Mae hwn yn fersiwn HTML o atodiad i'r cais Rhyddid Gwybodaeth 'SFC Financial Memorandum and Internal Audit'.



University of Glasgow 
 
 
Internal Audit Update and 2007/08 Annual Report 
Audit Committee Meeting 
5 November 2008 
 
This report and the work connected therewith are subject to the Terms and Conditions of the contract between University 
of Glasgow and Deloitte & Touche LLP.  The report is produced solely for the use of University of Glasgow.  Its contents 
should  not  be  quoted  or  referred  to  in  whole  or  in  part  without  our  prior  written  consent,  except  as  required  by  law.  
Deloitte  &  Touche  LLP  will  accept  no  responsibility  to  any  third  party,  as  the  report  has  not  been  prepared,  and  is  not 
intended for any other purpose.  

Contents 
Page  
Introduction and Executive Summary  
 

Priority One Recommendations 
 
 

Annual Internal Audit Report 
 
 

Overall Activity Summary 
 
 
 

Project by Project Summary  
 
 

2007/08 Plan Completion 
 
 
 
10 
Audit Committee Effectiveness 
 
 
11 
Internal Audit Plan 2008/9 
 
 
 
13 
Statement  of Responsibility  
                    
14 
 
Appendix A – Audit Committee Self Assessment Checklist 
 
 


Introduction and Executive Summary   
As Internal Auditors, our role is to provide the Audit Committee, University Court and management with independent assurance as to the 
adequacy and effectiveness of the systems of internal control we review and to report weaknesses identified together with 
recommendations for improvement.  We fulfil this role by performing appropriate audit work as agreed with the Audit Committee. Overall 
messages for the Audit Committee for the year ended 31 July 2008 are as follows:  
 

Our  Internal  Audit  reports  have  identified  125  recommendations  across  a  broad  range  of  subject  areas,  of  which  10%  (14 
recommendations) have been rated as Priority 1.  This ratio has reduced significantly since 2006/07 (24%) and the distribution of 
Priority  1,  2  and  3  recommendations  is  more  balanced  than  we  have  observed  in  previous  years.    A  reminder  of  the  Priority  1 
recommendations is included on page 2. 

Significant improvements have been observed in the Financial processes reviewed and the Audit Committee should take assurance 
in  this  area  from  the  work  performed  by  Internal  Audit  this  year  (specifically  in  the  areas  of  bank  reconciliations,  payroll, 
procurement  and  TRAC)  and  the  follow  up  activity  completed  by  management  and  corroborated  by  Internal  Audit.    This 
demonstrated that  progress  has  been made  on all  areas  except  where significant system  developments  are  needed, for  which  a 
comprehensive plan is in place. 

IT Controls continue to be an area of relative weakness and the Audit Committee invited the Director of IT Services to attend the 
October  2008 meeting  and  present  his  plans for current  and future  projects to  address  some  of the  inadequacies  noted  over the 
past  years.  Through the follow  up results  we  were  able to  confirm that some  action  had  been taken to  address the main  issues 
identified but a signifi
 
cant amount of time and resource is still necessary to create a robust environment of internal control around 
IT. 
 
 

The risk management processes have been strengthened this year by a series of risk workshops resulting in risk registers at each 
of  the  nine  University  Faculties,  which  will  be  followed  up  this  year  with  a  series  of  meetings  and  discussions  relating  to  action 
planning  and  risk  identification.    Our  annual  strategic  risk  workshop  with  members  of  Senior  Management,  Court  and  the  Audit 
Committee was held in September 2008 resulting in a refreshed risk register for management review and action. 

The results of our follow up on previous audit recommendations show that overall 47% of recommendations have now been fully 
implemented;  36% have been partially implemented and 17% have not yet been implemented.  A number of the outstanding issues 
relate to upgrading of systems within Finance and IT areas.  

Since the last Audit Committee meeting we have finalised our reports on Absence Management, Network Security, the Vet School 
Risk Workshop and completed Phase 1 of our review of IT Resource Management.  Both Absence Management and IT Network 
Security include Priority 1 recommendations.  Results are summarised on pages 6-9.  There are three reviews on the 2007/08 plan 
which are in the process of being finalised or deferred by management until 2008/20 and these are described on page 10. 

The  Audit  Committee  requested  a  review  of  effectiveness  compared  to  the  requirements  contained  in  the  CUC  Handbook.    We 
have  completed  an  initial  review  and  high  level  results  are  included  on  pages  11-12.    To  strengthen  this  assessment  we  would 
propose to consolidate the opinions of Audit Committee members through a self-assessment exercise. 

 

Priority One Recommendations   
The 14 Priority One recommendations raised during 2007/08 are summarised as follows: 
There is a lack of central management and oversight of absence levels and statistics, which should be reported regularly to HR 
Managers for review and challenge with their respective Faculties and Departments.  
Absence 
There  is  a  lack  of  management  reporting  and  awareness  of  absence  levels.    A  regular  report  on  absence  data  should  be 
Management 
submitted to the HR Committee. 
A low level of compliance was noted with the requirement for departments to return details of staff absence to Payroll, indicating 
that system data is inaccurate.  This should be monitored and reviewed regularly.   
There  are  three  University  departments  with  responsibility  for  staff  training  and  development,  however  there  is  little 
Staff 
communication, interaction or knowledge sharing between these departments resulting in a potentially inefficient use of resource.  
Development 
Service
 
The database used by the Staff Development Service is of limited use due to inaccurate data, out of date functionality and limited 
reporting capabilities.   
Business Recovery Plans at Faculties and Departments were generally found to be low in quality and in some cases did not exist.  
Business 
Policies and suitable generic templates should be developed to be rolled out across the University. 
Continuity 
Management
 
The Business Continuity Plans that exist have not been subject to testing or regular review to ensure these are adequate.  This 
requirement should be built in to policies and procedures around Business Continuity Management. 
Financial reporting for the University Trust is completed by extracting information from the donations database and an additional 
spreadsheet  maintained  of  income  and  expenditure.    There  are  a  number  of  control  issues  associated  with  recording  financial 
transactions on a spreadsheet including access rights and ability to change historic data.  This function would be better served by 
Fundraising 
 
a proper chart of accounts.  
and Donations 
 
The  accou  
nting  and  corporation  tax  effect  of  routing  all  donation  income  through  the  University  Trust  (a  separate  legal  entity) 
while the costs are borne by the University should be reviewed and assessed.  We understand this has now been completed by 
an external consultant and management await results.  
A clear policy and guidance should be introduced for additional payments to staff, by defining exactly when these are acceptable 
and the requirement for authorisation.  Such payments should be regularly reviewed by Payroll to ensure compliance.  
Payroll 
While improvements were noted this year on the process for managing overpayments there is still a need to introduce a monthly 
review in order to identify and address overpayments in a timely manner. 
The use of the Student Records System is inconsistent throughout the University  resulting in a  lack of one central repository of 
RAE 
student  data.    Compilation  of  the  RAE  required  representatives  from  local  departments  with  access  to  local  records  and 
highlighted the lack of one consistent method of retaining student data.  
International 
There is no comprehensive target setting process within the International and Postgraduate Service to drive international student 
Student 
recruitment.  Targets should be set for each geographical area and reconciled to the targets prepared by Faculties to identify any 
Recruitment 
shortfalls.  Progress against targets should be monitored regularly. 
Network 
A large number of Administrator accounts were noted on the Novell Netware environment which should be reviewed to ensure this 
Security 
is appropriately restricted. 


Annual Internal Audit Report 
Report to the Audit Committee 
 
As Internal Auditors we are required to provide the Audit Committee with an Annual Internal Audit Report.  The University Court 
and  its  management  are  responsible  for  ensuring  that  a  system  of  control,  financial  and  otherwise,  is  established  and 

maintained.  This is in order to carry on the operations of the University in an orderly and efficient manner, to ensure adherence 
to management policies, to safeguard the assets, and to secure, as far as possible, the completeness and accuracy of records.  
Our  responsibility  as  internal  auditors  is  to  evaluate  significant  systems  and  associated  internal  controls  and  to  report  to  the 
Audit Committee on the adequacy of such controls and systems.  We cannot examine the whole system of controls, financial or 
otherwise,  nor  is  Internal  Audit  a  substitute  for  management’s  responsibility  to  maintain  adequate  systems  of  internal  control 
over financial and operational systems. 
   
In considering our assessment of the framework of controls we have taken the following into consideration: 
 
• results of audits undertaken during the year; 
• follow up action taken in respect of previous year’s audit work; 
• our perception of the extent of risk and control awareness amongst the staff and management of University of Glasgow. 
 
On the basis of work undertaken for the year ended 31 July 2008 we consider that University of Glasgow generally has an 
adequate framework of control over the systems we examined as summarised on page 4 (subject to implementation of the 
recommendations). In providing such an assessment we would draw to your attention our summary findings as presented in 
our individual reports issued throughout the year and particularly the Priority One recommendations.   
 
We take responsibility for this report, which has been prepared on the basis of the limitations set out on page  X
14.  


 Overall Activity Summary 
The following table provides a summary of the work we have undertaken in respect of the plan for 2007/08. 
Project Title 
Status / Timing 
Budget (days) 
Days to date 
  
Recommendations 
2007/08 
Priority 1 
Priority 2 
Priority 3 
  
Review of Library Procurement 
Complete 
15 
15 



Review of Expenditure Queries 
Complete 


  



Review of RAE (Pre-Audit) 
Complete 
20 
23 
  



Review of Staff Development Service 
Complete 
10 
11 



Review of Fundraising and Donations 
Complete 
15 
19 



Review of International Student Recruitment 
Complete 
15 
14.5 



Key Financial Control Testing – Payroll  
Complete 
10 




Payroll Investigation (additional request) 
Complete 


  



Review of DPA Processes & Records Management 
Complete 
10 
10 



Review of Heritage Asset Management 
Complete 
10 
10 



Review of TRAC Compliance 
Complete 
15 
14 



Key Financial Control  Testing – Tendering 
Complete 
10 
10 
  



Review of Space Management 
Complete 
10 
10 

10 

Review of Capital Projects - Small Animal Hospital 
Complete 
15 
14 



Review of Capital Projects - The Hub 
Complete 
15 
15 
Key Financial Controls  Testing – Bank Reconciliations 
Complete 
10 
10 
  



Review of IT Project Management 
Complete 
15 
15.5 



Review of Business Continuity Management 
Complete 
15 
15 



Review of Absence Management 
Complete 
10 
11 



Review of IT and Network Security 
Complete 
15 
15 
  



Review of Strategic Performance Management 
Fieldwork Complete 
10 
10 
  
Review of IT Resource and Management 
Stage One Complete 
15 

  
10%
Review of Purchase to Pay Implementation 
Delayed until November 2008 
15 

26%
IT Data Handling 
Delayed until December 2008 
15 

  
1
Follow Up 
Complete 
20 
19 
Risk Management - Faculty Workshops 
Complete 
30 
31 
2
Risk Management - IT Workshop 
Complete 


3
2007/08 Plan Development 
Complete 
10 
11 
  
63%
Contract Management Time 
Complete 
25 
31 
  
Audit Committee 
Complete 
15 
17 
  
  
  
400 
389 
14 
78 
33 




Project by Project Summary 
A summary of the projects which have been undertaken since the last meeting is outlined on the following pages. Where applicable, the ‘temperature 
gauge’ is intended to provide Audit Committee members with a relative feel for the impact and overall importance of the findings of each project. 
  



Project by Project Summary 
Absence Management 

 We completed a review of the adequacy of systems and procedures in place to record, monitor and evaluate unplanned or unauthorised staff absence, 
including long and short term sickness, other types of absence or persistent lateness.  Policies and guidance in this area are produced by the HR 
department, with responsibility for compliance resting with individual line managers throughout the University.  Effective absence management helps to 
manage the risks associated with staff motivation and development as well as the financial benefits that come from a robust system and approach. 
Research shows that the education sector in 2007 reported an average cost of absence of £733 per employee per year.   
 
The University participates in a UK sector wide benchmarking exercise each year and the results of this show that Glasgow Univeristy has equal to or 
better than average results for the number of working days lost per employee (5.6 days compared to sector average of 6.5) and the average length of 
absence (5.3 days, equal to the sector average).  The results show a higher than average percentage of long term absence (48.5% compared to sector 
average of 39%).   
 
The results of our review concluded that while there are policies and guidance in place, there is not a high rate of compliance with these and there are 
limited monitoring tools to ensure absence data is accurate and policies are consistently applied across the University.  There is also a lack of oversight 
by the HR Committee on the levels of absence. 
 
We have raised three recommendations at Priority One, as follows: 

While responsibility for managing absence is rightly devolved to line managers, the HR department should regularly run and review statistics on 
levels of absence per department and challenge the action taken by line managers in response to this.  This would help ensure data on absence 
is accurate and that action taken by line managers is in line with University guidance.  

There is currently no management information on absence generated for review by the Senior Management Group or the HR Committee.  HR 
Management have indicated that this information has been requested and KPI-style reporting is currently in development in preparation for 
reporting to the University Court via the HR Committee. 

Each department is required to submit a monthly return to Payroll detailing the staff members who have been absent, to facilitate updating on the 
Payroll system.  Our testing of these returns over 4 months identified that 38% of expected returns were not submitted; 42% of those submitted 
were over a week late; and 10% of those submitted were not authorised.  These results strongly suggest that the data held on absence is 
incorrect, and a process should be initiated within Payroll to check that the required returns are submitted each month.  A longer term solution to 
replace the current manual process with a web based tool should be explored. 
 
Our Priority Two and Three recommendations relate to the need to update and ensure compliance with policies and procedures in specific areas; as well 
as addressing data issues within the system (including errors with the absence codes and the dates of absence). 
 
Our recommendations were rated as follows: 
Priority 
CW 
PI 
Total 








CW = Control Weakness 




PI = Process Improvement 



Project by Project Summary 
Network Security 

 Our work on Network Security commenced in 2007 with a review of central services and a small sample of two Departments.  This current review had a 
broader scope to consider the network security arrangements in place at a further sample of five Departments.  The five Departments reviewed were 
Chemistry, Psychology, Mechanical & Aeronautical Engineering, Civil Engineering and Electrical Engineering, and were selected because they are 
known to manage their own IT Services. 
 
A number of control weaknesses were observed within the Departments reviewed which could result in inappropriate access to University systems and 
data.  The one recommendation rated Priority One relates to the numbers of Administrator Accounts where members of staff have full access to create 
and amend user accounts, access any information contained on the network, or amend/delete audit trails.  They appear excessive based on the size of 
the IT teams and should be reviewed. 
 
Further Priority Two issues were noted in the following areas: 

Password controls were found to be below good practice minimum standards in a number of areas, considering the length and complexity of 
the passwords and the settings to enforce regular changes and lockouts on failed attempts. 

A lack of formal policies and procedures was noted relating to user administration (for adding, removing or amending access) and no formal 
periodic reviews of access rights were found to be completed by any of the Departments reviewed. 

A central vulnerability scanning service provides distributed IT staff with detailed reports of potentially vulnerable systems in their area of 
responsibility. In addition, centrally supported early warning systems detect compromised systems and these are treated as security incidents 
in accordance with the University's Incident handling policy. This service is inconsistently used as some departments run their own scanning 
tools. No unified formal process is in place to ensure that identified issues are followed up and resolved on a timely basis. 

The Information Security Policy was found to be out of date (last updated 2004).  

While improvements have been noted in the change control projects for major upgrades and changes (eg server updates) there is no similar 
process for smaller changes including approval, testing and regular patching. 

Regular management reporting should be run to enable monitoring of the level of anti-virus protection on University PCs. 

No assessment has been undertaken within the Departments reviewed of the vulnerabilities and risks associated with the IT assets.  Guidance 
should be provided to assist Departments with this exercise. 

Physical access and environmental controls in the server rooms within the Departments reviewed were found to be lacking in some areas, 
specifically a lack of fire suppression systems, lack of humidity or temperature monitoring and some areas with no uninterrupted power 
supplies.  
 
Our recommendations were rated as follows: 
Priority 
CW 
PI 
Total 








CW = Control Weakness 




PI = Process Improvement 



Project by Project Summary 
Veterinary Medicine Risk Workshop 
 We completed the last of our Faculty risk workshops in October 2008 at the Faculty of Veterinary Medicine.  This Faculty have historically managed their 
own risk register developed in-house and so the management team were familiar with the concept of risk management and contributed to a useful 
session. 
 
The following risks were rated as top 20 by the Faculty, showing a high concentration of HR (7) and Finance (7) risks in the top 20. 
#
Category
Risk
 Impact
 Likelihood
Significance
1
Human Resources
The risk that we are unable to attract and retain appropriately qualified and experienced staff.
7.7
7.3
56.2
2
Finance
The risk that funding to support the maintenance of existing buildings is insufficient.
6.3
7.6
47.9
3
Human Resources
The risk that our good quality staff are head hunted by our competitors.
6.9
6.9
47.6
4
Finance
The risk that costs exceed income.
7.4
6.1
45.1
5
Research
The risk that we are unable to maintain and increase current levels of research income.
7.4
6.1
45.1
6
Human Resources
The risk that there is low morale and poor performance causing low productivity and high stress.
6.9
6.5
44.9
7
Finance
The risk that investment by the University in other areas reduces funding for our faculty.
6.5
6.7
43.6
8
Finance
The risk that there is insufficient capital spend on advancing technology.
6.1
7
42.7
9
Finance
The risk that there is a potential loss of clinical commercial income if referring vets select a different 
7.8
5.4
42.1
provider to SAH and Weipers.
10
Infrastructure
The risk that our teaching facilities do not match up to our competitors.
6.6
6.3
41.6
11
Research
The risk that teaching and admin burdens reduce the research time of staff.
5.8
7
40.6
12
Finance
The risk that funding from the SFC is reduced or diverted elsewhere.
7.3
5.4
39.4
13
Finance
The risk that income generation targets are not met.
6.9
5.7
39.3
14
Human Resources
The risk that high levels of staff absence or departure mean that there is a system or process break 
7.1
5.5
39.1
down.
15
Human Resources
The risk that sufficient remedial action is not taken against poor performance.
5.9
6.6
38.9
16
Learning & Teaching The risk that there is a reduced level of government support/lack of increased support for veterinary 
7.3
5.3
38.7
education and related public issues.
17
Learning & Teaching The risk that we are unable to maintain and increase current levels of overseas student fee income.
7.1
5.3
37.6
18
Human Resources
The risk that there is insufficient advanced succession planning and/or we are unable to achieve 
6.3
5.9
37.2
appropriate mix of new and 'home grown' staff.
19
Human Resources
The risk that performance appraisals do not sufficiently capture strengths and weaknesses.
5.7
6.4
36.5
20
Infrastructure
The risk that there are sub-optimal processes and communication leading to higher costs to run the 
6.5
5.6
36.4
business.
10 


Project by Project Summary 
IT Resource Management (Phase 1) 
 The aim of our review of IT Resource Management was to understand and evaluate the resources (people and systems primarily) in place across the 
University, including in particular those outwith the central IT Services (ITS).  We have conducted an initial evaluation in consultation with members of 
the central IT Services team, resulting in the following interim conclusions: 
 
Application Systems: 
There are a large volume of IT applications that are supported by central ITS, with an initial count of 63 applications.  Throughout the Faculties and 
Departments, however, there are at least 16 further applications plus a variety of Access databases that are developed, managed and supported by the 
Faculty or Department personnel.  The main areas identified where systems and applications exist that are not supported by ITS are the Library, 
Accommodation, Museum, Medical Faculty, IBLS, and Faculty of Education.    
 
Use of Core Services: 
The services provided by ITS are used to a greater or lesser extent throughout the Faculties, for example some services have a 100% take up rate 
including the internet access, video conferencing facilities and e-learning systems.  For other services there are notable exceptions or a variable take up 
rate.  The main exceptions include the Department of Computing Science, Department of Forensic Medicine and Department of Physics & Astronomy.  
In these departments much of the network support, desktop support, email services and general IT infrastructure are managed locally instead of making 
use of centrally provided services.  In some cases there are historic reasons for this, and in others there appears to be a lack of trust that central ITS can 
provide an adequate service. 
 
Staff Resource: 
The Faculties and Departments have local staff with IT responsibilities.  The technical network and infrastructure staff (outwith ITS) total approximately 
53.5 as follows: 
 
 
Faculty 
FBLS 
Vet 
Clin Med 
Arts 
LBSS 
Education 
Engineering 
FIMS 
Phys Sci 
Uni Services 
TOTAL 
 
  IT Support 




4.5 


11 


53.5 
  Staff (count) 
 
The staff resource noted above does not include support for locally managed systems and applications, and an initial count of these would indicate there 
may be at least a further 28 members of staff with responsibility for maintaining and supporting local systems and developing local web services. 
 
In order to continue this review and provide an accurate picture of IT resource at Faculty and Department level, we intend to select a sample of 
Departments (based on the exceptions noted during our initial analysis) and discuss their current needs and resources for IT support. 
 
 
 
11 


2007/08 Plan Completion 
Within the 2007/08 plan there is one review currently being finalised and two reviews where fieldwork has been deferred to allow internal projects to take 
effect prior to the review.  These are summarised as follows: 
 
Review of Strategic Performance Management 
The fieldwork for this review is complete and report in progress.  The aim of the review was to assess the adequacy of the new system of KPI reporting to 
the University Court within the areas of Learning & Teaching, Research, Finance, Estates and HR.  The review involved discussions with senior staff in 
each of these areas and review of the documentation produced or plans underway for cyclical reporting of KPIs to Court.  The results to date are broadly 
satisfactory and we do not intend to raise any Priority One recommendations in this report which would affect the Audit Committee’s overall assessment 
of internal control for 2007/08. 
 
Review of Purchase to Pay 
Our review of the new system for Purchase to Pay will commence at the end of November 2008.  This delay was requested by management to allow the 
new process to be fully rolled out and embedded in order to maximise the value of an audit of this area.  We agreed that this was a reasonable approach. 
 
Review of IT Data Handling 
Due to staffing changes in the DPA Office, this review has been postponed.  We met with the Data Protection Officer prior to his retirement to discuss this 
review.  Since the University data handling methodology is currently being reviewed by the Data Protection Office, we intend to complete this review in 
two phases, by carrying out an interim assessment in December 2008 and a further review in 2008/09 once the new methodology is operational. 
 
 
12 
10 

Audit Committee Effectiveness 
During the Audit Committee meeting in May 2008, the Committee expressed an interest in conducting an evaluation of effectiveness compared to the 
requirements of the CUC handbook issued in February 2008. 
 
We have conducted our initial evaluation based on our observations of the working practices of the Audit Committee and our observations of Audit 
Committees from other organisations. 
 
At a high level our initial conclusions are as follows: 
 
Area 
Observations 
Recommendations 
A) Creating an effective Audit 
The composition and experience of the Audit Committee appears to be satisfactory and 

Annual review of Terms of 
Committee 
the range of backgrounds and experience contribute to a meaningful challenge to 
Reference. 
University management. 
 
We do note limited crossover membership between Court and the Audit Committee 
which can impact overall awareness. 
The terms of reference is not reviewed annually.  
B) Running and effective Audit 
The dynamics of the Audit Committee and its relationships with attendees (management 

Development of schedule of 
Committee 
and audit) appear satisfactory.  The administrative support for the Audit Committee is 
responsibilities or formal work 
efficient and effective. 
plan. 
In some cases the Audit Committee may benefit from increased clarity over its 
 
responsibilities in particular for review or approval of University policies and procedures. 
C) Professional development 
The Audit Committee, during updates from management and audit, receive professional 

Consider the adequacy of 
development relating to regulatory and accounting changes.  There are a opportunities 
current training and 
throughout the year for the Audit Committee Chair to network with other Audit 
development mechanisms. 
Committee Chairs. 
The Audit Committee members may benefit from increased training/induction of a 
professional development nature. 
D) Overseeing financial reporting 
The Audit Committee exercises a critical review of the Financial Statements. 

None 
13 
11 

Audit Committee Effectiveness 
Area 
Observations 
Recommendations 
E) Overseeing governance, risk 
Recent improvements to the Risk Management procedures within the University have 

None 
management and internal control 
increased the transparency to allow a review of identified risks by the Audit Committee. 
The opportunity to further influence the University Court should increase by the 
appointment of new Audit Committee members from Court and the dual role of the new 
Audit Committee Chair on Court. 
F) Overseeing value for money 
Considered fully in discussions with management and auditors. 

None 
G) Overseeing external audit 
External audit plans and reports are fully reviewed by the Audit Committee each year. 

None 
H) Overseeing internal audit 
Progress reports from Internal Audit are reviewed at every meeting of the Audit 

None 
Committee and results discussed.  Internal Audit meet regularly with the Audit 
Committee Chair. 
Within the areas noted above, individual members of the Audit Committee may feel that more action could be taken to strengthen the effectiveness of the 
Audit Committee.  A core element of the CUC Guidance is self assessment and a checklist is included in the CUC Guidance which ideally should be 
completed every 3-5 years in full, with an annual discussion of effectiveness completed in the interim years. 
 
The full CUC guidance (including the self assessment checklist) can be downloaded from http://www.hefce.ac.uk/pubs/hefce/2008/08_06/ and the self 
assessment checklist is also included at Appendix A to this paper. 
 
We have facilitated Audit Committee self assessment with a number of other organisations by either: 
 

Holding a workshop with members of the Audit Committee to discuss and evaluate effectiveness 

Collating responses to the questionnaire and holding individual meetings with members to discuss opinions, and consolidating this into an 
action plan. 
 
We would propose to ask each member of the Audit Committee to complete the self assessment and we will consolidate the results and present the 
combined view to the next meeting of the Audit Committee. 
14 
12 

Process Area Assessment 
Internal Audit Plan 2008/09 
Our strategy for Internal Audit in 2008/09 was presented to the last meeting of the Audit Committee.  Since then we have adapted the plan slightly to 
account for the decision to reduce the focus on IT activities and re-focus some of this effort on other support areas, primarily Estates maintenance.  The 
revised project plan for 2008/09 is shown below: 
PROCESS AREA
%
DAYS
PROJECT TITLES
DAYS
PLANNING AND STRATEGY
4%
15
Review of Faculty Strategic and Operational Planning
15
BRAND AND MARKETING
3%
10
Review of Marketing Strategy
10
Review of Course Approval Procedures
15
CORE OPERATIONS
11%
45
Review of Commercialisation
15
Review of e-Learning
15
Review of Catering
15
Review of Sports and Recreation Services
15
OPERATIONAL SUPPORT PROCESSES
16%
65
Review of Performance and Development Review Process
15
Review of Registration
20
Review of Key Financial Controls
24
 
RT

FINANCIAL MANAGEMENT PROCESSES
Review of PAYE Compliance
10
O
S
E

Review of Commercial Pricing
25
P
S
S

Review of Data Handling
10
UP
INFORMATION AND TECHNOLOGY RISK
30%
119
CE
Review of Key Application Management
15
R S
RO
Review of Insurance Management Arrangements
10
HE
T

P
OTHER SUPPORT PROCESSES
Review of Pension Scheme Administration
10
O
Review of Estates Maintenance 
15
Organisational Risk Workshop
8
LEGAL, REGULATORY AND RISK MANAGEMENT
8%
31
Faculty Action Planning & Risk Register Updates
18
Facilitation of Audit Committee Effectiveness Review
5
KEY BUSINESS AND SYSTEMS CHANGE
5%
20
Review of Student Support Services
20
Review of Corporate Communications
10
EXTERNAL RELATIONSHIPS
6%
25
Review of External Partnerships - Degree Validation
15
FOLLOW UP
5%
20
Follow Up on Outstanding Action Points 
20
AUDIT COMMITTEE AND ENGAGEMENT 
Audit Committee Preparation and Attendance
20
10%
40
MANAGEMENT
Client Liaison and General Contract Management
20
INTERNAL AUDIT PLANNING
3%
10
Annual Internal Audit Planning
10
100%
400
400
13 

Statement of Responsibility 
We take responsibility for this report which is prepared on the basis of the limitations set out below. 
 
Deloitte & Touche LLP 
Glasgow 
October 2008 
 
The matters raised in this report are only those which came to our attention during the course of our internal audit work and are not necessarily a comprehensive 
statement of all the weaknesses that exist or all improvements that might be made.  Recommendations for improvements should be assessed by you for their full impact 
before they are implemented.  The performance of internal audit work is not and should not be taken as a substitute for management’s responsibilities for the application 
of sound management practices.  We emphasise that the responsibility for a sound system of internal controls and the prevention and detection of fraud and other 
irregularities rests with management and work performed by internal audit should not be relied upon to identify all strengths and weaknesses in internal controls, nor 
relied upon to identify all circumstances of fraud or irregularity.  Auditors, in conducting their work, are required to have regards to the possibility of fraud or irregularities.  
Even sound systems of internal control can only provide reasonable and not absolute assurance and may not be proof against collusive fraud.  Internal audit procedures 
are designed to focus on areas as identified by management as being of greatest risk and significance and as such we rely on management to provide us full access to 
their accounting records and transactions for the purposes of our audit work and to ensure the authenticity of these documents.  Effective and timely implementation of 
our recommendations by management is important for the maintenance of a reliable internal control system. 
In this document references to Deloitte are references to Deloitte & Touche LLP. 
Deloitte & Touche LLP is the United Kingdom member firm of Deloitte Touche Tohmatsu.  Deloitte Touche Tohmatsu is a Swiss Verein (association), and, as such, 
neither Deloitte Touche Tohmatsu nor any of its member firms has any liability for each other’s acts or omissions.  Each of the member firms is a separate and 
independent legal entity operating under the names “Deloitte”, “Deloitte & Touche”, “Deloitte Touche Tohmatsu”, or other related names.  Services are provided by the 
member firms or their subsidiaries or affiliates and not by the Deloitte Touche Tohmatsu Verein.  
In the UK, Deloitte & Touche LLP is the member firm of Deloitte Touche Tohmatsu and services are provided by Deloitte & Touche LLP and its subsidiaries.  Deloitte & 
Touche LLP is authorised and regulated by the Financial Services Authority. 
©2008 Deloitte & Touche LLP.  All rights reserved.  
Deloitte & Touche LLP is a limited liability partnership registered in England and Wales with registered number OC303675.  A list of members’ names is available for 
inspection at Stonecutter Court, 1 Stonecutter Street, London EC4A 4TR, United Kingdom, the firm’s principal place of business and registered office.  
16 
14 

Appendix A – Audit Committee Self Assessment Checklist 
The fol owing pages contain the ‘Assessment of the Audit Committee’ checklist extracted from the CUC Handbook (2008). 
 
This self-assessment has been prepared for audit committees in the higher education sector. It is intended that each audit committee member will 
complete it independently. The assessment exercise could be carried out at a special meeting of the audit committee or at some form of away-day. 
The audit committee chair or an external facilitator should, after collating the responses, lead a discussion on the key points arising from the 
questionnaire and feed back any matters of interest, focusing on those areas which clearly need improvement or where there is great variation in 
answers. When using a facilitator, care needs to be taken if this person is in some way conflicted because of the closeness of his or her relationship with 
the audit committee; for example, a degree of circularity is involved in using internal or external auditors, as the audit committee has a responsibility to 
review the auditors’ performance. 
The results of the self-assessment and any action plans arising should be reported to the governing body after discussion with the chair of the governing 
body. 
Audit committee chairs may wish to tailor this checklist to the specific circumstances of their institution, giving more weight to some aspects of the self-
assessment than others. Appropriate weighting will be influenced by a number of factors including, but not limited to: 

the committee’s terms of reference 

the institution’s strategies and risk assessments 

the institution’s risk and control environment 

the outcomes of previous self-assessments 

the stage of maturity of the audit committee 

the views of stakeholders on the institution’s corporate governance performance 

current and emerging trends and factors. 
Audit committee chairs may wish to adapt the questionnaire such that the full version is carried out on a cyclical basis, say every three to five years. In 
the intervening years, they may choose to evaluate the committee’s effectiveness by means of a general discussion around the audit committee table, or 
by using a curtailed form of the questionnaire.