This is an HTML version of an attachment to the Freedom of Information request 'SFC Financial Memorandum and Internal Audit'.







www.pwc.co.uk
Internal Audit
Annual Report
2013/2014

University of Glasgow
November 2014

link to page 3 link to page 3 link to page 4 link to page 4 link to page 6 link to page 6 link to page 9 link to page 9 link to page 10 link to page 10 link to page 11 link to page 11 link to page 11 link to page 11 link to page 12 link to page 12
Annual Report 2013/2014
Contents
1. Executive summary
1
2. Summary of findings
2
3. Internal Audit work conducted
4
4. Follow up work conducted
7
Appendices
8
Appendix 1: Limitations and responsibilities
9
Appendix 2: Basis of our classifications
10
Distribution List
For noting
Audit Committee
For information
University Secretary
Director of Finance
This document has been prepared only for the University of Glasgow and solely for
the purpose and on the terms agreed with the University of Glasgow.
Internal audit report for
University of Glasgow
PwC  Contents

Internal Audit Annual Report 2013/14 for University of Glasgow
1. Executive summary
Background
The Financial Memorandum between the Scottish Funding Council and institutions requires that the Head of
Internal Audit provides a written report and annual internal audit opinion to the Governing Body. As such, the
purpose of this report is to present our view on the adequacy and effectiveness of risk management, internal
control and governance.
Whilst this report is a key element of the framework designed to inform the Annual Corporate Governance
Statement, there are also a number of other important sources to which the Audit Committee should look to
gain assurance. This report does not override the Audit Committee’s responsibility for forming its own view on
governance, risk management and control.
This report covers the period to the financial year ended 31 July 2014. The specific time period covered by our
work for each individual audit is recorded in Section 3.
Scope
Our findings are based on the results of the internal audit work performed as set out in the Risk Assessment
and Plan approved by the Audit Committee on 24 February 2014 and any subsequent amendments that were
approved. These changes included the addition of the Language Centre and Consultancy Policy Compliance
reviews and the carry forward of the Treasury Management and Student Experience reviews to the 2014/15
plan.
Our opinion is subject to the inherent limitations of internal audit (covering both the control environment and
the assurance over controls) as set out in Appendix 1.
Internal audit work was performed in accordance with PwC’s Internal Audit methodology which is aligned to
Public Sector Internal Audit Standards. As a result, our work and deliverables are not designed or intended to
comply with the International Auditing and Assurance Standards Board (IAASB), International Framework for
Assurance Engagements (IFAE) and International Standard on Assurance Engagements (ISAE) 3000.
Opinion
Our opinion is based on our assessment of whether the controls in place support the achievement of
management’s objectives as set out in our Risk Assessment and Plan and individual Assignment Reports.
We have completed the program of internal audit work for the financial year ended 31 July 2014 with the
exception of Governance (Ethical Fundraising) review, which is currently ongoing.
Based on the work we have completed and subject to management addressing the high risk issues in the reports
noted below, we believe the University of Glasgow has adequate and effective arrangements to address the risks
that management’s objectives are not achieved in respect of risk management, control and governance.
A summary of the key findings are described in further detail on page 2 to 3. As noted in Section 2,
improvements are required in Contract Management (Estates and Buildings) and Project Management
(Research), where high risk issues were noted.
Acknowledgement
We would like to take this opportunity to thank University of Glasgow staff, for their co-operation and
assistance provided during the year.
Annual Internal audit report for
University of Glasgow
PwC  1

Internal Audit Annual Report 2013/14 for University of Glasgow
2. Summary of findings
Our annual internal audit report is timed to inform the organisation’s annual Corporate Governance Statement.
A summary of key findings from our programme of internal audit work for the year work is recorded in the table
below:
Description
Detail
Overview
We completed 13 internal audit reviews, with one Overall, we have completed 11 of the 14 planned
review (Ethical Fundraising) currently in progress. Internal Audit reviews included within Risk
This resulted in the identification of no critical, 7 high, Assessment and Internal Audit plan for 2013/2014,
46 medium, 35 low and a complement of advisory risk approved by the Audit Committee on 24 February
findings to improve weaknesses in the design of 2014.
Two of the planned reviews (Treasury
controls and / or operating effectiveness.
Management and Student Experience) were carried
forward to the 2014/15 plan. Reviews of Language
Centre Procedures and Consultancy Arrangements
were undertaken in place of these reviews taking the
total number of completed reviews to 13. The audit
report from the review of Project Management was
split into two reports.
In addition, the review of
Corporate Governance (Ethical Fundraising) is in
progress at the time of writing this annual report.
Of the 13 completed reviews (14 reports):

No reviews resulted in an overall report
classification of critical;

Two reviews resulted in an overall report
classification of high; and

Eight reviews resulted in an overall report
classification of medium; and

Four reviews resulted in an overall report
classification of low.
In addition to the internal audit reviews undertaken,
we facilitated the SMG risk management workshop
and will support the College risk workshops in
2014/15.
Internal Control Issues
During the course of our work we identified no Whilst our work identified 7 high, 46 medium and 35
significant weaknesses that we consider should be low rated findings, we do not consider these
reported in your annual Corporate Governance weaknesses
to
be
pervasive
throughout
the
Statement.
University’s system of governance, risk management
and control, or of such significance that it is necessary
for them to be reported in the University’s annual
Corporate Governance Statement.
Other Weaknesses Identified
Other
weaknesses
were
identified
within
the These other weaknesses relate to the following areas:
organisation’s governance, risk management and  Contract Management (Estates and Buildings)
internal control.

Risk Management

International Activity
PwC
2

Internal Audit Annual Report 2013/14 for University of Glasgow

Consultancy Arrangements

Capital Investment Projects

Information Security – Penetration Testing

Language Centre Procedures

Project Management – Estates and Buildings and
IT Services
Each of the above reviews identified multiple medium-
rated findings and resulted in an overall report
classification of medium risk.
Follow up
During the year we have undertaken follow up work 
Overall we have selected a sample of 49 previously
on previously agreed actions.
agreed actions and undertaken follow up work.
Our approach was to assess (i) all priority 1
recommendations due as at October 2014 (5 in
number), (ii) 20% of priority 2 recommendations
due as at October 2014 (44 in number) and (iii)
accept management representations for all
remaining recommendations which are due as at
October 2014 (245 in number).

21 recommendations are now implemented, 9 are
partially implemented and 1 is no longer
considered relevant by management. Our testing
on the remainder is ongoing.
The results of follow-up activity are set out in more
detail within Section 4 of this report.
Good practice
We also identified a number of areas where few The following reviews were classified overall as low
weaknesses were identified and / or areas of good risk:
practice.

Budgetary Control

Purchase to Payables Cycle

House in Multiple Occupancy (HMO) compliance

Data Assurance
PwC
3

Internal Audit Annual Report 2013/14 for University of Glasgow
3. Internal Audit work conducted
Introduction
Our internal audit work was conducted in accordance with our letter of engagement dated 22 October 2013 and
the agreed Risk Assessment and Internal Audit Plan. The table below sets out the results of our internal audit
work.
PwC
4

Internal Audit Annual Report 2013/14 for University of Glasgow
Results of individual assignments
Report
Number of findings
classification
Report
and period
Critical
High
Medium
Low
Audit unit
status
covered
Corporate Governance
N/A –
TBC
(Ethical Fundraising)
audit
1 August 2013 – 31
fieldwork July 2014
in progress
Risk Management
Final
Medium
-
-
5
-
1 August 2013 – 30
November 2013
Project Management –
Draft
Medium
-
-
4
1
Estates and Buildings and
1 August 2013 – 31
IT Services
July 2014
Project Management –
Draft
High
-
1
4
2
Research
1 August 2013 – 31
July 2014
Contract Management
Final
High
-
1
5
2
(Estates & Buildings)
1 August 2013 – 30
February 2014
Budgetary Control
Final
Low
-
-
1
-
1 August 2013 – 30
April 2014
Departmental Compliance
Final
Medium
-
-
2
3
1 August 2013 – 30
April 2014
Purchase to Payables Cycle
Final
Low
-
-
-
4
1 August 2013 – 30
November 2013
House in Multiple
Final
Low
-
-
2
-
Occupancy (HMO)
1 August 2013 – 31
compliance
December 2013
Data Assurance
Final
Low
-
-
-
-
1 August 2013 – 30
April 2014
Consultancy Arrangements
Final
Medium
-
-
3
2
1 August 2013 – 30
June 2014
International Activity
Final
Medium
-
-
4
3
1 August 2013 – 30
June 2014
Capital Investment Projects
Final
Medium
-
-
3
3
1 August 2013 – 31
May 2014
Information Security –
Final
Medium (1)
1 (1)
5
9
14
Penetration Testing
1 August 2013 – 30
April 2014
Language Centre
Final
Medium
-
-
4
3
Procedures
1 August 2013 – 31
March 2014
Total
1
7
46
35
PwC
5

Internal Audit Annual Report 2013/14 for University of Glasgow
(1) Due to the detailed technical nature of our Information Security review, the methodology used for
determining individual finding ratings differs from our standard internal audit approach. As a result, only the
overall report classification should be considered in line with our basis of classification set out in Appendix 2.
PwC
6

Internal Audit Annual Report 2013/14 for University of Glasgow
4. Follow up work conducted
Introduction
Within the Annual Internal Audit Plan for 2013/14, 20 days were assigned for following up recommendations
raised during previous periods, in order to assess whether agreed actions had been implemented by
management. Recommendations that were classified as priority 1 and a sample of priority 2 recommendations
were followed up by validation testing. For remaining recommendations, management representation was
obtained.
Results of follow up work
The agreed approach for 2013/14 follow up work was to assess (i) all priority 1 recommendations due (5 in
number), (ii) 20% of priority 2 recommendations due (44 in number) and (iii) accept management
representations for all remaining recommendations which are due (245 in number). The table below
summarises the follow up work performed to date:
Priority
Number of
Status
recommendations
sample tested to
Implemented
Partially
No longer
date
implemented
relevant
P1
5
2
3
-
P2
27
20
6
1
P3
-
-
-
-
Total
32
22
9
1
Work will continue to complete the follow up work on the remainder of the sample selected. Please note follow
up work was not undertaken on 2013/14 audits and that this will be done during 2014/15.
Summary
We recommend that the University continues its efforts to implement all recommendations which remain
relevant at the earliest opportunity.
PwC
7

Internal Audit Annual Report 2013/14 for University of Glasgow
Appendices
PwC
8

Internal Audit Annual Report 2013/14 for University of Glasgow
Appendix 1: Limitations and
responsibilities
Limitations inherent to the internal auditor’s work
We have prepared the Internal Audit Annual Report and undertaken the agreed programme of work as agreed
with management and the Audit Committee, subject to the limitations outlined below.
Findings
Our findings are based solely on the work undertaken as part of the agreed Risk Assessment and Internal Audit
Plan, which provided for 14 internal audit reviews in 330 days. Our work addressed the control objectives
agreed for individual internal audit assignments as set out in our Individual Assignment Reports. However,
where other matters have come to our attention which we consider relevant, they have been taken into account
when forming our conclusion.
There might be weaknesses in the system of internal control that we are not aware of because those controls did
not form part of our programme of work, were excluded from the scope of individual internal audit assignments
or were not brought to our attention. As a consequence management and the Audit Committee should be aware
that our findings may have differed if our programme of work, scope for individual reviews had been different
or other relevant matters were brought to our attention.
Internal control
Internal control systems, no matter how well designed and operated, are affected by inherent limitations. These
include the possibility of poor judgment in decision-making, human error, control processes being deliberately
circumvented by employees and others, management overriding controls and the occurrence of unforeseeable
circumstances.
Future periods
Our assessment of controls relating to the University of Glasgow is for the year ended 31 July 2014. A historic
evaluation of effectiveness may not be relevant to future periods due to the risk that:

the design of controls may become inadequate because of changes in operating environment, law,
regulation or other; or

the degree of compliance with policies and procedures may deteriorate.
The specific time period for each individual internal audit is recorded within section 3 of this report.
Responsibilities of management and internal auditors
It is management’s responsibility to develop and maintain sound systems of risk management, internal control
and governance and for the prevention and detection of irregularities and fraud. Internal audit work should not
be seen as a substitute for management’s responsibilities for the design and operation of these systems.
We endeavour to plan our work so that we have a reasonable expectation of detecting significant control
weaknesses and, if detected, we shall carry out additional work directed towards identification of consequent
fraud or other irregularities. However internal audit procedures alone, even when carried out with due
professional care, do not guarantee that fraud will be detected, and our examinations as internal auditors
should not be relied upon to disclose all fraud, defalcations or other irregularities which may exist.
PwC
9

Internal Audit Annual Report 2013/14 for University of Glasgow
Appendix 2: Basis of our
classifications
Report classifications
The report classification is determined by allocating points to each of the findings included in the report
Findings rating
Points
Critical
High
Medium
Low
Report classification
Points
 Criticalrisk
 Highrisk
 Mediumrisk
 Lowerrisk
PwC
10

Internal Audit Annual Report 2013/14 for University of Glasgow
Individual finding ratings
Finding rating Assessment rationale
Critical
A finding that could have a:

Critical impact on operational performance (quantify if possible); or

Critical monetary or financial statement impact (quantify if possible =
materiality); or

Critical breach in laws and regulations that could result in material fines or
consequences (quantify if possible); or

Critical impact on the reputation or brand of the organisation which could
threaten its future viability (quantify if possible).
High
A finding that could have a:

Significant impact on operational performance (quantify if possible); or

Significant monetary or financial statement impact (quantify if possible); or

Significant breach in laws and regulations resulting in significant fines and
consequences (quantify if possible)or

Significant impact on the reputation or brand of the organisation (quantify if
possible).
Medium
A finding that could have a:

Moderate impact on operational performance (quantify if possible); or

Moderate monetary or financial statement impact (quantify if possible); or

Moderate breach in laws and regulations resulting in fines and consequences
(quantify if possible); or

Moderate impact on the reputation or brand of the organisation (quantify if
possible).
Low
A finding that could have a:

Minor impact on the organisation’s operational performance (quantify if possible);
or

Minor monetary or financial statement impact (quantify if possible ); or

Minor breach in laws and regulations with limited consequences (quantify if
possible); or

Minor impact on the reputation of the organisation (quantify if possible).
Advisory
A finding that does not have a risk impact but has been raised to highlight areas of
inefficiencies or good practice.
Pervasive
This in a literal sense means “all encompassing”. A pervasive control weakness is therefore one which has an
impact across the system of internal control, and consequently could impact upon the achievement of a number
of organisational objectives in relation to:
 the efficient and effective use of resources;
 the safeguarding of assets;
 the preparation of reliable financial and operational information; or
 compliance with laws and regulations.
PwC
11


In the event that, pursuant to a request which the University of Glasgow has received under the Freedom of Information
(Scotland) Act 2002 (as the same may be amended or re-enacted from time to time) or any subordinate legislation made
thereunder (collectively, the “Legislation”), it is required to disclose any information contained in this terms of reference, it
will notify PwC promptly and consult with PwC prior to disclosing such information. The University of Glasgow agrees to
pay due regard to any representations which PwC may make in connection with such disclosure and to apply any relevant
exemptions which may exist under the Act to such information. If, following consultation with PwC, the University of
Glasgow discloses any such information, it shall ensure that any disclaimer which PwC has included or may subsequently
wish to include in the information is reproduced in full in any copies disclosed.
This document has been prepared only for the University of Glasgow and solely for the purpose and on the terms agreed
with the University of Glasgow in our agreement dated 22 October 2013. We accept no liability (including for negligence) to
anyone else in connection with this document, and it may not be provided to anyone else.
© 2014 PricewaterhouseCoopers LLP. All rights reserved. In this document, "PwC" refers to PricewaterhouseCoopers LLP
(a limited liability partnership in the United Kingdom), which is a member firm of PricewaterhouseCoopers International
Limited, each member firm of which is a separate legal entity.