This is an HTML version of an attachment to the Freedom of Information request 'Financial Memorandum and Internal Audit'.



Internal Audit Service 
 
Annual Report 
2009/10 
 
 
 

 
 

 
 
 

          
 
 
 
 

Internal Audit Service 
Annual Report 2009/10 
 
 

 
      TABLE OF CONTENTS 
 
 
 
 
INTRODUCTION 


 
IAS: TERMS OF REFERENCE & STRUCTURE 


 
OVERVIEW OF THE YEAR 2009/10 


 
 
Governance 

Risk Management 

Internal Control Systems 

Value for Money 

Other Work 

 
AUDIT RESULTS 

10 
 
QUALITY ASSURANCE, COST & PERFORMANCE MEASURES 

10 
 
PUBLIC INTEREST DISCLOSURE POLICY 

12 
 
FREEDOM OF INFORMATION (SCOTLAND) ACT 2002 

12 
 
INTERNAL AUDIT OPINION 

12 
 
 
CONCLUSION 
13 
 
APPENDICES 

 
  
A: 
Analysis of Ad Hoc Activity 
 
B: 

Analysis of Audit Reviews 
 
C: 

Assurance Plan 2009/10 Delivery 
 
D: 

IAS Quality Assurance Results 
 
E: 

Performance against Balanced Scorecard Metrics  
 
 
 


Internal Audit Service 
Annual Report 2009/10 
 
 
INTRODUCTION 
 
1.  This Annual Report for the year to 31st July 2010 is intended to meet two objectives: 
 
•  Provide Court and the Principal, through the Audit Committee, with an independent 
opinion on the adequacy and effectiveness of the University’s arrangements for 
Governance, Risk Management and Control and Economy, Efficiency and 
Effectiveness. 
•  Provide Court and the Principal, through the Audit Committee, with an account of the 
activities and resources of the Internal Audit Service (IAS) during 2009/10. 
 
IAS: TERMS OF REFERENCE & STRUCTURE 
 
2.  The IAS exists to review the arrangements in place to: 
   
•  Identify, assess and manage risks to the achievement of organisational objectives;  
•  Ascertain the soundness, adequacy and application of the internal control systems;  
•  Assess the effectiveness and efficiency of operations; 
•  Ensure compliance with laws, regulations, contracts, established policies, procedures 
and good practice; 
•  Safeguard assets from fraud, irregularity or corruption; 
•  Ascertain the integrity and reliability of financial and other information provided to 
management and stakeholders, including that used in decision making.  
 
3.  The IAS has no executive role, nor does it have any responsibility for the development, 
implementation or operation of systems. For  administration purposes, the Head of Internal 
Audit reports to the Chief Operating Officer. The Head of Internal Audit also has direct access 
to the Convener of Court, the Convener of the  Audit Committee, the Treasurer and the 
Principal.  
 
4.  The IAS had a full complement of three staff throughout most of 2009/10.   On 4th June 2010, 
the Head of Internal Audit, Clare Urquart,  BAcc CPFA,  left to take up the post of  Finance 
Operations Manager in the University’s Finance Office.  Currently, there are two full time posts 
in the department: Acting Head of Internal Audit: John Basketter [BA (Distinction); CPFA] and 
Internal Auditor: Margaret Gray. 
 
OVERVIEW OF THE YEAR 2009/10 
 
Governance 
 
5.  Our work has covered the effective maintenance and enforcement of University policy 
including Financial Regulations, delegated authority, declaration of interests and  fraud 
prevention.   We have reviewed arrangements for the implementation of the strategic plan, the 
revisions to the governance framework, decision making, professional services and Social 
Sciences. IAS has also undertaken a review of current practice against the updated Committee 
of University Chairs (CUC) Guide for Members of  Higher Education Governing Bodies.  The 
outcome of this exercise showed that the University is well positioned. 
 
6.  A comparative review of the Financial Reporting Council (FRC) UK Corporate Governance 
Code 2010 with the FRC Combined Code on Corporate Governance  was performed and 
reported to Audit Committee.  The outcome of this review  showed that the University’s 
governance arrangements are well placed.  


Internal Audit Service 
Annual Report 2009/10 
 
 
Strategic Plan Implementation 
 
7.  The University has pursued an unprecedented amount of change throughout 2009/10.  During 
2009/10,  the  Audit Committee required assurance that the proposals each Strategic Review 
Group  made  and presented  to Court would be generated within a robust and well managed 
framework. Audit Committee requested that IAS review the control mechanisms in place for 
three key strategic reviews:  Professional  Services,  Social Sciences,  Decision Making 
Structures and Processes. 
 
8.  The objective of the  exercise was to obtain assurance that each of the  three reviews was 
conducted in a structured and robust manner enabling informed outcomes to be generated 
which are based on a solid body of evidence gathered through effective project management 
techniques. 
 
9.  IAS was satisfied that the Review Groups were managed effectively to ensure delivery of the 
outcomes outlined in their terms of reference.  IAS noted: 
 
•  Regular reporting to both Court and Senate on the progress and key decision 
milestones of relevant projects; 
•  Consistency of approach in the management of the key project areas across each of 
the Review Groups. This was seen to be facilitated by regular discussions between the 
staff servicing the Review Groups thereby enabling the sharing of experiences and best 
practice; 
•  Progression of each of the Review Groups was clearly documented via comprehensive 
Action Logs and Work Plans with actions clearly allocated within specified timeframes 
and an overall monitoring status on the action assigned; 
•  Agendas, notes of meetings/minutes, consultation outcomes were all clearly 
documented and maintained; 
•  Risk Logs were also found to be effectively utilised. IAS found evidence that these were 
very much ‘live’ documents, which were revised regularly in the light of  the changing 
dynamics as each of  the reviews progressed; and  
•  Variety in the communication tools utilised to ensure inclusion of all interested parties 
(e.g. use of designated web pages, workshops, one to one meetings, open meetings, 
e-mail, strategy statements). 
 
 
RISK MANAGEMENT 
 
10. Over the last twelve months, the University has improved its approach to Risk Management.  A 
variety of initiatives and developments have taken place over this time, including work by Ernst 
& Young in late summer 2009, to identify improvement opportunities for the University, 
culminating in a Risk Workshop for the Executive Team and members of the Audit Committee 
on 1st October 2009. 
 
11. Throughout 2009/10, a number of actions were undertaken, including the following: 
 
•  A Risk Management Framework, incorporating a Risk Management Strategy, Policy 
and Procedures was developed and presented to the Executive Team at their meeting 
on 15th  December 2009.  The Risk Management Framework (the ‘Framework’) was 
approved by Court at its meeting on 23rd February 2010;  


Internal Audit Service 
Annual Report 2009/10 
 
 

•  To ensure that momentum was maintained, it was agreed by Audit Committee that in 
the short term, IAS would provide ongoing support for the roll out of the new process.  
The Head of IAS and the Senior Internal Auditor have therefore worked in collaboration 
with colleagues from Corporate Services and Ernst & Young, in order to assist with the 
roll out of the new Framework. The roll out process was timed to ensure that risks 
considered and recorded at Faculty/Directorate/Departmental level would enable the 
Executive Team to be fully informed when considering the corporate risks of the 
University at its meeting on 28th April 2010; 
•  Three training seminars were provided to University staff on 11th and 16th March, and 
also on 6th April 2010.  IAS and Ernst & Young attended the training seminars held in 
March, with the April seminar delivered by staff within Corporate Services; 
 
12. The Risk Management Framework is  increasingly important to the University as it  adapts to 
meet future challenges.  The Framework is a proactive approach to identification, assessment, 
mitigation and reporting of risk.  IAS aligns its audit plans with the University’s Corporate Risk 
Register  to provide independent assurance to the Audit Committee that  strategic risks are 
being appropriately managed.   
 
13. IAS also undertakes an annual review of the University’s Risk Management  processes.  IAS 
reviewed  the Faculty, Directorate, and Departmental risk registers, and assessed  the 
information submitted by these areas for  compliance with the new Framework. The exercise 
also included the tracking of escalated and de-escalated risks.  Our general conclusions were 
as follows: 
 
•  The collation of risk management information from Departments, Faculties and 
Professional Service Directorates in a uniform way ensures the risk management 
process embraces the University’s ‘One Strathclyde’ approach; 
•  Given the challenging timescales associated with the implementation of the new 
Framework and for areas to prepare updated risk registers, the response rate indicated 
a general embracement of the Framework throughout the University; 
•  For those risks that were categorised as ‘escalated’, the analysis demonstrates there 
may not be a full understanding of the escalation procedures.  Consequently, further 
guidance should be provided to areas in order to ensure this process operates 
effectively in the future; 
•  Given this is the first time risk management information has been gathered under the 
new Framework, the use of the ‘Movement Upwards’; ‘Movement Downwards’; and ‘No 
Movement’ descriptors highlighted some anomalies which should be incorporated into 
further  training (via SharePoint).  In previous years, the assessment of net risk rating 
was not required and therefore a comparison of net risk could not be undertaken.  We 
would expect this to be a more meaningful measurement in the future as risks are 
monitored; 
•  The development of a risk management site on the SharePoint system has provided a 
valuable software tool for the recording, storage, and monitoring of risk management 
information within the University.   
 
14. The draft Corporate Risk Register (CRR) was presented to the Audit Committee meeting on 3rd 
June.  The CRR was prepared on the basis of the University’s Risk Management Framework 
and identified 16 top-level risks along with the relevant risk owner for each one.  The key 
controls (including an assessment of confidence) in place to mitigate the risk were also 
identified, together with ratings for impact, likelihood, gross and net risk ratings.   
 


Internal Audit Service 
Annual Report 2009/10 
 
 
15. The role that IAS can play within the University’s risk management process requires that the 
independence of the IAS function is maintained.  However, within that framework IAS is keen 
to work with University colleagues in 2010/11 to further enhance the University’s risk 
management processes and procedures to ensure they fully support the University in 
achieving its strategic goals. 
 
INTERNAL CONTROL SYSTEMS 
 
16. IAS has commented on the application, design and appropriateness of some of the control 
systems and processes that manage the strategic and operational risks to the University.  
Specific  control areas within the assurance plan included financial systems, operational 
systems and IT systems.   
 
17. IAS has been actively engaged in assessing the adequacy of the controls in two major 
projects: e-Procurement and HR/Payroll. IAS has participated at both working Group and 
Steering Group level to ensure that robust procedural controls have been considered and put 
in place during the project development lifecycle. 
 
18. IAS has introduced an Internal Control Self Assessment (CSA) questionnaire to act as a useful 
aid both to departments in assessing the robustness of their internal controls and also to IAS to 
gather relevant information about risk and controls.  This enables audit work to be focused on 
high risks, unusual areas and horizon scanning to identify  common control ‘hot spots’ thus 
helping to initiate swift corrective action. 
 
19. At the meeting on 1st September 2009, Audit Committee clarified the approach to be taken with 
respect to the annual internal control self assessment questionnaire.  It was agreed that each 
area should be subject to a rolling process whereby 1/3 of the questionnaire would need to be 
addressed by all areas each year (now commencing in 2010/11), therefore resulting in the 
completion of the questionnaire by the end of every third year.  In addition, it was noted that 
there might also be a requirement for a modest number of additional questions to be asked in 
respect of the University’s strategy or other important matter, and it was agreed that these 
questions should be raised as required in the relevant year. 
 
20. Within each departmental review, a number of key systems are checked and assessed for 
robustness,  e.g. budget monitoring, payroll, purchasing, debtors, cash, stock, research 
contracts, asset management, computer arrangements, safety, data protection, freedom of 
information, ethics, disability procedures and any other area which may be unique to the 
department under review.  
 
Estates Development Framework Monitoring 
 
21. IAS monitoring of large capital projects, has continued to be strengthened with access to  the 
Progress Report Template used by Project Managers to track the progress (financial and 
technical) of each project.   During  2009/10,  the Audit Committee approved the approach 
which proposed that at each meeting of the Estates Strategy Committee, a summary schedule 
of all active major projects would be received which would detail the original (Gateway 1) 
budget, the current approved budget and the estimated outturn costs. IAS was asked to 
monitor the schedule on a regular basis and report the outcome of the monitoring exercise to 
each meeting of the Audit Committee.    
 


Internal Audit Service 
Annual Report 2009/10 
 
 
Follow-Up Activity 
 
22. In 2009/10, follow-up activity involved a review of 13 reports.  It was pleasing to note that for 
those departments receiving their first follow up visit, 100%  (27  out of 27)  of all 
recommendations had been fully implemented (90% and 75% in the previous two years).  
From an overall follow up perspective (i.e. first, second, and third follow up visits), it was noted 
that approximately 90% (45  out of 50) of all recommendations had been fully implemented 
(87% and 73% in the previous two years).   
 
23. For those areas where the recommendation was still to be implemented, departments were 
requested to notify the Head of Internal Audit, by a specific date, regarding implementation of 
the outstanding recommendations.  Of the 5  recommendations that are yet to be fully 
implemented, none are considered to be critical.  
 
VALUE FOR MONEY 
 
24. The Institution must have a strategy for systematically reviewing management’s arrangements 
for securing value for money to comply with SFC’s Financial Memorandum.  The University 
has a number of mechanisms which helps to ensure consideration of value for money, e.g. 
Faculty  Policy and Resource Committees; departmental committees; Financial Regulations; 
Purchasing Procedures; and Procurement Guidelines, etc.  
 
25. At the Court meeting on 7th  May 2010, the University’s Value for Money Strategy was 
approved.  The University is committed to achieving VFM as an integral part of its strategy.  
The simple principle  that is expected to be applied to all work is to make best use of the 
resources available in order to achieve the desired output and maximise the benefit achieved 
from that output. Whilst the University has an explicit responsibility to achieve VFM from use of 
its public funds, this principle extends to all of our activities, however they are funded. 
 
26. A number of activities can also be identified as giving a wider appreciation of the University’s 
effectiveness than the more traditional market testing and bench marking of service provision.  
Examples of such activities undertaken by the University which can be viewed as facets of 
performance include: 
•  Strategic planning process; 
•  Key performance indicators; 
•  Financial strategy and the budget setting/cost reduction process; 
•  Costing and pricing policies (TRAC/fEC); 
•  National Student Survey; 
•  Course costing and portfolio reviews; 
•  Business process reviews and systems development; 
•  Performance appraisals and career development; 
•  Purchasing activities; 
•  Programme quality processes. 
 
27. The IAS is committed via work contained in our assurance plans to helping the University 
ensure that satisfactory  value for money  arrangements are in place. In liaison with Finance 
Office, Purchasing Services, and Information Technology Services  (ITS), IAS continues to 
examine the opportunities for savings through an e-Procurement Strategy and the introduction 
of the PECOS e-procurement system. IAS’s involvement both on the e-procurement Working 
Group and Steering Group  ensures that opportunities  are grasped whilst ensuring that the 
associated risks have been identified, measured and managed.  


Internal Audit Service 
Annual Report 2009/10 
 
 
28. Work with Estates Management has included attendance by IAS staff at over 17  significant 
value tender openings (>£6M).  As well as ensuring that tender openings follow acceptable 
procedures, IAS involvement continues through to the receipt of the tender evaluation reports 
to ensure that evidence exists to show that the final tender award decisions are delivering best 
value for money to the University.  
 
29. Within each individual departmental audit, VFM is always  examined. A sample of significant 
value transactions are traced and evidence sought in the department that all relevant factors 
have been taken into account and best value obtained. Certain decisions made by audited 
departments in 2009/10 were questioned by IAS.  
 
30. The implementation of the reports recommendations helps to ensure that the department can 
provide clearer evidence of providing value for money in its operation.    IAS staff make a 
variety of other recommendations in departmental audits which contribute towards the 
achievement of VFM. Typically these recommendations will include simplification or changes to 
departmental procedures which reduce the level of duplication which occurs. 
 
31. The IAS is also able to put departments in touch with other departments to consider the 
sharing of another department’s knowledge in a certain area (e.g. departmental budgetary 
control procedures, stock control packages).  The IAS web pages also include a section for 
good practice templates to help facilitate this process further.    During  2009/10, further 
enhancements to the IAS working documents have been undertaken.  The audit working 
papers for each section in the audit programme contains a specific check point for the Auditor 
which amongst other things requires specific sign off on any indications of poor VFM. 
 
32. In April 2010, the Executive Team identified a number of actions that would be initiated in order 
to address the challenges arising from  future public expenditure reductions and their 
consequential impact on the University’s financial position.  One of these actions includes a 
VFM  review of non-salary recurring expenditure in 2010/11 in order to identify scope for 
efficiency savings.  The IAS will continue to monitor progress and outcomes from this review 
throughout 2010/11. 
 
OTHER WORK 
Transparency Review/Full Economic Costing 
 
33. During  2009/10, IAS has continued to review the steps taken by the University to ensure 
compliance with the requirements of the Transparent Approach to Costing (TRAC).  Work 
during the year was split into two areas; review of the annual Transparency Review Return 
(TR) and review of the ongoing process of refining the TRAC model in line with the guidance.   
 
34. The Head of Internal Audit has regular meetings throughout the year with the fEC Accounting 
Manager.  These meetings provide a useful forum for the Internal Audit Service (IAS) to be 
kept up to  date with developments and enhancements to the TRAC model, and it enables the 
fEC Accounting  Manager to obtain an audit perspective on any proposed changes  and 
enhancements based on the most recent guidance to the sector.  
 
35. Members of IAS (Head of Internal Audit and Senior Internal Auditor) also attend the Scottish 
University Help Group which consists of TRAC practitioners and representatives from the 
various Funding bodies along with other interested parties including Auditors.  These meetings 
provide a useful forum to understand the sector wide issues with regards the implementation of 
the TRAC requirements and enables the progress at Strathclyde University to be informally 
benchmarked by IAS against peer Institutions.  


Internal Audit Service 
Annual Report 2009/10 
 
 
36. During 2009/10, audit work has been undertaken to review the collation of the 2008/09 Annual 
TRAC  Return to assess compliance with the Statement of Requirements, initially issued in 
March 2009, with a further update issued in December 2009. 
 
37. The figures for the Return are generated by a well structured series of linked spreadsheets 
which have been clearly set out and have been reviewed by IAS on a number of occasions.  
Updates on enhancements to the model each year are clearly documented by the fEC 
Accounting Manager.  The methodology has also been formally reviewed externally, twice first 
in 2005 as part of the KPMG Quality Assurance review, and latterly in 2008 as part of the 
Research Councils UK QAV process. 
 
38. During 2009/10, work has been specifically undertaken in reviewing:  
 
•  The  Expenditure model  which is used for allocating costs across the five reporting 
categories including  the inclusion of any updates and tests of reasonableness 
undertaken; 
•  The  TRAC Adjustments  (Infrastructure, which compensates for the understatement 
arising from the use of historic costs and the Return for Financing and Investment 
(RFI), which introduces a cost associated with risk and development). These 
adjustments which are required to be made to the financial statements figure, were also 
reviewed, both in terms of the basis to be applied and the actual calculation; 
•  The  Cost Drivers utilised to attribute costs via cost pools to activities and academic 
departments to ensure that the drivers used are appropriate and provide a robust 
measure of use. In particular, review of academic staff time (AST) recorded on the time 
allocation schedules (TAS), and the space allocation including the weighted space 
calculation;  
•  The  Income model  which is used for allocating income across the five reporting 
categories including the inclusion of any updates and tests of reasonableness 
undertaken; and 
•  The  Charge Out Rates  for  Research (Estates, Indirect, Laboratory Technician and 
Research Facilities) and ensuring that the FTEs used in these calculations are obtained 
via a robust mechanism. 
 
39. The TRAC Update 2, issued in October 2009, required institutions to confirm compliance 
across a number of key areas as detailed in the Checklist of Key Risks.  These key risk areas 
had been   highlighted (via the QAV) as common areas of non compliance with the existing 
TRAC requirements.  IAS is satisfied that the University is compliant.  Audit testing of the 
2008/09 TRAC (T) Return arrangements proved satisfactory.  
 
EU Grant Certification 
  
40. IAS continues to undertake the audit certification of EU 6th Framework grant claims.  This has 
again proved both challenging and interesting given the diversity and complexity of contracts in 
which the University has been involved in, over the past year. The involvement of IAS has 
saved the University from the direct cash costs of external audit fees. 
 
41. During the course of 2009/10, a total of 17 claims (52 claims in 2008/09) amounting to c£1M, 
were  reviewed by IAS and an appropriate audit certificate, in accordance with EU guidelines 
was  provided. During 2009/10, the University‘s procedures for the compilation of EU claims 
(including audit certification) was again reviewed externally by EU appointed Auditors. The 
outcome of the review concluded that the EU Auditors were fully satisfied at the current 
systems and procedures in place within the University.  


Internal Audit Service 
Annual Report 2009/10 
 
 
Ad Hoc Activity 
 
42. The University, through its in-house IAS, has scope to utilise the varied skills set of the audit 
staff to provide advice on wider organisational development activity. This activity whilst 
reported to the University’s Audit Committee, may not result in formal reports and may take the 
form of ‘consultancy’ within the terms recognised by HM Treasury.  This activity however can 
contribute to the Head of Internal Audit’s annual opinion.   During  2009/10, IAS has also 
undertaken a variety of other work which has contributed to our annual assurance opinion. A 
listing of some of our ad hoc activity is detailed in Appendix A. 
 
AUDIT RESULTS 
 
43. The IAS sets out an Annual Assurance Strategy and Plan. This plan is amended and flexed to 
account for the Audit Committee and University’s requirements and to make adjustments to the 
timing of the audits to provide the most effective assurance to assist both the Audit Committee 
and the University management.   The listing in Appendix B illustrates the broad mix of areas 
which have been reviewed during the course of the year across the key assurance areas and 
provides a summary analyses of the recommendations and overall audit opinion, where 
appropriate. 
 
44. The plan delivered has varied from that set out at the commencement of the year with 
variations reported to Audit Committee. Each variation has been to accommodate Audit 
Committee or management requirements and the IAS  has taken a judgement to defer or 
reschedule work and done so on the basis of enhancing the overall assurance, given changing 
circumstances, provided in this report. A summary analysis of the assurance plan delivery is 
detailed at Appendix C.  
 
45. The departmental audit reviews which were undertaken during 2009/10 identified a number of 
areas where improvements in control were recommended.  These included the following:  
•  Where appropriate, purchase orders being raised prior to invoices being received in 
accordance with the University’s commitment accounting system; 
•  Invoices being certified in accordance with the University’s Purchasing Manual; 
•  The requirement to complete, where appropriate, a single source justification form; and 
obtaining quotations in accordance with the University’s tendering procedures; 
•  Evidence showing that purchase orders/invoices are matched to goods received notes; 
•  The University’s pro forma forms for disposal of assets being completed and 
authorised. 
 
QUALITY ASSURANCE, COST & PERFORMANCE MEASURES 
 
46. The assessment of IAS quality using the Committee of Higher  Education  Internal  Auditors 
(CHEIA) checklist resulted in the following scores: 
 
Criteria 
IAS 
IAS 
2010 (% score) 
2009 (% score) 
Due Professional Care 
93 
93 
Strategy 
92 
93 
Methodology 
95 
95 
People 
91 
92 
Independence 
97 
97 
Quality Assurance 
90 
90 
Overall Average 
93 
93 
 
10 

Internal Audit Service 
Annual Report 2009/10 
 
 
47. The results were subject to a peer validation exercise.  The results from the exercise revealed 
a sound set of benchmark results for the University’s IAS and reinforced its credentials as an 
effective internal audit service.  However, there are areas where improvement can be achieved 
and an action plan has been prepared which details the 9 questions graded as Good Practice. 
The Action Plan identifies the improvement action proposed by IAS for each question in order 
to move to the Best Practice grading. 
 
48. The latest British Universities Finance Directors Group (BUFDG) Annual Audit Survey relating 
to  2008/09  was issued in April 2010. The results of the survey are used by a number of 
Institutions to help benchmark both their internal and external audit provision. The response 
rate of 115 Institutions from a possible 165 gave a response rate of 70%. Like every year the 
figures require to be regarded with caution as the figures submitted by Institutions are taken at 
face value (i.e. the method of assessing days provided is not necessarily consistent, VAT is not 
always included in the Audit Firms and the costs of internal staff are most likely not the full 
economic cost).   
 
49. From the most recent BUFDG Annual Audit Survey results, an analysis of the 27 Universities 
from the 115  participating Institutions, where the gross annual expenditure was greater than 
£200m (Strathclyde’s = c£240m) indicated that 41% of these Institutions utilised in-house 
provision of internal audit services.   The BUFDG Survey findings on  audit costs is detailed 
below: 
 
2008/09 Average 
Average nos. of 
Cost per Day 
Type of Provision 
Annual Costs (£) 
days 
(£) 
Accounting Firm 
75,954 
133 
570 
In House 
185,042 
597 
310 
HE Consortium 
92,863 
200 
464 
Other Consortium 
56,360 
179 
315 
 
50. The IAS cost  of £248  per day for 2008/09  (based on Total Employment Costs of £158k and 
Total Audit Days of 640) is considerably lower than the average cost per day of the private 
firms (£570) and also compares favourably with the average cost per day (£310) of in-house 
providers and of Consortium providers (£464). The total average cost per day across all 
providers is £415.  
 
Balanced Scorecard 
 
51. Information on performance for 2009/10  has been mapped  onto the refreshed performance 
measurement balanced scorecard and supporting metrics for IAS.  The results are detailed in 
appendices D and E.   
 
Client Satisfaction Surveys 
 
52. The Client Satisfaction Survey forms part of IAS’s ongoing quality assurance process.   The 
collated results of the Client Satisfaction Surveys for 2009/10 completed to date are detailed in 
the table below:  
 
 
11 

Internal Audit Service 
Annual Report 2009/10 
 
 
 
 
Highly 
Satisfactory  Unsatisfactory 
Satisfactory 
 
 
(%) 
(%) 
(%) 
1.  GENERAL 
 
 
 
 
How would you rate the overall 
75 
25 
 
usefulness of the audit?  
 
Explanation of audit objectives 
75 
25 
 
 
Professionalism of Auditor 
100 

 
carrying out the work 
2.  QUALITY OF AUDIT REPORT 
 
 
 
 
Overall clarity & presentation 
75 
25 
 
 
Relevance of findings and 
75 
25 
 
recommendations reported 
3.  TIMING 
 
 
 
 
Duration of audit process 
75 

25 
4.  COMMUNICATION 
 
 
 
 
Helpfulness of Auditor 
100 

 
 
Sufficient consultation during 
75 
25 
 
audit process 
 
Consultation on findings & 
75 
25 
 
recommendations 
 
PUBLIC INTEREST DISCLOSURE POLICY  
 
53. During 2009/10, IAS was not involved with any reviews instigated under this procedure.  
 
FREEDOM OF INFORMATION (SCOTLAND) ACT 2002 
  
54. During 2009/10, three requests were made for information held by IAS under the Freedom of 
Information Act. The requests were not made directly to the IAS but came via the University’s 
Freedom of Information Officer.  One of these requests was a follow-up to a previous request 
made to the University. The Head of Internal Audit’s Activity Report, which is submitted to each 
meeting of Audit Committee, contains, as a standing item, a Freedom of Information section 
which updates Audit Committee members on requests to the IAS under the Act.  
 
INTERNAL AUDIT OPINION  
 
Basis of Opinion 
 
55. IAS staff are required to conduct audit activity in accordance with the professional and ethical 
auditing standards set out in the following: 
 
•  Code of Ethics and International Standards of the Institute of Internal Auditors (IIA); 
•  Guidance associated with the Combined Code; 
•  CUC Guide for members of HE Governing Bodies; 
•  Handbook for members of Audit Committees in HE Institutions; 
•  Government Internal Audit Standards (GIAS) and various ‘Good Practice Guides’ (HM 
Treasury); 
•  IIA Position Statement on Risk Based Internal Auditing (August 2003); 
•  Codes and professional standards (CIPFA –  for members of the relevant CCAB 
Institute). 
 
12 

Internal Audit Service 
Annual Report 2009/10 
 
 
56. Given the breadth and complexity of the systems operated by the University, it is unlikely that 
any annual operational assurance plan would manage to cover all systems for managing risk in 
sufficient depth – this is certainly the case at the University of Strathclyde. Consequently, our 
assessment considers, not just the work performed in each year, but the work undertaken in 
prior years.  In addition, the IAS Annual Assurance Plan reviews the corporate risks of the 
University against assurance coverage. 
 
57. The IAS is required to provide the University Court and Principal via the Audit Committee with 
an overall opinion stating whether the University has an adequate and effective framework of 
governance, risk management and control, and has in place adequate and effective processes 
with regards economy, efficiency and effectiveness.  In giving this assessment, IAS can only 
provide reasonable,  not absolute assurance that there are no major weaknesses in the 
University’s governance, risk management, control and value for money arrangements. It 
should also be noted that the primary responsibility of the provision of adequate control and the 
detection of fraud lies with University Management. In assessing the level of assurance to be 
given, we have taken into account: 
•  All assurance work undertaken during 2009/10 and work undertaken in previous years 
over the period of the strategic assurance plan and in the period up to finalisation of this 
report; 
•  All follow up action taken in respect of audits from previous periods; 
•  The effects of any significant changes in the University’s control environment; 
•  The results of consultancy/ad hoc work undertaken during 2009/10 specified in this 
report. 
 
58. No factors have been identified that have impacted on the actual or perceived objectivity and 
independence of the IAS for the year. This is kept under review throughout the year and any 
changes are immediately reported to Audit Committee. 
 
59. The IAS is satisfied that our work undertaken to date allows us to draw a reasonable 
conclusion as to the adequacy and effectiveness of the University’s governance, risk 
management, control and value for money processes.  
 
The Opinion 
 
60. In our opinion, the University of Strathclyde has adequate and effective arrangements for: 
 
•  Risk Management; 
•  Control; 
•  Governance; 
•  Value for Money. 
 
61. For each audit that has been undertaken during the year, recommendations have been made. 
The implementation of some of these recommendations will continue to improve the 
University’s control and governance systems further. 
 
CONCLUSION 
  
62. The  IAS  can  and  does  make a difference. From departments audited, to systems reviewed 
and advice given to the general University community.   During the year, a wide range of audit 
work, as illustrated in this annual report, has been performed.  
 
13 

Internal Audit Service 
Annual Report 2009/10 
 
 
63. This was the sixth full year of IAS working with the Convener of Audit Committee. An effective 
and productive schedule of regular meetings is in place between the Convener of Audit 
Committee and the Head of Internal Audit in order to discuss pertinent issues outwith the 
scheduled Audit Committee meetings. The continued support given by the Convener to the 
department throughout 2009/10 is again very much appreciated.  
 
 
 
John Basketter 
 
Acting Head of Internal Audit Service 
25th August 2010 
 
 

 
 
14 

Internal Audit Service 
Annual Report 2009/10 
Analysis of Ad Hoc Activity 
Appendix A 
 
AD HOC ACTIVITY  
Liaison with Management 
  The HIA has attended meetings throughout the year with the Convenor of Audit Committee, Chief 
Financial Officer, Chief Operating Officer, Assistant Finance Director, Director of Estates Services, 
Director of Information Services, Director of Research and Knowledge Exchange, Director of 
Student Experience and Enhancement Services, Director of Corporate Services, Director of 
Human Resources, Director of Marketing and Development Services, Head of Purchasing, Head 
and Depute Head of Safety Services, fEC Accounting Manager, SBS Faculty Officer, Financial 
Systems Manager, Project Managers for review of Professional Services and review of 
Governance and Decision Making and the Deans; 
  The HIA has attended meetings in relation to the review of Professional Services, Governance 
and Decision Making, Head of  Department Vision Workshop, Principal’s monthly Heads of 
Department meetings, Procurement meetings, eProcurement Steering Group, Full Economic 
Costing Working Group EU subgroup meeting; 
  The HIA has attended part of the Executive Team meeting to present the final draft of the Risk 
Managements Framework to the Team; 
  The SIA and IA have attended e-Procurement Working Group meetings to provide audit related 
advice; 
  The SIA attended the Executive Team meeting to discuss the University’s Corporate Risks; 
  The IA attended Post Court and Post Senate de brief meetings throughout the year. 
 
External Liaison  
  IAS staff and the External Auditors have worked together over the years in order to ensure that 
there is co-operation and also to ensure that duplication of audit effort is avoided.  Contact has 
involved meetings (usually three; during the interim audit, year-end audit and at the audit planning 
stage), e-mail communication and telephone calls to discuss issues which effect the two groups of 
auditors. There has again been good collaboration and exchange of information during 2009/10; 
  The HIA and SIA met with the newly appointed External Auditors to the Students’ Association in 
order to establish good communication channels between the two sets of Auditors: 
  The HIA continues to network with colleagues from a variety of Institutions (e.g. Edinburgh, 
Durham, Warwick, Newcastle, Imperial) via the Council of Higher Education Internal Auditors 
(CHEIA); 
  In July 2010, the Director of Audit, Risk and Assurance from Auckland University of Technology 
visited the IAS as part of a UK study tour.  The Director’s interest was undertaking an analysis of 
risk management models and how internal audit and risk management are integrated.  During the 
visit, the Director met with the Head of Safety Services, the Convener of Audit Committee, and 
Strategic Project Officer;   
  The HIA has continued to communicate with her counterparts from the Universities of Twente, 
Melbourne and Charles Sturt University; all of whom have visited the IAS over the course of the 
last three years. There continues to be a good exchange of relevant documentation, of interest to 
all departments; 
  The IA attended the CHEIA Northern Regional Meeting in Newcastle in November 2009; 
 
Conferences 
  All members of the team attended the annual CHEIA Conference at Warwick University in 
September 2009. 
 
Governance 
  The Court members Register of Interest was reviewed; 
  Use of the University Seal was reviewed. 
 
15 

Internal Audit Service 
Annual Report 2009/10 
Analysis of Ad Hoc Activity 
Appendix A 
 
 
AD HOC ACTIVITY (CONTD) 
 
Audit Training and Advice 

  IAS has continued to undertake a number of informal training sessions within departments during 
the course of 2009/10; 
  In April 2010, the HIA along with the Convenor of Audit Committee and the Secretary to Audit 
Committee provided training to the new member of Audit committee; 
  IAS was represented at the New Staff Induction Seminars which took place in January and May 
2010; 
  IAS staff, in partnership with colleagues from Finance Office, presented the audit perspective on 
two  staff development sessions in February 2010: Finance Office Essentials and understanding 
Budget Statements; 
  IAS staff, in partnership with colleagues from Corporate Services and Ernst & Young helped 
facilitate the roll out of the new Risk Management Framework.  The HIA and SIA attended two 
training sessions in March to proved the audit perspective to the process and to help answer any 
specific questions on the methodology; 
  The HIA provided advice to the Full Economic Costing Working Group EU subgroup in relation to 
the more complex 7th Framework contracts and the appropriateness and feasibility of moving from 
project costing via the additional cost model to TRAC EC-FP7;  
  IAS is regularly contacted via e-mail, phone or through the department’s ‘drop-in sessions’, for 
advice.  Advice on a range of matters has been provided to Safety Services, Disability Services, 
Finance Office and a variety of other departments with regards operational control and policy 
queries.  Full details of this work are recorded within the IAS Advice/Enquiry Log. 
 
Staff Training 
  In June 2010, IAS staff undertook their annual ‘away day’.  This allowed staff the opportunity to 
take a step back from the routine of auditing to help enhance our administrative and audit 
procedures further, as well as the chance to discuss trends and developments in audit; 
  Training continued in-house to ensure that all staff are fully briefed in a variety of strategic audit 
matters thus ensuring the knowledge base within the department, in these areas, is not 
concentrated on one individual; 
  The HIA attended two seminars run by Ernst and Young in October 2009. The first was entitled 
‘The Future of Risk’ which looked at the role of the internal audit function within an organisations 
risk management framework.  The second seminar was on the topic of Fraud prevention and 
detection which brought together Heads of Internal Audit/Assurance functions from a wide number 
of organisations across Scotland; 
  The HIA and IA attended an internal briefing session in October 2009 with regards Good Practice 
in the Management of Decision Making; 
  The HIA and IA  attended an internal briefing session run by Corporate Services in January 2010 
with regards the launch of the Strathclyde Project Management Methodology; 
  The SIA attended an update course provided by CHEIA on IT Audit: Governance and Disaster 
Recovery at Edinburgh University in February 2010; 
  All members of the IAS attended a training seminar in March 2010 provided by the University’s 
Lawyers (MacRoberts) regarding Public Procurement; 
  The SIA and IA attended an internal Sharepoint training course in April 2010; 
  The HIA and SIA attended an update course provided by CHEIA on Fraud and Forensics at 
Newcastle University in April 2010; 
  The SIA attended an update course provided by CHEIA on VFM Audit at Edinburgh University in 
June 2010; 
  CIPFA continuing professional development work was undertaken by the HIA and SIA. 
 
 
16 

Internal Audit Service 
Annual Report 2009/10 
Analysis of Audit Reviews 
Appendix B 
 
 
Report 
Area of Review 
Audit Opinion 
Key Assurance Category /          
Reference 
Summary of Identified Weakness Areas 
Governance 
Risk 
Controls 
VFM 
(Policy & 
Procedure) 

222 
VAT 
Satisfactory 
√ 
 
√ 
 

230 
Principal’s Office 
Requires 
√ 
 
√ 
√ 
(including Senior Officer 
Improvement 
Expenses) 

239 
USSA Finance Function 
Requires 
√ 
 
√ 
√ 
Improvement 

240 
Library 
Satisfactory 
√ 
 
√ 
√ 

241 
Student Health Service 
Requires 
√ 
 
√ 
√ 
Improvement 

242 
Project Management  
Requires 
√ 
√ 
√ 
 
Improvement 

243 
Computer & Information 
Satisfactory 
√ 
 
√ 
√ 
Science 

244 
University Expenses 
Requires 
√ 
 
√ 
√ 
Improvement 

245 
Hospitality & Tourism 
N/A 
√ 
 
√ 
 
Management Expenditure 
10 
246 
USSA Executive 
Satisfactory 
√ 
 
√ 
√ 
Expenses 
11 
247 
ERVS Scheme 
Satisfactory 
√ 
√ 
√ 
√ 
12 
248 
International Division 
Requires 
√ 
 
√ 
√ 
Improvement 
13 
AC Meetings 
EDF Monitoring 
Satisfactory 
√ 
 
√ 
 
2009/10 
Activity Reports 
14 
AC Meetings 
Overview of Strategic 
Satisfactory 
√ 
 
 
 
2009/10 
Projects 
15 
Activity Reports 
HR/Payroll System 
Satisfactory 
 
 
√ 
 
Implementation Update 
16 
AC Meetings 
E-Procurement System 
Satisfactory 
 
 
√ 
 
2009/10 
Implementation Update 
17 
AC 09/09 
Projects Summary Report 
Satisfactory 
√ 
 
√ 
 
 Paper 4.6 
18 
AC 11/09 
IAS Response to E&Y 
Requires 
√ 
√ 
 
 
Paper 5.2.2 
Risk Assessment Report 
Improvement 
19 
AC 11/09  
Role of IAS in Risk 
Satisfactory 
 
√ 
 
 
Paper 5.2.3 
Assessment 
20 
AC 01/10 
Risk Management 
Satisfactory 
 
√ 
 
 
Paper 5 
Process 
21 
AC 01/10 
TRAC Key Risk Sign-Off 
Satisfactory 
√ 
 
√ 
 
Paper 7 
22 
AC 04/10 
Annual TRAC Return 
Satisfactory 
√ 
 
√ 
 
Paper 9.2 
2008/09 and Checklist of 
Key Risks 
23 
AC 04/10 
TRAC T Return 2008/09 
Satisfactory 
√ 
 
√ 
 
Activity Report 
24 
AC 04/10 
Annual Follow Up Report 
Satisfactory 
√ 
 
√ 
√ 
Paper 10 
25 
AC 06/10 
Risk Management 
Satisfactory 
 
√ 
 
 
Paper 7.1 
Process & Reporting 
26 
AC Meeting 1 
CUC Corporate 
Satisfactory 
√ 
 
 
 
10/11 
Governance Checklist 
27 
AC Meeting 1 
Comparison of UK 
Satisfactory 
√ 
 
 
 
10/11 
Corporate Governance 
Code with Combined 
Code 
28 
EU Grant 
EU Grant Certification – 
Satisfactory 
 
 
√ 
 
Certificates 
17 Certificates issued. 
 
 

17 

Internal Audit Service 
Annual Report 2009/10 
Assurance Plan 2009/10 Delivery 
Appendix C 
 
 
Area of Review 
Audit 
Reported to Audit 
Comments 
Status 
Committee 
 
Corporate Governance 
 
Governance Structure 
Ongoing 
All meetings during 2009/10 
Continued monitoring in 2010/11. 
Social Sciences Review 
Ongoing 
All meetings during 2009/10 
Continued monitoring in 2010/11. 
Professional Services Review 
Ongoing 
All meetings during 2009/10 
Continued monitoring in 2010/11. 
Decision Making Structures 
Ongoing 
All meetings during 2009/10 
Included in 2010/11 Audit Plan. 
ERVS Scheme 
Complete 
Meeting 1: 2010/11 
 
Strategic Planning 
Deferred 

Included in Audit Universe. 
Performance Management 
Deferred 

Included in 2010/11 Audit Plan. 
Collaborative Agreements 
Deferred 

Included in 2010/11 Audit Plan. 
 
Risk Management 
 
Risk Management Training, 
Complete 
All meetings during 2009/10 
 
Delivery & Consultancy 
System Review – Process & 
Complete 
Meeting 5: June 2010 
 
Reporting 
 
Controls – Financial Systems 
 
HR/Payroll System 
Ongoing 
All meetings during 2009/10 
Included in 2010/11 Audit Plan. 
Transparency Review/fEC 
Complete 
Meeting 4: April 2010 
 
Review of USSA Finance 
Complete 
Meeting 2: November 2010 
 
Function, etc 
 
Controls – IT Systems/Processes 
 
Research Information 
Deferred 

Included in Audit Universe. 
Management System 
Management of IT Audit 
Ongoing 
All meetings during 2009/10 
Included in 2010/11 Audit Plan. 
Review (Outsourced) 
 
Controls – Operation Systems/Processes 
 
Advanced Forming Research 
Deferred 

Included in 2010/11 Audit Plan. 
Centre 
Computer & Information 
Complete 
Meeting 5: June 2010 
 
Science 
Project Management  
Complete 
Meeting 1: 2010/11 
 
International Division 
Complete 
Meeting 1: 2010/11 
 
Economics 
Deferred 

Included in 2010/11 Audit Plan. 
Student Health Service 
Complete 
Meeting 1: 2010/11 
 
University Expenses 
Complete 
Meeting 1: 2010/11 
 
USSA Expenses 
Complete 

 
Library  
Complete 
Meeting 3: January 2010 
 
Points Based System of 
Deferred 

Included in Audit Universe 
Immigration 
 
Capital Project Review 
 
EDF Project Monitoring 
Ongoing 
All meetings during 2009/10 
Included in 2010/11 Audit Plan. 
 
Royal College Phase 3 
Deferred 

Included in Audit Universe. 
 
Value for Money 
 
VFM Policy Framework 
Complete 
All meetings during 2009/10 
 
E-Procurement 
Ongoing 
All meetings during 2009/10 
Continued monitoring in 2010/11. 
Consultancy Services 
Deferred 

Included in Audit Universe. 
 
18 

Internal Audit Service 
Annual Report 2009/10 
Assurance Plan 2009/10 Delivery 
Appendix C 
 
 
Area of Review 
Audit 
Reported to Audit 
Comments 
Status 
Committee 
 
Other Audit Work 
 
EU Grant Certification Work 
Complete 
All meetings during 2009/10 
Included in 2010/11 Audit Plan. 
Follow Up Audit Reviews 
Complete 
Meeting 4: April 2010 
Included in 2010/11 Audit Plan. 
 
 
 
19 

Internal Audit Service 
Annual Report 2009/10 
IAS Quality Assurance Results  
Appendix D 
 
Due Professional Care 
93% 
100% 
90% 
80% 
70% 
Quality Assurance 
60% 
92%
90% 
  Strategy 
50% 
40% 
30% 
20% 
10% 
0% 
95%
97% 
 
Methodology 
Independence 
91% 
People 
 
20 

Internal Audit Service  
Annual Report 2009/10 
Performance against Balanced Scorecard Metrics 
Appendix E 
 
  
                                                                                                                                                           
Financial Perspective 
Goals 

Measures 
Metrics 
To be high 
Performance against budget 
 
To be within the pay and non pay budget set and 
quality at lowest 
agreed for the period  
possible cost 
Comparison of cost per day with alternative 
 
To be below the average cost per day of 
providers (BUFDG annual Audit Survey) 
alternative providers on a day rate basis  (see 
Paragraph 5.13) 
Staff quality mix (qualified/unqualified) 
 
Minimum 65% qualified : experienced input on a 
day to day basis  (2/3 staff professionally qualified) 
Comparison of Staff levels v Institutional 
 
To maintain appropriate staffing levels for delivery 
size with other Institutions 
of assurance plans  (in line with comparable 
Institutions) 
Comparison of average coverage per audit 
 
To be above the average coverage per audit day 
day with alternative providers (BUFDG 
of alternative providers  (see paragraph 5.14) 
annual Audit Survey) 
To deliver 
Coverage of plan 
 
90% of planned reviews to be completed within 
quantum of 
the academic year excepting for circumstances 
audit needed 
outside of the Service’s control.  In progress. 
Reasons for and quantity of variance from 
 
All changes to the plan to be notified to Audit 
the plan 
Committee  
 
All reasons for significant variances to plan to be 
documented and justified within the context of 
University audit requirements  
Productive fieldwork as a percentage of the 
 
No more than 25% of available staff time to be 
plan 
spent on internal, non ‘client facing’ work   
Customer Perspective 
Goals 

Measures 
Metrics 
Audit 
Feedback from Committee members 
 
Achievement of a satisfactory score on the Audit 
Committee 
Committee Self Assessment Questionnaire re 
satisfaction 
Internal Audit provision  (Audit Workshop 2010) 
Annual Audit Committee report 
 
Enabling the Audit Committee to issue its annual 
report to Court inclusive of an endorsement of at 
least a satisfactory provision by the Service. No 
issues anticipated. 
Meeting of specific ad hoc requests and 
 
Meeting 100% of ad hoc requests within the 
requirements 
timescale set by Audit Committee   
Management 
Positive returns from client satisfaction 
 
Achievement of at least a satisfactory rating on all 
satisfaction 
surveys 
categories assessed in the Client Satisfaction 
Survey  
Feedback from Principal, COO, CFO and 
 
Achievement of at least satisfaction on service 
Executive Team 
delivery by University Management.  No issues 
anticipated 
Positive working relationships established 
 
Consultancy role of IAS utilised pro actively as 
allocated within the audit plan  
Positive management responses to audit 
 
Adoption of all final report recommendations by 
recommendations 
management for implementation  
 
No recommendations in final reports not accepted 
on the grounds of factual accuracy  
 
All agreed recommendations found to be 
implemented when followed up on the first 
occasion by IAS. 100% (see 3.31)  
Stakeholder 
SFC satisfaction (via GMAP) noted in 
 
No significant issues to be noted by SFC in the 
satisfaction 
review of IAS Annual Report 
review of the IAS Annual Report No issues 
anticipated 
External audit reliance on IAS work 
 
The Service to be considered appropriate for 
reliance by External Audit  No issues reported to 
HIA 
 
21 

Internal Audit Service  
Annual Report 2009/10 
Performance against Balanced Scorecard Metrics 
Appendix E 
 
  
                                                                                                                                                           
 
Internal Business Perspective 
Goals 

Measures 
Metrics 
Zero audit 
Opinions issued to be robust and supported 
 
Positive overall quality assurance assessment by 
failure 
by clear evidence 
CHEIA QA Peer review process  (See 5.1 – 5.9) 
Quality 
Annual review of IAS by CHEIA QA Peer 
 
Positive overall quality assurance assessment by 
assurance to be 
review process. 
CHEIA QA Peer review process with IAS results 
high 
to be higher than the sector average. Sector results 
awaited (See 5.1 – 5.9) 
SFC, ACOP / 
Annual review of IAS by CHEIA QA Peer 
 
Positive overall quality assurance assessment by 
IIA Standards / 
review process which incorporates 
CHEIA QA Peer review process with IAS results 
GIAS 
assessment against  GIAS and wider 
to be higher than the sector average. Sector results 
compliance 
requirements 
awaited (See 5.1 – 5.9) 
Continuity 
Staff to remain in post  
 
Professional staff to remain in post – HIA left in 
June 2010 – replacement identified for 2010/11 
Impact 
Timely reporting of issues which are 
 
Reports to be issued within KPI deadlines.  (See 
adopted and implemented by management 
IAS reporting and delivery protocol) Partial due to 
change in protocol mid year 
Clarity 
Opinions clear unambiguous and well 
 
A clear opinion to be issued with all Audit Reports 
structured 
(bespoke reports may omit these)  
Objectivity 
Reports to be challenging and supportive 
 
All reports to be agreed with management prior to 
publication  
 
No issues identified from fieldwork go 
inappropriately unreported (test checked in 
CHEIA QA Peer Review)  
Independent QA to assess objectivity 
 
Positive overall quality assurance assessment by 
CHEIA QA Peer review process with IAS results 
to be higher than the sector average. Sector results 
awaited (see 5.1 – 5.9) 
Innovation and Learning Perspective 
Goals 

Measures 
Metrics 
Staff to continue 
Professional skills training to be 
 
Progression against skills analysis  In progress 
professional 
undertaken in line with skills analysis 
development 
Attendance at regional and national 
 
All members of staff to attend CHEIA conference 
CHEIA events as well as attendance at 
in 2010 – Partial (Internal Auditor only) 
SAG, CIPFA, IIA regional and national 
 
Successful hosting/attendance at Regional 
events as appropriate 
CHEIA meetings  
 
Head of Internal Audit to contribute to CHEIA 
executive – to be reconsidered when new HIA in post 
2010/11 
All Professional Staff to undertake 
 
Institute CPD recognition  Ongoing 
Institute led CPD activity 
 
Product review 
Further development of reporting and 
 
Full review of reporting documentation and 
auditing practice 
standards for 2009 Ongoing 
 
Positive overall quality assurance assessment 
by CHEIA QA Peer review process  (See 5.1 – 
5.9) 
Technical 
Review of business  and sector specific 
 
Continued subscription to CIPFA, IIA and 
leadership 
journals and changing accounting and 
professional Institutes Business Review Journals 
auditing standards 
 
Internationalisation 
Expand on current network of links with 
 
Constructive dialogue with at least two new 
IAS functions in other international 
Institutions Progressing via CHEIA’s international 
technological Universities 
connections.  Visit from Chief Internal Auditor from 
Auckland University of Technology. 
 
22 

Internal Audit Service  
Annual Report 2009/10 
Performance against Balanced Scorecard Metrics 
Appendix E 
 
  
                                                                                                                                                           
 
IAS Delivery Protocol 
Goals 
Measures 
Metrics 
 
 
 
Scope to be issued for each review  and agreed by the 
To be open and 
Audit Scopes to be shared and 
process owner  
transparent over 
notified to Senior Officer and 
 
Scope to contain:- 
process 
Process Owner 
 
 
Process objective 
 
 
Level of assurance 
 
 
Overview of the timing of the review 
 
 
 
Detail of the process being reviewed 
 
 
Outputs to be provided 
 
 
Indicative review milestones 
 
 
Annual assurance plan to be reviewed by Audit 
Timing of Reviews and areas 
Committee and Court  
reviewed to be transparent 
 
Annual Assurance plan once approved to be made 
available on the University Intranet  In progress 
 
Communication with appropriate departments/areas  
 
 
Risk assessment to be shared with the process owner 
Risk assessments to be shared 
and Senior Officer through the reporting process  
 
 
 
IAS to meet with the process owner for each review to 
Outputs to be agreed  An adequate closure process 
feedback initial findings at the end of the audit fieldwork. 
with University  
Details of the areas discussed and outcomes from the 
meeting contained within the IAS Closure meeting 
template  
 
 
Draft report to be shared with the process owner before 
Draft Reports provided for 
wider distribution  
feedback and comment 
 
Feedback and comments on draft report to be noted and 
action taken where appropriate (for factual or 
interpretative issues)  Detailed in Closure meeting 
documentation 
 
Draft reports to be shared with University Management 
(currently Chief Financial Officer and Chief Operating 
Officer)  
 
 
 
Where applicable, all reports to receive University 
Outputs to be agreed  Finalised outputs to be agreed 
responses via the IAS response document.  These 
with University 
responses require to address the risk(s) identified and 
provide:  
 
Clear actions 
 
Timing for completion of actions 
 
A responsible University officer for each action 
 
23 

Internal Audit Service  
Annual Report 2009/10 
Performance against Balanced Scorecard Metrics 
Appendix E 
 
  
                                                                                                                                                           
 
IAS Delivery Protocol 
Goals 
Measures 
Metrics  
Partial  - due to change in Assurance Plan workload during year  

 
 
 
Scopes to be drafted and issued by IAS 4 weeks prior to 
Timescales to meet 
Timely issue of audit scopes 
commencement of audit 
University 
Requirements 
 
Finalisation of draft scope within 2 weeks of planned 
commencement of the audit. Finalisation of scope 
undertaken at the audit opening meeting. Audit Scopes 
appropriately version controlled 
 
 
Issue of draft report within 3 weeks after finalisation of 
Timely reporting of work 
audit fieldwork 
 
Receipt of process owner responses to draft report 
within 3 weeks of issue of draft report 
 
Issue of final report within 2 weeks of final management 
response 
 
 
Issue of 3 months response document 3 months from 
Follow Up 
the date of issue of the final audit report  
 
Receipt of process owner response to 3 months 
response document within 3 weeks of issue of 
document. 
 
IAS follow up work to commence within 4 weeks of 
receipt of response document  
 
Issue of follow up report to process owner within 2 
weeks
 after finalisation of follow up audit fieldwork  
 
Where agreed recommendations have not been 
implemented at the time of the first follow up visit a 
second follow up visit will be undertaken within 6 weeks 
from the issue of the first follow up report 
 
Issue of 2nd follow up report to process owner within 2 
weeks
 after finalisation of second follow up audit 
fieldwork 
 
Implementation of all agreed recommendations brings 
audit cycle to a close 
 
 
 
 
 
 
 
 
 
 
 
 
24 

Document Outline