Mae hwn yn fersiwn HTML o atodiad i'r cais Rhyddid Gwybodaeth 'SFC Financial Memorandum and Internal Audit'.



University of Glasgow
Internal Audit Update and Annual Report 
Audit Committee Meeting 
15 November 2007 
This report and the work connected therewith is subject to the Terms & Conditions of the contract 
between University of Glasgow and Deloitte & Touche LLP.  This report is for the sole use of 
management and should not be released to any third party, except as required by law. 

Contents
Page 
2006/07
Introduction & Executive Summary
1
Annual Internal Audit Report
2
Overall Activity Summary 06/07
3
Project by Project Summaries
4
2007/08
Activity Summary 07/08
7
Project Summary
8
Faculty Risk Workshop Summary
9
Statement of Responsibility 
10
2

Introduction and Executive Summary  
As Internal Auditors, our role is to provide the Audit Committee, University Court and management with independent assurance as to the 
adequacy and effectiveness of the systems of internal control we review and to report weaknesses identified together with 
recommendations for improvement.  We fulfil this role by performing appropriate audit work as agreed with the Audit Committee. Overall 
messages for the Audit Committee for the year ended 31 July 2007 are as follows: 

Our  Internal  Audit  reports  have  raised  129  recommendations  across  a  broad  range  of  subject  areas,  of  which  24%  (31 
recommendations) have been rated as Priority 1.  This ratio appears high compared to other institutions, in particular since the high 
priority recommendations are distributed across a variety of processes reviewed.  Management focus to deliver the implementation
of these recommendations is essential.

The effectiveness and efficiency of Finance and IT processes is hindered by the distributed nature of these functions throughout the 
University.  Efforts to centralise and standardise Financial transaction processing have begun with the roll out of Purchase to Pay 
and will continue with the Sales Invoicing project in 2008.  Within IT, similar challenges lie ahead to drive a consistent IT strategy 
with such a devolved team.  

The Risk Management processes in place within the University are considered broadly satisfactory at a corporate level.  However 
the Risk Management Committee needs to commit to meeting regularly and there is still work to be done in order to fully embed 
these  processes  throughout  the organisation.  We have  assisted  management  by facilitating  risk workshops  at  Faculty  level and 
with members of the IT community, and will continue to support management as they improve these processes. 

The  results  of  our  follow  up  on  2005/06  audit  recommendations  show  that  43%  of  recommendations  have  now  been  fully 
implemented.  35% have been partially implemented and 22% have not yet been implemented.  A number of the outstanding issues 
relate to upgrading of systems within Finance and IT areas. 
3
1

Annual Internal Audit Report
Report to the Audit Committee
As Internal Auditors we are required to provide the Audit Committee with an Annual Internal Audit Report.  The University Court 
and  its  management  are  responsible  for  ensuring  that  a  system  of control,  financial  and  otherwise,  is  established  and 
x
maintained.  This is in order to carry on the operations of the University in an orderly and efficient manner, to ensure adherence 
to management policies, to safeguard the assets, and to secure, as far as possible, the completeness and accuracy of records.
Our  responsibility  as internal  auditors is  to  evaluate  significant  systems  and  associated  internal  controls  and  to  report  to  the
Audit Committee on the adequacy of such controls and systems.  We cannot examine the whole system of controls, financial or 
otherwise, nor is  Internal  Audit  a  substitute  for  management’s  responsibility  to  maintain  adequate  systems  of  internal  control 
over financial or operational systems.
In considering our assessment of the framework of controls we have taken the following into consideration:

results of audits undertaken during the year;

the balance of probity work against review of management arrangements and value for money work;

follow up action taken in respect of last year’s audit work;

our perception of the extent of ‘control awareness’ amongst the staff and management of University of Glasgow.
On the basis of work undertaken for the year ended 31 July 2007 we consider that University of Glasgow generally has an 
adequate framework of control over the systems we examined as summarised on page 3 (subject to implementation of the 
recommendations). In providing such an assessment we would draw to your attention our summary findings as presented in 
our individual reports issued throughout the year and particularly the Priority One recommendations.  Two areas where the 
control environment is in need of significant improvement relate to Disaster Recovery Planning and Clinical TriaX
ls governance.
We take responsibility for this report, which has been prepared on the basis of the limitations set out on page 10.
4
2

Overall Activity Summary 2006/07
The following table provides a summary of the work we have undertaken in respect of the year ended 31 July 2007.
Number of Recommendations
Project Title
Status /  AC Summary
Budget days
Actual Days
Priority 1 Priority 2 Priority 3
Review of Agresso User Profiles
Complete / Feb 07
10
8
1
2
0
Review of Research Management
Complete / Feb 07
25
26
1
2
3
Review of General Ledger Controls
Complete / Feb 07
15
15
1
5
2
Review of Research Software 
Complete / Feb 07
20
20
3
4
2
Review of Corporate Governance
Complete / Feb 07
15
15
0
4
1
Review of Campus Security
Complete / May 07
15
17
0
7
3
Review of Revenue Key Controls
Complete / May 07
10
11
4
6
0
Review of Payroll Key Controls
Complete / May 07
20
19
2
5
2
Review of Performance and Development
Complete / Oct 07
12
12
2
8
4
Review of University Transport
Complete / Oct 07
15
15
0
6
0
Review of Clinical Trials
Complete / Oct 07
15
16
4
3
1
Review of HR Project Management
Complete / Oct 07
10
10
0
2
0
Review of IT Disaster Recovery Planning
Complete / Oct 07
15
15
4
3
0
Review of Information and Network Security
Complete / Oct 07
20
19
3
4
1
Review for Unusual Expenditure
Complete / Oct 07
18
19
3
4
0
Review of Budgetary Control
Complete / Oct 07
20
21
0
3
1
Review of Software Licence Management
Complete / Oct 07
15
15
2
3
1
Review of Faculty Finance Management
Complete / Nov 07
22
24
1
5
1
Review of ICT Strategy and Governance
Fieldwork complete / Nov 07
15
17
Risk Management (2 x Faculties)
Complete / Oct 07
15
15
IT Risk Workshop
Complete / May 07
5
6
17%
24%
Follow Up of Prior Year Recommendations
Complete / Oct 07
15
15
Purchase to Pay Follow Up Review
Complete / Nov 07
5
3
2006/7 Plan Development 
Complete 
10
8
59%
Audit Committee Prep and Attendance 
Complete
15
15
Planning and Management Time
Complete
28
28
400
404
31
76
22
5
3


Project by Project Summary
A summary of the projects which have been undertaken since the last meeting is outlined on the following pages. Where applicable, the 
‘temperature gauge’ is intended to provide Audit Committee members with a relative feel for the impact and overall importance of the 
findings of each project.
6
4

Project by Project Summary
Internal Audit of Faculty Finance Management
X
The purpose of our review of Faculty Finance Management was to undertake an assessment of the financial management control environment across the 
nine  academic  Faculties  of  the  University.  This  included  obtaining  a  clear  picture  of  the  current  resource,  management  and  control  structure  in  place 
within each Faculty in order to assess the overall adequacy, consistency and effectiveness of control.  
There  is  a  variety  of  different  structures,  reporting  lines  and  processes  in  use  across  the  nine  Faculties  with  respect  to  financial  management  and 
financial transaction processing.  In most Faculties the responsibility for financial processing is devolved to individual Departmental Administrators 
who also hold other administrative responsibilities.  One Faculty (IBLS) has set up a ‘central finance team’ and another (Veterinary Medicine) has 
a  ‘partially  centralised’ financial team  at Faculty level.   Based  on  our  estimates,  over  110  personnel  across  the  Faculties  are involved  to  some 
extent in transaction processing in relation to Accounts Payable, Accounts Receivable, Cash Receipt and related Agresso processing activities. 
The current structure provides a significant and fundamental challenge for the University in managing and developing financial processing in the 
future. Record-keeping, communication, training, knowledge sharing, managing business change and controlling the quality of processing across 
multiple  locations  is  inherently  much  more  difficult.  Management have  agreed  to  review  the  current  approach  to  Finance  structures  at  Faculty 
level in consultation with the Deans.
We  believe that  the  University’s  current  distributed  structure for Accounts  Payable  and  Accounts  Receivable  processing  in  particular  is  out  of line  with 
recognised good practice and also out of line with the general trend towards centralisation of transaction processing. Trends in finance within the broader 
public  sector  support  the  consolidation  of  transactional  processes  into  shared  service  centres  to  reduce  the  time  and  effort  spent  on  low  value-added 
tasks  to  release  more  resources  into  operational  support  roles  and  activities.    The  Purchase  to  Pay  and  Sales  Invoicing  projects provide  a  clear 
opportunity to address this by mandating a standard automated process that is supported by central back office systems.  Purchase to Pay is at the final 
stages of rollout and Sales Invoicing is expected to commence Q1 2008.
Further important issues identified related to the following:

There is  a  clear  need  to  update,  standardise  and  simplify  the delegated financial  authority framework  across  the  University  to  ensure  Faculties 
and  Departments  are  working  to  a  common  and  broadly  consistent  set  of  limits,  standards  and  authorisations.  The  University’s  Financial 
Handbook (available on the intranet) is also out of date and requires significant updating.  These recommendations are being addressed in part by  
the automated solutions referred to above and by the work of the Finance office.

Our  general  sense  is  that  there  is  scope  for  the  Territorial  Management  Accountants  (TMA’s)  to  take  a  more  involved  role  in  supporting  the 
financial management of the Faculties. LBSS does not have a formal monthly meeting with the  TMA  and  the  Education  Faculty is  the only  one 
where the TMA attends the Faculty Management Group meeting.

We found the general level of expertise in fully using and exploiting Agresso across the Faculties to be  limited  and many personnel  highlighted 
their lack of awareness in using the system, particularly in relation to report generation. We also noted significant reliance on local spreadsheet 
and manual solutions. This highlights a potential need for further training and guidance on Agresso for key users and also underlines the inherent 
difficulties of ensuring that all relevant Faculty personnel are fully trained on Agresso.  
7
5

Project by Project Summary
Internal Audit of IT Strategy
X
We  have  completed  the  fieldwork  for  our  Review  of  IT  Strategy  and  are  still  in  the  process  of  agreeing  final  recommendations  and management 
comments with the Director of IT Services. 
Our  work  has  highlighted  a  significant  general  issue  in  relation to  the  practical  delivery  of  IT  Strategy  within  the  University. Our  findings  suggest  that 
whilst  a  core  IT  strategy  has  been  developed,  there  is  significant  practical  difficulty  in  driving  and  delivering  this  strategy  as  individual  Faculties  and 
Departments have flexibility to proceed with IT spending, investment and strategy decisions with no consultation with the Central IT team. The IT Director 
has responsibility for driving a consolidated, standardised approach to IT strategy but has no managerial control over IT personnel or management within 
the Faculties and Departments.
The IT risk workshops which we have undertaken have underlined this issue with the most significant risks including: 

The risk that individual Faculties and Departments can progress developments without central consultation

The risk that projects work in isolation with a lack of joined up thinking

The risk that business planning is not underlined by a technology plan
Our  discussions  with  IT management  suggest that the limited ability to  control,  oversee  and  direct  significant  strategic  decisions may  have  resulted in 
duplication  of  expenditure,  local  Faculty  investments  which  may  not  have  been  necessary  and  opportunities  for  missed  savings  and improvements 
across the University. Whilst it is important to recognise that local decision-making, investment and IT support does have its place, there is a risk that the 
current management and accountability arrangements make delivery of a coherent and value driven corporate  IT strategy very difficult to demonstrate. 
We are working with the Director of IT on the closure of  our  review  and  will  circulate  our full findings for Audit  Committee  attention  when  the  report  is 
finalised.  
8
6

Activity Summary 2007/08
Our Internal Audit work for 2007/08 is progressing well.  The following table shows the areas of focus over recent weeks, with the results of 
our  first  completed  audit  for  2007/08  (Library  Procurement)  expanded  on  page  8  and  the  summary  results  from  the  6  Faculty  Risk 
Workshops contained on page 9.
Project Title
Status
Budget days
Actual days
2007/08
Review of Library Procurement
Complete
15
15
IT Project Risk Management
Fieldwork complete
15
15
Veterinary Research Expenditure
Fieldwork complete
5
5
Review of RAE (Pre-Audit)
Fieldwork complete
20
18
Review of Staff Development Service
Fieldwork ongoing
10
9
Review of Fundraising and Donations
Fieldwork ongoing
10
9
Risk Management - Faculty workshops
4 (of 7) Faculties complete
30
18
Risk Management - IT workshop
Complete
5
5
2007/08 Plan Development
Complete
10
10
Contract Management Time
Ongoing
25
9
113
9
7

Project Summary
Internal Audit of Library Procurement
X
The first of our 2007/08 audit projects was a review of Library Procurement.  The scope of this work was  to review  the  controls  in  place to  ensure that 
Library procurement expenditure was appropriately targeted at the required texts (including all information materials) and that there was adequate control 
over the procurement process.  
The University Library, which serves approximately 1.75 million visitors (both physically and electronically) per annum, is central to the overall success of 
the University as a leading teaching and research institution.  The Library provides a central service for all academic Faculties and Departments from five 
major  locations.   With  a  Library  Material  budget  of  approximately  £3.5million  adequate  controls  are  necessary  to  ensure  that  the  Library  identifies  the 
required texts and appropriate quantities for purchase, and achieves value for money. In 2006/07 an additional £750,000 was secured, via a budget bid, 
from the main University funds to update several back catalogues of journals with e-journals.   
Our conclusion is that the Library generally fulfils the objectives assessed in this review and no major control weaknesses were identified.  There is some 
scope  for improvement  particularly in  relation to the formalisation  of  a  number  of  the  processes  in  place  and  the  retention  of  documented  evidence  to 
verify  the  operation  of  a  number  of  existing  controls,  particularly the  evidenced  approval  of  book orders.   We  raised  three  Priority  2  and  two  Priority  3 
recommendations, all of which have been agreed by management.  
The Priority 2 recommendations are summarised as follows:

The batch approach to processing purchase orders means some orders appear to be unauthorised on inspection.  Clear authorisation should be 
present  on  all  purchase  orders.    The  rollout  of  Purchase  to  Pay  for  the  Library  will  address  this  issue  by  ensuring  electronic  authorisation  for 
orders.  

There appears to be scope to improve efficiency by reviewing the distribution  of tasks  related to  purchase  ordering.   Currently, some tasks  are 
undertaken by the Manager or Deputy Manager, such as assigning vendor and budget codes to orders, which could be delegated to more junior 
members of the team.

The  Library  Procurement  operating  procedures  and  desk  instructions  for  Acquisitions  staff  have  not  been  formally  documented,  resulting  in 
variances  of  practice  throughout  the  University.    Guidance  on  the  ratio  of  course  texts  to  students  requires  review  and  formal  approval  and  a 
consistent delegated level of authority for Subject Librarians should be agreed and documented.
10
8

Risk Management Activity
We have now completed Risk Workshops at 6 out of 9 Faculties, attended by members of the Faculty management groups including the Deans, Heads of 
Department, key Research staff and Administrative personnel.  The following summary observations are made regarding the risks identified by  each  of 
the Faculty management teams:

Some of the most common risk themes emerging from the Faculty Risk Workshops are as follows:

Risks  relating  to  staff  performance  and  development,  including  the  mechanisms  for  dealing  with  underperforming  staff,  low 
morale due to increasing workloads and achieving a satisfactory balance between teaching and research activities.

Risks  associated  with the  performance  of  central  services,  such  as  delays  in Estates  &  Buildings  work,  inefficiencies  within 
Finance and bureaucratic procedures for research applications and course approvals.

Risks around the sustainability and increase of income streams, including the impact of RAE results on future funding.

Risks relating to student recruitment and retention, and the achievability of targets set in these areas.

The number one risk identified by each Faculty is as follows:
Faculty
Highest Rated Risk
Information and Mathematical Sciences
The risk that staff are overburdened, leading to an inflexible organisation.
Education
The risk that we fail to deal effectively with underperforming staff.
Physical Sciences
The risk that the Finance department is ineffective or inefficient as a central service.
Arts
The risk that University-wide initiatives focus more on Sciences than Arts and Humanities.
Engineering
The risk that the level of responsibility and increasing workload of Heads of Department make the 
position increasingly unattractive.
Biomedical and Life Sciences
The risk that planned projects are delayed, and costs are increased, owing to inadequate staffing 
in Estates & Buildings.

The  Faculties  identified  a  significant  number  of  risks  associated  with  factors  external  to  the  Faculty.    These  either  related  to environmental 
factors such as demographic developments or external funding changes, or related to the central management of the University, for example the 
inefficiency of central systems or lack of consultation in policy development.  From the top 10 risks at each of the 6 Faculties (60 risks in total), 
13% related to external (environmental) factors, 52% related to University-wide issues and 35% related to local Faculty issues.
11
9

Statement of Responsibility
We take responsibility for this report which is prepared on the basis of the limitations set out below.
Deloitte & Touche LLP
Glasgow
November 2007
The matters raised in this report are only those which came to our attention during the course of our internal audit work and are not necessarily a comprehensive 
statement of all the weaknesses that exist or all improvements that might be made.  Recommendations for improvements should be assessed by you for their full impact 
before they are implemented.  The performance of internal audit work is not and should not be taken as a substitute for management’s responsibilities for the application 
of sound management practices.  We emphasise that the responsibility for a sound system of internal controls and the prevention and detection of fraud and other 
irregularities rests with management and work performed by internal audit should not be relied upon to identify all strengths and weaknesses in internal controls, nor 
relied upon to identify all circumstances of fraud or irregularity.  Auditors, in conducting their work, are required to have regards to the possibility of fraud or irregularities.  
Even sound systems of internal control can only provide reasonable and not absolute assurance and may not be proof against collusive fraud.  Internal audit procedures 
are designed to focus on areas as identified by management as being of greatest risk and significance and as such we rely on management to provide us full access to 
their accounting records and transactions for the purposes of our audit work and to ensure the authenticity of these documents.  Effective and timely implementation of 
our recommendations by management is important for the maintenance of a reliable internal control system.
In this document references to Deloitte are references to Deloitte & Touche LLP.
Deloitte & Touche LLP is the United Kingdom member firm of Deloitte Touche Tohmatsu.  Deloitte Touche Tohmatsu is a Swiss Verein (association), and, as such, 
neither Deloitte Touche Tohmatsu nor any of its member firms has any liability for each other’s acts or omissions.  Each of the member firms is a separate and
independent legal entity operating under the names “Deloitte”, “Deloitte & Touche”, “Deloitte Touche Tohmatsu”, or other related names.  Services are provided by the 
member firms or their subsidiaries or affiliates and not by the Deloitte Touche Tohmatsu Verein.
In the UK, Deloitte & Touche LLP is the member firm of Deloitte Touche Tohmatsu and services are provided by Deloitte & Touche LLP and its subsidiaries.  Deloitte & 
Touche LLP is authorised and regulated by the Financial Services Authority.
©2007 Deloitte & Touche LLP.  All rights reserved. 
Deloitte & Touche LLP is a limited liability partnership registered in England and Wales with registered number OC303675.  A list of members’ names is available for 
inspection at Stonecutter Court, 1 Stonecutter Street, London EC4A 4TR, United Kingdom, the firm’s principal place of business and registered office. 
12
10