This is an HTML version of an attachment to the Freedom of Information request 'Financial Memorandum and Internal Audit'.



www.pwc.com
Glasgow Caledonian University
Internal Audit Annual Report
Year Ended 31 July 2013
9 October 2013

Contents
1. Background and Scope................................................................................................................................................................................................................................. 1
2. Our Annual Report.......................................................................................................................................................................................................................................2
3. Internal Controls Work undertaken during 2012/13..................................................................................................................................................................................4
Appendix A: Limitations and responsibilities ................................................................................................................................................................................................5
PricewaterhouseCoopers LLP

1. Background and Scope
Background to this report
1.01
Internal Audit standards recommend that the Head of Internal Audit provides a written report to the University timed to inform the organisation’s annual
Governance Statement. As such, the purpose of this report is to present our view on the design and operating elements of Glasgow Caledonian University’s (“the
University”) system of internal control. This report is based upon the work set and approved by the Audit Committee in the Annual Internal Audit Plan for
2012/13 and conducted by us during the year.
1.02
Whilst this report is a key element of the framework required to inform the annual Governance Statement, there are also a number of other important sources
from which the University should seek and gain assurance. The level of assurance required from Internal Audit was determined by the Audit Committee at the
beginning of the year and presented in our Annual Internal Audit Plan. As such, our view does not supplant the University’s or Audit Committee’s responsibility
for forming their own overall opinion on internal controls, governance arrangements and risk management activities.
1.03
This report covers the period from 1 August 2012 to 31 July 2013.
Acknowledgements
1.04
We are grateful for the assistance that was provided to us by University staff in the course of our work.
PricewaterhouseCoopers LLP
1

2. Our Annual Report
Introduction
2.01
Under the terms of our engagement we are required to provide a written report to the University on the design and operating elements of the University’s:

risk management;

control; and

governance processes.
2.02
Collectively we refer to all of these activities in this report as “the system of internal control”.
2.03
The view we express is based solely on the internal audit work performed as set out in the 2012/13 Internal Audit Plan set and approved by the Audit Committee
in June 2012. Our view is subject to the inherent limitations set out at Appendix A of this report.
Annual report on internal controls
2.04
It is management’s responsibility to develop and maintain a sound system of internal control, and to prevent and detect irregularities and fraud. Internal audit
work should not be seen as a substitute for management’s responsibilities for the design and operation of these systems.
2.05
We have planned our work so that we had a reasonable expectation of detecting significant control weaknesses in those areas subject to review. However, internal
audit procedures alone, although they are carried out with due professional care, do not guarantee that fraud will be detected. Accordingly, our examinations as
internal auditors should not be relied upon solely to disclose fraud, defalcations or other irregularities which may exist, unless we are requested to carry out a
special investigation for such activities in a particular area.
2.06
We have completed the programme of internal audit work for the year ended 31 July 2013, as set out in the Internal Audit Plan, in accordance with internal audit
standards and can report that our internal audit work did not identify any critical or high risk control weaknesses that we consider to be pervasive in their effects
on the University’s overall system of internal control. We did however identify a number of areas of medium and low risk in specific systems and processes but we
do not believe that any of these areas require specific disclosure within the Corporate Governance Statement. It is emphasised that corrective actions to address
all the internal audit recommendations raised in the year have been agreed with management and that these actions will be followed up in 2013/14.
PricewaterhouseCoopers LLP
2

2.07
Through our programme of internal audit work, which was solely designed to arrive at a view on the system of internal control, we did not identify any matters
resulting from our work which have not already been reported to the Audit Committee, which, in our view, require to be brought to the attention of the Audit
Committee in relation to the University’s governance framework put in place by the University.
PricewaterhouseCoopers LLP
Date: 9 October 2013
PricewaterhouseCoopers LLP
3

3. Internal Controls Work undertaken during
2012/13

Review
Status
Total recommendations
Report classification
Overarching Strategic Risk Management Arrangements
Complete
2
Low
Corporate Governance Arrangements
Complete
5
Low
Campus Masterplan arrangements
Complete
-
Low
Commercial Income
Complete
4
Medium
Follow up of Marketing internal audit recommendations
Complete
2
Low
GCU London
Complete
3
Low
International Partnerships
Complete
4
Medium
Undergraduate Student Admissions
Complete
5
Medium
Financial Controls: Manual Journals, Accounts Payable and Bank & Cash
Complete
1
Low
ISIS System – Student Records*
Complete
6
Medium
Development and Implementation of the People Strategy
Complete
3
Low
Assessment Boards
Complete
2
Low
*includes one advisory finding
PricewaterhouseCoopers LLP
4

Appendix A: Limitations and responsibilities
Limitations inherent to the internal auditor’s work
We have prepared the Internal Audit Annual Report and undertaken the agreed programme of work as agreed with management and the Audit Committee,
subject to the limitations outlined below.
Findings
Our findings are based solely on the work undertaken as part of the agreed 2012/2013 Internal Audit Plan, which provided for 12 internal audit reviews in 207
days. Our work addressed the control objectives agreed for individual internal audit assignments as set out in our 2012/2013 Internal Audit Plan.
There might be weaknesses in the system of internal control that we are not aware of because those controls did not form part of our programme of work, were
excluded from the scope of individual internal audit assignments or were not brought to our attention. As a consequence, management and the Audit Committee
should be aware that our findings may have differed if our programme of work, scope for individual reviews had been different or other relevant matters were
brought to our attention.
Internal control
Internal control systems, no matter how well designed and operated, are affected by inherent limitations. These include the possibility of poor judgment in
decision-making, human error, control processes being deliberately circumvented by employees and others, management overriding controls and the occurrence
of unforeseeable circumstances.
PricewaterhouseCoopers LLP
5

Future periods
Our assessment of controls relating to Glasgow Caledonian University is for the year ended 31 July 2013. A historic evaluation of effectiveness may not be
relevant to future periods due to the risk that:

the design of controls may become inadequate because of changes in operating environment, law, regulation or other; or

the degree of compliance with policies and procedures may deteriorate.
Responsibilities of management and internal auditors
It is management’s responsibility to develop and maintain sound systems of risk management, internal control and governance and for the prevention and
detection of irregularities and fraud. Internal audit work should not be seen as a substitute for management’s responsibilities for the design and operation of these
systems.
We endeavour to plan our work so that we have a reasonable expectation of detecting significant control weaknesses and, if detected, we shall carry out additional
work directed towards identification of consequent fraud or other irregularities. However, internal audit procedures alone, even when carried out with due
professional care, do not guarantee that fraud will be detected, and our examinations as internal auditors should not be relied upon to disclose all fraud,
defalcations or other irregularities which may exist.
Pervasive
This in a literal sense means “all encompassing”. A pervasive control weakness is therefore one which has an impact across the system of internal control, and
consequently could impact upon the achievement of a number of organisational objectives in relation to:
 the efficient and effective use of resources;
 the safeguarding of assets;
 the preparation of reliable financial and operational information; or
 compliance with laws and regulations.
PricewaterhouseCoopers LLP
6

Appendix B: Basis of our classifications
Report classifications
The report classification is determined by allocating points to each of the findings included in the report.
Findings rating
Points
Critical
40 points per finding
High
10 points per finding
Medium
3 points per finding
Low
1 point per finding
Report classification
Points
 Criticalrisk
40 points and over
 Highrisk
16– 39 points
 Mediumrisk
7– 15 points
 Lowerrisk
6 points or less
PricewaterhouseCoopers LLP
7

Individual finding ratings
Finding rating
Assessment rationale
Critical
A finding that could have a:

Critical impact on operational performance; or

Critical monetary or financial statement impact; or

Critical breach in laws and regulations that could result in material fines or consequences; or

Critical impact on the reputation or brand of the organisation which could threaten its future viability.
High
A finding that could have a:

Significant impact on operational performance; or

Significant monetary or financial statement impact; or

Significant breach in laws and regulations resulting in significant fines and consequencesor

Significant impact on the reputation or brand of the organisation.
Medium
A finding that could have a:

Moderate impact on operational performance; or

Moderate monetary or financial statement impact; or

Moderate breach in laws and regulations resulting in fines and consequences; or

Moderate impact on the reputation or brand of the organisation.
Low
A finding that could have a:

Minor impact on the organisation’s operational performance; or

Minor monetary or financial statement impact; or

Minor breach in laws and regulations with limited consequences; or

Minor impact on the reputation of the organisation.
Advisory
A finding that does not have a risk impact but has been raised to highlight areas of inefficiencies or good practice.
PricewaterhouseCoopers LLP
8

In the event that, pursuant to a request which you have received under the Freedom of Information Act
2000 or Freedom of Information (Scotland) Act 2002 (as the same may be amended or re-enacted from
time to time) or any subordinate legislation made thereunder (collectively, the “Legislation”), you are
required to disclose any information contained in this report, we ask that you notify us promptly and
consult with us prior to disclosing such information. You agree to pay due regard to any representations
which we may make in connection with such disclosure and to apply any relevant exemptions which
may exist under the Legislation to such information. If, following consultation with us, you disclose any
such information, please ensure that any disclaimer which we have included or may subsequently wish
to include in the information is reproduced in full in any copies disclosed.
©2013 PricewaterhouseCoopers LLP. All rights reserved. 'PricewaterhouseCoopers' refers to
PricewaterhouseCoopers LLP (a limited liability partnership in the United Kingdom) or, as the context
requires, other member firms of PricewaterhouseCoopers International Limited, each of which is a
separate and independent legal entity.