection,  suppression  and air  conditioning  provisions  in  the  University’s  centrally  managed  server  rooms 
should be reviewed to ensure they are appropriate to the size of each facility and the equipment hosted.  If such provisions are inadequate this may 
impact the availability of key IT systems leading to disruption of University operations. 

Formal  change management  procedures  are  not  systematically  employed to manage  changes  to the  University’s  operating  systems  and  network 
infrastructure.  Without these procedures there is a risk that unauthorised changes may be made to University IT systems potentially leading to loss 
of data and system availability.

Changes to centrally managed applications such as Agresso, the HR system and the Student Records application are not consistently supported by 
formal test documentation. Changes to the University’s operating system and network infrastructure do not undergo regression testing.  The lack of 
formal testing increases the risk of changes being implemented which may not meet the needs of the University and impact on system reliability.

A  number  of issues  relating to  the  University’s  overnight  backup  processes  were  identified focusing  on  the lack  of formal  evidence  to  support the 
review of the log files, backup process outcome and backup issue resolution. 

The review of batch-processing logs which detail the results of overnight finance operations and data transfers between University applications are 
not formally recorded.  Without a formal review there is a risk that problems with these batch processes may not be identified increasing the risk of 
data corruption impacting the University’s operations.

The provisions in place relating to performance and capacity monitoring of University systems do not include the monitoring of server utilisation and 
disk  capacity.    Without  this  monitoring  there  is  a  risk  that  capacity  and  performance  problems  will  not  be  identified  until  they occur  potentially 
impacting the continuity of University IT services.

The  recording  of  IT  incidents  in  the  helpdesk  application  is  not pervasive  throughout  the  Information  Services  department.    As  a result  IS 
management  may  not  have  visibility  of  all  issues  affecting  the  University’s  IT  systems  and  therefore  may  be  missing  potential  opportunities  for 
service improvement.

Service  levels  have  not  been  agreed  between  IS  and  University  management  which  may  result  in  pressure  on  the  IT  department  to  meet  the 
expectations of customers.

The number of Faculty-managed computers running without up-to-date anti-virus software installed cannot be accurately determined due to a lack of 
central control.  This increases the risk of unprotected computer equipment connecting to the University’s network infrastructure.

There is no formal process to grant access to or review who has access to the University’s server rooms.  This may result in inappropriate access to 
these facilities increasing the risk of loss or damage to University IT equipment.
7
5

Project by Project Summary
X
Payroll Data Analysis
Following  the  results  of  our  Payroll  Review,  our  specialist  Data Management  team  carried  out  a  series  of  data  analysis  tests  on  the  core  payroll 
processing  system  and  data  to  help  confirm  the  accuracy  of  the  payroll  calculations.    The  following  key  tests  and  calculations  were  among  those 
conducted:

Payroll re-performance for the month of July 2006

Profiling of Age of Payroll Recipients

Identification of Employees with Unusual Dates of Birth

Analysis of incomplete address information

Extract of Highest 10 Payments for July payroll

Extract of Lowest 10 Payment for July payroll

Identification of temporary/blank National Insurance Numbers 
Our re-performance of payroll calculations was successful and no notable exceptions were identified in the data analysis.  
As noted in our main Payroll report the data structures within the payroll system are complex and we have identified a number of technical improvements 
which we will progress with the University IT team.
8
6

Follow Up on Prior Year Recommendations 
We  conducted  a follow  up  of  the  ‘fundamental’ audit  recommendations  raised  during  2005/06  by the previous  Internal  Audit team.   The  following  table 
provides an overview of progress to date:
Total 
Number of 
Partially 
Not 
Report/Review 
Implemented 
Fundamental 
Implemented 
Implemented 
Rec’s. 
Faculty of Biomedical & Life Sciences 




Faculty of Physical Sciences 




Faculty of Education 




Full Economic Costing Review 




Faculty of Information & Mathematical 




Sciences 
Estates Pre-contract Stage Review 




Information Security Review 
14 
10 


  
33 
25 


 
The  statistics  above  show  the  overall  progress  with  a total  of  76%  of fundamental  recommendations  now  implemented.  All  other  recommendations  have 
received some attention but are not yet complete. 
The eight partially implemented recommendations relate to:

The Physical Sciences faculty should implement controls to monitor the movement of fixed assets and record their location accurately;

The Faculty of Education should ensure their fixed asset register is maintained up to date, in particular relating to acquisitions and disposals;

Estates projects should include a quantification of the revenue consequences prior to authorisation, and this is reliant on the roll-out of a standard 
business case which is still to be completed;

Capital investments to grant a lease to a third party should be more fully agreed in advance of project authorisation;

Policy documentation in relation to information security should be more formally controlled;

A programme of awareness training for information security should be established;

A compliance auditing mechanism should be established and formalised between Internal Audit and the Computer Emergency Response Team;

Staff may be using unmanaged client devices which may lack firewall, antivirus and software patch protection.  A program to reduce the proportion 
of unmanaged client devices should be established.
9
7

Priority One Recommendations
As summarised on page 2, we raised a total of 10 Priority One recommendations during the year. These related to the following projects: 
Review of Payroll
Two Priority One recommendations were raised in respect of the current lack of checking controls over the manual inputs to the payroll 
system and the need for a formal process for identifying and recovering payroll overpayments.  Clear action plans have been put in place 
to address these control weaknesses.
Review of Purchasing and Accounts Payable
Our review of Purchasing and Accounts Payable highlighted four Priority One recommendations.  These were in respect of:

The need to implement stronger controls around the maintenance of supplier details, to reduce exposure to the risks of fraud or 
error relating to supplier details.  Management have agreed to tighten controls by reviewing access rights and running a report 
showing all changes processed to enable independent review.

Expenditure  by  purchasing  cards  should  be  subject  to  consistent  controls/reviews  and  the  rules  around  purchasing  card 
expenditure should be reiterated.

The delegated financial authority signatory listing, used to evidence the authority of a number of documents, was found to be 
out of date and not readily available for all users.  Management intend to perform a complete review and update of this control 
document.

A lack of segregation at Faculty and department level where purchase orders and invoices are processed by the same person.  
Management have agreed to review the access rights in order to identify and resolve areas of poor segregation.
Review of Revenue – General Sales Ledger
Our review of controls over the general sales ledger identified four Priority One recommendations.  These related to:

The need for a  complete  process  redesign,  as  the  current  process for  raising  a  sales  invoice  is  manually  intensive  and  not 
consistent across the University.  The Phase 3 upgrade to Agresso is intended to address this by introducing new functionality 
during Summer 2007.

There are significant opportunities for improvement by centralising some of the functions currently carried out by a number of 
local teams throughout the University including cash collection, credit control and external debt collection.  Management have 
agreed to review the current practices and implement more efficient and controlled processes.

A number of departments, most noticeably the Vet School, do not record sales invoices on the sales ledger.  This results in an 
inability to quantify overall revenue, validate payments and manage credit control consistently.  Management have agreed to 
review and improve the procedures.

There are no authorisation controls around the issue of invoices and credit notes resulting in the potential for anyone to raise
an invoice or credit note on behalf of the University.  Management will take this issue forward as part of the Agresso upgrade.
10
8

Annual Internal Audit Report
Report to the Audit Committee
As Internal Auditors we are required to provide the Audit Committee with an Annual Internal Audit Report.  The University Court 
and  its  management  are  responsible  for  ensuring  that  a  system  of control,  financial  and  otherwise,  is  established  and 
x
maintained.  This is in order to carry on the operations of the University in an orderly and efficient manner, to ensure adherence 
to management policies, to safeguard the assets, and to secure, as far as possible, the completeness and accuracy of records.
Our  responsibility  as internal  auditors is  to  evaluate  significant  systems  and  associated  internal  controls  and  to  report  to  the
Audit Committee on the adequacy of such controls and systems.  We cannot examine the whole system of controls, financial or 
otherwise, nor is  Internal  Audit  a  substitute  for  management’s  responsibility  to  maintain  adequate  systems  of  internal  control 
over financial or operational systems.
In considering our assessment of the framework of controls we have taken the following into consideration:

results of audits undertaken during the year;

the balance of probity work against review of management arrangements and value for money work;

follow up action taken in respect of last year’s audit work;

our perception of the extent of ‘control awareness’ amongst the staff and management of University of Glasgow.
On the basis of work undertaken for the year ended 31 July 2006 we consider that University of Glasgow generally has an 
adequate framework of control over the systems we examined as summarised on page 2 (subject to implementation of the 
recommendations). In providing such an assessment we would draw to your attention our summary findings as presented in 
our individual reports issued throughout the year and particularly the Priority One recommendations highlighted on page 8.  
X
We take responsibility for this report, which has been prepared on the basis of the limitations set out on page 10.
11
9

Statement of Responsibility
We take responsibility for this report which is prepared on the basis of the limitations set out below.
Deloitte & Touche LLP
Glasgow
November 2006
The matters raised in this report are only those which came to our attention during the course of our internal audit work and are not necessarily a comprehensive 
statement of all the weaknesses that exist or all improvements that might be made.  Recommendations for improvements should be assessed by you for their full impact 
before they are implemented.  The performance of internal audit work is not and should not be taken as a substitute for management’s responsibilities for the application 
of sound management practices.  We emphasise that the responsibility for a sound system of internal controls and the prevention and detection of fraud and other 
irregularities rests with management and work performed by internal audit should not be relied upon to identify all strengths and weaknesses in internal controls, nor 
relied upon to identify all circumstances of fraud or irregularity.  Auditors, in conducting their work, are required to have regards to the possibility of fraud or irregularities.  
Even sound systems of internal control can only provide reasonable and not absolute assurance and may not be proof against collusive fraud.  Internal audit procedures 
are designed to focus on areas as identified by management as being of greatest risk and significance and as such we rely on management to provide us full access to 
their accounting records and transactions for the purposes of our audit work and to ensure the authenticity of these documents.  Effective and timely implementation of 
our recommendations by management is important for the maintenance of a reliable internal control system.
In this document references to Deloitte are references to Deloitte & Touche LLP.
Deloitte & Touche LLP is the United Kingdom member firm of Deloitte Touche Tohmatsu.  Deloitte Touche Tohmatsu is a Swiss Verein (association), and, as such, 
neither Deloitte Touche Tohmatsu nor any of its member firms has any liability for each other’s acts or omissions.  Each of the member firms is a separate and
independent legal entity operating under the names “Deloitte”, “Deloitte & Touche”, “Deloitte Touche Tohmatsu”, or other related names.  Services are provided by the 
member firms or their subsidiaries or affiliates and not by the Deloitte Touche Tohmatsu Verein.
In the UK, Deloitte & Touche LLP is the member firm of Deloitte Touche Tohmatsu and services are provided by Deloitte & Touche LLP and its subsidiaries.  Deloitte & 
Touche LLP is authorised and regulated by the Financial Services Authority.
©2006 Deloitte & Touche LLP.  All rights reserved. 
Deloitte & Touche LLP is a limited liability partnership registered in England and Wales with registered number OC303675.  A list of members’ names is available for 
inspection at Stonecutter Court, 1 Stonecutter Street, London EC4A 4TR, United Kingdom, the firm’s principal place of business and registered office. 
12
10

Appendix A – Revised Internal Audit Plan 2006/07
2006/7
PROCESS AREA
PROJECT DESCRIPTION 
DAYS 
TIMING 
PROJECT SUMMARY 
The University's arrangements for business continuity in the event of a significant incident 
or disaster have not been formally reviewed by internal audit for several years. This review 
Planning & Strategy 
Review of Business Continuity Planning 
15
MAR
will cover all key aspects of Business Continuity Planning including documentation, project 
management, quality of plans and testing arrangements. This will provide a sound basis 
for assisting the University to further develop existing arrangements. 
The output from the Business Risk Workshop has underlined the importance of the 
research management process to the achievement of the University's overall objectives. 
Review of Research Management Process  
50
OCT / JAN Significant efforts will therefore be focused on looking at the processes the University 
applies to identify, develop, deliver and financially manage research activity. Our work will 
Core Operations
be split into two separate projects looking at the pre and post award elements of the 
Consistency and standardisation of this process is a key driver for the University. This 
review of Faculty Secretary activities will help to drive insights into management activities 
Review of Faculty Secretary Management Activities 
15
NOV
and approaches, at faculty level with the aim of taking the best techniques and practices 
and sharing these University-wide.
This review will assess how the various Faculties organise and structure their financial 
Review of Faculty Finance Management
15
DEC
management resources and how they interact and operate with Central Finance.
In terms of key support services, University Transport is an asset-intensive and relatively 
Review of University Transport 
10
DEC
expensive service which, in comparison with other support services, merits focus in year 1.
A number of key risks highlighted at the business risk workshop related to staff 
Support Processes
Review of Performance Appraisal and 
performance, managing under performance, staff morale and communication. With 
10
MAR
Management 
targeted support from our specialist Consulting colleagues, we will assess the University's 
overall approach to performance appraisal and management.
Our 2005/6 work on payroll highlighted the significant use of agency and temporary staff 
Review of HR Recruitment and Selection 
15
NOV
across the University Faculties and Departments. This review will assess how this area of 
spend is managed, monitored and controlled across the University.
This review will encompass focused testing around the key financial controls related to the 
Review of General Ledger Controls 
15
NOV
day to day management and control of the general ledger.
Testing of key authorisation and process controls over the payroll process given its overall 
Core Control Testing - Payroll Process
20
MAY
significance to the annual expenditure budget.
End to end testing of key authorisation and process controls over the accounts payable 
Core Control Testing - Purchase to Pay Process
15
APR
process given its overall significance to the annual expenditure budget. Focus on key 
controls testing.
Core Control Testing - Revenue and Income 
End to end testing of key authorisation and process controls over the revenue process 
Financial Management 
15
FEB
Process
given its overall significance to the annual income budget. Focus on key controls testing.
Processes
Our accounts payable testing in 2005/6 underlined the wide variety of items which are 
Review for Unusual Expenditures 
10
JAN
purchased by the University over the year. This review will specifically focus on identifying 
any unusual or inappropriate purchases.
Given the utmost importance of achieving financial balance and stability it is important that 
the overall process for managing and controlling budgetary performance is subject to 
Review of Budgetary Control 
20
JAN
review. This will include consideration of the budget setting process as well as the 
monitoring, management and action response process at key selected departments 
across the University.
This review will assess the effectiveness of security arrangements throughout the 
University, including visitor entry records, camera and detection equipment, entry pass 
Review of Campus Security
15
FEB
management, security staff presence at major buildings and the central management of 
security activity.
This review will assess how the ICT strategy and overall governance of IT within the 
University is managed and controlled. Aligned with the results of the IT risk workshop this 
Review of ICT Strategy and Governance
15
FEB
will provide a comprehensive view of the current and forward strategic plan for IT within the 
University. 
Information & 
The University has a complex and diverse range of information assets as well as a 
Communications 
complex network structure in place. It is critical that these are robust, well managed and 
Review of Information and Network Security
20
MAR
Technology Risk 
protected from internal and external threats. This review will assess the quality of controls 
around information and network security across the University's operations. 
It is critical that the wide variety of software in use within the University is properly 
Review of Software License Management 
15
APR
managed and controlled and that software license arrangements are effective. This review 
will assess the adequacy and effectiveness of controls in this area.
This review will focus on the in-house development of the new research management 
Key Business & Systems  Review of Key Projects - Research Management 
15
NOV
software. Project management, cost control and performance / delivery will be considered 
Change 
Software
and assessed.
An objective assessment of the overall framework of corporate governance within the 
University has not been undertaken in some time. This review will consider current 
Review of Corporate Governance 
15
NOV
Legal, Regulatory and 
University practices, other University approaches and the potential impact of recent 
Business Risk 
developments in general corporate governance practice.
Management 
As a key element of the overall corporate governance framework, it is important that the 
Review of Risk Management 
10
DEC
University's internal risk management process is subject to independent review and 
scrutiny.
It is important that adequate time is devoted to comprehensive follow up on the 
Follow Up 
Follow Up on Prior Year Recommendations 
20
VARIOUS
implementation of prior year recommendations.
Planning for and attendance at Audit Committee 
Audit Committee 
15
VARIOUS
Time for preparation, planning and attendance at Audit Committee meetings.
Meetings 
Internal Audit Planning 
Overall Internal Audit Planning 
5
SEP
Development, update and maintenance of the annual audit plan and strategy.
Monthly update meetings with management as well as regular liaison and communication 
Contract Management 
Overall Contract and Client Management 
20
VARIOUS
meetings as required.
Contingency
Contingency Allowance 
10
VARIOUS
Allowance for additional projects or short notice requests which may arise during the year.
400
13