Mae hwn yn fersiwn HTML o atodiad i'r cais Rhyddid Gwybodaeth 'Financial Memorandum and Internal Audit'.



Internal Audit 
 
 
 
 
 
 
 
 
University of Abertay 
 
 
 

 
Internal Audit Annual Report 
 
 
 
November 2009 
 
 
 
 
 
 
Distribution 
 
 
Audit Committee 
 
 
 
 
 
 
This report  and the  work connected therewith  are subject to the Terms  and Conditions  of the contract between  University  of 
Abertay Dundee  and Deloitte LLP.  The  report is produced solely for the use  of University  of Abertay Dundee.   Its contents 
should not be quoted  or referred to  in  whole  or  in part  without  our  prior  written consent,  except  as required  by law.  Deloitte 
LLP  will  accept  no  responsibility  to  any  third  party,  as  the  report  has  not  been  prepared,  and  is  not  intended  for  any  other 
purpose. This report is prepared on the basis of the limitations set out at Section 6. 
 
 
 

Contents..................................................................                   . 
..            
 
1. 
Introduction                                                                 
1 
2. 
Annual Internal Audit Statement                               

3. 
Ranking of Recommendations for Year                    

Ended 31 July 2009 
   
 
4. 
Summary of Findings                                                    
4 
5. 
Internal Audit Plan for Year Ending 31 July 2010    
15 
6.      Statement of Responsibility                                      
16                         
                                                
 

 

 
Section 1 – Introduction.........................................................................                                                                       
We are pleased to present our annual report to the Audit Committee in respect of the year 
ended  31  July  2009.    This  report  has  been  prepared  in  line  with  guidance  issued  by  the 
Scottish Funding Council (SFC).  The main purpose of this report is to provide a summary 
of  the  Internal  Audit  work  performed  during  the  year  and  highlight  the  important  findings 
arising. 
As  Internal  Auditors,  our  role  is  to  provide  management,  the  Audit  Committee  and  the 
University  with  independent  assurance  as  to  the  adequacy  and  effectiveness  of  the 
systems  of  internal  controls  reviewed,  to  report  any  weaknesses  identified  and  make 
recommendations  for  improvement.    We  fulfil  this  role  by  carrying  out  appropriate  audit 
work in accordance with the annual Internal Audit plan approved by the Audit Committee on 
behalf of the Court. 
Our approach is consistent with the SFC Code of Audit Practice and guidance contained in 
the  Government  Internal  Audit  Standards.    Our  main  point  of  contact  is  the  Deputy 
Secretary to the Court and Head of Finance, although we have the right of direct access to 
the Principal and the Audit Committee.  We meet regularly with the Audit Committee during 
the year. 
During  the  year  we  issued  eleven  reports  containing  a  total  of  53  recommendations 
(excluding recommendations contained within the Follow-Up report).  This included a total 
of  4  priority  one  recommendations  where  immediate  management  attention  should  be 
focused.    University  management  has  accepted  all  of  the  recommendations  and  agreed 
future actions and timescales for implementation.  A summary of our findings for each of the 
reviews undertaken in 2008/09 is provided at Section 4
We would like to take this opportunity to formally record our thanks for the co-operation and 
support we have received from management and staff of the University during the year. 
 


 
Section 2 – Annual Internal Audit Statement 
 
 
................                                                                  
As Internal Auditors to the University we are required to provide the Audit Committee and 
Board of Management with an annual Internal Audit Statement on Internal Control. 
The  University  and  its  management  are  responsible  for  ensuring  that  a  sound  system  of 
controls,  financial  and  otherwise,  is  established  and  maintained  in  order  to  carry  out  the 
operations  of  the  University  in  an  orderly  and  efficient  manner,  to  ensure  adherence  to 
management  policies,  to  safeguard  the  assets,  and  to  secure,  as  far  as  possible,  the 
completeness  and  accuracy  of  records.    Our  responsibility  as  Internal  Auditors  is  to 
evaluate the University’s systems and associated internal controls and to report to the Audit 
Committee  and  Board  of  Management  on  our  assessment  of  the  design,  implementation 
and operating effectiveness of the controls and systems reviewed.  Our work is performed 
in  accordance  with  the  annual  Internal  Audit  plan  approved  in  advance  by  the  Audit 
Committee.    We  cannot  examine  the  whole  system  of  controls,  nor  is  Internal  Audit  a 
substitute for management’s responsibility to maintain an adequate level of internal control 
over financial and operational systems.  
Final reports on the systems reviewed (please refer to the summaries at Section 4 of this 
report)  have  been  agreed  with  University  management  and  approved  by  the  Audit 
Committee.    The  number  and  priority  of  the  recommendations  raised  during  the  year  are 
summarised at Section 3
In formulating our statement we have taken account of: 
• 
all audits undertaken during the year; 
• 
the balance of probity work against special investigations and value for money work; 
• 
our  perception  of  the  extent  of  ‘control  awareness’  amongst  the  staff  of  the 
University interviewed by us; 
• 
follow up on action taken in respect of previous years’ audit findings; and 
On the basis of the work undertaken in the year ended 31 July 2009, we consider that the 
University  has  appropriate  controls  over  the  systems  we  examined  as  summarised  in 
Section  4  of  this  report  (subject  to  the  satisfactory  implementation  of  the  agreed  audit 
recommendations).    In  providing  such  an  opinion  we  would  draw  your  attention  to  our 
detailed findings as presented in the individual internal audit reports issued during the year, 
and in particular the High Priority recommendations identified. 

We  take  responsibility  for  this  report  which  has  been  prepared  on  the  basis  of  the 
limitations set out at Section 6. 



 
Section 3 – Ranking of Recommendations for Year Ended 31 July 2009................................................................ 
Budget 
Actual 
Number of Recommendations (by Priority) 
Review Title 
Status 
Days 
Days 
High 
Moderate 
Low 
Total 
Strategic Planning 
Complete 






Income Generating Overseas Operations 
Complete 





10 
Registry 
Complete 






Severance Payments 
Complete 






IT Security and Firewalls 
Complete 






Budgetary Control, Monitoring and Management 
Complete 






Financial Controls Framework Implementation 
Complete 


 
 
 
 
TRAC Review 
Complete 






Risk Management 
Complete 






Records Retention 
Complete 






Follow Up on 2007/08 Recommendations 
Complete 


 
 
 
 
Audit Committee preparation and attendance, 
 
Complete 
19 
20 
 
 
 
general contract management and client liason  
 
 
85 
93 

23 
26 
53 
 
Key 
 High     High risk control weakness/improvement opportunity 
Moderate      Moderate risk control weakness/improvement opportunity 
              Low      Lower risk control weakness/improvement opportunity


 
 Section 4 – Summary of Findings                                                                    ......................       ....................  ...... 
X
 
4.1 
Transparent Approach to Costing 
Scope and Approach 
The principal objective of this audit was to review the controls in place to provide assurance that the University was compliant with the 
minimum requirements for TRAC reporting as set out by the Joint Costing and Pricing Steering Group and the Research Councils UK 
(RCUK) Quality Assurance and Validation (QAV) Process.   
Our  approach  involved  discussion  with  the  Cost  and  Management  Accountant  in  order  to  document  the  methodology  for  the  TRAC 
process  as  well  as  to  assess  the  adequacy  and  effectiveness  of  the  controls  in  place  to  ensure  compliance  with  the  minimum 
requirements of the TRAC guidance and QAV audit process.   
Conclusion 
Our overall conclusion was that the University had broadly met the requirements of the QAV audit programme with the exception of the 
following priority two rated recommendations: 
  Finance have not documented the TRAC process in sufficient detail, such that it would provide adequate guidance in the event of 
key staff leaving the organisation.  
  The institution has not completed and documented sufficient reasonableness review processes to fully comply with good practice 
as per the TRAC guidance. 
 
 
 


 
Section 4 – Summary of Findings                                                                    ....................................         ............ 
X
 
4.2 
Registry 
Scope and Approach 
The  principal  objective  of  this  review  was  to  assess  whether  appropriate  controls  and  arrangements  were  in  place  within  the  Registry 
department.  Our  approach  initially  involved  discussion  with  Registry  personnel  in  order  to  gain  an  understanding  of  the  processes  and 
controls  in  place.  We  then  carried  out  testing  on  a  sample  basis  to  assess  the  operation  of  key  controls  and  our  work  also  included 
consideration of any potential efficiencies, value for money opportunities or process improvements. 
Conclusion 
Our  work  looked  at  the  management  of  student  information  from  registration  of  students  through  to  department  administration  and 
budgeting  and  generally  found  that  the  Registry  processes  were  well  managed.  However,  we  did  identify  6  recommendations  with  2 
graded as Priority 2. The Priority Two items were: 
•  Performance against a suitable metric for the admissions application turnaround time target is not calculated or reported; and  
•  There was no formal review and sign off of flexitime timesheets. 
 
 


 
Section 4 – Summary of Findings                                                                    ......................   .......................... 
X
 
4.3     Financial Controls Framework Implementation 
Scope and Approach 
It is critical that the Board, Audit Committee and Senior Management have confidence in the robustness of the financial control systems 
in  place  at  the  University.    To  aid  in  obtaining  this  assurance,  we  provided  the  University  with  a  financial  control  self  assessment 
framework which has now been implemented by the Finance Department.  The report presented is based on the first assessment return 
completed by the Head of Finance as at 28 February 2009. 
Conclusion 
The financial control self assessment return as at 28 February 2009 identified that five of the 122 controls assessed were not in place:   
•  Supplier performance is monitored on an ongoing basis and appropriate actions taken as required (purchase ordering)
•  Goods Received Not Invoiced (GRNI) and Goods Invoiced Not Received (GINR) are identified and properly accounted for at each 
month end (accounts payable)
•  Commercial customer credit limits are set, reviewed and any transactions exceeding these set limits are appropriately approved by 
senior management before proceeding (accounts receivable and credit control)
•  All fixed asset investments are subject to assessment / appraisal and structured authorisation procedures (fixed assets and capital 
planning)
•  Access  to  the  finance  system  is  subject  to  regular  user  access  audits  by  a  person independent  of  the  system  administrator  (IT 
controls)
Of  the  117  controls  which  are  in  place,  13  were  assessed  by  the  Head  of  Finance  as  requiring  improvement,  14  were  assessed  as 
requiring minor improvement and 90 considered to be operating effectively.    
On the basis of the self assessment completed as at 28 February 2009, management have evaluated the control deficiencies and have 
agreed actions to be implemented to address the weaknesses.  The Finance Department will be required to update the self-assessment 
schedule on a six-monthly basis.  As part of this process, we will assess the validity and accuracy of the self assessment responses by 
testing a sample of the controls on an ongoing basis. 


 
 
Section 4 – Summary of Findings                                                                    ....................................       ............ 
X
 
4.4 
IT Security and Firewalls 
Scope and Approach 
This review focused on assessing the University’s policies, procedures and controls in relation to IT security, firewall management and 
user access management.  The University has an overall IT Security Policy, along with various detailed policies in specific Information 
Security areas including a draft Firewall management policy.  Information Services are responsible for development of these polices, all 
of which have been approved by the University Court and are available for staff and students to view on the University’s intranet.   
Conclusion 
Although we did not identify any Priority One issues, our review identified a number of important control weaknesses and opportunities 
for improvement which should be taken forward by management.  The following summarises the key findings from our review: 
•  The coverage of the current suite of IT security policies is insufficient to provide adequate guidance for staff and students within 
the University;  
•  A user awareness program has not been fully established within the University to provide comprehensive guidance on information 
security;  
•  User accounts are being set up using mirrored user IDs;  
•  The Registry department employees have been assigned the same level of access within the SITS system which has resulted in 
some users being assigned access rights in excess of those required to perform their job role;  
•  Generic accounts are being used by the Oracle DBA to undertake the administrative work in relation to the SITS database.  No 
monitoring is undertaken of the activity performed using these accounts; and  
•  Testing highlighted user accounts of leavers that had not been disabled on a timely basis.  Adequate user entitlement reviews are 
not being performed



 
 
Section 4 – Summary of Findings                                                                    ..............         ..................................  
 
4.5  
Income Generating Overseas Operations 
Scope and Approach 
 As part of the review we looked at the financial processes that underlie managing overseas operations; monitoring of teaching quality; 
strategic  alignment  of  overseas  engagements  with  the  overall  UAD  plan,  as  well  as  the  governance  and  legal  framework  under  which 
such collaborations are set up. 
Conclusion 
Overall,  we  have  raised  two  High  Priority  and  four  Medium  Priority  recommendations  in  respect  of  income  generating  overseas 
operations: 
•  Students  enrolled  on  two  collaborative  programmes  are  not  recorded  on  the  SITS  database  and  there  is  a  lack  of  sufficient 
monitoring of these payments being undertaken (High Priority); 
•  SEGi invoices for the 1st and 2nd instalments of January 2007, July 2007 and the 1st instalment of January 2008 had not been 
issued  until  26th  September  2008.  Furthermore,  a  9%  withholding  fee  charged  by  the  Malaysian  government  had  not  been 
included in invoices raised against SEGi (High Priority); 
•  There is no detailed report of income received from collaborations available to Heads of School (Medium Priority); 
•  2 out of 4 of the Schools do not have a Collaborative Provision Committee. For the Schools which do, neither sends their minutes 
to the Collaborative Task Group (Medium Priority); 
•  SEGi payments for stage 2 and 3 students’ registration and exam fees are received directly by the Dundee Business School rather 
than  sent  to  Finance.  In  addition,  there  is  no  audit  trail  maintained  for  cheques  from  SEGi  students  passed  to  the  University 
cashier (Medium Priority); and  
•  The Memoranda of Agreement are not reviewed on an annual basis (Medium Priority).  
 



 
 
Section 4 – Summary of Findings                                                                    .........................         ....................... 
 
4.6 
Severance Payments 
Scope and Approach 
The  principal  objective  of  our  review  was  to  review  the  controls  in  place  to  ensure  the  correct  calculation  and  payment  of  severance 
payments.  
Conclusion 
The  findings  from  our  review  work  have  not  highlighted  any  errors  or  omissions  that  would  require  the  University  to  contact  HMRC  to 
declare  any  errors  or  miscalculations  of  payments  made.  However,  we  have  made  two  recommendations  related  to  the  following  four 
exceptions (High Priority) identified: 
•  There was no evidence of notice of termination being given to one member of staff (‘Officer 3’), although the individual’s contract 
provided for “one term’s” notice.  Lack of documentation supporting the provision of this notice could prompt HMRC to argue that 
part of the compensation paid relates to payment in lieu of notice (PILON); 
•  Within the personnel file for another member of staff (‘Senior Officer 1’), there were references to ‘retirement arrangements’.  The 
severance  payment  could be  challenged  by HMRC  on  the  basis  that it refers  to  early  retirement  as  opposed  to  a  termination  of 
employment.  In addition, notice of termination is not evidenced within the personnel file and HMRC could therefore argue that part 
of the compensation paid relates to PILON ; 
•  Within the personnel file for a third member of staff (‘Senior Officer 2’), there were also references to ‘retirement arrangements’.  
The severance payment could be challenged by HMRC on the basis that it relates to early retirement as opposed to a termination 
of employment.  In addition, notice of termination is not evidenced within the personnel file and HMRC could therefore argue that 
part of the compensation paid relates to PILON ; and 
•  SFC  guidance applies  to  all  senior  staff (earning  over  £70k)  and /  or  for  any  severance payments  over  £100k. There  has been 
confusion over the applicability of this guidance within the two cases of senior staff (‘Senior Officers 1 and 2’), where the guidance 
has  been  understood  by  management  to  be  applicable  in  instances  where  the  individual  earned  in  excess  of  £70k  and  the 
payment was over £100k. However, it should be noted that UAD has still complied with the guidance in all cases.  


 
 
Section 4 – Summary of Findings                                                                            ................................................ 
X
 
4.7  
Budgetary Control, Monitoring and Management 
Scope and Approach 
The  scope  of  this  review  was  to  assess  the  controls  in  place  over  the  management  and  monitoring  of  performance  against  financial 
budgets, as well as the effectiveness of the management accounting processes and systems.  
Conclusion 
The review identified that an adequate control framework was in place at UAD in relation to budgetary control. Although no High Priority 
recommendations  were  made,  we  have  identified  several  opportunities  for  improvement  of  a  moderate  and  lower  risk  nature.  The 
priority two findings are listed below: 
•  Our sample testing found that for 6 out of 15 new budget signatories no change request form was in place to support the addition; 
and 
•  Formal limits of delegation of virement authority are not documented, there is no formal request form for budget virements and 
testing of a sample of ten virements performed highlighted one instance with no budget holder authorisation in place. 
10 

 
 
Section 4 – Summary of Findings                                                                    ..........................          ...................... 
X
 
4.8 
Risk Management 
Scope and Approach 
The scope of our work was to review the implementation of the new risk management framework at the University and to ascertain how 
the  new  structure,  processes  and  procedures  are  managed  by  the  various  responsible  parties.  We  also  assessed  the  reporting 
framework in place to govern the risk management process.    
Conclusion 
It is acknowledged that over the course of the last 18 months there has been a period of significant change with steady improvements 
made  to  the  risk  management  framework  at  the  University.  It  is  also  acknowledged  that  there  remains  work  to  be  done  in  the 
implementation of the new framework. Our work identified one high priority finding:  

There  are  potential  issues  associated  with  the  fact  that  the  risk  management  process  has  not  been  fully  implemented  and 
embedded.  Examples  of  facets  that  have  not  been  implemented  include  the  risk  response  plans  not  being  complete,  the 
mechanisms for monitoring and reporting have not been finalised, the risks have not been prioritised, and the total risk exposure 
has not been assessed. This means that the University will not be in a position to comprehensively demonstrate its management 
of these risks until such time as these risk management elements are implemented ; 
 
We also identified two moderate rated findings relating to the following weaknesses: 

There are no school/department risk registers in place; and 

The University has not undertaken an exercise to calculate the residual risk arising from the strategic risks after considering the 
effectiveness  of  the  internal  controls  in  each  risk  area.  This  would  be  a  useful  next  step  in  moving  to  a  more  mature  risk 
management model. 
 
 
11 

 
 
Section 4 – Summary of Findings                                                                    ...................................         ............. 
X
 
4.9    Records Retention 
Scope and Approach 
This  review  assessed  the  controls  in  place  over  the  retention,  access  to  and  destruction  of  University  records.  These  key  processes 
have associated reputation and compliance risks with regard to both statutory legislation and good practice.   
Conclusion 
Over the past three to four years, significant improvements have been made to the Records Management function.  The recruitment of a 
permanent Information Manager has enabled the University to begin to implement relevant systems, particularly in terms of policy 
documentation and development of filing procedures. However, our conclusion was that there remains work to be done to develop a fully 
embedded, consistently applied system of records management across the University.  
 
A number of specific issues and improvement opportunities were identified during our review. Three of these were of Medium Priority as 
outlined below:  
  Although, the rollout of fileplans, destruction logs and vital records registers is still a work-in-progress, in the course of testing we 
identified that current retention practices are not always in line with legislation. Specifically University Court outputs, and appeals 
against exam / assessment marks are not retained for the recommended period, conversely, Schools hold student files for longer 
than the recommended period; 
  Records management is not included in the staff induction programme and there is no training currently provided to staff regarding 
their individual responsibilities under the Data Protection Act 1998; and 
  The electronic Registry system that holds student records is not capable of archiving.  In addition, the records held are not broken 
down and categorised to ensure compliance with all of the relevant retention periods. 
 
12 

 
 
Section 4 – Summary of Findings                                                                    ................................      ....  ............ 
X
 
4.10 Strategic Planning 
Scope and Approach 
The scope of this audit was to review the University’s strategic planning processes and to identify and evaluate the controls in place over 
the  monitoring  and  reporting  of  progress  against  strategy.    We  also  reviewed  how  the  constituent  strategies  and  plans  within  the 
University align with the overall strategy of the institution. 
Conclusion 
Our overall conclusion is that the controls in place around the strategic planning and monitoring processes are effective. UAD has a well 
established, detailed and comprehensive strategic planning process in place and it is noted that this approach has also received positive 
comment from the Scottish Funding Council, particularly with regard to its overall structure and alignment.  
We  have  identified  no  specific  control  weaknesses  but  have  made  a  small  number  of  suggested  improvement  recommendations  to 
further support the strategic planning process in relation to:  
  Ensuring  performance  measures  are  monitored  at  the  strategic  plan  level  to  further  support  the  detailed  monitoring  at  the 
operational plan level; 
  Identifying and challenging the source of performance  measurement information to ensure the accuracy and reasonableness of 
the content of KPI reporting;  
  Considering a formal annual review of the strategic plans of other institutions as a further support to the strategic planning process 
within the University; and 
  Ensuring that an exercise to cross refer from the current UAD strategic plan to the SFC strategic plan and to the up to date UAD 
risk register is undertaken regularly.  
 
 
13 

 
 
Section 4 – Summary of Findings                                                                    ...........................................      ..... 
X
 
4.11 Follow Up on 2007/08 Recommendations 
The  purpose  of  our  work  was  to  follow  up  on  audit  reports  issued  during  the  year  ended  31  July  2008  to  ensure  agreed 
recommendations had been implemented and were functioning as intended.   
Status of Recommendations 
Overall, management has made good progress in the implementation of the recommendations with 47 out of 66 recommendations (71%) 
now graded as ‘implemented’. This reflects good progress in areas such as bank and payroll control accounts; financial fraud controls, 
financial governance and debtors credit control. 
 
At  the  time  of  the  follow  up  audit,  there  were  8  recommendations  partially  implemented  and  these  reflect  the  need  for  further  work  in 
relation to:  
 
•  Formalising and documenting a data retention policy; 
•  Exploring opportunities to automate debt management procedures; 
•  Improving the presentation of reporting on research grants;  
•  Updating the authorised signatory listing; 
•  Monitoring of space utilisation; 
•  Preparing a preferred supplier listing for Estates work; 
•  Re-establishment of the “Procurement Group” and the creation of a central procurement function; and  
•  Updating the financial regulations and the tender documentation available on the intranet. 
 
 
Of the 11 recommendations not yet implemented, one was past the due date and related to the regular production and review of a vendor 
masterfile amendment report for suppliers. This was a priority two finding.  The remaining 10 recommendations were not yet due as at 
the time of our fieldwork.  
14 

 
 
Section 5 – Internal Audit Plan for Year Ending 31 July  2010 
 
                                                                    
The following plan for 2009/10 has been agreed with management: 
Audit 
Audit Review 
Summary Scope 
days 
New course development essentially covers the development of the portfolio of 
courses, degrees and awards which the University offers. The intention would be 
to consider the effectiveness of the management controls in this area to ensure 
Review of New Course 
that the University's provision is balanced, effective, subject to ongoing review 

Development  
and assessment and seeks to provide the optimum overall benefit for the 
University and students with particular emphasis on how this supports increased 
diversity within the University student body. 
This review would continue the theme of our Department / School reviews by 
focusing on the financial and business process controls in place for managing 
and running individual Schools. This would also include consideration of overall 
School Review - 
School Governance as well as operational matters including student retention, 

Contemporary Sciences 
recruitment, marketing, research activity and general compliance with University 
procedures. The focus on the School of Contemporary Sciences for 2009/10 
reflects our planned cyclical coverage of each School. 
Given the current economic climate, the importance of the Careers Advisory and 
Academic Support Services to the student body (and the University's overall 
Review of Careers 
success) is fully understood and emphasised. It is important that student 
Advisory and Academic 
employability rates are maintained wherever practical and therefore the 
10 
Support Service 
challenge and expectation upon these services is significant. Our review will 
assess how the management control framework and key operational processes 
in this area are responding to and addressing these challenges. 
This area will be included as part of our ongoing cyclical coverage of the general 
Review of Computer 
computer environment.  The specific scope and objectives of the review have to 

Assurance 
be agreed with the Head of IT Services. 
We worked with the University finance management to develop the Financial 
Control Framework tool which was introduced last year. Our intention would be 
Financial Controls 
to build upon this approach with specific testing of key controls across the 
Framework (Including 

financial controls framework. Specific control areas for consideration would 
detailed testing) 
include selected key payroll and accounts payable controls. We will also agree 
any specific testing requirements in consultation with External Audit. 
There is an expectation from the Funding Council that TRAC processes will be 
subject to review on an annual basis. Given that the process is now well 
TRAC Review 

established within the University, our intention would be to follow up on our prior 
year report with some detailed testing and review in this area. 
Implementation of the Equality Impact Assessment tool is being undertaken to 
Review of 
assess the University's current position with respect to compliance with equality 
Implementation of 
legislation. Our discussions with management indicate that it would be beneficial 

Equality Impact 
to consider a review of the implementation process and compliance during 
Assessment Tool 
2009/10. 
Follow Up On Prior Year 
The standard Follow Up review of all the recommendations raised in the prior 

Recommendations 
year. 
Preparation for and 
attendance at Audit 

Estimated time for preparation and attendance at Audit Committee. 

Committee 
General Contract 

Time for general contract management  

Management 
Overall Internal Audit 

Annual planning and process universe risk assessment. 

Planning 
Contingency Allowance 
Contingency for additional requests and ad hoc activities during the year 

Total days 
85 
 
15 

 
 
Section 6 – Statement of Responsibility.................................................................................................................... 
 
We take responsibility for this report which is prepared on the basis of the limitations set out below. 
The matters raised in this report are only those which came to our attention during the course of our Internal Audit work and are not necessarily a comprehensive 
statement of all the weaknesses that exist or all improvements that might be made.  Recommendations for improvements should be assessed by you for their full 
impact before they are implemented.  The performance of internal audit work is not and should not be taken as a substitute for management’s responsibilities for the 
application of sound management practices.  We emphasise that the responsibility for a sound system of internal controls and the prevention and detection of fraud 
and other irregularities rests  with management and work performed by internal audit should not be relied upon to identify all strengths and weaknesses in internal 
controls, nor relied upon to identify all circumstances of fraud or irregularity.  Auditors, in conducting their work, are required to have regards to the possibility of fraud 
or  irregularities.    Even  sound  systems  of  internal  control  can  only  provide  reasonable  and  not  absolute  assurance  and  may  not  be  proof  against  collusive fraud.  
Internal  audit  procedures  are  designed  to  focus  on  areas  as  identified  by  management  as  being  of  greatest  risk  and  significance  and  as  such  we  rely  on 
management  to  provide  us  full  access  to  their  accounting  records  and  transactions  for  the  purposes  of  our  audit  work  and  to  ensure  the  authenticity  of  these 
documents.  Effective and timely implementation of our recommendations by management is important for the maintenance of a reliable internal control system.  
Deloitte LLP 
Glasgow 
November 2009 
 
In this document references to Deloitte are references to Deloitte LLP. 
 
Deloitte LLP is a limited liability partnership registered in England and Wales with registered number OC303675 and its registered office at 2 New Street Square, 
London EC4A 3BZ, United Kingdom.  
 
Deloitte  LLP is  the  United  Kingdom member firm  of  Deloitte Touche  Tohmatsu  (‘DTT’),  a  Swiss  Verein  whose  member firms  are  separate  and  independent  legal 
entities.  Neither DTT nor any of its member firms has any liability for each other’s acts or omissions.  Services are provided by member firms or their subsidiaries 
and not by DTT. 
 
©2009 Deloitte LLP.  All rights reserved.  
 
16