Mae hwn yn fersiwn HTML o atodiad i'r cais Rhyddid Gwybodaeth 'SFC Financial Memorandum and Internal Audit'.


  
 
 
 
INTERNAL AUDIT SERVICE 
 
 
 
 
 
  
 
 
Annual Internal Audit Report 
2008 / 2009  
 
August 2009   

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
CONFIDENTIAL 
The distribution of this report is restricted. 
Please do not copy or circulate without the prior permission of the Head of Internal Audit. 
 
 

  
 
 
TABLE OF CONTENTS 
 
 
1. INTRODUCTION…………………………………………………………. 

 
2. INTERNAL AUDIT SERVICE TERMS OF REFERENCE……………… 

 
3. STATEMENT OF ASSURANCE / OPINION……………………………. 

 
4. SUMMARY OF IAS ACTIVITY 
 
    4.1 AUDIT REVIEWS…………………………………………………….. 

    4.2 COMPLIANCE TESTING……………………………………………. 

    4.3 PROJECT ISSUES…………………………………………………….. 

    4.4 AD-HOC CONSULTANCY / ADVICE………………………………. 

    4.5 FRAUD AWARENESS PROGRAMME……………………………… 

 
 
5. SUMMARY OF AUDIT RESULTS  
 
    5.1 FULL REVIEWS / AD-HOC REVIEWS……………………………... 

    5.2 RECOMMENDATIONS………………………………………………. 

    5.3 FOLLOW-ON REVIEWS …………………………………………….. 

 
6. COMMON WEAKNESSES……………………………………………….. 

 
7. COMPARISON WITH 2008/2009 ANNUAL INTERNAL AUDIT PLAN 

 
8. PERFORMANCE MEASURES…………………………………………… 

 
9. QUALITY ASSURANCE PROCESS……………………………………... 
11 
 
10. STAFFING ISSUES……………………………………………………… 
12 
 
11. SUMMARY OF 2009/2010 ANNUAL INTERNAL AUDIT PLAN……. 
12 
 
 
 

  
1. INTRODUCTION 
 
This annual report has been prepared by the Head of Internal Audit Service (IAS) and is 
intended to meet two objectives:   
 
1.  To provide the University Court and Principal, through the Audit Committee,  with a 
formal opinion on the adequacy and effectiveness of the University’s arrangements for: 
• Risk management, control and governance; 
• Economy, efficiency and effectiveness (value for money) 
 
2.  To provide the University Court and Principal, through the  Audit Committee, with a 
summary of the activities of the IAS for the financial year ended 31st July 2009.   
 
Submission of an annual report by the Head of IAS is a requirement of the UWS IAS Terms 
of Reference and is recommended good practice (as highlighted in the Committee of 
University Chairmen Handbook for Members of Audit Committee in Higher Education 
Institutions, HEFCE Code of Audit Practice and guidance issued by the Institute of Internal 
Auditors).  
 
 
 
2. INTERNAL AUDIT SERVICE TERMS OF REFERENCE  
 
The purpose of the IAS is to provide an objective,  independent appraisal of all of the 
institution’s activities, financial or otherwise, focusing on the arrangements for risk 
management, control and governance.   
 
To provide the required assurance, the IAS undertakes a risk-based  programme of work, 
authorised by the Audit Committee on behalf of the University Court.  The programme of 
work has the following objectives: 
 
•  To appraise the soundness, adequacy and application of the governance, risk management 
and internal control arrangements.   
•  To ascertain the extent to which the system of internal control ensures compliance with 
established policies and procedures, laws & regulations. 
•  To ascertain the extent to which the assets and interests entrusted to, or  funded by the 
University are properly controlled and safeguarded from losses arising from 
improprieties, including fraud, irregularity or corruption. 
•  To ascertain that accounting and other information is reliable as a basis for producing 
accounting and financial, statistical and other returns. 
•  To ascertain the integrity and reliability of financial and other information provided to 
management, including that used in decision-making. 
•  To ascertain that systems of control are laid down and operate to promote the economic, 
efficient and effective use of resources. 
 
 
 
3. STATEMENT OF ASSURANCE 
 
The Head of IAS is required to provide the University Court and the Principal with assurance 
as to the adequacy and effectiveness of the arrangements for risk management,  control and 
governance.  In giving this opinion, it should be noted that this  assurance can never be 
absolute.  The most that the IAS can provide is a reasonable assurance that no major 


 
weaknesses have been identified in the risk management, internal control or governance 
arrangements, or where weaknesses have been identified, these are being addressed. 
 
In assessing the level of assurance that can be given, the following is taken into account: 
•  The results of all audits undertaken during the period 
•  The results of audits undertaken during previous periods 
•  Any follow up action taken in respect of audits from previous periods 
•  Representations from management, both written and verbal, as to corrective action taken 
or to be taken in response to IAS recommendations which have yet to be confirmed by 
internal audit review. 
 
In addition consideration is also given to: 
•  Any recommendations not accepted by management and the consequent risks 
•  Any limitations which may have been placed on the scope of internal audit 
•  The proportion of the University’s audit need covered to date 
 
A variety of sources of evidence are considered when assessing the level of assurance that can 
be given and opinions are based on evidence gathered through the whole activity and work of 
the IAS (whether formal audit reviews, ad hoc consultancy / advice or evidence gathered 
through being an in-house service).   
 
The Head of IAS is satisfied that our work to date allows us to draw a reasonable conclusion 
as to the adequacy and effectiveness of the University’s risk management, control and 
governance arrangements, and on value for money processes. 
 
 
Opinion: 
 
Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods and other sources of evidence (including management 
representations) in my opinion, reasonable assurance can be given that the arrangements for 
risk management, internal control and governance are adequate and effective.   
 
Similarly, based on the areas examined during the period, in my opinion, the University 
appears to have adequate arrangements in place to promote and secure value for money.  
 
 
 
 
These opinions are based on a programme of audit work which was delivered: 
•  In accordance with the approved annual internal audit plan (which was derived from a 
systematic risk assessment of all auditable areas). 
•  By suitably experienced and qualified internal auditors 
•  In accordance with the processes outlined in the UWS IAS Procedures Manual (based on 
best practice guidance as outlined by the Committee of University Chairmen and the 
Institute of Internal Auditors) 
 
 
 
4. SUMMARY OF IAS ACTIVITY 
 
2008 / 2009 has been a busy year for the IAS.  This section provides a summary of IAS work 
undertaken during the year.       
 
 

 
2  
 

 
4.1 Audit Reviews: 
During the year ended 31st  July 2009,  a total of 18  audit reviews were completed.  This 
included 8 full reviews, 7 follow-on reviews and 3 ad-hoc reviews.  3 reviews (2 full reviews 
and 1 follow-on review) from the 2007/2008 annual internal audit plan were still in progress 
at the end of the last financial year and consequently are included in this total.  2 reviews from 
the 2008/2009 plan are still in progress at the end of this financial year and are due to be 
finalised shortly.   
The reviews completed during 2008/2009 are listed in the table below: 
 
 
 
 
Reference 
Title 
Type 
 
 
 
IAS / 2008 / 110 
Review of Project Risk Management (Ayr Campus) 
Full 
IAS / 2008 / 111   Review of Ring-Fenced Balances 
Full 
IAS / 2008 / 205 
Software Inventory Management & Licence Control 
Follow-On 
 
 
 
IAS / 2009 / 101 
Infrastructure Consolidation Project – Health Check 
Full 
IAS / 2009 / 102 
Review of Payroll 
Full 
IAS / 2009 / 103 
Review of Partnerships with FE Colleges 
Full 
IAS / 2009 / 104 
Review of Value for Money Strategy & Activities 
Full 
IAS / 2009 / 105 
Review of ICT Fault Resolution Process 
Full 
IAS / 2009 / 106 
Review of Written Communication with Students 
Ad-Hoc 
IAS / 2009 / 107 
Review of Overtime 
Ad-Hoc 
IAS / 2009 / 109 
Review of Monitoring Against Merger Business Case 
Full 
IAS / 2009 / 110 
Review of Procurement Cards 
Ad-Hoc 
IAS / 2009 / 201 
Cash Handling Follow-On Review 
Follow-On 
IAS / 2009 / 202 
General Procurement Follow-On Review 
Follow-On 
IAS / 2009 / 203 
Additional Payroll Payments Follow-On Review 
Follow-On 
IAS / 2009 / 204 
Reimbursement of Expenses Follow-On Review 
Follow-On 
IAS / 2009 / 205 
Control of Policies & Procedures Follow-On Review 
Follow-On 
IAS / 2009 / 206 
Banner Management Information Follow-On Review 
Follow-On 
 
 
 
 
 
 
Comparative figures for previous financial years are outlined below: 
 
Audit Reviews 
FY 08/09 
FY 07/08 
FY 06/07 
Total 
Full 

10 

25 
Follow-On 



15 
Ad-Hoc 




Total 
18 
14 
11 
43 
 
A summary of audit findings in respect of the above reviews can be found at Section 5 of this 
report.  All reports, incorporating management responses where appropriate have been 
submitted  to and considered by the Audit Committee  during the financial year.  In addition, 
the results of all audits have been formally reported to the relevant managers.  An executive 
summary highlighting the key findings from each review can be found in Appendix A
 
4.2 Compliance Testing: 
Compliance testing was completed on the Additional Payroll Payments process.  Testing 
commenced with a relatively small sample of 30 payments per month.  However, the scale of 
this testing was expanded to incorporate a 100% compliance test for a period of 3 months.  
Over 900 Additional Payroll Payments were tested during the 3 month period.   
 
 
 
3  
 

 
4.3 Project Issues: 
The Senior Internal Auditor has been involved in two projects over the course of the year, in 
an advisory capacity –  Business Continuity Planning and the Data Infrastructure 
Consolidation Project.  
 
4.4 Ad-Hoc Consultancy / Advice on risk management, control and governance: 
In addition to our planned audit work, the IAS also provides advice on governance, internal 
control and risk management issues throughout the year, as required.  Requests for advice are 
received on both a formal or informal basis.   Appendix B contains brief examples of some of 
the additional activities we have been involved with over the year.  
 
4.5 Fraud Awareness Programme 
During 2007 / 2008, the IAS team commenced preparation work for a Controls Awareness 
Programme.  The focus of this programme  has been reconsidered during the year and will 
now be a Fraud Awareness Programme. Preparation work is underway and work on this 
programme is scheduled to continue throughout 2009 / 2010.   
 
 
5. SUMMARY OF AUDIT RESULTS 
 
5.1 Full Reviews / Ad-Hoc Reviews 
8 full reviews and 3 ad-hoc reviews were completed during the year.  An overall grading is 
issued for each audit review, where applicable,  to provide a summary opinion on the 
adequacy and effectiveness of the internal control system in place. 
 
The following categories of overall grading are used: 
Superior 
Controls / procedures accord with accepted good practice and are 
operating to a high standard. 
Satisfactory 
Controls / procedures generally accord with accepted good practice but 
certain matters are noted as requiring improvement. Key control points 
are in place. 
Marginal 
Some controls / procedures in place have material weaknesses and / or 
deficiencies which, if not resolved, could lead to an unsatisfactory 
position. 
Unsatisfactory 
Controls / procedures in place offer scope for considerable improvement 
and concern is expressed about their adequacy.  The control system has 
fundamental weaknesses. 
 
 
Overall gradings awarded during the year are summarised in the table below.  Statistics for 
the previous financial year and cumulative to date are also detailed for comparative purposes. 
 
Grading 
2008/2009 
2007/2008 
To Date 
Superior 



Satisfactory 


19 
Marginal 


10 
Unsatisfactory 



Not Applicable 



Total 
11 
10 
41 
 
 
4  
 

 
The overall assessment for each individual review completed during the year is detailed in the 
table below: 
 
Reference 
Title 
Grading 
IAS / 2008/ 110 
Review of Project Risk Management (Ayr Campus) 
Superior 
IAS / 2008 / 111 
Review of Ring-Fenced Balances 
Satisfactory 
IAS / 2009 / 101 
Infrastructure Consolidation Project – Health Check 
Satisfactory 
IAS / 2009 / 102 
Review of Payroll 
Satisfactory 
IAS / 2009 / 103 
Review of Partnerships with FE Colleges 
Marginal 
IAS / 2009 / 104 
Review of Value for Money Strategy & Activities 
Satisfactory 
IAS / 2009 / 105 
Review of ICT Fault Resolution Process 
Marginal 
IAS / 2009 / 106 
Review of Written Communication with Students 
Satisfactory 
IAS / 2009 / 107 
Review of Overtime 
Not Applicable 
IAS / 2009 / 109 
Review of Monitoring Against Merger Business Case 
Superior 
IAS / 2009 / 110 
Review of Procurement Cards 
Marginal 
 
Two reviews received a ‘Superior’ grading  during the year -  the Review of Project Risk 
Management for the Ayr Campus Redevelopment Project and the Review of Monitoring 
Against the Merger Business Case.  No control concerns were identified during either of these 
reviews.  A good, structured approach is being taken to identify, evaluate and manage the 
risks facing the Ayr Campus Redevelopment Project.  A robust process appears to be in place 
to monitor the achievement of both expected academic benefits and the non-academic 
developments detailed in the merger business case.  Similarly, a robust process appears to be 
in place to monitor the financial implications of the merger. 
  
Five reviews received a ‘Satisfactory’ grading.  On the whole, the areas examined during 
these reviews appeared to be well controlled and processes generally accorded with good 
practice.  Key control points are in place however some minor issues were identified requiring 
attention.   
 
Three reviews received a ‘Marginal’ rating.  Time has been allocated in the 2009/2010 annual 
internal audit plan to complete a follow-on review for these three processes.   
2008/2009 is the first year since the creation of the in-house IAS that no ‘unsatisfactory’ 
gradings have been issued.   
 
No overall grading was issued to the Review of Overtime.  This was an ad-hoc review 
included to allow further investigation into some minor issues identified during the Review of 
Payroll.  We did not deem it appropriate to issue an overall grading in this case.   
 
 
5.2. Recommendations: 
 
65  recommendations were issued and accepted during the year.  The significance of each 
audit recommendation is graded in accordance with the following criteria: 
 
Grade 1 
Severe weaknesses which must be addressed immediately 
Grade 2 
Serious failings within the system which should be dealt with in the short term 
Grade 3 
Areas which warrant management attention but not immediate action 
 
The table below summarises the gradings of our recommendations for each full audit 
completed during the period.  Statistics for the previous financial year and cumulative figures 
to date are also detailed for comparative purposes. 
 
 
5  
 

 
Review 



Total 
Review of Project Risk Management  




Review of Ring-Fenced Balances 

11 

13 
Infrastructure Consolidation Project  




Review of Payroll 



14 
Review of Partnerships with FE Colleges 




Review of Value for Money Strategy & Activities 




Review of ICT Fault Resolution Process 




Review of Written Communication with Students 




Review of Overtime 




Review of Monitoring Against Merger Business Case 




Review of Procurement Cards 




Total 2008/2009 

50 
15 
65 
 
Total 2007/2008 

14 
61 
42 
117 
Cumulative to date 
48 
235 
114 
397 
 
The analysis of recommendations for 2008/2009 compares favourably with previous years.  
2008/2009 is the first year that no grade 1 recommendations have been issued and the total 
number of recommendations issued is lower than in previous years.   
 
The status of all recommendations issued during the year will be followed-up during 2009 / 
2010.  
 
 
5.3 Follow-On Reviews: 
7 follow-on reviews were completed during the year.  The purpose of a follow-on review is to 
determine whether appropriate action has been taken to implement the recommendations 
agreed following a full review, in accordance with the agreed timetable. 
 
The results of the 7 follow-on reviews completed during the year are summarised in the tables 
below. 
 
Review 
Original Grading 
Follow-On Grading 
Software Inventory Management 
Unsatisfactory 
Unsatisfactory 
Cash Handling 
Marginal 
Satisfactory 
General Procurement 
Unsatisfactory 
Satisfactory 
Additional Payroll Payments 
Marginal 
Marginal 
Reimbursement of Expenses 
Marginal 
Marginal 
Control of Policies & Procedures 
Unsatisfactory 
Satisfactory 
Banner Management Information 
Marginal 
Not Applicable 
 
The results of the follow-on reviews were mixed.  Three of the follow-on reviews 
demonstrated clear improvement from the time of the original audits.  Good progress had 
been made to strengthen the internal controls and to address the control concerns raised in the 
original audit reports.   
 
The overall assessment for two reviews – Additional Payroll Payments and Reimbursement of 
Expenses – remained marginal.  This was the second follow-on review for Additional Payroll 
Payments.  Significant progress has been made to address many of the control concerns raised 
in the original audit review.  Although the overall assessment remains marginal, compliance 
testing results showed considerable improvement in the level of compliance, however certain 
issues persist.   
 
 
6  
 

 
The results of the Reimbursement of Expenses Follow-On Review were disappointing.  Little 
progress has been made to address the concerns identified during the original review.  The 
control concerns have been re-iterated and revised target dates agreed.   
 
We did not feel it was appropriate to attach an overall grading to the Banner Management 
Information Follow-On Review.   There have been a number of key developments since the 
time of the original review and it was reasonable to put the implementation of the majority of 
the recommendations on hold.  The outstanding issues will be followed-up as part of the 
2009/2010 audit plan.    
 
The detailed results of the seven follow-on reviews completed during the year are summarised 
in the table below: 
 
Recommendation Status: 
Review 

Implemented 
Partially 
Not 
Not 
Total 
or In Progress  Implemented  Implemented  Applicable 
 
Software Inv. Mgmt 




13 
Cash Handling 
19 



26 
General Procurement 
20 



34 
Add Payroll Payments 
17 



31 
Expenses 

10 


20 
Policies & Procedures 
10 



11 
Banner Mgmt Info 





Total 
76 
32 
21 
12 
141 
Percentage 
54% 
23% 
15% 
8% 
100% 
 
Recommendations are only reported as ‘in progress’ where the target date has not yet passed.  
In cases where work is ongoing and the target date has passed, the recommendation status is 
reported as ‘partially implemented’.  As part of each follow-on review, revised target dates 
are agreed and recorded for all recommendations reported as ‘partially implemented’ or ‘not 
implemented’. 
 
12 recommendations have been reported as ‘not applicable’.  This category is used where 
changes have been made to the process since the time of the original review which mean the 
original recommendation is no longer applicable.  In all cases, the IAS ensure that the process 
changes address the control concern raised before agreeing that the recommendation can be 
reported as ‘not applicable’.   
 
A third follow-on review for Additional Payroll Payments and a second follow-on review for 
Reimbursement of Expenses will be scheduled as part of the 2009/2010 Annual Internal Audit 
Plan.  Time will also be allocated to follow-up on the issues raised in the Banner Management 
Information review.    
 
 
Follow-Up of Previous Audit Recommendations 
In addition to completing the follow-on reviews listed above, during the year the audit team 
also undertook an exercise to track progress on all recommendations issued.  Extracts from 
our audit tracking database were issued to all recommendation owners with a request to 
provide a status update.  This exercise is completed every six months.  The latest follow-up 
exercise is still in progress.  The summary position at the end of the last update exercise was 
as follows: 
 
 
 
7  
 

 
 
Recommendation Status 
In Progress 
 
 
2.2% 
Implemented 
 
 
80.3% 
Partially Implemented   
10.2% 
Not Implemented 
 
1.1% 
Not Applicable   
 
6.2% 
Total 
 
 
 
100% 
 
The summary position above details the status at 28th  February 2009.  The update exercise 
covered all recommendations issued during 2004/2005, 2005/2006, 2006/2007 and 
2007/2008.  However, the exercise did not cover recommendations issued in the following 
reviews: 

Additional Payroll Payments 

Reimbursement of Expenses 

Control of Policies & Procedures 

Banner Management Information 
 
At the time the follow-up exercise was being undertaken, follow-on reviews for these four 
processes were due to commence shortly.  Therefore, it was considered more appropriate to 
determine the status of the recommendations from these four reviews during the follow-on 
reviews, rather than including them in the update exercise.   
 
The results of the follow-up exercise were generally satisfactory.  Over 80% of the 
recommendations during the 4 year period had either been fully implemented or were in 
progress.  A further 10% of recommendations had been partially implemented.   
 
A full analysis of the results of the follow-up exercise were provided to the Audit Committee.  
Recommendations that have not been implemented have been discussed and revised target 
implementation dates have been agreed with recommendation owners.   
 
 
 
6. COMMON WEAKNESSES 
 
In previous years, an analysis of common weaknesses identified through the audit process has 
been included in this annual report.  No common weaknesses were identified during the 
period under review. 
 
 
 
7. COMPARISON WITH 2008 / 2009 ANNUAL INTERNAL AUDIT PLAN 
 
The 2008/2009 Annual Internal Audit Plan was partially achieved with 17 of the 23 planned 
activities either completed during the year or in progress at the year end (and due to be 
finalised shortly).  The achievements of the IAS in comparison with the plan are detailed in 
Appendix C and a summary is provided below. 
 
Actual resources were significantly reduced in comparison with the original plan. 
 
REDACTED S38(1)(b)  Given that the time of the IAS is scheduled so tightly, the absence of 
any member of the team has a dramatic impact on the ability to complete the annual plan.   
 
 
 
8  
 

 
Full Reviews: 
The 2008/2009  Plan included 12  full reviews. 5  of these were completed during the year.  
Work on a further 2 reviews was in progress at the year end and will be finalised shortly.  4 
reviews were postponed due to the absence of  REDACTED 38(1)(b)  and also to enable the 
scale of the compliance testing for additional payroll payments to be increased.  In addition to 
the planned full audit reviews, 3 ad-hoc reviews were completed during the year. 
 
Follow-On Reviews: 
6  of the 7  planned follow-on reviews were completed during the year. 1 review was in 
progress at the year end.     
 
Compliance Testing: 
The 2008/2009 plan included monthly compliance testing for two areas – Additional Payroll 
Payments and Employment Status.  The results of the initial testing of Additional Payroll 
Payments highlighted a number of concerns and, at the request of the Vice-Principal 
(Operations), a large scale compliance test was completed over a three-month  period.  
Consequently, there was no additional time  to complete the planned compliance testing on 
employment status. 
 
Project Issues: 
Time was allocated in the 2008/2009  plan to undertake work on 2  projects  –  Business 
Continuity Planning and the Data Infrastructure Consolidation Project.  Both activities were 
completed during the year.   
 
Fraud Awareness Programme: 
Time was included in the 2008/2009 plan for a ‘controls awareness programme’ to emphasise 
the need for robust internal controls and to raise awareness of basic key controls across the 
University.  Work on this programme has commenced and it is hoped to commence training 
sessions shortly.  Due to the absence of the REDACTED S38(1)(b), it has not been possible 
to progress this work as much as was originally planned.   
 
 
Looking at the activities of the IAS as a whole, I think the comparison with the 2008/2009 
plan shows a good outcome, given the considerably reduced resources available, the 
additional ad-hoc reviews completed and the significant additional time spent undertaking  
larger scale compliance testing on the additional payroll payments process.   
 
 
 
8. PERFORMANCE MEASUREMENTS  
 
The Audit Committee approved the introduction of five performance measurements during 
2005/2006  to monitor the efficiency and effectiveness of the IAS on an ongoing basis.  
Results for 2008/2009 are as follows: 
 
1.  Feedback Questionnaire 
2.  Progress Against Agreed Annual Plan 
3.  Issue of Draft Reports 
4.  Issue of Final Reports 
5.  Recommendations Agreed By Management 
 
Results for 2007 / 2008 are detailed below. 
 
 
 
 
9  
 

 
1. Feedback Questionnaire 
A feedback questionnaire is issued following audit assignments to give management an 
opportunity to comment on the audit process.  At the time of this report, 13  questionnaires 
had been returned during the year.  Results are summarised in Appendix  D.  All 13 
respondents agreed with the statement ‘Overall, the audit added value to my organisation / 
process
’.   
 
8  ‘neutral’ responses were received  to individual questions within the questionnaire.  In all 
but 1 case, the respondent has reported that their response was ‘not applicable’ however as we 
did not have a ‘not applicable’ option on the form, a ‘neutral’ response was provided instead.  
The feedback questionnaire will be amended to include a ‘not applicable’ option.  The one 
remaining case relates to the Review of Project Risk Management (Ayr Campus Project).  
The Director of Estates provided a neutral response to the following question ‘The draft audit 
report was adequately discussed and any problems resolved before the final report was 
formally issued’.  In this case, the draft report was issued when the Director was on annual 
leave (which the audit team were not aware of).  
 
2. Progress Against Agreed Annual Plan 
Progress against the agreed annual plan has been reported at each Audit Committee meeting 
throughout the year. 
 
3. Issue of Draft Reports 
83% of draft report were issued within 10 days of the date of the audit closure meeting.  Two 
reports exceeded this target.  In one case (Review of Ring-Fenced Balances) the closure 
meeting was brought forward to ensure it was held prior to the departure of a key member of 
staff.  Further work was then required to complete the working papers file prior to preparing 
and issuing the draft report.  The other case (Review of ICT Fault Resolution) was delayed 
awaiting file review by the Head of IAS who was working on other priorities at that time. 
 
4. Issue of Final Reports 
83% of final reports were issued within 10 days of final management comments being 
received.  In one case (Review of Monitoring Against the Merger Business Case) the final 
report was held until a second closure meeting was held with the Depute Principal.  There was 
a delay in obtaining a suitable time slot in her diary.  In the second case (Review of 
Procurement Cards), there was a delay in receiving final confirmation from the Director of 
Finance.     
 
5. Recommendations Agreed By Management 
98% of recommendations were agreed by management.  66 recommendations were included 
in the draft audit reports issued during the year.  65 of these were included in the final reports.  
1 recommendation was dropped –  in the Review of Ring-Fenced Balances.  The Depute 
Director of Finance was able to provide additional information and demonstrate by reference 
to supporting information that the recommendation was not required. 
 
 
In addition to the five performance measurements reported above which focus on the 
effectiveness and efficiency of the IAS, we also measure timeliness of management response 
to draft audit reports. 
 
6. Timeliness of Management Response to Draft Reports 
When a draft report is issued, managers are requested to submit their response to the 
recommendations and any other comments within 10 working days.  Of the draft reports 
issued during 2007 / 2008, 58% of comments were received within 10 working days.  The 
requested deadline was missed for 5 reviews.  In all 5 cases, responses were received 
 
10  
 

 
relatively quickly (typically within 2 weeks) of the target date.  There were no significant 
delays.   
 
 
  
9. QUALITY ASSURANCE 
 
During 2007/2008 HEFCE in  collaboration with CHEIA (Council for Higher Education 
Internal Auditors) launched a self-assessment toolkit aimed at enhancing and developing 
internal audit practices across the higher education sector.  The tool is a spreadsheet based 
assessment comprising 60 questions, against which the assessor rates the audit service on a 
four point scale as either Best Practice, Good Practice, Partially Compliant or Potentially 
Non-Compliant.  Responses to these questions are then weighted across the six assessment 
categories resulting in a web diagram which illustrates the department’s operating position 
across the six criteria: due professional care, strategy, methodology, people, independence 
and quality assurance.   
 
The Head of IAS was invited to participate in a  peer review process utilising the HEFCE 
toolkit.  The peer review involved 5 institutions; UWS, University of Edinburgh, University 
of Strathclyde, Newcastle University and Durham University, all of which have an in-house 
internal audit service.  The process involved completion of the electronic toolkit individually 
by each Head of IAS.  Supporting evidence was required to be submitted to support each 
assessment.  A review session was held at the University of Edinburgh, attended by all five 
Heads of IAS to discuss each assessment and review the supporting evidence.  The outcome 
from the process is peer validation of the assessment categories generated via the toolkit.   
 
The peer-validated results of the 2008/2009 assessment for the UWS IAS are as follows: 
 
Due professional care   
79% 
Strategy 
 
 
75% 
Methodology 
 
 
72% 
People   
 
 
83% 
Independence   
 
85% 
Quality Assurance  
 
73% 
 
Overall Assessment 
 
78% 
 
 
The results are also depicted in the web diagram below: 
due professional care
100%
80%
60%
quality assurance
strategy
40%
20%
0%
independence
methodology
people
 
 
11  
 

 
The toolkit is designed to confirm that the IAS meets the professional standards set by the 
Institute of Internal Auditors.  Results falling within the ‘good practice’ section (i.e. area 
shaded yellow) confirm compliance with IIA professional standards.  The UWS IAS meets 
the required professional standards for all 6 categories assessed.   
 
Whilst the audited results show that the IAS at UWS performs well, a detailed action plan has 
been prepared and throughout 2009/2010, steps will be taken and minor process amendments 
made to increase our scoring further in future years.   
 
A full report on the results of this quality assurance exercise has been provided to the Audit 
Committee.   
 
 
 
10. STAFFING ISSUES 
 
The IAS has a staff complement of 2.63 FTE and 4 members of staff, all working on a part-
time basis.  There are 3 permanent posts – Head of IAS, Senior Internal Auditor and Assistant 
Internal Auditor which total 2.13 FTE and 1 temporary post – Senior Internal Auditor making 
up the remaining 0.5 FTE.  The temporary post is a 2 year post funded from merger funds to 
assist with the increased workload of the service during the 2 year period following merger. 
 
Each member of the department has a documented personal development plan and training 
and development activity is monitored throughout the year.  During 2008/2009, all members 
of staff attended a number of training events run by CHEIA (the Council for Higher 
Education Internal Auditors), the Institute of Internal Auditors, in addition to in-house events.   
The Head of IAS is a CA and is required to comply with  the continuing professional 
development requirements of the Institute of Chartered Accountants of Scotland.   
 
REDACTED S38(1)(b) 
 
 
 
11. 2009/2010 ANNUAL INTERNAL AUDIT PLAN 
 
A summary of the draft 2009 / 2010 Annual Internal Audit Plan is set out below. 
 
Full Audit Reviews: 
 
Review 
Category 

Corporate Governance 
Corporate Governance etc 

Risk Management 
Corporate Governance etc 

Development of Banner System 
Corporate Governance etc 

External Returns to SFC 
Compliance 

Environmental Management 
Compliance 

Budget Preparation 
Financial 

Tuition Fees  
Financial 

Childcare Funds 
Financial / Support 

Attendance Monitoring of Students 
Academic 
10  Space Management 
Support 
11  PgR Student Recruitment & Administration 
Support 
12  Staff Training & Development 
Support 
13  ICT Strategy & Plans 
ICT 
14  Relationship with Students Association 
Ad-Hoc / Other 
Follow-On Audit Reviews: 
 
12  
 

 
 
Review 
Category 

Software Inventory Management & Licence Control 
ICT 

Reimbursement of Expenses 
Financial 

Additional Payroll Payments 
Financial 

Partnerships with FE Colleges 
Academic / Support 

ICT Fault Resolution 
ICT 

Health & Safety 
Compliance 

Procurement Cards 
Financial 
 
 
 
The overall objective of the plan is to effectively and efficiently deploy internal audit 
resources to meet the responsibilities of the service.  The preparation of the plan involved an 
update of the Audit Universe, a comprehensive risk assessment of each process in the audit 
universe and discussions with 25 senior members of staff. 
 
The detailed plan has been submitted to the Audit Committee for approval. 
 
 
13  
 


 
 
 
 
INTERNAL AUDIT SERVICE 
 
 
 
 
 
  
 
 
Annual Internal Audit Report 
2008/2009 
 
Appendices 

 
August 2009 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
CONFIDENTIAL 
The distribution of this report is restricted. 
Please do not copy or circulate without the prior permission of the Head of Internal Audit. 
 
14  
 

 
CONTENTS 
 
 
Appendix A………………  Audit Reports – Executive Summaries 
 
Appendix B ……………...  Additional Audit Activities 
 
Appendix C ……………...  Comparison of Performance Against Plan 
 
Appendix D ……………...  Feedback Questionnaire Results 
 
 
 
15  
 

 
APPENDIX A: 
AUDIT REPORTS – EXECUTIVE SUMMARIES 
 
 
 
Reference: 
IAS / 2008 / 110 
Title:   
Review of Project Risk Management (Ayr Campus) 
 
Overall Assessment: 
SUPERIOR 
 
Audit Objectives and Scope: 
The purpose of the review was to gain assurance that a consistent approach to risk 
management is fully embedded in the project management process. 
 
Main Findings: 
No control concerns were identified during this review.  A good structured approach is being 
taken to identify, evaluate and manage the risks facing this project. 
 
Summary of Recommendations: 
 
Grade 1 

 
 
 
 
 
 
Grade 2 

 
 
 
 
 
 
Grade 3 

 
 
 
 
 
 
Total 
 

 
 
 
 
Reference: 
IAS / 2008 / 111 
Title:   
Review of Ring-Fenced Balances 
 
Overall Assessment: 
SATISFACTORY 
 
 
Audit Objectives and Scope: 
The purpose of the review was to identify and appraise the adequacy, reliability and 
effectiveness of the internal control system surrounding the management of ring-fenced 
income and expenditure and the recording of related transactions in the financial ledger. 
 
Main Findings: 
This review identified that a significant amount of work has been done by the Project Team 
within Finance to investigate the existing ‘R’ code balances, and to determine the appropriate 
accounting treatment of balances for projects which have now closed.  Controls over ‘R’ 
codes have noticeably improved since the time when Ernst & Young raised their management 
letter point. 
 
Summary of Recommendations: 
 
Grade 1 

 
 
 
 
 
 
Grade 2 
11 
 
 
 
 
 
 
Grade 3 

 
 
 
 
 
 
Total 
 
13 
 
 
 
16  
 

 
 
 
Reference: 
IAS / 2009 / 101 
Title:   
Infrastructure Consolidation Project – Health Check 
 
Overall Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this audit was to perform an overall review of the management and 
coordination of this project, to ensure that the project is being approached in a structured and 
controlled manner, thereby maximising the likelihood of achieving the project objectives 
within the planned timeframe.  In addition we also aimed to identify lessons learned for future 
projects. 
 
Main Findings: 
On the whole, the project appears to be well managed and controlled.  A clear structured 
approach is being taken and a comprehensive project plan is being closely monitored.  
Supporting documentation was generally of a high standard and good practice was observed 
with regard to the filing of project documentation.   
 
Summary of Recommendations: 

 
Grade 1 

 
 
 
 
 
 
Grade 2 

 
 
 
 
 
 
Grade 3 

 
 
 
 
 
 
Total 
 
5  
 
 
 
 
Reference: 
IAS / 2009 / 102 
Title:   
Review of Payroll 
 
Overall Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The objective of this review was to identify and appraise the adequacy, reliability and 
effectiveness of the internal controls surrounding the payroll process. 

 
Main Findings: 
On the whole, the payroll process appears to be well managed and controlled.  There were 
however a number of issues identified during  the review which warranted management 
attention.  Testing on overtime payments led to a more in-depth investigation details of which 
are reported under IAS/2009/107.  
 
 
Summary of Recommendations: 

 
Grade 1 

 
 
 
 
 
 
Grade 2 

 
 
 
 
 
 
Grade 3 

 
 
 
 
 
 
Total 
 
14 
 
 
 
17  
 

 
 
 
Reference: 
 
IAS / 2009 / 103 
Title:   
 
Review of Partnerships with FE Colleges 
 
Overall Assessment: 
MARGINAL 
 
Audit Objectives and Scope:
 
The purpose of the review was gain assurance that a systematic and consistent approach is 
being taken to working in partnership with FE Colleges. 
 
Main Findings: 
The review identified that the process for building and maintaining links with FE colleges, 
identifying and progressing new opportunities had often been ad hoc.  A number of issues 
were identified some of which had already been identified by management, and the planned 
approach to addressing them will be covered in the document – ‘A framework for Partnership 
Working with FE Colleges’ which, at the time of the review, was being drafted by the 
Director of Corporate Marketing. 
 
Summary of Recommendations: 
 
Grade 1 

 
 
 
 
 
 
Grade 2 

 
 
 
 
 
 
Grade 3 

 
 
 
 
 
 
Total 
 

 
 
 
 
Reference: 
 
IAS / 2009 / 104 
Title:   
 
Review of Value for Money Strategy & Activities 
 
Overall Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the review was to identify the arrangements in place for securing VFM, and to 
review the process for reporting on these arrangements to the Audit Committee and 
University Court.    
 
Main Findings: 
This review highlighted that, whilst no overall VFM strategy has been documented, there is a 
considerable amount of VFM activity ongoing – both one-off exercises that have been 
designed with VFM in mind, and existing managing practices that could be considered to 
impact on VFM / performance improvement.. 
 
Summary of Recommendations: 
 
Grade 1 

 
 
 
 
 
 
Grade 2 

 
 
 
 
 
 
Grade 3 

 
 
 
 
 
 
Total 
 

 
 
18  
 

 
 
Reference: 
 
IAS / 2009 / 105 
Title:   
 
Review of ICT Fault Resolution Process 
 
Overall Assessment: 
MARGINAL 
 
Audit Objectives and Scope: 
The purpose of the review was to identify and appraise the adequacy, effectiveness and 
efficiency of the ICT fault resolution process.  The scope of the review was not limited to the 
ICT Customer Service Team.  Rather the scope covered the end to end fault resolution 
process, from the point of customer first contact through to fault resolution.  
 
Main Findings: 
On the whole, an efficient and controlled process appears to be in place to record, prioritise 
and track incidents raised with the ICT Customer Service Desk.  The majority of incidents are 
being resolved within service level target timeframes.  However a number of issues were 
identified which warranted management attention. 
 
Summary of Recommendations: 
 
Grade 1 

 
 
 
 
 
 
Grade 2 

 
 
 
 
 
 
Grade 3 

 
 
 
 
 
 
Total 
 

 
 
 
 
Reference: 
 
IAS / 2009 / 106 
Title:   
 
Review of Written Communication with Students 
 
Overall Assessment: 
SATISFACTORY  
 
Audit Objectives and Scope: 
The purpose of this review was to ensure that all written communications issued to students 
are clear, effective and ‘student friendly’.  Only standard communications issued to students 
prior to enrolment were reviewed. 
 
Main Findings: 
On the whole, written documents sent to students prior to enrolment were clear, effective and 
student-friendly.  However a number of areas for improvement were identified. 
 
Summary of Recommendations: 
 
Grade 1 

 
 
 
 
 
 
Grade 2 

 
 
 
 
 
 
Grade 3 

 
 
 
 
 
 
Total 
 

 
 
19  
 

 
 
Reference: 
 
IAS / 2009 / 107 
Title:   
 
Review of Overtime  
 
Overall Assessment: 
NOT APPLICABLE 
 
Audit Objectives and Scope: 
The purpose of the review was to conduct a more detailed examination of overtime following 
some concerns raised during testing in the Review of Payroll IAS/2009/102. 
 
Main Findings: 
All payments sampled were supported by adequate documentation, accurately calculated and 
appropriately approved.  Some concerns over hours worked by some individuals were 
ultimately resolved.    
 
Summary of Recommendations: 
 
Grade 1 

 
 
 
 
 
 
Grade 2 

 
 
 
 
 
 
Grade 3 

 
 
 
 
 
 
Total 
 
N/A 
 
 
 
 
Reference: 
 
IAS / 2009 / 109 
Title:   
 
Review of Monitoring Against Merger Business Case 
 
Overall Assessment: 
 
SUPERIOR 
 
Audit Objectives and Scope: 
The purpose of this review was to provide assurance that a robust monitoring process is on 
place to monitor performance against the merger business case.   
 
Main Findings: 
No control concerns were identified during this review.  A robust process appears to be in 
place to monitor the achievement of both expected academic benefits and the non-academic 
developments detailed in the merger business case.  Similarly, a robust process appears to be 
in place to monitor the financial implications of the merger. 
 
 
Summary of Recommendations: 
 
Grade 1 

 
 
 
 
 
 
Grade 2 

 
 
 
 
 
 
Grade 3 

 
 
 
 
 
 
Total 
 

 
 
 
 
 
 
 
 
 
 
 
 

 
20  
 

 
 
Reference:
 
 
IAS / 2009 / 110 
Title:   
 
Review of Procurement Cards 
 
Overall Assessment: 
MARGINAL 
  
Audit Objectives and Scope: 
Five recommendations from the original audit of General Procurement related to Procurement 
Cards.   Testing carried out as part of the follow-on review of General Procurement 
highlighted a number of issues relating to these recommendations.  This review was 
performed to test these recommendations in isolation. 
 
Main Findings: 
Whilst the concerns raised in the original audit have been addresses to an extent sample 
testing identified a number of additional control concerns and highlighted that the process is 
not currently operating as intended.   
 
 
Summary of Recommendations: 

 
Grade 1 

 
 
 
 
 
 
Grade 2 

 
 
 
 
 
 
Grade 3 

 
 
 
 
 
 
Total 
 

 
 
 
 
 
 
Reference:
 
 
IAS / 2008 / 205 
Title: 
Software Inventory Management & Licence Control Follow-On 
Review 
 
Original Assessment: 
UNSATISFACTORY 
Follow-On Assessment: 
UNSATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the actions  agreed 
following the Review of Software Inventory Management & Licence Control. 
 
Main Findings: 
Since the time of the original review, and the first follow-on review some limited progress has 
been made.  The competing demands on the resources of ICT particularly since merger have 
been cited as the reason for the general lack of progress in some of the recommendations from 
the original review.  A software package has been identified and purchased and this should 
progress a number of the recommendations which remain not implemented at the time of this 
follow-on review. 
 
 
 
 
 
 
 
 
 
 
21  
 

 
Reference: 
 
IAS / 2009 / 201 
Title: 
Cash Handling Follow-On Review 
 
Original Assessment: 
MARGINAL 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the actions agreed 
following the Review of Cash Handling.  
 
Main Findings: 
The Finance Department responded quickly to the recommendations made in the original 
review and many of the recommendations were implemented by the time the audit report was 
finalised.  The follow-on review confirmed that the additional controls introduced to the 
Finance Department process remain in place, and that, on the whole, the recommendations 
owned by the departments have also been implemented. 
 
 
 
 
Reference:
 
 
IAS / 2009 / 202 
Title: 
General Procurement Follow-On Review 
 
Original Assessment: 
UNSATISFACTORY 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the actions agreed 
following the Review of General Procurement.  
 
Main Findings: 
Since the time of the original audit review there has been considerable change in the public 
procurement landscape in Scotland some of which has impacted on the recommendations 
made in the original review.  An almost entirely new team within procurement at UWS has 
made good progress to strengthen the internal controls within the procurement process 
including the publication of a Procurement Policy and a documented purchasing manual.  
 
 
 
 
Reference: 
 
IAS / 2009 / 203 
Title: 
Additional Payroll Payments Follow-On Review 
 
Original Assessment: 
MARGINAL 
Follow-On Assessment: 
MARGINAL 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the actions agreed 
following the Review of Additional Payroll Payments.  
 
Main Findings: 
Whilst significant progress has been made to address many of the control concerns raised in 
the original Review, a number of recommendations remain outstanding.  The results of the 
most recent compliance testing show considerable improvement in the level of compliance 
however some issues persist.
 
22  
 

 
Reference: 
 
IAS / 2009 / 204 
Title: 
Reimbursement of Expenses Follow-On Review 
 
Original Assessment: 
MARGINAL 
Follow-On Assessment: 
MARGINAL 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the actions agreed 
following the Review of Reimbursement of Expenses.  
 
Main Findings: 
Since the time of the original review, little progress has been made to address the concerns 
identified during the original review of Reimbursement of Expenses.  In addition, 
responsibility for scrutinising expense claims passed to the payroll team in September 2008.  
There is a general concern that staff responsible for reviewing claims are not familiar with 
common problem areas and have no knowledge of the specific areas of concern raised in the 
original audit report.  
 
 
 
Reference:
 
 
IAS / 2009 / 205 
Title: 
Control of Policies and Procedures Follow-On Review 
 
Original Assessment: 
UNSATISFACTORY 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the actions agreed 
following the Review of Control of Policies and Procedures.  
 
Main Findings: 
Since the time of the original review, a number of improvements have been made and the 
process for controlling policies and procedures has been strengthened.  A policy has been 
documented and approved and a Policies Co-ordinator role has been created. 
 
 
 
 
Reference: 
 
IAS / 2009 / 206 
Title: 
Banner Management Information Follow-On Review 
 
Original Assessment: 
MARGINAL 
Follow-On Assessment: 
NOT APPLICABLE 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the  status of the actions agreed 
following the Review of Banner Management Information.  
 
Main Findings: 
There have been a number of key developments since the time of the original review.  Of 
these the appointment of an external consultant – Oakleigh – to perform a ‘fit for purpose’ 
review has had most impact on this follow–on review.  The concerns raised in the original 
review have been mirrored in the Oakleigh Review.  It has therefore been proposed to 
schedule time in the 2009 / 2010 Audit Plan to follow up on the issues raised by Oakleigh as 
an alternative to following up the original outstanding audit recommendations. 
 
23  
 

 
 
Appendix B 
EXAMPLES OF ADDITIONAL ACTIVITIES 
 
 
 
Activity: 
Review of ICT Project Template 
Requested By: 
Assistant Director ICT Services (Business Development) 
Summary: 
The Business Development Manager within ICT Services has prepared a 
standard template for a Project Initiation Document, based on PRINCE 2 
methodology.  The intention is to use this standard template for all ICT 
projects. Internal Audit were asked to comment on the draft template.  
This involved review of the template, comparison with Project Health-
check checklist (developed by IAS) and a meeting with the Assistant 
Director (Business Development and the Business Development Manager 
to discuss comments. A number of amendments / improvements have been 
made to the template as a result. 
 
 
Activity: 
Review of Proposed Amendments to Procurement Policy 
Requested By: 
Procurement Manager 
Summary: 
Following the recommendations made in the McClelland Report on Public 
Procurement in Scotland, the Scottish Procurement Policy Handbook was 
published in December 2008.  The basic principals within this new 
Handbook are broadly in line with the UWS Procurement Policy however 
a number of minor changes required to be made to the UWS Procurement 
Policy as a result.  The Procurement Manager asked Internal Audit to 
review the revised policy at the draft stage, and comment on the changes 
made.   
 
 
Activity: 
Business Continuity Planning 
Requested By: 
Vice-Principal (Operations) 
Summary: 
The Senior Internal Auditor has continued to provide support and advice 
re the Business Continuity Planning process.  Recently, this has involved 
attendance at meetings to consider recommendations made by the BCP 
Consultant following his visit in the autumn, and provision of guidance to 
departments required to document action plans following the consultants 
visit.   
The Senior Internal Auditor has been working with the Vice-Principal 
(Operations) and the BCP Working Group for approximately 2 years.  
Now that all of the actions from the original audit review are complete and 
a University-wide Business Continuity Plan is in place, the Senior Internal 
Auditor will be taking a step back from this process.   
 
 
 
24  
 

 
Activity: 
Input to ICT Product Specification 
Requested By: 
ICT Business Development Manager 
Summary: 
A member of the ICT Business Development Team is preparing a product 
specification document with a view to purchasing an ICT asset 
management software package.  The intention is that this new package will 
provide asset management for both hardware and software.  The ICT 
Business Development Team requested to meet, to discuss the issues 
raised in the Review of Software Inventory Management, to ensure that 
any issues / concerns raised by Internal Audit were covered in the product 
specification for the new software.   
 
 
Activity: 
Privacy Impact Assessments for Projects – consideration of guidance 
Requested By: 
FOI & Records Management Manager 
Summary: 
The Information Commissioners Office recently issued guidance regarding 
conducting ‘Privacy Impact Assessments’ for projects involving personal 
data.  The FOI & Records Management Manager contacted Internal Audit 
and asked if we could consider who she needed to discuss this guidance 
with within UWS.  The Senior Internal Auditor read through the guidance 
handbook and advised the FOI & Records Management Manager on who 
to approach within UWS. 
 
 
Activity: 
ICT Acceptable Use Policy 
Requested By: 
Director of ICT Services 
Summary: 
The Director of ICT Services is revising the existing ICT Acceptable Use 
Policy to reflect changes proposed by the Information Commissioner. The 
Senior Internal Auditor and the Freedom of Information Manager met 
with the Director of ICT Services to discuss the existing content of the 
document and required changes.     
 
 
Activity: 
Data Infrastructure Consolidation Project 
Requested By: 
Director of ICT Services 
Summary: 
The IAS completed a Project Health Check for the Data Infrastructure 
Consolidation Project in the autumn of 2008.  At the request of the 
Director of ICT Services, the Senior Internal Auditor has continued to 
provide support to this project since the health check was completed, 
through attendance at Project Board meetings and ad-hoc discussions with 
the project manager / project team.   
 
 
 
 
25  
 

 
Activity: 
Review of Draft Court Risk Register 
Requested By: 
Assistant Secretary to Court 
Summary: 
A risk register was created for Court.  The Assistant Secretary to Court 
asked if IAS could review the draft version and comment on any obvious 
omissions.   
 
 
 
26  
 

 
Appendix C 
COMPARISON OF PERFORMANCE AGAINST PLAN 
 
Full Audit Reviews 

Review 
Original 
Revised 
Status 
Comment 
Plan 
Plan 
Review of Monitoring Against Merger Business Case 


Complete 
 
Review of Value for Money Strategy & Activities 


Complete 
 
Review of Health & Safety 


In Progress 
 
Review of Payroll 


Complete 
 
Review of Tuition Fees 


In Progress 
 
Review of Partnerships with FE Colleges 


Complete 
 
Review of External Returns (SFC, HESA etc) 


Postponed 
Postponed due to reduced resources & alternative review 
Review of Recruitment of Overseas Students 


Postponed 
Postponed due to reduced resources & other priorities 
Review of Enrolment (Part-Time Students) 


Postponed 
Postponed due to reduced resources & alternative review 
Review of ICT Asset Control 


Postponed 
Postponed due to reduced resources & other priorities 
Review of ICT Fault Resolution Process 


Complete 
 
Review of ICT Roles & Responsibilities 


Outstanding  Not completed due to other priorities & overrunning of other 
reviews 
Review of Written Communication with Students 


Complete 
Ad-Hoc review undertaken at request of Depute Principal 
Review of Overtime 


Complete 
Ad-Hoc - to investigate issues identified during payroll audit 
Review of Procurement Cards 


Complete 
Ad-Hoc - to investigate issues identified during procurement 
follow-on review  
 
27  
 

 
 
Follow-On Reviews 
Review 
Original 
Revised 
Status 
Comment 
Plan 
Plan 
Control of Policies & Procedures Follow-On Review 


Complete 
 
Reimbursement of Expenses Follow-On Review 


Complete 
 
Cash Handling Follow-On Review 


Complete 
 
Additional Payroll Payments Follow-On Review 


Complete 
 
General Procurement Follow-On Review 


Complete 
 
Banner Management Information Follow-On Review 


Complete 
 
Software Inventory Management & Licence Control 


In Progress   
 
Project Issues 

Original 
Revised 
Status 
Comment 
Project 
Plan 
Plan 
Business Continuity Planning 


Complete 
 
Infrastructure Consolidation Project  


Complete 
 
 
Compliance Testing 

Original 
Revised 
Status 
Comment 
Process 
Plan 
Plan 
Additional Payroll Payments 


Complete 
Larger scale compliance test completed than planned 
Employment Status 


Postponed 
Not completed due to larger scale testing of payroll  
 
 

 
28  
 

  
APPENDIX D   
FEEDBACK QUESTIONNAIRE RESULTS 
 
 
 
 
Agree 
Neutral 
Disagree 
1. The audit objectives, purpose and scope were clearly 
11 

 
communicated to me before the audit commenced. 
2. The audit team maintained an adequate level of 
13 
 
 
communication throughout the audit. 
3. The personal conduct of the audit team was 
13 
 
 
professional and courteous. 
4. The disruption of daily activities was minimised as 
12 

 
much as possible during the audit. 
5. The draft audit report was delivered in a timely 
13 
 
 
manner. 
6. Audit results were accurately reported and 
13 
 
 
appropriate perspective was provided. 
7. The draft audit report was clearly written and 
13 
 
 
logically organised. 
8. Audit recommendations were constructive and 


 
actionable. 
9. The draft audit report was adequately discussed and 
12 

 
any problems resolved before the final report was 
formally issued. 
10. The final audit report was delivered in a timely 
13 
 
 
manner. 
11. Internal audit demonstrated independence and 
13 
 
 
objectivity in performing the audit. 
12. Overall, the audit ‘added value’ to my organisation 
13 
 
 
/ process. 
 
 



  
 
 
INTERNAL AUDIT SERVICE 
 
 
 
 
 
  
 
 
Annual Internal Audit Report 
2009 / 2010  
 
August 2010   

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
CONFIDENTIAL 
The distribution of this report is restricted. 
Please do not copy or circulate without the prior permission of the Head of Internal Audit. 
 
 

  
 
 
TABLE OF CONTENTS 
 
 
1. INTRODUCTION…………………………………………………………. 

 
2. INTERNAL AUDIT SERVICE TERMS OF REFERENCE……………… 

 
3. STATEMENT OF ASSURANCE / OPINION……………………………. 

 
4. SUMMARY OF IAS ACTIVITY 
 
    4.1 AUDIT REVIEWS…………………………………………………….. 

    4.2 COMPLIANCE TESTING……………………………………………. 

    4.3 PROJECT ISSUES…………………………………………………….. 

    4.4 AD-HOC CONSULTANCY / ADVICE………………………………. 

    4.5 FRAUD AWARENESS PROGRAMME……………………………… 

 
 
5. SUMMARY OF AUDIT RESULTS  
 
    5.1 FULL REVIEWS / AD-HOC REVIEWS……………………………... 

    5.2 RECOMMENDATIONS………………………………………………. 

    5.3 FOLLOW-ON REVIEWS …………………………………………….. 

 
6. COMMON WEAKNESSES……………………………………………….. 

 
7. COMPARISON WITH 2009/2010 ANNUAL INTERNAL AUDIT PLAN 

 
8. PERFORMANCE MEASURES…………………………………………… 

 
 
9. STAFFING ISSUES……………………………………………………… 
10 
 
10. SUMMARY OF 2010/2011 ANNUAL INTERNAL AUDIT PLAN……. 
10 
 
 
 

  
1. INTRODUCTION 
 
This annual report has been prepared by the Head of Internal Audit Service (IAS) and is 
intended to meet two objectives:   
 
2.  To provide the University Court and Principal, through the Audit Committee, with a 
formal opinion on the adequacy and effectiveness of the University’s arrangements for: 
• Risk management, control and governance; 
• Economy, efficiency and effectiveness (value for money) 
 
3.  To provide the University Court and Principal, through the Audit Committee, with a 
summary of the activities of the IAS for the financial year ended 31st July 2010.   
 
Submission of an annual report by the Head of IAS is a requirement of the UWS IAS Terms 
of Reference and is recommended good practice (as highlighted in the Committee of 
University Chairmen Handbook for Members of Audit Committee in Higher Education 
Institutions, HEFCE Code of Audit Practice and guidance issued by the Institute of Internal 
Auditors).  
 
 
 
2. INTERNAL AUDIT SERVICE TERMS OF REFERENCE  
 
The purpose of the IAS is to provide an objective, independent appraisal of all of the 
institution’s activities, financial or otherwise, focusing on the arrangements for risk 
management, control and governance.   
 
To provide the required assurance, the IAS undertakes a risk-based programme of work, 
authorised by the  Audit Committee on behalf of the University Court.  The programme of 
work has the following objectives: 
 
•  To appraise the soundness, adequacy and application of the governance, risk management 
and internal control arrangements.   
•  To ascertain the extent to which the system of internal control ensures compliance with 
established policies and procedures, laws & regulations. 
•  To ascertain the extent to which the assets and interests entrusted to, or funded by the 
University are properly controlled and safeguarded from losses arising from 
improprieties, including fraud, irregularity or corruption. 
•  To ascertain that accounting and other information is reliable as a basis for producing 
accounting and financial, statistical and other returns. 
•  To ascertain the integrity and reliability of financial and other information provided to 
management, including that used in decision-making. 
•  To ascertain that systems of control are laid down and operate to promote the economic, 
efficient and effective use of resources. 
 
 
 
3. STATEMENT OF ASSURANCE 
 
The Head of IAS is required to provide the University Court and the Principal with assurance 
as to the adequacy and effectiveness of the arrangements for risk management, control and 
governance.  In giving this opinion, it should be noted that this assurance can never be 
absolute.  The most that the IAS can provide is a reasonable assurance that no major 
 

 
weaknesses have been identified in the risk management, internal control or governance 
arrangements, or where weaknesses have been identified, these are being addressed. 
 
In assessing the level of assurance that can be given, the following is taken into account: 
•  The results of all audits undertaken during the period 
•  The results of audits undertaken during previous periods 
•  Any follow up action taken in respect of audits from previous periods 
•  Representations from management, both written and verbal, as to corrective action taken 
or to be taken in response to IAS recommendations which have yet to be confirmed by 
internal audit review. 
 
In addition consideration is also given to: 
•  Any recommendations not accepted by management and the consequent risks 
•  Any limitations which may have been placed on the scope of internal audit 
•  The proportion of the University’s audit need covered to date 
 
A variety of sources of evidence are considered when assessing the level of assurance that can 
be given and opinions are based on evidence gathered through the whole activity and work of 
the IAS (whether formal audit reviews, ad hoc consultancy / advice or evidence gathered 
through being an in-house service).   
 
The Head of IAS is satisfied that our work to date allows us to draw a reasonable conclusion 
as to the adequacy and effectiveness of the University’s risk management, control and 
governance arrangements, and on value for money processes. 
 
 
Opinion: 
 
Risk Management 
Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods and other sources of evidence, in my opinion, reasonable 
assurance can be given that the risk management arrangements are adequate and effective. 
 
Governance 
Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods and other sources of evidence, in my opinion, reasonable 
assurance can be given that the governance arrangements are adequate and effective. 
 
Control 
Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods and other sources of evidence (including management 
representations) in my opinion, reasonable assurance can be given that the internal control 
arrangements are adequate and effective, provided the weaknesses that have been identified 
during the period are addressed.   
 
Value For Money 
Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods, and other sources of evidence, in my opinion, the University 
appears to have adequate arrangements in place to promote and secure value for money.  
 
 
These opinions are based on a programme of audit work which was delivered: 
•  In accordance with the approved annual internal audit plan (which was derived from a 
systematic risk assessment of all auditable areas). 
•  By suitably experienced and qualified internal auditors 
 
2  
 

 
•  In accordance with the processes outlined in the UWS IAS Procedures Manual (based on 
best practice guidance as outlined by the Committee of University Chairmen and the 
Institute of Internal Auditors) 
 
 
 
4. SUMMARY OF IAS ACTIVITY 
 
This section provides a summary of IAS work undertaken during the year. 
 
2009 / 2010 has been a busy and difficult year for the Internal Audit Service.  REDACTED 
S38(1)(b)  This had a significant impact on the team and resulted in a number of audit reviews 
being postponed.   
 
4.1 Audit Reviews: 
During the year ended 31st  July 2010, a total of 15 audit reviews were completed.  This 
included 10 full reviews, 4 follow-on reviews and 1 ad-hoc review.  1 review from the 2008 / 
2009 annual internal audit plan (Review of Health & Safety) was still in progress at the end of 
the last financial year and consequently is included in this total.   
 
In addition, 3 reviews from the 2009 / 2010 plan (Review of Childcare Funds, Health & 
Safety Follow-On Review and Reimbursement of Expenses Follow-On Review) are still in 
progress at the end of this financial year and are due to be finalised shortly.  
 
The reviews completed during 2009 / 2010 are listed in the table below: 
 
 
 
 
Reference 
Title 
Type 
 
 
 
IAS / 2009 / 108 
Review of Management of Health & Safety 
Full 
 
 
 
IAS / 2010 / 101 
AD Exchange Project – Project Healthcheck  
Full 
IAS / 2010 / 102 
Review of Energy and Environmental Management 
Full 
IAS / 2010 / 103 
Review of Risk Management 
Full 
IAS / 2010 / 104 
Review of Corporate Governance 
Full 
IAS / 2010 / 105 
Review of Tuition Fees 
Full 
IAS / 2010 / 106 
Review of Student Attendance Monitoring 
Full 
IAS / 2010 / 107 
Review of Space Management  
Full 
IAS / 2010 / 108 
SCCM Project – Project Healthcheck 
Full 
IAS / 2010 / 109 
Review of Recruitment & Admissions of Post-Graduate 
Full 
Research Students 
 
 
 
IAS / 2010 / 201 
Software Inventory Management & Licence Control  
Follow-On 
IAS / 2010 / 203 
Additional Payroll Payments Follow-On Review 
Follow-On 
IAS / 2010 / 204 
ICT Fault Resolution Follow-On Review 
Follow-On 
IAS / 2010 / 205 
Procurement Cards Follow-On 
Follow-On 
 
 
 
IAS / 2010 / 301 
Non-Medical Personal Helpers - Process Review 
Ad-Hoc 
 
 
 
Table 1: Audit Reviews completed during 2009 / 2010 
 
 
 
3  
 

 
 
Comparative figures for previous financial years are outlined in table 2 below: 
 
Audit 
FY 09/10 
FY 08/09 
FY 07/08 
FY 06/07 
Total 
Reviews 
Full 
10 

10 

35 
Follow-On 




19 
Ad-Hoc 





Total 
15 
18 
14 
11 
58 
Table 2: Analysis of number of audit reviews completed per financial year 
 
 
A summary of audit findings in respect of the above reviews can be found at Section 5 of this 
report.  All reports, incorporating management responses where appropriate have been 
submitted to and considered by the Audit Committee  during the financial year. In addition, 
the results of all audits have been formally reported to the relevant managers.  An executive 
summary highlighting the key findings from each review can be found in Appendix A
 
 
4.2 Compliance Testing: 
Compliance testing was completed on the Additional Payroll Payments process.  Compliance 
testing has been carried out on this process for a number of years following significant change 
due to the introduction of two new processes.  During 2009 / 2010, a small compliance test 
was carried out focusing on Additional Payroll Payments originating from three departments 
–  School of Health, Business School and Student Administration.  The results of the 
compliance testing were incorporated into the Additional payroll Payments  Follow-On 
Review.   
 
 
4.3 Project Issues: 
In addition to completing the two project health-checks listed in Table 1 above, the Senior 
Internal Auditor was also involved in the ‘Lean Management Thinking’ Programme.  This 
was a six-month development run in conjunction with Scottish Enterprise.  8 members of staff 
from UWS took part.  The group reviewed the internal mail process at UWS and made 
recommendations to make the process more ‘lean’.   
 
Following a fourth ‘Unsatisfactory’ audit rating, a project was established to address the 
issues raised in the Review of Software Inventory Management and Licence Control.  This 
project focused on the purchase and installation of suitable software to enable a full software 
audit to be undertaken and, subsequently, a reconciliation of software licences.  The Head of 
Internal Audit Service attended a number of the key meetings of the project team to ensure 
the control concerns were adequately addressed.   
 
 
4.4 Ad-Hoc Consultancy / Advice on risk management, control and governance: 
In addition to our planned audit work, the IAS also provides advice on governance, internal 
control and risk management issues throughout the year, as required.  Requests for advice are 
received on both a formal or informal basis.   Appendix B contains brief examples of some of 
the additional activities we have been involved with over the year.  
 
 
4.5 Fraud Awareness Programme 
During 2009 / 2010, the IAS team ran a Fraud Awareness Programme.  This took the form of 
a short training session suitable for all levels of staff.  The objective of the training was to 
 
4  
 

 
raise awareness of fraud and to ensure all employees understand the role they play.  12 
training sessions were held across three campuses and were attended by a total of approx 150 
staff.   
 
 
5. SUMMARY OF AUDIT RESULTS 
 
5.1 Full Reviews / Ad-Hoc Reviews 
10 full reviews and 1 ad-hoc review were completed during the year.  An overall grading is 
issued for each audit review, where applicable, to provide a summary opinion on the 
adequacy and effectiveness of the internal control system in place. 
 
The following categories of overall grading are used: 
Superior 
Controls / procedures accord with accepted good practice and are 
operating to a high standard. 
Satisfactory 
Controls / procedures generally accord with accepted good practice but 
certain matters are noted as requiring improvement. Key control points 
are in place. 
Marginal 
Some controls / procedures in place have material weaknesses and / or 
deficiencies which, if not resolved, could lead to an unsatisfactory 
position. 
Unsatisfactory 
Controls / procedures in place offer scope for considerable improvement 
and concern is expressed about their adequacy.  The control system has 
fundamental weaknesses. 
 
 
Overall gradings awarded during the year for full audit reviews and ad-hoc reviews are 
summarised in Table 3 below.  Statistics for the previous financial year and cumulative to 
date are also detailed for comparative purposes. Cumulative total includes all audit gradings 
awarded since the formation of the in-house internal audit service in 2004.   
 
Grading 
2009 / 2010 
2008 / 2009 
To Date 
Superior 



Satisfactory 


26 
Marginal 


11 
Unsatisfactory 



Not Applicable 



Total 
11 
11 
52 
Table 3: Summary of audit gradings (full reviews) 
 
 
The overall assessment for each individual review completed during 2009 / 2010 is detailed 
Table 4 below.   
 
Reference 
Title 
Grading 
IAS / 2009/ 108 
Review of Health & Safety 
Unsatisfactory 
IAS / 2010 / 101 
AD Exchange Project  - Project Healthcheck 
Satisfactory 
IAS / 2010 / 102 
Review of Energy and Environmental Management 
Marginal 
IAS / 2010 / 103 
Review of Risk Management 
Satisfactory 
IAS / 2010 / 104 
Review of Corporate Governance 
Satisfactory 
 
5  
 

 
IAS / 2010 / 105 
Review of Tuition Fees 
Satisfactory 
IAS / 2010 / 106 
Review of Student Attendance Monitoring 
Unsatisfactory 
IAS / 2010 / 107 
Review of Space Management 
Satisfactory 
IAS / 2010 / 108 
SCCM Project – Project Healthcheck 
Satisfactory 
IAS / 2010 / 109 
Recruitment & Admission of PgR Students 
Satisfactory 
IAS / 2010 / 301   Non-Medical Personal Helpers – Process Review 
Not Applicable 
Table 4: Results of Full Audit Reviews completed during 2009 / 2010  
 
Seven full audit reviews received a ‘Satisfactory’ grading.  On the whole, the areas examined 
during these reviews appeared to be well controlled and processes generally accorded with 
good practice.  Key control points are in place however some minor issues were identified 
requiring attention.   
 
One full audit review received a ‘Marginal’ rating.  Time has been allocated in the 2010 / 
2011 annual internal audit plan to complete a follow-on review for this process.   
 
Two full audit reviews received an ‘Unsatisfactory’ rating – Review of Health & Safety and 
Review of Student Attendance Monitoring.  Work is underway to address the concerns raised 
in the Review of Health & Safety.  Discussions are progressing regarding the issues raised in 
the Review of Student Attendance Monitoring.   
 
No overall grading was awarded for the Non-Medical Personal Helpers Process Review.  This 
was an informal, ad-hoc review included at the request of the Director of Student Services.   
 
 
5.2. Recommendations: 
 
77 formal audit recommendations were issued and accepted during the year.  The significance 
of each audit recommendation is graded in accordance with the following criteria: 
 
Grade 1 
Severe weaknesses which must be addressed immediately 
Grade 2 
Serious failings within the system which should be dealt with in the short term 
Grade 3 
Areas which warrant management attention but not immediate action 
 
Table 5 below summarises the gradings of our recommendations for each full audit completed 
during the period.  Statistics for the previous financial year and cumulative figures to date are 
also detailed for comparative purposes. 
 
Review 



Total 
Review of Health & Safety 

14 

19 
AD Exchange Project – Project Healthcheck 




Review of Energy and Environmental Management 

13 

15 
Review of Risk Management 




Review of Corporate Governance 




Review of Tuition Fees 




Review of Student Attendance Monitoring 




Review of Space Management  




SCCM Project – Project Healthcheck 




Recruitment & Admission of PgR Students  




Non-Medical Personal Helpers Process Review 




Total 2009 / 2010 

57 
15 
77 
Total 2008 / 2009 

50 
15 
65 
Cumulative to date 
53 
292 
129 
474 
 
6  
 

 
Table 5: Summary of audit recommendations 
*N.B. Table 5 does not include the recommendations from the Review of Student Attendance 
Monitoring.  30 recommendations have been issued as part of this audit however discussions 
are still underway regarding the management responses and agreed actions.   
 
The status of all recommendations issued during the year will be followed-up during 2010 / 
2011.  
 
 
5.3 Follow-On Reviews: 
4 follow-on reviews were completed during the year.  The purpose of a follow-on review is to 
determine whether appropriate action has been taken to implement the recommendations 
agreed following a full review, in accordance with the agreed timetable. 
 
The results of the follow-on reviews completed during the year are summarised in the Table 6 
below. 
 
Review 
Original Grading 
Last Grading 
09/10 Grading 
Software Inventory 
Unsatisfactory 
Unsatisfactory 
Unsatisfactory 
Management & Licence Ctl 
Additional Payroll 
Unsatisfactory 
Marginal 
Satisfactory 
Payments 
ICT Fault Resolution 
Marginal 
Not Applicable 
Marginal 
 
Procurement Cards 
Marginal 
Not Applicable 
Unsatisfactory 
 
Table 6: Summary of Follow-On Reviews 
 
Table 6 outlines the audit grading awarded to the original audit review, the grading awarded 
in the last follow-on review (where more than one follow-on review has been completed) and 
the grading issued in the follow-on review completed during 2009 / 2010.   
 
The results of the follow-on reviews are generally disappointing.   In some cases, there has 
been improvement from the time of the original audit however not within the timescale 
originally agreed. Work is still ongoing in some areas.  Further information is provided below 
for two specific reviews  –  Software Inventory Management & Licence Control and 
Procurement Cards, which continue to be areas of concern.       
  
Software Inventory Management & Licence Control 
One full review and three follow-on reviews have been completed to date for Software 
Inventory Management & Licence Control. Following a fourth unsatisfactory rating, the 
Director of ICT Services was invited to attend the Audit Committee meeting to explain what 
steps are being taken to address the issues raised in the audit reports.  A significant amount of 
work has subsequently been undertaken by a project team within ICT Services and the 
Director of ICT Services continues to provide progress reports to Audit Committee meetings.   
 
Procurement Cards 
The results of the Procurement Card follow-on review were disappointing and the overall 
assessment for procurement cards has been down-graded from Marginal to Unsatisfactory.  
Although actions were agreed, on the whole, they have not been fully implemented.  Our 
recent sample testing has highlighted that the same concerns and non-compliance issues still 
exist.    
 
 
7  
 

 
The detailed results of the six follow-on reviews completed during the year are summarised in 
Table 7 below: 
 
Recommendation Status: 
Review 

Implemented 
Partially 
Not 
Not 
Total 
or In Progress  Implemented  Implemented  Applicable 
 
Software Inv. Mgmt 




13 
Additional Payroll Pymts 
22 



31 
ICT Fault Resolution 





Procurement Cards 





Total 
34 
13 


61 
Percentage 
56% 
21% 
13% 
10% 
100% 
Table 7: Summary of Follow-On Review results 
 
Recommendations are only reported as ‘in progress’ where the target date has not yet passed.  
In cases where work is ongoing and the target date has passed, the recommendation status is 
reported as ‘partially implemented’.  As part of each  follow-on review, revised target dates 
are agreed and recorded for all recommendations reported as ‘partially implemented’ or ‘not 
implemented’. 
 
6 recommendations have been reported as ‘not applicable’.  This category is used where 
changes have been made to the process since the time of the original review which mean the 
original recommendation is no longer applicable.  In all cases, the IAS ensure that the process 
changes address the control concern raised before agreeing that the recommendation can be 
reported as ‘not applicable’.   
 
Additional follow-on reviews have been scheduled as part of the 2010 / 2011 Annual Internal 
Audit Plan for all areas with a 2009/2010 assessment of ‘Marginal’ or ‘Unsatisfactory’.   
 
 
Follow-Up of Previous Audit Recommendations 
 
In addition to completing follow-on review for all audits rated ‘Marginal’ or ‘Unsatisfactory’, 
the IAS team usually undertakes an exercise to track progress on all audit recommendations 
issued.  Typically, this exercise is completed every six months however, due to the absence of 
the Head of IAS, the IAS team have been unable to complete this follow-up exercise during 
2009 / 2010.  See Section 6 below for further discussion. 
  
 
 
6. COMMON WEAKNESSES 
 
No common weaknesses were identified from the full audit reviews completed during the 
period under review.  However, the follow-on reviews highlight a common weakness in that 
agreed audit recommendations are often not implemented fully or within the agreed timescale.  
As highlighted above REDACTED S38(1)(b), the IAS team have been unable to complete the 
usual follow-up exercises during the year.  Additional time has been allocated within the 
2010/2011 annual plan to focus on follow-up of outstanding audit recommendations.        
 
 
 
8  
 

 
 
 
7. COMPARISON WITH 2009 / 2010 ANNUAL INTERNAL AUDIT PLAN 
 
2009 / 2010 has been a difficult year for the IAS.  Following a good start to the year, the 
absence of REDACTED S38(1)(b) meant that actual resources were significantly reduced in 
comparison with the original plan.  Given that the time of the IAS is scheduled so tightly, the 
absence of any member of the team has a dramatic impact on the ability to complete the work 
scheduled in the annual plan.  REDACTED S38(1)(b) 
 
The 2009 / 2010 Annual Internal Audit Plan was partially achieved with 15 of the 23 planned 
activities either completed during the year or in progress at the year end (and due to be 
finalised shortly).  The achievements of the IAS in comparison with the plan are detailed in 
Appendix C and a summary is provided below. 
 
 
Full Reviews: 
The 2009 / 2010 Plan included 12 full reviews. 6 of these were completed during the year, 
with 1 in progress at the year end.  4 of the 5 outstanding reviews have been carried forward 
to the 2010/2011 plan.  In addition to the planned full audit reviews, 1 ad-hoc process review 
was completed during the year.   
 
Follow-On Reviews: 
4 of the 7 planned follow-on reviews were completed during the year. Two reviews were in 
progress at the year end.  The 1 outstanding review commenced back in April however was 
post-poned due to the absence of REDACTED s38(1)(b) This review has been carried 
forward to the 2010 / 2011 annual plan.   
 
Compliance Testing: 
The 2009 / 2010 plan included compliance testing on the additional payroll payments which 
was completed on schedule.    
 
Project Issues: 
Time was allocated in the 2009 / 2010 plan to complete two project health-checks.  Both were 
completed on schedule.   
 
Fraud Awareness Programme: 
Time was included in the 2009 / 2010 plan for a Fraud Awareness Programme.  This was 
completed as scheduled.   
 
 
Looking at the activities of the IAS as a whole, I think the comparison with the 2009 / 2010 
plan shows a reasonably good outcome, given the considerably reduced resources available.  
The diverse range of activities completed during the year provides a sufficient basis for 
forming the opinions required in this report. 
 
 
 
8. PERFORMANCE MEASUREMENTS  
 
The Audit Committee previously approved five performance measurements to monitor the 
efficiency and effectiveness of the IAS on an ongoing basis, as follows:  
   
 
9  
 

 
 
 
6.  Feedback Questionnaire 
7.  Progress Against Agreed Annual Plan 
8.  Issue of Draft Reports 
9.  Issue of Final Reports 
10.  Recommendations Agreed By Management 
 
Due to the absence of REDACTED s38(1)(b)  we do not have an accurate result for two of 
these measurements –  issue of draft reports and issue of final reports.  The results for the 
remaining measurements are as follows: 
 
1. Feedback Questionnaire 
A feedback questionnaire is issued following audit assignments to give management an 
opportunity to comment on the audit process.  At the time of this report, only 4 questionnaires 
had been returned during the year.  Results are summarised in Appendix D. All 4 respondents 
agreed with the statement ‘Overall, the audit added value to my organisation / process’.   
 
2. Progress Against Agreed Annual Plan 
Progress against the agreed annual plan has been reported at each Audit Committee meeting 
throughout the year. 
 
5. Recommendations Agreed By Management 
92% of recommendations issued in draft audit reports were agreed by management.  A total 
of 7 audit recommendations were omitted from the final audit reports following submission of 
additional evidence by staff / managers.    
 
  
9. STAFFING ISSUES 
 
The IAS has a staff complement of 2.13 FTE and 3 members of staff, all working on a part-
time basis.  There are 3 permanent posts – Head of IAS, Senior Internal Auditor and Assistant 
Internal Auditor.   
 
Each member of the department has a documented personal development plan and training 
and development activity is monitored throughout the year.  During 2009 / 2010, the Senior 
Internal Auditor and Assistant Internal Auditor attended a number of training events run by 
CHEIA (the Council for Higher Education Internal Auditors), in addition to in-house events.   
The Head of IAS is a CA and is required to comply with the continuing professional 
development requirements of the Institute of Chartered Accountants of Scotland. 
REDACTED S38(1)(B). 
 
 
10. 2010 / 2011 ANNUAL INTERNAL AUDIT PLAN 
 
A summary of the draft 2010 / 2011 Annual Internal Audit Plan is set out below. 
 
Full Audit Reviews: 
 
Review 
Category 

Strategic Planning 
Corporate Governance etc 

Risk Management 
Corporate Governance etc 

Development of Banner System 
Corporate Governance etc 

Data Protection Act 
Compliance 

External Returns – Returns to SFC 
Compliance 
 
10  
 

 

Budget Preparation 
Financial 

Costing of Academic Operations 
Financial 

Programme Development 
Academic 

Recruitment & Admissions of International Students 
Support 
10  Staff Training & Development 
Support 
11  ICT Asset Control 
ICT 
12  Relationship with Students Association 
Ad-Hoc 
 
Follow-On Audit Reviews: 
 
Review 
Category 

External Comm – Partnerships with FE Colleges 
Governance, Change etc 

Energy & Environmental Management 
Compliance 

Health & Safety 
Compliance 

Procurement Cards 
Financial 

Student Attendance Monitoring 
Academic 

ICT Fault Resolution 
ICT 

Software Inventory Management & Licence Control 
ICT 
 
 
 
The overall objective of the plan is to  effectively and efficiently deploy internal audit 
resources to meet the responsibilities of the service.  The preparation of the plan involved an 
update of the Audit Universe, a comprehensive risk assessment of each process in the audit 
universe and discussions with 23 senior members of staff. 
 
The detailed plan has been submitted to the Audit Committee for approval. 
 
11  
 


 
 
 
 
 
INTERNAL AUDIT SERVICE 
 
 
 
 
 
  
 
 
Annual Internal Audit Report 
2009/2010 
 
Appendices 

 
August 2010 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
CONFIDENTIAL 
The distribution of this report is restricted. 
Please do not copy or circulate without the prior permission of the Head of Internal Audit. 
 
12  
 

 
CONTENTS 
 
 
Appendix A………………  Audit Reports – Executive Summaries 
 
Appendix B ……………...  Additional Audit Activities 
 
Appendix C ……………...  Comparison of Performance Against Plan 
 
Appendix D ……………...  Feedback Questionnaire Results 
 
 
 
13  
 

 
APPENDIX A: 
AUDIT REPORTS – EXECUTIVE SUMMARIES 
 
 
 
Reference: 
IAS / 2009 / 108 
Title:   
Review of Management of Health & Safety 
 
Overall Assessment: 
UNSATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the review was to identify and appraise the adequacy, reliability and 
effectiveness of the internal control system surrounding the management of Health & Safety 
across the University. 
 
Main Findings: 
The overall rating of ‘Unsatisfactory’ does not mean that the management of health & safety 
at UWS as a whole is unsatisfactory.  Rather, the rating applies to the specific areas of health 
& safety management that we looked at as part of this review (as outlined in the audit 
objectives & scope section).   
 
Summary of Recommendations: 
 
Grade 1 
  4 
 
 
 
 
 
 
Grade 2 
14 
 
 
 
 
 
 
Grade 3 
  1 
 
 
 
 
 
 
Total 
 
19 
 
 
 
 
Reference: 
IAS / 2010 / 101 
Title:   
AD Exchange Project – Project Healthcheck 
 
Overall Assessment: 
SATISFACTORY 
 
 
Audit Objectives and Scope: 
The aim of this audit was to perform an overall review of the management and coordination 
of this project to date, to ensure that the project is being approached in a structured and 
controlled manner, thereby maximising the likelihood of achieving the project objectives 
within the planned timeframe. 
 
Main Findings: 
On the whole, the project appeared  to have been well managed and controlled.  A clear, 
structured approach was being taken and a comprehensive project plan had been developed.  
Progress against this plan was being closely monitored.  Good relationship management with 
suppliers was evident on the project.   
 
Summary of Recommendations: 
 
Grade 1 

 
 
 
 
 
 
Grade 2 

 
 
 
 
 
 
Grade 3 

 
 
 
 
 
 
Total 
 

 
 
 
14  
 

 
 
 
Reference: 
IAS / 2010 / 102 
Title:   
Review of Energy & Environmental Management 
 
Overall Assessment: 
MARGINAL 
 
Audit Objectives and Scope: 
The aim of this audit was to perform an overall review of the approach that is being taken to 
manage the environmental impact of UWS.   
 
Main Findings: 
The ‘marginal’ rating largely reflects the fact that environmental management / sustainability 
is a relatively new process and many of the documents and activities we were planning to 
review were either at an early stage in development or were yet to commence.   
 
Summary of Recommendations: 

 
Grade 1  

 
 
 
 
 
 
 
 
Grade 2 
13 
 
 
 
 
 
 
 
Grade 3 

 
 
 
 
 
 
 
Total 
 
15  
 
 
 
 
Reference: 
IAS / 2010 / 103 
Title:   
Review of Risk Management 
 
Overall Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The aim of this audit was to perform an overall review of risk management at UWS.   
 
 
Main Findings: 
The risk management process in place at UWS has been well thought out and generally 
reflects good practice within the sector at the time the process was established.  A number of 
good practice areas were observed, including the move away from a separate Risk 
Management Group to embedding risk management within the regular work of the University 
Executive Group.   
 
 
Summary of Recommendations: 

 
Grade 1 

 
 
 
 
 
 
Grade 2 

 
 
 
 
 
 
Grade 3 

 
 
 
 
 
 
Total 
 

 
 
 
15  
 

 
 
 
Reference: 
 
IAS / 2010 / 104 
Title:   
 
Review of Corporate Governance 
 
Overall Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope:
 
This audit was designed to provide a level of assurance over the adequacy and effectiveness 
of the governance arrangements in place at UWS.  The review focused on the operation of the 
University Court and its various sub-committees.   
 
Main Findings: 
On the whole, the corporate governance arrangements in place at UWS seem to be adequate 
and effective.  Our evidence-based review confirmed that the University Court is generally 
compliant with the key requirements / recommendations included in the CUC Governance 
Code of Practice and General Principals.   
 
Summary of Recommendations: 
 
Grade 1 

 
 
 
 
 
 
Grade 2 

 
 
 
 
 
 
Grade 3 

 
 
 
 
 
 
Total 
 

 
 
 
 
Reference: 
 
IAS / 2010 / 105 
Title:   
 
Review of Tuition Fees 
 
Overall Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the review was to identify and appraise the adequacy, reliability and 
effectiveness of the internal controls surrounding the tuition fees process.    
 
Main Findings: 
On the whole the tuition fees process appears to be well managed and controlled.  However a 
number of control concerns were identified, particularly with regards to fee waivers. 
 
Summary of Recommendations: 
 
Grade 1 

 
 
 
 
 
 
Grade 2 

 
 
 
 
 
 
Grade 3 

 
 
 
 
 
 
Total 
 

 
 
16  
 

 
 
Reference: 
 
IAS / 2010 / 106 
Title:   
 
Review of Student Attendance Monitoring 
 
Overall Assessment: 
UNSATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the review was to identify and appraise the adequacy, reliability and 
effectiveness of the Student Attendance Monitoring process. 
 
Main Findings: 
The audit testing identified a significant number of control issues / concerns and we are 
concerned about the adequacy, reliability and effectiveness of the process that has been 
introduced.  Prompt management action is required to address the issues that have been 
identified.   
 
Summary of Recommendations: 
 
Grade 1 

 
 
 
 
 
 
Grade 2 

 
 
 
 
 
 
Grade 3 

 
 
 
 
 
 
Total 
 
30 
 
 
 
 
Reference: 
 
IAS / 2010 / 107 
Title:   
 
Review of Space Management (Paisley & Hamilton Campuses) 
 
Overall Assessment: 
SATISFACTORY  
 
Audit Objectives and Scope: 
The purpose of the review is to identify and appraise the adequacy, reliability and 
effectiveness of the space management process.  The scope of this review was limited to 
space management at two campuses –  Paisley and Hamilton.  This was due to the current 
ongoing rebuild project at Ayr and the different managed approach at the Dumfries Campus. 
 
Main Findings: 
Space Management is actively in place at the University to assist in improving the use and 
management of space.  At the time of this audit review the future of existing buildings at 
Hamilton Campus was unclear and awaiting direction from the new Estates Strategy.  On this 
basis, not all best practice activities have been formally adopted.   
 
 
 
Summary of Recommendations: 
 
Grade 1 

 
 
 
 
 
 
Grade 2 

 
 
 
 
 
 
Grade 3 

 
 
 
 
 
 
Total 
 

 
 
17  
 

 
 
Reference: 
 
IAS / 2010 / 108 
Title:   
 
Microsoft SCCM Project – Project Healthcheck  
 
Overall Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The aim of this review was to perform an overall review of the management and coordination 
of this project to date to ensure that the project is being approached in a structured and 
controlled manner, thereby maximising the likelihood of achieving the project objectives 
within the planned timeframe. 
 
Main Findings: 
Our review focused on the project management of the Microsoft SCCM Project.  On 
the whole, the SCCM Project appears to be well managed and controlled at this stage.  
At the time of our review, the project was still in progress.  A clear, structured 
approach had been taken to date, and a comprehensive project plan has been 
developed.  Progress against this plan is being closely monitored and discussed on a 
regular basis. 
 
Summary of Recommendations: 
 
Grade 1 

 
 
 
 
 
 
Grade 2 

 
 
 
 
 
 
Grade 3 

 
 
 
 
 
 
Total 
 

 
 
 
 
Reference:
 
 
IAS / 2010 / 109 
Title:   
 
Recruitment and Admission of Post Graduate Research Students  
 
Overall Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the review was to identify and appraise the adequacy, reliability and 
effectiveness of the internal controls surrounding the Recruitment and Admission of Post 
Graduate Students process.    
 
Main Findings: 
On the whole the process for Recruitment and Admission of Post Graduate Research Students 
appears well organised, managed and controlled.  However some issues were identified 
during the review which warrant management attention. 
 
Summary of Recommendations: 
 
Grade 1 

 
 
 
 
 
 
Grade 2 

 
 
 
 
 
 
Grade 3 

 
 
 
 
 
 
Total 
 

 
 
 
 
 
 
 

 
18  
 

 
 
 
 
Reference:
 
 
IAS / 2010 / 201 
Title: 
Software Inventory Management & Licence Control Follow-On 
Review 
 
Original Assessment: 
UNSATISFACTORY 
Follow-On Assessment: 
UNSATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the actions agreed 
following the Review of Software Inventory Management & Licence Control. This review 
focused on those recommendations which were reported as either ‘partially implemented’ or 
‘not implemented’ at the time of the second follow-on review.   
 
Main Findings: 
Since the time of the last follow-on review, there has been progress on one recommendation – 
completing a full software audit, however we are still not in a position to know whether there 
is unlicensed software installed on University PCS and laptops, as the reconciliation exercise 
has not been carried out.  It is acknowledged that there are many competing demands on the 
resources of ICT Services particularly since merger however, it is essential that software and 
the related licences are tightly controlled.  
 
 
 
 
 
 
Reference:
 
 
IAS / 2010 / 203 
Title: 
Additional Payroll Payments Follow-On Review 
 
Original Assessment: 
UNSATISFACTORY 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this third follow-on review was to determine the status of the 
recommendations which were reported as either ‘partially implemented’ or ‘not implemented’ 
at the time of the second follow-on review.   
 
Main Findings: 
At the time of the original audit review, concern was expressed about the general lack of 
internal controls in this process.  Since that time, significant progress has been made towards 
strengthening the controls and the majority of the recommendations raised in the original 
audit report have now been addressed.   
 
 
 
 
 
 
 
 
 
 

 
19  
 

 
 
Reference:
 
 
IAS / 2010 / 204 
Title: 
ICT Fault Resolution Follow-On Review 
 
Original Assessment: 
MARGINAL 
Follow-On Assessment: 
MARGINAL 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the actions agreed 
following the Review of ICT Fault Resolution Process.  
 
Main Findings: 
Since the time of the original review, some progress has been made to strengthen the process 
for ICT Fault Resolution.  However a few issues persist and these should be addressed as part 
of the implementation of the ICT Strategy 2010-2013.  The agreement of local SLAs as part 
of the strategy process will further address any outstanding recommendations. 
 
 
 
 
 
Reference: 
 
IAS / 2010 / 205 
Title: 
Procurement Cards Follow-On 
 
Original Assessment: 
MARGINAL 
Follow-On Assessment: 
UNSATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the actions agreed 
following the Review of Procurement Cards.  
 
Main Findings: 
Whilst some progress has been made to strengthen the process for Procurement Cards many 
of the control concerns raised in the original Review remain outstanding.  There is a general 
concern that the level of scrutiny is not sufficient and a more questioning stance is required to 
better control this method of purchasing goods.  
 
 
 
 
 
 
 
 
 
20  
 

 
Appendix B 
EXAMPLES OF ADDITIONAL ACTIVITIES 
 
 
 
Activity: 
LANDesk Asset Discovery Project 
Requested By: 
Project Manager  
Summary: 
The Project Manager for the LANDesk Asset Discovery Project requested 
the involvement of Internal Audit on this project.  The Head of IAS 
attended the fortnightly project team meetings to provide advice on control 
related matters.  The Head of IAS also attended the design workshop for 
the project and provided comments on the Project Initiation Document, 
Change Control process and list of procedures required to be documented 
as part of the project. 
 
 
Activity: 
Recognition & Reward Schemes 
Requested By: 
HR Advisor (Recognition & Rewards) 
Summary: 
The Performance & Rewards team within HR have been working on 3 
new schemes for the recognition and reward of staff.  These schemes are 
currently at a draft stage.  The HR advisor from the Performance & 
Rewards team asked IAS to comment on the proposed schemes and to 
highlight any identified control concerns.   
 
 
Activity: 
Student Services – Non Medical Personal Helpers 
Requested By: 
Director of Student Services 
Summary: 
The Director of Student Services has asked the IAS to look at the process 
for engaging and paying Non-Medical Personal Helpers.  She has a 
number of conerns with the current process and would like an independent 
opinion on the adequacy, effectiveness and reliability of the process and 
associated internal controls.  It has been agreed that a ‘process review’ will 
be performed which is less formal and less time-consuming that a full 
audit. 
 
 
 
 
 
21  
 

 
Appendix C 
COMPARISON OF PERFORMANCE AGAINST PLAN 
 
 
Full Audit Reviews 

Review 
Status 
Comment 
Review of Corporate Governance 
Complete 
 
Review of Risk Management 
Complete 
 
Review of Development of Banner System 
Outstanding 
Carried forward to 2010/2011 plan 
Review of External Returns 
Outstanding 
Carried forward to 2010/2011 plan 
Review of Budget Preparation 
Outstanding 
Carried forward to 2010/2011 plan 
Review of Tuition Fees 
Complete 
 
Review of Childcare Funds 
In Progress 
In Progress at year end. Due to be finalised shortly 
Review of Student Attendance Monitoring 
Complete 
 
Review of Space Management 
Complete 
 
Review of PgR Student Recruitment & Admissions 
Complete 
 
Review of ICT Strategy & Plans 
Outstanding 
Re-assessed as part of Audit Needs Assessment. Not included in 2010/2011 
plan due to other priorities 
Review of Relationship with Students Association 
Outstanding 
Carried forward to 2010/2011 plan 
 
 
 
 
 
 
 

 
22  
 

 
Follow-On Reviews 
Review 
Status 
Comment 
External Communications – Partnerships with FE  
Outstanding 
Carried forward to 2010/2011 plan 
Health & Safety 
In Progress 
Due to be finalised shortly 
Reimbursement of Expenses 
In Progress 
Due to be finalised shortly 
Additional Payroll Payments 
Complete 
 
Procurement Cards 
Complete 
 
Software Inventory Management & Licence Control 
Complete 
 
ICT Fault Resolution 
Complete 
 
 
Project Issues 

Project 
Status 
Comment 
AD Exchange Project 
Complete 
 
Microsoft SCCM Project 
Complete 
 
 
Compliance Testing 

Process 
Status 
Comment 
Additional Payroll Payments 
Complete 
 
 
 

Fraud Awareness Programme 
Complete 
 
 
 
23  
 

  
APPENDIX D   
FEEDBACK QUESTIONNAIRE RESULTS 
 
 
 
 
Agree 
Neutral 
Disagree 
1. The audit objectives, purpose and scope were clearly 

 
 
communicated to me before the audit commenced. 
2. The audit team maintained an adequate level of 

 
 
communication throughout the audit. 
3. The personal conduct of the audit team was 

 
 
professional and courteous. 
4. The disruption of daily activities was minimised as 

 
 
much as possible during the audit. 
5. The draft audit report was delivered in a timely 

 
 
manner. 
6. Audit results were accurately reported and 

 
 
appropriate perspective was provided. 
7. The draft audit report was clearly written and 

 
 
logically organised. 
8. Audit recommendations were constructive and 

 
 
actionable. 
9. The draft audit report was adequately discussed and 

 
 
any problems resolved before the final report was 
formally issued. 
10. The final audit report was delivered in a timely 

 
 
manner. 
11. Internal audit demonstrated independence and 

 
 
objectivity in performing the audit. 
12. Overall, the audit ‘added value’ to my organisation 

 
 
/ process. 
 
 
 


  
 
 
 
 
 
INTERNAL AUDIT SERVICE 
 
 
 
 
 
  
 
 
Annual Internal Audit Report 
2010 / 2011  
 
August 2011   

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
CONFIDENTIAL 
The distribution of this report is restricted. 
Please do not copy or circulate without the prior permission of the Head of Internal Audit. 
 

  
 
 
TABLE OF CONTENTS 
 
 
1. INTRODUCTION…………………………………………………………. 

 
2. INTERNAL AUDIT SERVICE TERMS OF REFERENCE……………… 

 
3. STATEMENT OF ASSURANCE / OPINION……………………………. 

 
4. SUMMARY OF IAS ACTIVITY 
 
    4.1 AUDIT REVIEWS…………………………………………………….. 

    4.2 INVESTIGATION.............……………………………………………. 

    4.3 COMPLIANCE TESTING ...………………………………………….. 

    4.4 PROJECT ISSUES.................................………………………………. 

    4.5 AD-HOC CONSULTANCY / ADVICE ……………………………… 

 
 
5. SUMMARY OF AUDIT RESULTS  
 
    5.1 FULL REVIEWS / AD-HOC REVIEWS……………………………... 

    5.2 RECOMMENDATIONS………………………………………………. 

    5.3 FOLLOW-ON REVIEWS …………………………………………….. 

 
6. COMMON WEAKNESSES……………………………………………….. 

 
7. COMPARISON WITH 2010/2011 ANNUAL INTERNAL AUDIT PLAN 

 
8. PERFORMANCE MEASURES…………………………………………… 
10 
 
 
9. STAFFING ISSUES……………………………………………………… 
10 
 
10. SUMMARY OF 2011/2012 ANNUAL INTERNAL AUDIT PLAN……. 
11 
 
 
 

  
1. INTRODUCTION 
 
This annual report has been prepared by the Head of Internal Audit Service (IAS) and is 
intended to meet two objectives: 
 
1.  To provide the University Court and Principal, through the Audit Committee, with a 
formal opinion on the adequacy and effectiveness of the University’s arrangements 
for:  •  Risk management, control and governance; 
•  Economy, efficiency and effectiveness (value for money) 
 
2.  To provide the University Court and Principal, through the Audit Committee, with a 
summary of the activities of the IAS for the financial year ended 31st July 2011.  
 
Submission of an annual report by the Head of IAS is a requirement of the UWS IAS Terms 
of Reference and is recommended good practice (as highlighted in the Committee of 
University Chairmen Handbook for Members of Audit Committee in Higher Education 
Institutions, HEFCE Code of Audit Practice and guidance issued by the Institute of Internal 
Auditors). 
 
 
 
2. INTERNAL AUDIT SERVICE TERMS OF REFERENCE  
 
The purpose of the IAS is to provide an objective, independent appraisal of the institution’s 
activities, financial or otherwise, focusing on the arrangement for risk management, control 
and governance.   
 
To provide the required assurance, the IAS undertakes a risk-based programme of work, 
authorised by the Audit Committee on behalf of the University Court.  The programme of 
work has the following objectives: 
 
•  To appraise the soundness, adequacy and application of the governance, risk 
management and internal control arrangements. 
•  To ascertain the extent to which the system of internal control ensures compliance 
with established policies and procedures, laws and regulations. 
•  To ascertain the extent to which the assets and interests entrusted to, or funded by the 
University are properly controlled and safeguarded from losses arising from 
improprieties, including fraud, irregularity or corruption. 
•  To ascertain that accounting and other financial information is reliable as a basis for 
producing accounting and financial, statistical and other returns. 
•  To ascertain the integrity and reliability of financial and other information provided 
to management, including that used in decision-making. 
•  To ascertain that systems of control are laid down and operate to promote the 
economic, efficient and effective use of resources. 
 
 
 
3. STATEMENT OF ASSURANCE 
 
The Head of IAS is required to provide the University Court and the Principal with assurance 
as to the adequacy and effectiveness of the arrangements for risk management, control and 
governance.  In giving this opinion, it should be noted that this assurance can never be 
absolute.  The most that the IAS can provide is a reasonable assurance that no major 
 

 
weaknesses have been identified in the risk management, internal control or governance 
arrangements or where weaknesses have been identified, these are being addressed. 
 
In assessing the level of assurance that can be given, the following is taken into account: 
•  The results of all audits undertaken during the period 
•  The results of all audits undertaken during previous periods 
•  Any follow up action taken in respect of audits from the current and previous periods 
•  Representations from management, both written and verbal, as to corrective action taken 
or to be taken in response to IAS recommendation which have yet to be confirmed by 
internal audit review. 
 
In addition consideration is also given to: 
•  Any recommendations not accepted by management and the consequent risks 
•  Any limitations which may have been placed on the scope of internal audit 
•  The proportion of the University’s audit need covered to date 
 
A variety of sources of evidence are considered when assessing the level of assurance that can 
be given and opinions are based on evidence gathered through the whole activity and work of 
the IAS (whether formal audit reviews, ad hoc consultancy / advice or evidence gathered 
through being an in-house service). 
 
The Head of IAS is satisfied that our work to date allows us to draw a reasonable conclusion 
as to the adequacy and effectiveness of the University’s risk management, control and 
governance arrangements, and on value for money processes. 
 
 
Opinion: 
 
Risk Management 
Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods and other sources of evidence, in my opinion, reasonable 
assurance can be given that the risk management arrangements are adequate and effective. 
 
Governance 
Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods and other sources of evidence, in my opinion, reasonable 
assurance can be given that the governance arrangements are adequate and effective. 
 
Control 
Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods and other sources of evidence (including management 
representations) in my opinion, reasonable assurance can be given that the internal control 
arrangements are adequate and effective. 
 
Value for Money 
Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods and other sources of evidence, in my opinion, the University 
appears to have adequate arrangements in place to promote and secure value for money.  
 
 
These opinions are based on a programme of audit work which was delivered: 
•  In accordance with the approved annual internal audit plan (which was derived from a 
systematic risk assessment of all auditable areas) 
•  By suitably experienced and qualified internal auditors  
 
2  
 

 
•  In accordance with the processes outlined in the UWS IAS Procedures Manual (based on 
best practice guidance as outlined by the Committee of University Chairmen and the 
Institute of Internal Auditors). 
 
 
 
4. SUMMARY OF IAS ACTIVITY 
 
2010 / 2011 has been a busy and challenging year for the Internal Audit Service.  This section 
provides a summary of IAS work undertaken during the year. 
 
4.1 Audit Reviews: 
 
During the year ended 31st July 2011, a total of 23 audit reviews were completed. This 
included 11 full reviews and 12 follow-on reviews.  3 reviews from the 2009/2010 Annual 
Internal Audit Plan were still in progress at the end of the last financial year and are included 
in this total.   
 
In addition, 2 reviews from the 2010/2011 Annual Internal Audit Plan are still in progress at 
the end of this financial year and are excluded from this total.   
 
The reviews completed during 2010/2011 are listed in the table below: 
 
 
 
 
Reference 
Title 
Type 
 
 
 
IAS / 2010 / 110 
Review of Childcare Funds 
Full 
IAS / 2011 / 101 
Review of Performance &  Development Review Process 
Full 
IAS / 2011 / 102 
Review of Business Planning Process 
Full 
IAS / 2011 / 103 
Review of Relationship with Students Association 
Full 
IAS / 2011 / 104 
Review of Data Protection 
Full 
IAS / 2011 / 105 
Review of Risk Management  - Control Measures 
Full 
IAS / 2011 / 106 
Review of Budget Preparation 
Full 
IAS / 2011 / 107 
Review of Recruitment & Admission Of Int.Students 
Full 
IAS / 2011 / 108 
Review of External Returns: SFC Early Statistics Return 
Full 
IAS / 2011 / 109 
Agresso Upgrade Project: Post Implementation Review 
Full 
IAS / 2011 / 111 
Review of Banner System Development 
Full 
 
 
 
IAS / 2010 / 206 
Reimbursement of Expenses Follow-On Review (2nd) 
Follow-On 
IAS / 2010 / 207 
Management of Health & Safety Follow-On Review (1st) 
Follow-On 
IAS / 2011 / 201 
Energy & Environmental Management Follow-On Review 
Follow-On 
IAS / 2011 / 202 
Partnerships with Colleges Follow-On Review 
Follow-On 
IAS / 2011 / 203 
Tuition Fees Follow-On Review 
Follow-On 
IAS / 2011 / 204 
Space Management (Paisley & Hamilton) Follow-On 
Follow-On 
IAS / 2011 / 205 
Recruitment and Admission of PgR Students Follow-On 
Follow-On 
IAS / 2011 / 206 
Childcare Funds Follow-On Review 
Follow-On 
IAS / 2011 / 207 
Procurement Cards Follow-On Review 
Follow-On 
IAS / 2011 / 208 
P&DR Process Follow-On Review 
Follow-On 
IAS /2011 / 209 
ICT Fault Resolution Follow-On Review (2nd) 
Follow-On 
IAS / 2011 / 210 
Management of Health & Safety Follow-On Review (2nd) 
Follow-On 
 
 
 
 
 
 
Table 1: Audit Reviews completed during 2010 / 2011 
 
Comparative figures for the four previous financial years are outlined in table 2 below: 
 
3  
 

 
 
Audit  
FY 10/11 
FY 09/10 
FY 08/09 
FY 07/08 
FY 06/07 
Total 
Reviews 
Full 
11 
10 

10 

46 
Follow-On 
12 




31 
Ad-Hoc 






Total 
23 
15 
18 
14 
11 
81 
Table 2: Analysis of number of audit reviews completed per financial year 
 
The number of follow-on reviews completed during 2010/2011 was significantly higher than 
in previous years.  This was due to a change in the audit follow-on process that was agreed at 
the November 2010 meeting of the Audit Committee.  Previously, follow-on reviews were 
carried out where an overall assessment of ‘Marginal’ or ‘Unsatisfactory’ had been awarded.  
It was agreed that the process would be changed to include a follow-on review for all audits 
regardless of overall assessment.   
 
A summary of audit findings in respect of the above reviews can be found at Section 5 of this 
report.  All reports, incorporating management responses where appropriate have been 
submitted to and considered by the Audit Committee during the financial year. In addition, 
the results of all audits have been formally reported to the relevant managers.  An executive 
summary highlighting the key findings from each review can be found in Appendix A
 
 
4.2 Investigation 
During the year the IAS team completed an investigation under the Fraud Response Plan into 
expense claims submitted by a member of staff.  The results of the investigation were 
discussed at a meeting of the Fraud Response Group and the matter is being progressed 
through the disciplinary process. 
 
4.3 Compliance Testing: 
A compliance testing exercise was completed on the International Students ‘Sign-In’ Process.    
 
4.4 Project Issues: 
In addition to the planned Post Implementation Review for the Agresso System Upgrade 
Project, a number of other project related activities were undertaken during the year.  In 
particular, the Senior Internal Auditor has continued to be involved in the Lean Management 
Project throughout the year. 
 
4.5 Ad-Hoc Consultancy / Advice on risk management, control and governance: 
In addition to our planned audit work, the IAS also provides advice on governance, internal 
control and risk management issues throughout the year, as required.  Requests for advice are 
received on both a formal and informal basis.  During 2010/2011, additional work included 
attendance at an inter-campus travel group, consideration of a new software tool for ICT staff 
to monitor file access and review of a number of new draft policies & procedures (including 
Electronic Information Security, Bribery Act etc) 
 
 
5. SUMMARY OF AUDIT RESULTS 
 
5.1 Full Reviews / Ad-Hoc Reviews 
 
11 full audit reviews were completed during the year.  An overall grading is issued for each 
audit review, where applicable, to provide a summary opinion on the adequacy and 
effectiveness of the internal control system in place. 
 
4  
 

 
The following categories of overall grading are used: 
 
Superior 
Controls / procedures accord with accepted good practice and are 
operating to a high standard. 
Satisfactory 
Controls / procedures generally accord with accepted good practice but 
certain matters are noted as requiring improvement. Key control points 
are in place. 
Marginal 
Some controls / procedures in place have material weaknesses and / or 
deficiencies which, if not resolved, could lead to an unsatisfactory 
position. 
Unsatisfactory 
Controls / procedures in place offer scope for considerable improvement 
and concern is expressed about their adequacy.  The control system has 
fundamental weaknesses. 
 
 
Overall gradings awarded during the year for full audit reviews and ad-hoc reviews are 
summarised in  Table 3 below.  Statistics for the previous financial year and cumulative to 
date are also detailed for comparative purposes. Cumulative total includes all audit gradings 
awarded since the formation of the in-house internal audit service in 2004.   
 
Grading 
2010/2011 
2009 / 2010 
To Date 
Superior 



Satisfactory 


29 
Marginal 


17 
Unsatisfactory 



Not Applicable 



Total 
12 
10 
63 
Table 3: Summary of audit gradings (full reviews) 
 
 
Note: The Review of Risk Management considered two risks  from the University’s risk 
register.  The results were very mixed and consequently we issued a separate overall 
assessment for each risk.  As a result, the summarised results for the year include 12 overall 
assessments relating to 11 full audit reviews. 
 
59% of full audit reviews completed to date have received either a ‘Superior’ or ‘Satisfactory’ 
rating.        
 
The overall assessment for each individual review completed during 2010 / 2011 is detailed 
Table 4 below.   
 
Reference 
Title 
Grading 
IAS / 2010/ 110 
Review of Childcare Funds 
Satisfactory 
IAS / 2011 / 101 
Review of Performance & Development Process 
Marginal 
IAS / 2011 / 102 
Review of Business Planning Process 
Marginal 
IAS / 2011 / 103 
Review of Relationship with Students Association 
Satisfactory 
IAS / 2011 / 104 
Review of Data Protection 
Marginal 
IAS / 2011 / 105 
Review of Risk Management – Control Measures 
Superior 
Marginal 
IAS / 2011 / 106 
Review of Budget Preparation 
Marginal 
 
5  
 

 
IAS / 2011 / 107 
Review of Recruitment & Admissions of Int Students 
Marginal 
IAS / 2011 / 108 
Review of External Returns: Early Statistics Return 
Superior 
IAS / 2011 / 109 
Agresso Upgrade Project Post Implementation Review 
Superior 
IAS / 2011 / 111 
Review of Banner System Development 
Satisfactory 
Table 4: Results of Full Audit Reviews completed during 2010 / 2011  
3 ‘Superior’ ratings were awarded for the Review of Risk Management, Review of External 
Returns: Early Statistics Return and the Agresso Upgrade Project Post Implementation 
Review.  This is the highest number of ‘Superior’ ratings awarded in one year.  This is 
particularly pleasing to note given the importance of the areas reviewed during these three 
audits.   
 
3 full audit reviews received a ‘Satisfactory’ rating.  On the whole, the areas examined during 
these reviews appeared to be well controlled and processes generally accorded with accepted 
good practice.  Key control points are in place however certain matters were identified as 
requiring improvement.    
 
6 full audit reviews received a ‘Marginal’ rating.  One of these – Review of Performance & 
Development Review Process – has been followed up during the year (the follow-on review 
received a ‘Satisfactory’ rating).  Time has been allocated in the 2011 / 2012 Annual Internal 
Audit Plan to complete follow-on work for all of these reviews. 
 
No ‘Unsatisfactory’ ratings were awarded during 2010 / 2011.   
 
 
5.2. Recommendations: 
 
72 formal audit recommendations were issued and accepted during the year.  The significance 
of each audit recommendation is graded in accordance with the following criteria: 
 
Grade 1 
Severe weaknesses which must be addressed immediately 
Grade 2 
Serious failings within the system which should be dealt with in the short term 
Grade 3 
Areas which warrant management attention but not immediate action 
 
Table 5 below summarises the gradings of our recommendations for each full audit completed 
during the period.  Statistics for the previous financial year and cumulative figures to date are 
also detailed for comparative purposes. 
 
Review 



Total 
Review of Childcare Funds 




Review of Performance & Development Process 




Review of Business Planning Process 



10 
Review of Relationship with Students Association 




Review of Data Protection 



10 
Review of Risk Management – Control Measures 




Review of Budget Preparation 




Review of Recruitment & Admission of Int Students 

11 

14 
Review of External Returns: Early Statistics Return 




Agresso Upgrade Project Post Implementation Review 




Review of Banner System Development 




International Students ‘Sign-In Process’ Compliance Test 




Total 2010 / 2011 

52 
20 
72 
Cumulative to date 
53 
344 
149 
546 
 
6  
 

 
The status of all recommendations issued during the year will be followed-up during 2011 / 
2012.  
 
 
5.3 Follow-On Reviews: 
 
12 follow-on reviews were completed during the year.  The purpose of a follow-on review is 
to determine whether appropriate action has been taken to implement the recommendations 
agreed following a full review, in accordance with the agreed timetable.   
 
The results of the follow-on reviews completed during the year are summarised in the Table 6 
below. 
 
Review 
Original Grading 
Follow-On Grading 
Reimbursement of Expenses 
Marginal 
Satisfactory 
Management of Health & Safety (1st) 
Unsatisfactory 
Marginal 
Energy & Environmental Management 
Marginal 
Satisfactory 
Partnerships with Colleges 
Marginal 
Satisfactory 
Tuition Fees 
Satisfactory 
Satisfactory 
Space Management 
Satisfactory 
Satisfactory 
Recruitment & Admission of PgR Students 
Satisfactory 
Satisfactory 
Childcare Funds 
Satisfactory 
Satisfactory 
Procurement Cards 
Unsatisfactory 
Satisfactory 
Performance & Development Review  
Marginal 
Satisfactory 
ICT Fault Resolution (2nd) 
Marginal 
Satisfactory 
Management of Health & Safety (2nd)  
Marginal 
Satisfactory 
Table 6: Summary of Follow-On Reviews 
 
On the whole, the follow-on reviews confirmed that action has been taken to implement the 
agreed recommendations.  In the 2009/2010 Annual Internal Audit Report, we raised a 
concern was the results of the follow-on reviews completed in that year were generally 
disappointing.  As a result, the follow-on process was changed to include a follow-on review 
for every full audit, and the timing of follow-on reviews was expedited from 12 months to 6 
months.  Although it is more time consuming, the revised follow-on process has worked well 
and results have improved.     
 
The detailed results of the follow-on reviews completed during the year are summarised in 
Table 7 below: 
 
 
Recommendation Status: 
Review 

Implemented 
Partially 
Not 
Total 
or In Progress 
Implemented 
Implemented 
 
Reimbursement of 
15 


20 
Expenses 
Management of Health & 
19 


19 
Safety 
Energy & Environmental 
15 


15 
Management 
Partnerships with Colleges 




 
Tuition Fees 




 
 
7  
 

 
Space Management 




 
Recruit & Admission of 




PgD Students 
Childcare Funds 




 
Procurement Cards 




 
P&DR Process 




 
ICT Fault Resolution 




 
Total 
103 
14 

117 
 
Percentage 

88% 
12% 

 
 
Table 7: Summary of Follow-On Review results 
 
88% of recommendations have been confirmed as fully implemented or are in progress.   
Recommendations are only reported as ‘in progress’ where the original target date has not yet 
passed.  In cases where work is ongoing and the target date has passed, the recommendation 
status is reported as ‘partially implemented’.  None of the recommendations reviewed in our 
follow-on work during 2010/2011 were reported as ‘not implemented’.  This shows a 
significant improvement in comparison with the 2009/2010 results when we raised concerns 
that agreed recommendations were either not being actioned or were not being actioned 
within the agreed timescale.   
 
 
 
6. COMMON WEAKNESSES 
 
At the end of each year, we review the issues raised in audit reports during the year to identify 
any common weaknesses or themes.  For 2010/2011, 3 common issues have been identified, 
as follows: 
 
(a)  Process to monitor compliance 
In a number of reviews, we have raised concern that there is either no process in place to 
monitor compliance with the agreed policy / procedure or the process to monitor compliance 
needs to be more robust.  Recommendations have been agreed in all cases to address the 
particular concern.   
 
(b)  Formal process versus informal process 
In a number of reviews, we highlighted that certain processes seemed very informal when it 
would be more appropriate to have a more formal process.  Again, recommendations have 
been agreed in all cases and generally involve improving the standard of documentation 
particularly the documentation relating to decisions.   
 
(c)  Finalising Service Level Agreements 
In 3 reviews, recommendations have been made regarding finalising Service Level 
Agreements (SLAs).  In all cases, work had commenced on the Service Level Agreements 
however they had not been finalised.   
 
 
 

 
8  
 

 
7. COMPARISON WITH 2010 / 2011 ANNUAL INTERNAL AUDIT PLAN 
 
2010 / 2011 has been a busy and challenging year for the IAS.  The revision to the audit 
follow-on process agreed at the November 2010 meeting of the Audit Committee 
significantly increased the time commitment for follow-on reviews.  The IAS team have 
worked hard throughout the year to incorporate the additional follow-on reviews into their 
schedule of work whilst continuing to progress the reviews scheduled in the 2010/2011 
Annual Internal Audit Plan.  
 
The 2010/2011 plan was largely achieved, with 20 of the 22 planned activities either 
completed during the year or in progress at the year end.  5 additional follow-on reviews and 
an expenses investigation were also completed during the year that were not included in the 
plan.   
 
The achievements of the IAS in comparison with the plan are detailed in Appendix B and a 
summary is provided below. 
 
Full Reviews: 
The 2010 / 2011 plan included 12 full reviews. 9  of these were completed during the year, 
with 2 in progress at the year end. 1 review was postponed and the prioritisation of this 
review has been reconsidered as part of preparation of the 2011/2012 Annual Internal Audit 
Plan.     
 
Follow-On Reviews: 
The 2010/2011 plan included 7 follow-on reviews.  All 7 were completed during the year.  In 
2 cases (Software Inventory Management & Licence Control and Student Attendance 
Monitoring), the follow-on work did not take the form of a traditional follow-on review.  
Progress was monitored through attendance at workshops, project meetings and, in the case of 
Student Attendance Monitoring, also through completing compliance testing on a particular 
control within the process.   
 
Compliance Testing: 
The 2010 / 2011 plan included compliance testing on the on-line expenses process.  Due to 
the requirement to carry out an investigation into the expense claims submitted by one 
member of staff, we were unable to complete this compliance testing as scheduled.   
 
Project Issues: 
Time was allocated in the 2010 / 2011 plan to complete a post implementation review of the 
Agresso System Upgrade Project.  This was completed on schedule.   
 
Fraud Awareness Programme: 
Time was included in the 2010 / 2011 plan for a continuation of the  Fraud Awareness 
Programme.  This work is in progress at the year end.  The presentation is being currently 
being updated and additional fraud awareness sessions will be scheduled shortly.   
 
 
Looking at the activities of the IAS as a whole, I think the comparison with the 2010 / 2011 
plan shows a very good outcome, given the additional work undertaken during the year that 
was not included in the original plan.  The diverse range of activities completed during the 
year provides a sufficient basis for forming the opinions required in this report. 
 
 
 
9  
 

 
 
 
8. PERFORMANCE MEASUREMENTS  
The Audit Committee previously approved five performance measurements to monitor the 
efficiency and effectiveness of the IAS on an ongoing basis, as follows:  
 
11.  Feedback Questionnaire 
12.  Progress Against Agreed Annual Plan 
13.  Issue of Draft Reports 
14.  Issue of Final Reports 
15.  Recommendations Agreed By Management 
 
1. Feedback Questionnaire 
A feedback questionnaire is issued following audit assignments to give management an 
opportunity to comment on the audit process.  At the time of this report, 7 questionnaires had 
been returned during the year.  Results are summarised in Appendix  C. All 7 respondents 
agreed with the statement ‘Overall, the audit added value to my organisation / process’.   
 
2. Progress Against Agreed Annual Plan 
Progress against the agreed annual plan has been reported at each Audit Committee meeting 
throughout the year. 
 
3.  Issue of Draft Reports 
75% of draft reports were issued within 10 days of the date of the audit closure meeting (PY 
92%).  3 reports exceeded this target.  In 2 cases, additional time was required to prepare the 
draft report due to complexities within the review.  In the third case, the draft report was 
delayed due to annual leave.   
 
4.  Issue of Final Reports 
95% of  final reports were issued within 10 days of final management comments being 
received (PY 85%).   
 
5.  Recommendations Agreed By Management 
96%  of recommendations issued in draft audit reports were agreed by management.  2 
recommendations were omitted from final audit reports following further discussions with 
management and 1 recommendation (grade 3) was rejected.   
 
In addition to the five performance measurements reported above which focus on the 
effectiveness and efficiency of the IAS, we also measure timeliness of management response 
to draft audit reports. 
 
 
6.  Timeliness of Management Response to Draft Report    
When a draft report is issued, managers are requested to submit their response to the 
recommendations and any other comments within 10 working days.  Of the draft reports 
issued during 2010/2011, 75% of comments were received within 10 working days.   
 
 
 
9. STAFFING ISSUES 
 
The IAS currently has a staff complement of 2.13 FTE and 3 members of staff, all working on 
a part-time basis.  There are 3 permanent posts – Head of IAS, Senior Internal Auditor and 
Assistant Internal Auditor.   
 
10  
 

 
 
Each member of the department has a documented personal development plan and training 
and development activity is monitored throughout the year.   
 
 
 
10. 2011 / 2012 ANNUAL INTERNAL AUDIT PLAN 
 
A summary of the draft 2011 / 2012 Annual Internal Audit Plan is set out below. 
 
Full Audit Reviews: 
 
Review 
Category 

Information Security 
Corp Gov,Strategy & Change 

Risk Management (Control Measures) 
Corp Gov,Strategy & Change 

Compliance with Bank Covenants 
Compliance 

Copyright 
Compliance 

Equality & Diversity 
Compliance 

TRAC / Full Economic Costing 
Financial 

Payments to Suppliers 
Financial 

New Programme Development 
Academic 

Mitigation 
Academic 
10  Student Engagement 
Academic 
11  Enabling Support 
Support 
12  ICT Policies & Procedures 
Support 
13  General Procurement 
Support 
 
Follow-On Audit Reviews: 
 
Review 
Category 

Business Planning Process 
Corp Gov,Strategy & Change 

Risk Management (Control Measures) 
Corp Gov,Strategy & Change 

Banner System Development 
Corp Gov,Strategy & Change 

External Returns: SFC Early Statistics Return 
Compliance 

Data Protection 
Compliance 

Tuition Fees (Fee Waivers) 
Finance 

Budget Preparation & Approval 
Finance 

Performance & Development Review Process 
Support 

Recruitment & Admission of International Students 
Support 
10  Relationship with Students Association 
Other 
 
The overall objective of the plan is to effectively and efficiently deploy internal audit 
resources to meet the responsibilities of the service.  The preparation of the plan involved an 
update of the Audit Universe, a comprehensive risk assessment of each process in the audit 
universe and discussions with 35 senior members of staff and other stakeholders. 
 
The detailed plan has been submitted to the Audit Committee for approval. 
 
 
 
11  
 


 
 
 
 
INTERNAL AUDIT SERVICE 
 
 
 
 
 
  
 
 
Annual Internal Audit Report 
2010/2011 
 
Appendices 

 
August 2011 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
CONFIDENTIAL 
The distribution of this report is restricted. 
Please do not copy or circulate without the prior permission of the Head of Internal Audit. 
 
12  
 

 
CONTENTS 
 
 
Appendix A………………  Audit Reports – Executive Summaries 
 
Appendix B ……………...  Comparison of Performance Against Plan 
 
Appendix C ……………...  Feedback Questionnaire Results 
 
 
 
13  
 

 
APPENDIX A: 
 
AUDIT REPORTS – EXECUTIVE SUMMARIES 
 
 
Reference: 
IAS / 2010 / 110 
Title:   
Review of Childcare Funds 
 
Overall Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the review was to identify and appraise the adequacy, reliability and 
effectiveness of the internal control system surrounding the childcare funds process. 
 
Main Findings: 
On the whole the Childcare funds process appears to be well managed and controlled.  A clear 
and comprehensive policy & procedure has been documented.  Sample testing confirmed that, 
in the majority of cases, payments are being made in line with the policy and sufficient 
supporting documentation is available to confirm that the student meets the requirements of 
the scheme. 
 
No of recommendations: 

__________________________________________________________________________ 
 
Reference: 
IAS / 2011 / 101 
Title:   
Review of Performance and Development Review Process 
 
Overall Assessment: 
MARGINAL 
 
Audit Objectives and Scope: 
The purpose of this review was to determine whether the Performance & Development 
Review process is adequate and effective, and to gauge the level of compliance with the 
process across the organisation. 
 
Main Findings: 
The PDR process has been clearly defined, documented and communicated to staff.  
Guidance issued is comprehensive and generally of a high standard.  Tailored training 
sessions  have been provided and the feedback from these sessions is generally positive.  
However more robust processes require to be introduced to ensure that a PDR meeting is held 
and a PDP documented for every employee, and to ensure that PDPs are submitted to the 
Training & Development Team. 
 
No of recommendations: 

___________________________________________________________________________ 
 
Reference: 
IAS / 2011 / 102 
Title:   
Review of Business Planning Process 
 
Overall Assessment: 
MARGINAL 
 
Audit Objectives and Scope: 
The purpose of the review was to identify and appraise the adequacy, reliability and 
effectiveness of the business planning process.  The review focused on the business planning 
process for AY 10/11. 
 
Main Findings: 
 
14  
 

 
A significant amount of effort was put in to designing the business planning process for AY 
10/11, particularly by the Planning & MIS team.  However a number of concerns have been 
highlighted to us during the review and we identified a number of issues during our audit 
testing.  Particular concerns were around the reviewing and challenging of business plans, the 
length of time taken to provide feedback on draft business plans and the process to consider 
and monitor implementation of the business plan following sign-off.. 
 
No of recommendations: 

10 
___________________________________________________________________________ 
 
Reference: 
IAS / 2011 / 103 
Title:   
Review of Relationship with Students Association 
 
Overall Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the review was to consider the adequacy and effectiveness of the relationship 
between UWS and SAUWS, ensuring that the University Court meets its obligations under 
the 1994 Education Act. 
 
Main Findings: 
On the whole the relationship between UWS and SAUWS seems to be operating smoothly, 
and the University Court appears to be meeting its obligations under the 1994 Education Act.  
Specifically there are processes in place to monitor the finances and general activities of 
SAUWS, and a process to maintain an oversight of SAUWS elections, ensuring that they are 
run on a fair and legal basis.   
 
No of recommendations: 

___________________________________________________________________________ 
 
Reference: 

 
IAS / 2011 / 104 
Title:   
 
Review of Data Protection 
 
Overall Assessment: 
MARGINAL 
 
Audit Objectives and Scope: 
The overall purpose of the review was to ensure that there are adequate measures in place to 
ensure that the University complies with the requirements of the Data Protection Act. 
 
Main Findings: 
UWS has a  clear and comprehensive policy on Data Protection.  However, our review 
identified a number of concerns with the process for ensuring UWS complies with the 
principles of the Data Protection Act.  The FOI & Records Manager provides advice, training 
and responds to data requests however there is no process behind this role to confirm 
compliance across the institution. 
   
No of recommendations: 
10 
___________________________________________________________________________ 
 
Reference: 
 
IAS / 2011 / 105 
Title:   
 
Review of Risk Management 
 
Overall Assessment: 
 
Risk: Failure to improve student progression and retention 
SUPERIOR 
Risk: Loss of, or disruption to, key information systems 
MARGINAL 
 
15  
 

 
Audit Objectives and Scope: 
This review was not a full review of the risk management process in its entirety.  The purpose 
of the review is to provide assurance to the Audit committee and Court that appropriate action 
has been taken to implement the mitigating control measures that have been identified in the 
University risk register.  Two risks were selected from the risk register for detailed review. 
 
Main Findings: 
Improving student progression and retention is clearly a priority and 10 control measures have 
been identified to mitigate the risk.  All actions identified are either fully in place or are 
progressing. 
 
7 control measures have been identified to mitigate the risk of loss of, or disruption to, key 
information systems.  Only 2 of these control measures are currently in place.  Further action 
is required to ensure sufficient control measures to mitigate this risk, and to ensure identified 
control measures are in place. 
 
No of recommendations: 

___________________________________________________________________________ 
 
Reference:
 
 
IAS / 2011 / 106 
Title:   
 
Review of Budget Preparation 
 
Overall Assessment: 
MARGINAL 
 
Audit Objectives and Scope: 
The purpose of the review was to evaluate the adequacy, reliability and effectiveness of the 
process for preparing and approving the annual budget.  The review considered the 
preparation and approval of the budget for financial year 2010/2011. 
 
Main Findings: 
It is acknowledged that the ‘big picture’ is that UWS has performed well against budget in 
recent years and it is also acknowledged that the budget preparation process is evolving and 
has improved over time.  However, our review of the budget preparation and approval process 
for 2010/2011 identified a number of areas that could be improved. 
 
No of recommendations: 

___________________________________________________________________________ 
 
Reference: 
 
IAS / 2011 / 107 
Title: 
Review of Student Recruitment & Admissions (International 
Students) 
 
Overall Assessment: 
MARGINAL 
 
Audit Objectives and Scope: 
The purpose of this review was to identify and appraise the adequacy, reliability and 
effectiveness of the processes for the recruitment and admission of international students. 
 
Main Findings: 
A number of concerns were identified during the review which require management attention.  
In particular, the current process for assessing recruitment agents is informal and the results of 
the assessment are not document.  There is no formal process to monitor the performance of 
recruitment agents on an ongoing basis.  The turnaround time for processing applications is 
slow on average and turnaround time is not currently monitored as a matter of routine.   
 
 
16  
 

 
No of recommendations: 
14 
___________________________________________________________________________ 
 
Reference: 
 
IAS / 2011 / 108 
Title: 
Review of External Returns 
 
Overall Assessment: 
SUPERIOR 
 
Audit Objectives and Scope: 
The purpose of the review was to identify and appraise the adequacy, reliability and 
effectiveness of the process for preparing, reviewing and submitting the Early Statistics 
Return.   
 
Main Findings: 
The results of this audit were generally very good.  A clear and effective approach is taken to 
gathering the data required for the Early Statistics Return.  Clear and comprehensive 
documented procedures have been prepared for the process, to mitigate the risk of relying on 
one individual to prepare the return.  Adequate supporting documentation is retained to 
evidence the statistics included in the return. 
 
No of recommendations: 

_____________________________________________________________________ 
 
Reference: 
 
IAS / 2011 / 109 
Title:   
 
Agresso Project Post Implementation Review 
 
Overall Assessment: 
SUPERIOR 
 
Audit Objectives and Scope: 
The purpose of this review was to provide an independent review of the Agresso System 
Upgrade project, with the aim of providing assurance that the project was approached in a 
structured and controlled manner thereby maximising the likelihood of achieving the project 
deliverables within the planned timeframe. 
 
Main Findings: 
On the whole  the project appears to have been well managed and controlled.  A clear 
structured approach was taken based on PRINCE 2 methodology and a comprehensive project 
plan was documented and followed.  Progress against plan was monitored throughout the 
project.  Project team members were clearly committed to the success of this project and 
worked hard to deliver within the tight timescale. 
 
No of recommendations: 

____________________________________________________________________ 
 
Reference: 
 
IAS / 2011 / 111 
Title:   
 
Review of Banner Development 
 
Overall Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this audit was to identify and appraise the adequacy, reliability and 
effectiveness of the steps that have been taken as part of the Banner Development Programme 
to address a number of key areas of concern identified in our previous reviews of Banner.  
 
Main Findings: 
 
17  
 

 
Our review focused on a number of key areas of concern identified in our previous audit work 
on the Banner system and , on the whole, good progress has been made towards improving / 
strengthening these areas.  We noticed a significant improvement in the perception of staff 
towards the system and users were generally very positive about the Banner Development 
Manager, her team and the positive impact the Banner Development Programme has had to 
date.   
 
No of recommendations: 

_____________________________________________________________________ 
 
Reference:
 
 
IAS / 2010 / 206  
Title: 
Reimbursement of Expenses Follow-On Review 
 
Original Assessment: 
MARGINAL 
1st Follow-On Assessment: 
MARGINAL 
2nd Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this 2nd follow-on review was to determine the status of the actions agreed 
following the Review of Reimbursement of Expenses and the 1st  Follow-On Review. This 
review focused on those recommendations which were reported as either ‘partially 
implemented’ or ‘not implemented’ at the time of the second follow-on review.   
 
Main Findings: 
Since the time of the last follow-on review, significant progress has been made to strengthen 
the controls within the Reimbursement of Expenses process.  A revised policy has been issued 
which, combined with greater scrutiny of claims by payroll staff, has addressed many of our 
original concerns.  As part of the project to upgrade the financial system an online expenses 
process was introduced in August 2010 replacing the paper based system.  Key controls such 
as limits and authorisation requirements have been built into the online process. 
_____________________________________________________________________ 
 
Reference:
 
 
IAS / 2010 / 207 
Title: 
Management of Health & Safety Follow-On Review 
 
Original Assessment: 
UNSATISFACTORY 
Follow-On Assessment: 
MARGINAL 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the recommendations 
which were agreed following the Review of Management of Health & Safety.  The main 
objective was to gain assurance that all of the recommendations had been implemented, in 
accordance with the agreed timetable.   
 
Main Findings: 
The original rating of ‘Unsatisfactory’ reflected only the specific areas of health & safety 
management looked at as part of our review, not that health & safety at UWS as a whole was 
unsatisfactory.  Since the time of the original review good progress has been made to address 
the issues raised. A more proactive role is being adopted with a forward plan setting out 
actions and timescales for not only recommendations from the original audit but addressing 
other issues identified by the H&SS team. Some recommendations had not yet reached their 
agreed target date at the time of the review however evidence was reviewed to ensure these 
were being addressed. 
 
18  
 

 
 
Reference:
 
 
IAS / 2011 / 201 
Title: 
Energy & Environmental Management Follow-On Review 
 
Original Assessment: 
MARGINAL 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the actions agreed 
following the Review of Energy & Environmental Management.  
 
Main Findings: 
Since the time of the original review, excellent progress has been made with most 
recommendations now being fully implemented.  The outstanding recommendations have yet 
to reach the agreed target date and will be reviewed when all dates have been reached.  
___________________________________________________________________________ 
 
Reference: 
 
IAS / 2011 / 202 
Title: 
Partnerships with Colleges Follow-On Review 
 
Original Assessment: 
MARGINAL 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine whether appropriate action had been 
taken to implement the recommendations agreed following the Review of Partnerships with 
Colleges.  
 
Main Findings: 
There has been significant change to the process since the time of the original review with   
the Marketing Manager (College Liaison) role now having little involvement in the process.  
A SFC funded project – the South West Articulation Hub (SWAH) - has now been set up, one 
of the aims of which is to establish strong partnership and collaborative initiatives between 
Colleges, universities and employers across the South West Region.  In addition collaborative 
activity is monitored through the Collaborative Forum, a committee of the Learning, 
Teaching and Assessment Board.  All of the underlying concerns in the original review have 
been addressed, however in a number of cases this has been through an alternative course of 
action e.g. SWAH rather than that agreed at the time of the original review. 
__________________________________________________________________________ 
 
Reference:
 
 
IAS / 2011 / 203 
Title: 
Tuition Fees Follow-On Review 
 
Original Assessment: 
SATISFACTORY 
Follow-On Assessment: 
SATISFACTORY 
2nd Follow-On Review 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the actions agreed 
following the Review of Tuition Fees.  The main objective of the review was to gain 
assurance that all of the recommendations have been implemented, in accordance with the 
agreed timetable. 
 
Main Findings: 
 
19  
 

 
The original target date agreed for 4 of the 8 recommendations had not yet passed at the time 
of this follow-on review.  The status of these recommendations was discussed and is reported 
as ‘in progress’.   Of the remaining 4 recommendations 3 have been fully implemented and 1 
partially implemented.  The partially implemented recommendation relates to the 
communication of the tuition fee policy which was delayed whilst legal advice was sought on 
a particular matter.  This has now been received and the policy can be communicated. 
 
A further follow-on review has been scheduled for April 2011 to confirm the status of the 
‘partially implemented’ and ‘in progress’ recommendations. 
_____________________________________________________________________ 
 
Reference: 
 
IAS / 2011 / 204 
Title: 
Space Management (Paisley & Hamilton Campuses) Follow-On 
 
Original Assessment: 
SATISFACTORY 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the actions agreed 
following the Review Space Management (Paisley & Hamilton Campuses).  The main 
objective of the review was to gain assurance that all of the recommendations have been 
implemented, in accordance with the agreed timetable. 
 
Main Findings: 
Good progress has been made since the time of the original review to address the 
recommendations made as part of the full review of Space Management.   Only one 
recommendation remains partially implemented with all others being fully implemented.  
Similar processes for Space Management are in place at both Paisley and Hamilton 
Campuses, although processes at Paisley Campus are more formal due to the higher demands 
on space. 
___________________________________________________________________________ 
 
Reference:
 
 
IAS / 2011 / 205 
Title: 
Recruitment and Admission of Postgraduate Research Students 
Follow-On Review 
 
Original Assessment: 
SATISFACTORY 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the actions agreed 
following the Review Recruitment and Admission of Postgraduate Research Students.  The 
main objective of the review was to gain assurance that all of the recommendations have been 
implemented in accordance with the agreed timetable.  
 
Main Findings: 
Since the time of the original review prompt action has been taken to address the issues 
raised.  All 6 recommendations have been implemented and no follow-on work is required. 
___________________________________________________________________________ 
 
Reference: 
 
IAS / 2011 / 206 
Title: 
Childcare Funds Follow-On Review 
 
Original Assessment: 
SATISFACTORY 
Follow-On Assessment: 
SATISFACTORY 
 
20  
 

 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the actions agreed 
following the Review of Childcare Funds.  The main objective of the review was to gain 
assurance that all of the recommendations have been implemented, in accordance with the 
agreed timetable. 
 
Main Findings: 
Good progress has been made to address the recommendations agreed as part of the Review 
of Childcare Funds.  6 of the 7 recommendations agreed with management had been fully 
implemented by the time of this follow-on review.  1 recommendation remains ‘partially 
implemented’ and this relates to the most appropriate reporting route for key statistics collated 
by Student Services.  This recommendation will continue to be tracked until it is closed.  No 
further follow-on reviews are scheduled. 
 
___________________________________________________________________________ 
 
Reference: 
 
IAS / 2011 / 207 
Title: 
Procurement Cards 2nd Follow-On Review 
 
Original Assessment: 
MARGINAL 
1st Follow-On Assessment: 
UNSATISFACTORY 
2nd Follow-On Assessment 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the actions reported as 
either ‘partially implemented’ or ‘not implemented’ at the time of the 1st Follow-On Review 
of Procurement Cards.  
 
Main Findings: 
Since the time of the 1st  follow-on review significant effort has been put in by the Finance 
team to address the remaining concerns and control over procurement cards has undoubtedly 
improved.  As a result only one recommendation remains as partially implemented with all 
others being fully implemented. 
 
___________________________________________________________________________ 
 
Reference: 
 
IAS / 2011 / 208 
Title: 
 Performance & Development Review Process Follow-On Review 
 
Original Assessment: 
MARGINAL 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this audit review was to determine the status of the actions agreed following 
the Review of Performance and Development Review Process 
 
Main Findings: 
The Director of HR proposed to address all of the 8 recommendations by providing additional 
guidance to CMT member, line managers and staff.  In particular, clarification of the role of 
CMT members in the PDR and PDP process was to be provided.  A number of 
communications have been issued reiterating the process and providing additional guidance.  
All agreed actions have been implemented. 
 
 
 
 
21  
 

 
 
Reference:
 
 
IAS / 2011 / 209 
Title: 
 ICT Fault Resolution Process Follow-On Review 
 
Original Assessment: 
MARGINAL 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this second follow-on review was to determine the status of the 
recommendations following the Review of ICT Fault Resolution.   
 
Main Findings: 
Since the time of the first follow-on review, good progress has been made towards addressing 
the remaining concerns.   
 
 
Reference:
 
 
IAS / 2011 / 210 
Title: 
 Management of Health & Safety Follow-On Review 
 
Original Assessment: 
MARGINAL 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this second follow-on review was to determine the status of the actions agreed 
following the Review of Management of Health & Safety.   
 
Main Findings: 
Good progress has been made to address the control concerns raised during the original 
review of management health and safety, and all 19 recommendations have now been 
implemented.   
 
 
 
 
 
 
 
 
 
 
 
 
 
22  
 

 
Appendix B 
COMPARISON OF PERFORMANCE AGAINST PLAN 
 
 
Full Audit Reviews 

Review 
Status 
Comment 
Strategic Planning – Business Planning Process 
Complete 
Reported to Audit Committee March 2011  
Risk Management – Control Measures 
Complete 
Reported to Audit Committee March 2011  
Development of Banner System 
Complete 
Reported to Audit Committee Sept 2011  
Data Protection 
Complete 
Reported to Audit Committee March 2011 
External Returns: Returns to SFC 
Complete 
Reported to Audit Committee Sept 2011 
Budget Preparation 
Complete 
Reported to Audit Committee Sept 2011 
Costing of Academic Operations 
Postponed 
Postponed due to additional time spent on revised follow-on process 
New Programme Development 
In Progress 
In progress at year end  
Recruitment & Admission of International Students 
Complete 
Reported to Audit Committee Sept 2011  
Performance & Development Review Process 
Complete 
Reported to Audit Committee Jan 2011 
IT Asset Control 
In Progress 
In progress at year end, due to be finalised shortly 
Relationship with Students Association 
Complete 
Reported to Audit Committee March 2011  
 
Follow-On Reviews 
Review 
Status 
Comment 
Partnerships with Colleges 
Complete 
Reported to Audit Committee  Jan 2011 
Management of Health & Safety 
Complete 
Reported to Audit Committee  Nov 2010 & Sept 2011 
Energy & Environmental Management 
Complete 
Reported to Audit Committee Nov 2011  
Student Attendance Monitoring 
Complete 
This follow-on work took the form of attendance at the various Student 
Attendance Monitoring workshop and completion of compliance testing 
on the International Student ‘Sign-In’ process. Reported to Audit 
Committee throughout year.  
Procurement Cards 
Complete 
Reported to Audit Committee May 2011  
ICT Fault Resolution 
Complete 
Reported to Audit Committee Sept 2011  
Software Inventory Management & Licence Control 
Complete 
This follow-on work took the form of attendance at meetings of the 
LANDesk Project Team – the project to install software inventory 
management. Progress reports provided to Audit Committee by Director of 
ICT Services throughout year.   
 
 

 
23  
 

 
Project Issues 
Project 
Status 
Comment 
Agresso System Upgrade Project 
Complete 
Reported to Audit Committee  May 2011  
Post Implementation Review 
 
 
Compliance Testing 

Process 
Status 
Comment 
Reimbursement of expenses 
Postponed 
Postponed due to additional time spend on revised follow-on process 
 
Other 
Fraud Awareness Programme 
In progress 
In progress at year end 
 
 
24  
 

  
APPENDIX C   
FEEDBACK QUESTIONNAIRE RESULTS 
 
 
 
 
Agree 
Neutral 
Disagree 
1. The audit objectives, purpose and scope were clearly 

 
 
communicated to me before the audit commenced. 
2. The audit team maintained an adequate level of 

 
 
communication throughout the audit. 
3. The personal conduct of the audit team was 

 
 
professional and courteous. 
4. The disruption of daily activities was minimised as 

 
 
much as possible during the audit. 
5. The draft audit report was delivered in a timely 

 
 
manner. 
6. Audit results were accurately reported and 

 
 
appropriate perspective was provided. 
7. The draft audit report was clearly written and 

 
 
logically organised. 
8. Audit recommendations were constructive and 

 
 
actionable. 
9. The draft audit report was adequately discussed and 

 
 
any problems resolved before the final report was 
formally issued. 
10. The final audit report was delivered in a timely 

 
 
manner. 
11. Internal audit demonstrated independence and 

 
 
objectivity in performing the audit. 
12. Overall, the audit ‘added value’ to my organisation 

 
 
/ process. 
 
 
General Comments: 
 
The audit process was comprehensive including extensive testing.  This has increased 
confidence that current processes are achieving their aims and has identified opportunities for 
process enhancements.   
 


  
 
 
INTERNAL AUDIT SERVICE 
 
 
 
 
 
  
 
 
Annual Internal Audit Report 
2011 / 2012  
 
September 2012   

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
CONFIDENTIAL 
The distribution of this report is restricted. 
Please do not copy or circulate without the prior permission of the Head of Internal Audit. 
 
 

  
 
 
TABLE OF CONTENTS 
 
 
1. INTRODUCTION…………………………………………………………. 

 
2. INTERNAL AUDIT SERVICE TERMS OF REFERENCE……………… 

 
3. STATEMENT OF ASSURANCE / OPINION……………………………. 

 
4. SUMMARY OF IAS ACTIVITY 
 
    4.1 AUDIT REVIEWS…………………………………………………….. 

    4.2 INVESTIGATION.............……………………………………………. 

    4.3 PROJECT ISSUES.................................………………………………. 

    4.4 AD-HOC CONSULTANCY / ADVICE ……………………………… 

 
 
5. SUMMARY OF AUDIT RESULTS  
 
    5.1 FULL REVIEWS / AD-HOC REVIEWS……………………………... 

    5.2 RECOMMENDATIONS………………………………………………. 

    5.3 FOLLOW-ON REVIEWS …………………………………………….. 

 
6. COMMON WEAKNESSES……………………………………………….. 

 
7. COMPARISON WITH 2011/2012 ANNUAL INTERNAL AUDIT PLAN 

 
8. PERFORMANCE MEASURES…………………………………………… 
10 
 
 
9. STAFFING ISSUES……………………………………………………… 
10 
 
10. SUMMARY OF 2012/2013 ANNUAL INTERNAL AUDIT PLAN……. 
11 
 
 
 

  
1. INTRODUCTION 
 
This annual report has been prepared by the Head of Internal Audit Service (IAS) and is 
intended to meet two objectives: 
 
7.  To provide the University Court and Principal, through the Audit Committee, with a 
formal opinion on the adequacy and effectiveness of the University’s arrangements 
for:  •  Risk management, control and governance; 
•  Economy, efficiency and effectiveness (value for money) 
 
8.  To provide the University Court and Principal, through the Audit Committee, with a 
summary of the activities of the IAS for the financial year ended 31st July 2012.  
 
Submission of an annual report by the Head of IAS is a requirement of the UWS IAS Terms 
of Reference and is recommended good practice (as highlighted in the Committee of 
University Chairmen Handbook for Members of Audit Committee in Higher Education 
Institutions, HEFCE Code of Audit Practice and guidance issued by the Institute of Internal 
Auditors). 
 
 
 
2. INTERNAL AUDIT SERVICE TERMS OF REFERENCE  
 
The purpose of the IAS is to provide an objective, independent appraisal of the institution’s 
activities, financial or otherwise, focusing on the arrangement for risk management, control 
and governance.   
 
To provide the required assurance, the IAS undertakes a risk-based programme of work, 
authorised by the Audit Committee on behalf of the University Court.  The programme of 
work has the following objectives: 
 
•  To appraise the soundness, adequacy and application of the governance, risk 
management and internal control arrangements. 
•  To ascertain the extent to which the system of internal control ensures compliance 
with established policies and procedures, laws and regulations. 
•  To ascertain the extent to which the assets and interests entrusted to, or funded by the 
University are properly controlled and safeguarded from losses arising from 
improprieties, including fraud, irregularity or corruption. 
•  To ascertain that accounting and other financial information is reliable as a basis for 
producing accounting and financial, statistical and other returns. 
•  To ascertain the integrity and reliability of financial and other information provided 
to management, including that used in decision-making. 
•  To ascertain that systems of control are laid down and operate to promote the 
economic, efficient and effective use of resources. 
 
 
 
3. STATEMENT OF ASSURANCE 
 
The Head of IAS is required to provide the University Court and the Principal with assurance 
as to the adequacy and effectiveness of the arrangements for risk management, control and 
governance.  In giving this opinion, it should be noted that this assurance can never be 
absolute.  The most that the IAS can provide is a reasonable assurance that no major 
 

 
weaknesses have been identified in the risk management, internal control or governance 
arrangements or where weaknesses have been identified, these are being addressed. 
 
In assessing the level of assurance that can be given, the following is taken into account: 
•  The results of all audits undertaken during the period 
•  The results of all audits undertaken during previous periods 
•  Any follow up action taken in respect of audits from the current and previous periods 
•  Representations from management, both written and verbal, as to corrective action taken 
or to be taken in response to IAS recommendation which have yet to be confirmed by 
internal audit review. 
 
In addition consideration is also given to: 
•  Any recommendations not accepted by management and the consequent risks 
•  Any limitations which may have been placed on the scope of internal audit 
•  The proportion of the University’s audit need covered to date 
 
A variety of sources of evidence are considered when assessing the level of assurance that can 
be given and opinions are based on evidence gathered through the whole activity and work of 
the IAS (whether formal audit reviews, ad hoc consultancy / advice or evidence gathered 
through being an in-house service). 
 
The Head of IAS is satisfied that our work to date allows us to draw a reasonable conclusion 
as to the adequacy and effectiveness of the University’s risk management, control and 
governance arrangements, and on value for money processes. 
 
 
Opinion: 
 
Risk Management 
Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods and other sources of evidence, in my opinion, reasonable 
assurance can be given that the risk management arrangements are adequate and effective, 
provided the weaknesses that have been identified during the period are addressed. 
 
Governance 
Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods and other sources of evidence, in my opinion, reasonable 
assurance can be given that the governance arrangements are adequate and effective. 
 
Control 
Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods and other sources of evidence (including management 
representations) in my opinion, reasonable assurance can be given that the internal control 
arrangements are adequate and effective, provided the weaknesses that have been identified 
during the period are addressed.   
 
Value for Money 
Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods and other sources of evidence, in my opinion, the University 
appears to have adequate arrangements in place to promote and secure value for money.  
 
 
 
 
 
2  
 

 
These opinions are based on a programme of audit work which was delivered: 
•  In accordance with the approved annual internal audit plan (which was derived from a 
systematic risk assessment of all auditable areas) 
•  By suitably experienced and qualified internal auditors  
•  In accordance with the processes outlined in the UWS IAS Procedures Manual (based on 
best practice guidance as outlined by the Committee of University Chairmen and the 
Institute of Internal Auditors). 
 
 
4. SUMMARY OF IAS ACTIVITY 
 
2011 / 2012 has again been a busy year for the Internal Audit Service.  This section provides a 
summary of IAS work undertaken during the year. 
 
4.1 Audit Reviews: 
 
During the year ended 31st July 2012, a total of 17 audit reviews were completed. This 
included 9 full reviews and 8 follow-on reviews.  1 review from the 2011/2012 Annual 
Internal Audit Plan was still in progress at the end of this financial year and is excluded from 
this total.   
 
The reviews completed during 2011/2012 are listed in the table below: 
 
 
 
Reference 
Title 
Type 
IAS / 2011 / 112  Review of IT Asset Management 
Full 
IAS / 2012 / 101  Review of New Programme Development 
Full 
IAS / 2012 / 102  Review of Equality & Diversity: Equality Scheme  
Full 
IAS / 2012 / 103  Review of Risk Management (Control Measures) 2012 
Full 
IAS / 2012 / 104  Review of Mitigation Process 
Full 
IAS / 2012 / 105  Review of Compliance to Student Engagement Policy 
Full 
IAS / 2012 / 106  Review of Payments to Suppliers 
Full 
IAS / 2012 / 107  Review of Procurement (Supplier Selection) 
Full 
IAS / 2012 / 109  Review of Enabling Support Processes 
Full 
 
 
 
IAS / 2012 / 201  Relationship with Students Association Follow-On 
Follow-On 
IAS / 2012 / 202  Data Protection Follow-On Review 
Follow-On 
IAS / 2012 / 203  Tuition Fees (Fee Waivers) Follow-On Review 
Follow-On 
IAS / 2012 / 204  Risk Management (Control Measures) 2011 Follow-On 
Follow-On 
IAS / 2012 / 206  Business Planning Process Follow-On 
Follow-On 
IAS / 2012 / 207  Recruitment & Admission (International Students)  
Follow-On 
IAS / 2012 / 208  Banner System Development Follow-On Review 
Follow-On 
IAS / 2012 / 209  Budget Preparation Follow-On Review 
Follow-On 
Table 1: Audit Reviews completed during 2011 / 2012 
 
Comparative figures for the four previous financial years are outlined in table 2 below: 
 
Audit  
FY 11/12 
FY 10/11 
FY 09/10 
FY 08/09 
FY 07/08 
Total 
Reviews 
Full 

11 
10 

10 
48 
Follow-On 

12 



35 
Ad-Hoc 






Total 
17 
23 
15 
18 
14 
87 
Table 2: Analysis of number of audit reviews completed per financial year 
 
3  
 

 
A summary of audit findings in respect of the above reviews can be found at Section 5 of this 
report.  All reports, incorporating management responses where appropriate have been 
submitted to and considered by the Audit Committee during the financial year. In addition, 
the results of all audits have been formally reported to the relevant managers.  An executive 
summary highlighting the key findings from each review can be found in Appendix A
 
4.2 Investigation 
During the year, the IAS completed an investigation at the request of the University’s Fraud 
Response Group into the activities of a former member of staff.  The results of the 
investigation were discussed at a meeting of the University’s Fraud Response Group, and at 
the Audit Committee, and the matter is currently being progressed by the police.  
 
4.3 Project Issues: 
The Head of Internal Audit Service met regularly with the Project Manager for the HR / 
Payroll System project throughout the year and attended a number of Project Team Meetings 
and Project Board meetings.   
 
4.4 Ad-Hoc Consultancy / Advice on risk management, control and governance: 
In addition to our planned audit work, the IAS also provides advice on governance, internal 
control and risk management issues throughout the year, as required.  Requests for advice are 
received on both a formal and informal basis.  During 2011/2012, additional work included 
discussions with QEU regarding the Subject Health Review process, commenting on a 
number of draft policies and procedures, and regular discussions with staff from the Finance 
Office and Procurement Team.   
 
 
 
5. SUMMARY OF AUDIT RESULTS 
 
5.1 Full Reviews / Ad-Hoc Reviews 
 
9 full audit reviews were completed during the year.  An overall grading is issued for each 
audit review, where applicable, to provide a summary opinion on the adequacy and 
effectiveness of the internal control system in place. 
The following categories of overall grading are used: 
 
Superior 
Controls / procedures accord with accepted good practice and are 
operating to a high standard. 
Satisfactory 
Controls / procedures generally accord with accepted good practice but 
certain matters are noted as requiring improvement. Key control points 
are in place. 
Marginal 
Some controls / procedures in place have material weaknesses and / or 
deficiencies which, if not resolved, could lead to an unsatisfactory 
position. 
Unsatisfactory 
Controls / procedures in place offer scope for considerable improvement 
and concern is expressed about their adequacy.  The control system has 
fundamental weaknesses. 
 
 
Overall gradings awarded during the year for full audit reviews and ad-hoc reviews are 
summarised in Table 3 below.  Statistics for the previous financial year and cumulative to 
 
4  
 

 
date are also detailed for comparative purposes. Cumulative total includes all audit gradings 
awarded since the formation of the in-house internal audit service in 2004.   
 
Grading 
2011/2012 
2010/2011 
To Date 
Superior 



Satisfactory 


34 
Marginal 


19 
Unsatisfactory 


10 
Not Applicable 



Total 

12 
72 
Table 3: Summary of audit gradings (full reviews) 
 
58% of full audit reviews completed to date have received either a ‘Superior’ or ‘Satisfactory’ 
rating.        
 
The overall assessment for each individual review completed during 2011 / 2012 is detailed 
Table 4 below.   
 
Reference 
Title 
Grading 
IAS / 2011 / 112  Review of IT Asset Management 
Unsatisfactory 
IAS / 2012 / 101  Review of New Programme Development 
Satisfactory 
IAS / 2012 / 102  Review of Equality & Diversity: Equality Scheme 
Satisfactory 
IAS / 2012 / 103  Review of Risk Management (Control Measures)2012 
Marginal 
IAS / 2012 / 104  Review of Mitigation Process 
Unsatisfactory 
IAS / 2012 / 105  Review of Compliance to Student Engagement Policy 
Satisfactory 
IAS / 2012 / 106  Review of Payments to Suppliers 
Satisfactory 
IAS / 2012 / 107  Review of Procurement (Supplier Selection) 
Satisfactory 
IAS / 2012 / 109  Review of Enabling Support Processes 
Marginal 
Table 4: Results of Full Audit Reviews completed during 2011 / 2012  
 
No ‘Superior’ ratings were awarded during the year.  5 full audit reviews received a 
‘Satisfactory’ rating.  2 full audit reviews received a ‘Marginal’ rating and 2 received an 
‘Unsatisfactory’ rating. 
 
Time has been allocated in the 2012/2013 Annual Internal Audit Plan to complete follow-on 
work for all of the full reviews completed during 2011/2012.     
 
 
5.2. Recommendations: 
 
108  formal audit recommendations were issued and accepted during the year.  The 
significance of each audit recommendation is graded in accordance with the following 
criteria: 
 
Grade 1 
Severe weaknesses which must be addressed immediately 
Grade 2 
Serious failings within the system which should be dealt with in the short term 
Grade 3 
Areas which warrant management attention but not immediate action 
 
 
Table 5 below summarises the gradings of our recommendations for each full audit completed 
during the period.  Statistics for the previous financial year and cumulative figures to date are 
also detailed for comparative purposes. 
 
 
5  
 

 
Review 



Total 
Review of IT Asset Management 



16 
Review of New Programme Development 




Review of Equality & Diversity: Equality Scheme 




Review of Risk Management (Control Measures) 2012 




Review of Mitigation Process 

18 

24 
Review of Compliance to Student Engagement Policy 




Review of Payments to Suppliers 



13 
Review of Procurement (Supplier Selection) 

10 

12 
Review of Enabling Support Processes 

15 

16 
2011/2012 Total 

75 
28 
108 
Cumulative to date 
58 
419 
177 
654 
Table 5: Analysis of Audit Recommendations 
 
A total of 108 audit recommendations were issued and agreed during the year – an increase 
on the number issued during the previous year (72) and  above the annual average (88 per 
year).  This is largely due the two ‘Unsatisfactory’ reviews (there were no unsatisfactory 
ratings awarded during 2010/2011) and also an increase in the average number of 
recommendations issued in ‘Satisfactory’ reviews.   
 
The status of all recommendations issued during the year will be followed-up during 2012 / 
2013.  
 
 
5.3 Follow-On Reviews: 
 
8 follow-on reviews were completed during the year.  The purpose of a follow-on review is to 
determine whether appropriate action has been taken to implement the recommendations 
agreed following a full review, in accordance with the agreed timetable.   
 
The results of the follow-on reviews completed during the year are summarised in the Table 6 
below. 
 
Review 
Original Grading 
Follow-On Grading 
Relationship with Students Association 
Satisfactory 
Satisfactory 
Data Protection  
Marginal 
Satisfactory 
Tuition Fees (Fee Waivers)  
Satisfactory 
Satisfactory 
Risk Mgmt (Control Measures) 2011 
Marginal 
Marginal 
Business Planning Process 
Marginal 
Marginal 
Recruitment & Admission (Intl Students) 
Marginal 
Marginal 
Banner System Development 
Satisfactory 
Satisfactory 
Budget Preparation & Approval 
Marginal 
Satisfactory 
Table 6: Summary of Follow-On Reviews 
 
In the 2009/2010 Annual Internal Audit Report, we raised a concern was the results of the 
follow-on reviews completed in that year were generally disappointing.  As a result, the 
follow-on process was changed to include a follow-on review for every full audit, and the 
timing of follow-on reviews was expedited from 12 months to 6 months.  2010/2011 follow-
on review results showed a significant improvement.  However, as shown in the table above, 
the results of the follow-on reviews completed during 2011/2012 again raise concern that 
action is not always being taken to implement agreed audit recommendations, or that the 
action is not being taken within the timescales originally agreed. The rating remains 
‘Marginal’ for 3 of the 8 follow-on reviews completed during the year, and in another follow-
 
6  
 

 
on review (Relationship with Students Association) although the rating remains Satisfactory, 
no action had been taken to address either of the two recommendations.     
 
The detailed results of the follow-on reviews completed during the year are summarised in 
Table 7 below: 
 
Recommendation Status: 
Review 

Implemented 
Partially 
Not 
Total 
or In Progress 
Implemented 
Implemented 
 
Relationship with Students 




Association 
Data Protection 



10 
Tuition Fees (Fee Waivers) 




Risk Management (Control 




Measures) 2011 
Business Planning Process 



10 
Recruitment & Admission 



14 
of International Students 
Banner System 




Development 
Budget Preparation 




Total 
38 
16 

57 
Percentage 
67% 
28% 
5% 
 
Table 7: Summary of Follow-On Review results 
 
67% of recommendations have been confirmed as fully implemented or are in progress.   
Recommendations are only reported as ‘in progress’ where the original target date has not yet 
passed.  In cases where work is ongoing and the target date has passed, the recommendation 
status is reported as ‘partially implemented’.   
 
 
6. COMMON WEAKNESSES 
 
At the end of each year, we review the issues raised in audit reports during the year to identify 
any common weaknesses or themes.  For 2011/2012, 3 common issues have been identified, 
as follows: 
 
• 
L
ack of clearly defined processes and / or lack of adequate guidance for staff and / or 
students.   
• 
W
eaknesses in background research, due diligence etc – lack of evidence-based work 
and lack of supporting documentation. 
• 
 
Agreed audit recommendations not implemented fully, or not implemented within 
original timeframe.   
 
 
7. COMPARISON WITH 2011 / 2012 ANNUAL INTERNAL AUDIT PLAN 
 
 
7  
 

 
The 2011/2012 plan was partially achieved, with 20 of the 25 planned activities completed 
during the year or in progress at the year end and almost complete.   
 
The achievements of the IAS in comparison with the plan are detailed in Appendix B and a 
summary is provided below. 
 
Full Reviews: 
The 2011 / 2012 plan included 13 full reviews. 9 of these were completed during the year.  At 
the May meeting of the Audit Committee, it was agreed to postpone 3 reviews as the Annual 
Audit Plan was behind schedule.  The 1 remaining review –  Review of ICT Policies & 
Procedures was due to commence early August however, due to the ongoing work following 
the Review of IT Asset Management, it was decided not to commence another audit review 
involving the ICT Services Operations team at this time.   
 
Follow-On Reviews: 
The 2011/2012 plan included 8 follow-on reviews.  All follow-on reviews were completed as 
scheduled.   
 
Project Issues: 
Time was allocated within the 2011/2012 plan to project issues – specifically relating to the 
HR / Payroll System Project.  This work was completed as scheduled.  
 
Compliance Testing: 
The 2011 / 2012 plan included compliance testing on the international students ‘sign-in’ 
process.  During the year, the Head of Widening Participation & Admissions led a ‘Mock 
UKBA audit’ exercise and the international students sign-in process was considered as part of 
that exercise.  As a result, we did not complete this compliance testing as planned.  However, 
we used the time allocated for this compliance testing for other UKBA related activities.  This 
included assisting the Head of Widening Participation & Admissions with the selection of 
samples, and providing guidance to the UKBA Compliance Officer.   
 
Fraud Awareness Programme: 
Time was included in the 2011/2012 plan for further Fraud Awareness sessions (In 
2009/2010, the IAS team commenced a Fraud Awareness Programme across the University – 
10 sessions were held for staff).  Although some background work has been undertaken 
during the year to update the presentation materials, it has not been possible to hold the 
additional sessions planned due to other priorities.   
 
 
Looking at the activities of the IAS as a whole, I think the comparison with the 2011 / 2012 
plan shows a reasonably good outcome, given the additional work undertaken during the year 
that was not included in the original plan (particularly the fraud investigation) and also given 
the additional time required to complete a number of audit reviews.    
 
The diverse range of activities completed during the year provides a sufficient basis for 
forming the opinions required in this report. 
 
 
 
8. PERFORMANCE MEASUREMENTS  
The Audit Committee previously approved five performance measurements to monitor the 
efficiency and effectiveness of the IAS on an ongoing basis, as follows:  
 
16.  Feedback Questionnaire 
17.  Progress Against Agreed Annual Plan 
 
8  
 

 
18.  Issue of Draft Reports 
19.  Issue of Final Reports 
20.  Recommendations Agreed By Management 
1. Feedback Questionnaire 
A feedback questionnaire is issued following audit assignments to give management an 
opportunity to comment on the audit process.  At the time of this report, 5 questionnaires had 
been returned during the year.  Results are summarised in Appendix C.  All 5 respondents 
agreed with the statement ‘Overall, the audit added value to my organisation / process’.   
 
 
2. Progress Against Agreed Annual Plan 
Progress against the agreed annual plan has been reported at each Audit Committee meeting 
throughout the year.   
 
 
9.  Issue of Draft Reports 
81% of draft reports were issued within 10 days of the date of the audit closure meeting (PY 
75%).  3 reports exceeded this target.  In 2 cases, the preparation of the draft reports was 
delayed due to the requirement to complete a fraud investigation.  In the third case, the draft 
report was delayed due to annual leave.  
 
10.  Issue of Final Reports 
88% of final reports were issued within 10 days of final management comments being 
received (PY95%).  2 reports exceeded this target, both of which were delayed due to annual 
leave.  
 
11.  Recommendations Agreed By Management 
95% of recommendations issued in draft audit reports were agreed by management.  114 
recommendations were issued in draft audit reports.  6 of these were omitted from the final 
audit reports following discussions with management and provision of additional supporting 
documentation.   
 
 
In addition to the five performance measurements reported above which focus on the 
effectiveness and efficiency of the IAS, we also measure timeliness of management response 
to draft audit reports. 
 
 
12.  Timeliness of Management Response to Draft Report    
When a draft report is issued, managers are requested to submit their response to the 
recommendations and any other comments within 10 working days.  Of the draft reports 
issued during 2011/2012, 75% of comments were received within 10 working days.   
 
 
 
 
9. STAFFING ISSUES 
 
The IAS currently has a staff complement of 2.13 FTE and 3 members of staff, all working on 
a part-time basis.  There are 3 permanent posts – Head of IAS, Senior Internal Auditor and 
Assistant Internal Auditor.   
 
Each member of the department has a documented personal development plan and training 
and development activity is monitored throughout the year.   
 
 
9  
 

 
 
 
 
10. 2012 / 2013 ANNUAL INTERNAL AUDIT PLAN 
 
A summary of the draft 2012 / 2013 Annual Internal Audit Plan is set out below. 
 
Full Audit Reviews: 
 
Review 
Category 

Risk Management 
Corp Gov, Strategy etc 

Bribery Act 
Compliance 

Copyright 
Compliance 

Reimbursement of Expenses 
Financial 

Payroll 
Financial 

TRAC / Full Economic Costing 
Financial 

Academic Results Processing - Moderation 
Academic 

Study Abroad 
Academic 

Plagiarism 
Academic 
10  Asset Management (Non IT Assets) 
Support 
11  Printing 
Support 
12  Approval & Monitoring of Project Expenditure 
Ad-Hoc 
 
Follow-On Audit Reviews: 
 
Review 
Category 

Risk Management (Control Measures) 2012 
Corp Gov, Strategy etc 

Data Protection 
Compliance 

Equality & Diversity: Equality Scheme  
Compliance 

Payments to Suppliers 
Financial 

New Programme Development 
Academic 

Mitigation Process 
Academic 

Compliance to Student Engagement Policy 
Academic 

Recruitment & Admission of International Students 
Support 

Procurement (Supplier Selection) 
Support 
10  Enabling Support 
Support 
11  IT Asset Management 
Support 
12  Relationship with Students Association 
Ad-Hoc 
 
The overall objective of the plan is to effectively and efficiently deploy internal audit 
resources to meet the responsibilities of the service.  The preparation of the plan involved an 
update of the Audit Universe, a comprehensive risk assessment of each process in the audit 
universe and discussions with senior members of staff and other stakeholders. 
 
The detailed plan has been submitted to the Audit Committee for approval. 
 
 
 
10  
 


 
 
 
 
INTERNAL AUDIT SERVICE 
 
 
 
 
 
  
 
 
Annual Internal Audit Report 
2011/2012 
 
Appendices 

 
September 2012 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
CONFIDENTIAL 
The distribution of this report is restricted. 
Please do not copy or circulate without the prior permission of the Head of Internal Audit. 
 
11  
 

 
CONTENTS 
 
 
Appendix A………………  Audit Reports – Executive Summaries 
 
Appendix B ……………...  Comparison of Performance Against Plan 
 
Appendix C ……………...  Feedback Questionnaire Results 
 
 
 
12  
 

 
APPENDIX A: 
 
AUDIT REPORTS – EXECUTIVE SUMMARIES 
 
 
Reference: 
IAS / 2011 / 112 
Title:   
Review of IT Asset Management 
 
Overall Assessment: 
UNSATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the review was to identify and appraise the adequacy, reliability and 
effectiveness of the IT asset management process. 
 
Main Findings: 
A number of significant issues were identified and concern was expressed over the general 
lack of effective controls in this process.  No policy or procedures were documented.  Mobile 
devices are not currently recorded on an asset register.  There were number of concerns with 
the current asset register (LANDesk) and the processes surrounding the delivery of new 
assets.  No verification process was in place to ensure the continued existence of IT assests. 
 
No of recommendations: 
16 
__________________________________________________________________________ 
 
Reference: 
IAS / 2012 / 101 
Title:   
Review of New Programme Development 
 
Overall Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this review was to identify and appraise the adequacy, reliability and 
effectiveness of the process for the development of new programmes.  The review covered the 
end-to-end process from first consideration of a new programme proposal through to final 
approval by the Learning, Teaching & Assessment Board and communication of newly 
approved programmes. 
 
Main Findings: 
The process for the development of new programmes has been carefully thought out and 
clearly defined.  A clear template has been prepared and guidance provided to staff is 
generally of a high quality.  There were however some areas which warranted management 
attention. 
 
No of recommendations: 

___________________________________________________________________________ 
 
Reference: 
IAS / 2012 / 102 
Title:   
Review of Equality & Diversity: Equality Scheme & Implementation Plan 
 
Overall Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The overall purpose of this review was to determine whether adequate steps have been taken 
to ensure that the University complies with the requirements of the Equality Act 2010. 
 
Main Findings: 
A significant amount of work has been undertaken particularly by the Equality & Diversity 
Co-ordinator to ensure that the University addresses equality & diversity issues.  An Equality 
 
13  
 

 
Scheme has been documented and approved and a detailed Equality Scheme Implementation 
Plan has been prepared.  Progress against plan is monitored and a variety of approaches have 
been taken to engage and involve staff and students in equality & diversity issues.  However 
some issues were identified during the review for management attention. 
 
No of recommendations: 


___________________________________________________________________________ 
 
Reference: 
IAS / 2012 / 103 
Title:   
Review of Risk Management (Control Measures) 2012  
 
Overall Assessment: 
MARGINAL 
 
Audit Objectives and Scope: 
This review was not a full review of the risk management process in its entirety.  The purpose 
of this review was to provide assurance to the Audit Committee and Court that appropriate 
action has been taken to implement the mitigating control measures that have been identified 
in the University risk register. 
 
Main Findings: 
We identified a number of concerns relating to the control measures identified to mitigate the 
risks we reviewed.  We have a general concern that the six-monthly update of the risk register 
is too much of a paper exercise, particularly regarding local Faculty / Departmental Risk 
Registers.  In some cases the list of control measures is essentially a ‘wish list’ rather than a 
list of measures currently in place.  Responsibility for control measures should be allocated to 
an individual or small group where possible to increase the likelihood of implementation and 
enable more effective monitoring of status. 
 
No of recommendations: 

___________________________________________________________________________ 
 
Reference: 

 
IAS / 2012 / 104 
Title:   
 
Review of Mitigation Process 
 
Overall Assessment: 
UNSATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this review was to consider the adequacy, reliability and effectiveness of the 
mitigation process at UWS. 
 
Main Findings: 
Our review identified a number of significant control issues and concern is expressed about 
the effectiveness of the current process. In particular it is not clear who currently ‘owns’ the 
process.  The end-to-end process has not been clearly defined and documented.  There is a 
lack of clarity regarding what is considered to be appropriate supporting documentation 
which has resulted in inconsistencies in the type of documentation accepted.  In addition 
inconsistent decisions were in evidence within individual faculties as well as across faculties.  
There is also a lack of guidance to assist member of Faculty Mitigation panels in their 
decisions.  A number of concerns were identified regarding the operation of Faculty 
Mitigation Panels including poor attendance, membership which did not meet regulation 14 of 
the Regulatory Framework and the absence of minutes of meetings. 
   
No of recommendations: 
24 
___________________________________________________________________________ 
 
 
14  
 

 
Reference: 
 
IAS / 2012 / 105 
Title:   
 
Review of Compliance to Student Engagement Policy 
 
Overall Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the review was to determine the level of compliance to the new Student 
Engagement Policy & Procedure.   
 
Main Findings: 
The process has largely been implemented on a school basis rather than a faculty basis and 
whilst there is some variation in the process that has been implemented, this is to be expected 
due to the variation in types of modules.  Results were generally satisfactory however our 
review identified a number of areas that warrant management attention.  
 
No of recommendations:
 

___________________________________________________________________________ 
 
Reference:
 
 
IAS / 2012 / 106 
Title:   
 
Review of Payment to Suppliers 
 
Overall Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the review was to identify and appraise the adequacy, reliability and 
effectiveness of the internal control system surrounding the payments to suppliers process.  
 
Main Findings: 
The payments to supplier process is generally well controlled.  Many of the controls in the 
process are built into the Agresso system including authorisation of purchase orders by budget 
holders, matching of invoices to purchase orders and confirmation that goods / services have 
been received prior to releasing payment.  There is good segregation of duties throughout the 
process and the proposed payment run is reviewed and approved prior to release.  However 
we identified some areas where controls could be strengthened.  
 
No of recommendations: 

___________________________________________________________________________ 
 
Reference: 
 
IAS / 2012 / 107 
Title: 
Review of Procurement (Supplier Selection) 
 
Overall Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this review was to identify and appraise the adequacy, reliability and 
effectiveness of the internal control system surrounding the selection of suppliers.   
 
Main Findings: 
The supplier selection process has been clearly defined in the UWS Procurement Policy and 
comprehensive guidance is provided in the Procurement Procedures Manual on the step-by-
step process to be followed.  Our audit identified some of areas of non-compliance with the 
defined policy and procedure and also identified a number of areas where the internal controls 
in the process need to be strengthened.   
 
No of recommendations:
 
12 
 
15  
 

 
Reference: 
 
IAS / 2012 / 109 
Title:   
 
Review of Enabling Support Processes  
 
Overall Assessment: 
MARGINAL 
 
Audit Objectives and Scope: 
The purpose of this review was to  identify and appraise the adequacy, reliability and 
effectiveness of the enabling support processes at UWS. 
 
Main Findings: 
The current Enabling Support Team Leader was appointed REDACTED S38(1)(b), following 
a difficult period for the team due to the absences of a team leader for some time.  Since her 
appointment, the Team Leader has spent time considering the processes in place and a 
number of changes have recently been introduced.  Our review identified a number of 
weaknesses in key controls and highlighted a number of areas that could be strengthened.  
 
No of recommendations: 
16 
____________________________________________________________________ 
 
Reference:
 
 
IAS / 2012 / 201  
Title: 
Relationship with Students Association Follow-On Review 
 
Original Assessment: 
SATISFACTORY 
1st Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the follow-on review was to determine the status of the actions agreed 
following the Review of Relationship with Students Association. 
 
Main Findings: 
At the time of the original review, the University Secretary was responsible for managing the 
relationship with SAUWS. Following the retirement of the University Secretary, 
responsibility has passed to the Dean of Students.  However the Dean of Students was not 
aware of the audit recommendations until the time of the follow-on review.  Revised target 
dates have been agreed and the recommendations are now being progressed. 
 
_____________________________________________________________________ 
 
Reference:
 
 
IAS / 2012 / 202 
Title: 
Data Protection Follow-On Review 
 
Original Assessment: 
MARGINAL 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the recommendations 
which were agreed following the Review of Data Protection.  The main objective was to gain 
assurance that all of the recommendations had been implemented, in accordance with the 
agreed timetable.   
 
Main Findings: 
Good progress has been made to address the recommendations following the Review of Data 
Protection.  The Data Protection Policy & Procedure has been expanded, a number of training 
sessions have been held and further sessions are scheduled for the near future.  The FOI & 
Records Manager ahs analysed the results of the Data Protection compliance questionnaire 
 
16  
 

 
circulated by the IAS team as part of the audit, and has identified appropriate follow-on 
actions which are progressing. 
 
______________________________________________________________________  
 
Reference:
 
 
IAS / 2012 / 203 
Title: 
Tuition Fees 3rd Follow-On Review 
 
Original Assessment: 
SATISFACTORY 
 1st Follow-On Assessment: 
SATISFACTORY 
 2nd Follow-On Assessment: 
SATISFACTORY 
 3rd Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the 4 recommendations 
which were reported as ‘partially implemented’ at the time of the second follow-on review.  
 
Main Findings: 
Good progress has been made to address the control concerns raised during the original 
review of tuition fees and all 8 recommendations have now been implemented. 
___________________________________________________________________________ 
 
Reference: 
 
IAS / 2012 / 204 
Title: 
Risk Management (Control Measures) 2011 Follow-On Review 
 
Original Assessment: 
MARGINAL 
Follow-On Assessment: 
MARGINAL 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine  the status of the actions agreed 
following the Review of Risk Management (Control Measures) 2011.  The main objective of 
the review was to gain assurance that all of the recommendations have been implemented, in 
accordance with the agreed timetable.  
 
Main Findings: 
Both of the recommendations have been partially implemented by the time of this follow-on 
review. 
__________________________________________________________________________ 
 
Reference:
 
 
IAS / 2012 / 206 
Title: 
Business Planning Follow-On 
 
Original Assessment: 
MARGINAL 
Follow-On Assessment: 
MARGINAL 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the actions agreed 
following the Review of Business Planning Process.  The main objective of the review was to 
gain assurance that all of the recommendations have been implemented, in accordance with 
the agreed timetable. 
 
Main Findings: 
6 of the original 10 recommendations were fully implemented during the 2011 / 2012 
planning cycle.  However a number of the recommendations are reported as ‘partially 
implemented’ and some issues still remain.  This primarily relates to the review / feedback 
 
17  
 

 
stages of the process, and to ongoing monitoring of implementation of business plans.  
Further consideration should be given as to how the review / feedback stages of the process 
could be strengthened, and to ensuring that all business plan authors understand how 
implementation of business plans is being monitored. 
 
___________________________________________________________________________ 
 
Reference:
 
 
IAS / 2012 / 207 
Title: 
Recruitment and Admission of International Students Follow-On 
Review 
 
Original Assessment: 
MARGINAL 
Follow-On Assessment: 
MARGINAL 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the actions agreed 
following the Review Recruitment and Admission of International Students.  The main 
objective of the review was to gain assurance that all of the recommendations have been 
implemented in accordance with the agreed timetable.  
 
Main Findings: 
Since the time of the original review there has been a significant amount of change in this 
process.   
 
Responsibility for international activities now lies with the Vice-Principal 
(Internationalisation).  Some progress has been made towards implementing the 
recommendations relating to the recruitment side of the process however with much of the 
focus on documenting an Internationalisation Strategy and Action plan and the extended leave 
of the REDACTED S38(1)(b) progress has been slower than anticipated. 
 
Good progress has been made to address the recommendations relating to the Admissions side 
of the process although work is ongoing for a number of recommendations.  With the 
appointment of a  Head of Widening Participation & Admissions and the move to an online 
process, a number of changes have been made resulting in a more efficient process. 
 
A number of the recommendations that are still outstanding relate to strengthening process 
surrounding the appointment and monitoring of recruitment agents. 
___________________________________________________________________________ 
 
Reference: 
 
IAS / 2012 / 208 
Title: 
Banner System Development Follow-On Review 
 
Original Assessment: 
SATISFACTORY 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the actions agreed 
following the Review of Banner System Development.  The main objective of the review was 
to gain assurance that all of the recommendations have been implemented, in accordance with 
the agreed timetable. 
 
Main Findings: 
The original audit report fort the Review of Banner System Development contained only 4 
recommendations, all of which were grade 3 (areas which warrant management attention but 
do not require immediate action).  All 4 recommendations have been fully implemented. 
 
18  
 

 
Reference: 
 
IAS / 2012 / 209 
Title: 
Budget Preparation & Approval Follow-On Review 
 
Original Assessment: 
MARGINAL 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this follow-on review was to determine the status of the actions agreed 
following the Review of Budget Preparation & Approval.  The main objective of the review 
was to gain assurance that all of the recommendations have been implemented, in accordance 
with the agreed timetable.   
 
Main Findings: 
A number of changes have been made to strengthen the budget preparation process since the 
time of the original review.  In particular, detailed budget guidelines have been prepared 
which define the process and provide a timetable and guidance on the responsibilities of 
budget holders and the Finance Department.  Finance staff have been meeting budget holders 
to discuss requirements for the forthcoming year. 
 
 
 
19  
 

 
Appendix B 
COMPARISON OF PERFORMANCE AGAINST PLAN 
 
 
Full Audit Reviews 

 
Category 
Review 
Status 
Comment 
 

Corp Gov etc 
Information Security 
Postponed 
Discussed at Audit Committee (May 2012).  Agreed to postpone 

Corp Gov etc 
Risk Management (Control Measures) 2012 
Complete 
Reported to Audit Committee (May 2012) 

Compliance 
Compliance with Bank Covenants 
In Progress 
Currently in progress.  Results to Audit Committee (Dec 2012)  

Compliance 
Copyright 
Postponed 
Discussed at Audit Committee (May 2012). Agreed to postpone 

Compliance 
Equality & Diversity: Equality Scheme 
Complete 
Reported to Audit Committee (Jan 2012) 

Financial 
TRAC / Full Economic Costing 
Postponed 
Discussed at Audit Committee (May 2012). Agreed to postpone 

Financial 
Payments to Suppliers 
Complete 
Reported to Audit Committee (Sept 2012) 

Academic 
New Programme Development 
Complete 
Reported to Audit Committee (Jan 2012) 

Academic 
Mitigation Process 
Complete 
Reported to Audit Committee (May 2012) 
10 
Academic 
Compliance to Student Engagement Policy 
Complete 
Reported to Audit Committee (Sept 2012)  
11 
Support 
Enabling Support 
Complete 
Reported to Audit Committee (Sept 2012)  
12 
Support 
ICT Policies & Procedures 
Outstanding 
 
13 
Support 
Procurement (Supplier Selection) 
Complete 
Reported to Audit Committee (Sept 2012) 
 
Follow-On Reviews 
 
Category 
Review 
Status 
Comment 

Corp Gov etc 
Business Planning Process 
Complete 
Reported to Audit Committee (May 2012) 

Corp Gov etc 
Risk Management (Control Measures) 2011 
Complete 
Reported to Audit Committee (Mar 2012) 

Corp Gov etc 
Banner System Development 
Complete 
Reported to Audit Committee (Sept 2012) 

Compliance 
Data Protection 
Complete 
Reported to Audit Committee (Nov 2011) 

Financial 
Tuition Fees (Fee Waivers) 
Complete 
Reported to Audit Committee (Jan 2012) 

Financial 
Budget Preparation & Approval 
Complete 
Reported to Audit Committee (Sept 2012) 

Support 
Recruitment & Admission of Intl Students 
Complete 
Reported to Audit Committee (May 2012)  

Other 
Relationship with Students Association 
Complete 
Reported to Audit Committee (Jan 2012) 
 
 
 
 
 

 
20  
 

 
Project Issues 
Project 
Status 
Comment 
HR / Payroll Project 
Complete 
 
 
 
Compliance Testing 

Process 
Status 
Comment 
International Student Sign-In Process 
Scope amended 
Time originally allocated to complete this compliance testing was used for 
alternative work relating to UKBA compliance.  
 
 
21  
 

 
APPENDIX C   
FEEDBACK QUESTIONNAIRE RESULTS 
 
 
 
 
Agree 
Neutral 
Disagree 
1. The audit objectives, purpose and scope were clearly 

 
 
communicated to me before the audit commenced. 
2. The audit team maintained an adequate level of 

 
 
communication throughout the audit. 
3. The personal conduct of the audit team was 

 
 
professional and courteous. 
4. The disruption of daily activities was minimised as 

 
 
much as possible during the audit. 
5. The draft audit report was delivered in a timely 

 
 
manner. 
6. Audit results were accurately reported and 

 
 
appropriate perspective was provided. 
7. The draft audit report was clearly written and 

 
 
logically organised. 
8. Audit recommendations were constructive and 

 
 
actionable. 
9. The draft audit report was adequately discussed and 

 
 
any problems resolved before the final report was 
formally issued. 
10. The final audit report was delivered in a timely 

 
 
manner. 
11. Internal audit demonstrated independence and 

 
 
objectivity in performing the audit. 
12. Overall, the audit ‘added value’ to my organisation 

 
 
/ process. 
 
 
General Comments: 
 
A very positive and enhancing experience.  We have found it incredibly beneficial for our 
future planning and development activities’.  

 
22  
 


  
 
 
INTERNAL AUDIT SERVICE 
 
 
 
 
 
  
 
 
Annual Internal Audit Report 
2012 / 2013  
 
September 2013   

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
CONFIDENTIAL 
The distribution of this report is restricted. 
Please do not copy or circulate without the prior permission of the Head of Internal Audit. 
 
 

  
 
 
TABLE OF CONTENTS 
 
 
1. INTRODUCTION…………………………………………………………. 

 
2. INTERNAL AUDIT SERVICE TERMS OF REFERENCE……………… 

 
3. STATEMENT OF ASSURANCE …………...……………………………. 

 
4. SUMMARY OF IAS ACTIVITY 
 
    4.1 AUDIT REVIEWS…………………………………………………….. 

    4.2 COMPLIANCE TESTING ……………………………………………. 

    4.3 AD-HOC CONSULTANCY / ADVICE ……………………………… 

 
 
5. SUMMARY OF AUDIT RESULTS  
 
    5.1 FULL AUDITS ………………………………………………………... 

    5.2 RECOMMENDATIONS………………………………………………. 

    5.3 FOLLOW-ON AUDITS ...…………………………………………….. 

 
6. COMMON WEAKNESSES……………………………………………….. 

 
7. COMPARISON WITH 2012/2013 ANNUAL INTERNAL AUDIT PLAN 

 
8. PERFORMANCE MEASUREMENTS... ………………………………… 

 
 
9. STAFFING ………………………………………………………………… 

 
10. SUMMARY OF 2013/2014 ANNUAL INTERNAL AUDIT PLAN……. 

 
 
 

 
1. INTRODUCTION 
 
This annual report has been prepared by the Head of Internal Audit Service (IAS) and is 
intended to meet two objectives: 
 
13.  To provide the University Court and Principal, through the Audit Committee, with a 
formal opinion on the adequacy and effectiveness of the University’s arrangements 
for:  •  Governance, Risk management and Internal Control; 
•  Economy, Efficiency and Effectiveness (value for money) 
14.  To provide the University Court and Principal, through the Audit Committee, with a 
summary of the activities of the IAS for the financial year ended 31st July 2013.  
 
Submission of an annual report by the Head of IAS is a requirement of the UWS IAS Terms 
of Reference and is recommended good practice (as highlighted in the Committee of 
University Chairmen Handbook for Members of Audit Committee in Higher Education 
Institutions, HEFCE Code of Audit Practice and guidance issued by the Institute of Internal 
Auditors). 
 
 
2. INTERNAL AUDIT SERVICE TERMS OF REFERENCE  
 
The purpose of the IAS is to provide an objective, independent appraisal of the institution’s 
activities, financial or otherwise, focusing on the arrangements for governance, risk 
management and internal control. 
 
To provide the required assurance, the IAS undertakes a risk-based programme of work, 
authorised by the Audit Committee on behalf of the University Court.  The programme of 
work has the following objectives: 
 
•  To appraise the soundness, adequacy and application of the governance, risk 
management and internal control arrangements. 
•  To ascertain the extent to which the system of internal control ensures compliance 
with established policies and procedures, laws and regulations. 
•  To ascertain the extent to which the assets and interests entrusted to, or funded by the 
University are properly controlled and safeguarded from losses arising from 
improprieties, including fraud, irregularity or corruption. 
•  To ascertain that accounting and other financial information is reliable as a basis for 
producing accounting and financial, statistical and other returns. 
•  To ascertain the integrity and reliability of financial and other information provided to 
management, including that used in decision-making. 
•  To ascertain that systems of control are laid down and operate to promote the 
economic, efficient and effective use of resources. 
 
 
3. STATEMENT OF ASSURANCE 
 
The Head of IAS is required to provide the University Court and the Principal with assurance 
as to the adequacy and effectiveness of the arrangements for governance, risk management 
and internal control. In giving this opinion, it should be noted that this assurance can never be 
absolute.  The most that the IAS can provide is a reasonable assurance that no major 
weaknesses have been identified in the governance, risk management or internal control 
arrangements or where weaknesses have been identified, these are being addressed. 
 
 
2  
 

 
In assessing the level of assurance that can be given, the following is taken into account: 
•  The results of all audits undertaken during the period 
•  The results of all audits undertaken during previous periods 
•  Any follow up action taken in respect of audits from the current and previous periods 
•  Representations from management, both written and verbal, as to corrective action taken 
or to be taken in response to IAS recommendation which have yet to be confirmed by 
internal audit review. 
 
In addition consideration is also given to: 
•  Any recommendations not accepted by management and the consequent risks 
•  Any limitations which may have been placed on the scope of internal audit 
•  The proportion of the University’s audit need covered to date 
 
A variety of sources of evidence are considered when assessing the level of assurance that can 
be given and opinions are based on evidence gathered through the whole activity and work of 
the IAS (whether formal audit reviews, ad hoc consultancy / advice or evidence gathered 
through being an in-house service). 
 
The Head of IAS is satisfied that our work to date allows us to draw a reasonable conclusion 
as to the adequacy and effectiveness of the University’s governance, risk management and 
internal control arrangements, and on value for money arrangements.   
 
Opinion: 
 
Governance 
Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods and other sources of evidence, in my opinion, reasonable 
assurance can be given that the governance arrangements are adequate and effective. 
 
Risk Management 
Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods and other sources of evidence, in my opinion, reasonable 
assurance can be given that the risk management arrangements are adequate and effective. 
 
Internal Control 
Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods and other sources of evidence (including management 
representations) in my opinion, reasonable assurance can be given that the internal control 
arrangements are adequate and effective.   
 
Value for Money 
Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods and other sources of evidence, in my opinion, the University 
appears to have adequate arrangements in place to promote and secure value for money.  
 
 
 
These opinions are based on a programme of audit work which was delivered: 
•  In accordance with the approved annual internal audit plan (which was derived from a 
systematic risk assessment of all auditable areas) 
•  By suitably experienced and qualified internal auditors  
•  In accordance with the processes outlined in the UWS IAS Procedures Manual (based on 
best practice guidance as outlined by the Committee of University Chairmen and the 
Institute of Internal Auditors). 
 
3  
 

 
4. SUMMARY OF IAS ACTIVITY 
 
This section provides a summary of IAS work undertaken during the year. 
 
4.1 Audit Reviews: 
During the year ended 31st July 2013, a total of 18 audit reviews were completed. This 
included 5 full audits and 13 follow-on audits.  3 audits from the 2012/2013 Annual Internal 
Audit Plan were still in progress at the end of the financial year and are excluded from this 
total.   
 
The audits completed during 2012/2013 are listed in the table below: 
 
 
 
Reference 
Title 
Type 
IAS/2012/108 
Review of Compliance with Bank Loan Covenants 
Full 
IAS/2013/101 
Audit of Expenses Process 
Full 
IAS/2013/102 
Audit of Anti-Bribery Procedures 
Full 
IAS/2013/103 
Audit of Project Expenditure 
Full 
IAS/2013/105 
Audit of Risk Management Process 
Full 
IAS/2013/201 
IT Asset Management  Follow-On Audit (1st)  
Follow-On 
IAS/2013/202 
New Programme Development Follow-On Audit 
Follow-On 
IAS/2013/203 
Equality & Diversity Follow-On Audit 
Follow-On 
IAS/2013/204 
Data Protection Follow-On Audit (2nd)  
Follow-On 
IAS/2013/205 
Mitigation Process Follow-On Audit 
Follow-On 
IAS/2013/206 
Relationship with Students Association Follow-On (2nd)  
Follow-On 
IAS/2013/207 
Recruitment & Admission of International Students (2nd)  
Follow-On 
IAS/2013/208 
Payments to Suppliers Follow-On Audit 
Follow-On 
IAS/2013/209 
Procurement (Supplier Selection) Follow-On Audit 
Follow-On 
IAS/2013/210 
IT Asset Management Follow-On Audit (2nd)  
Follow-On 
IAS/2013/211 
Enabling Support Processes Follow-On Audit 
Follow-On 
IAS/2013/212 
Risk Management (Control Measures) Follow-On Audit 
Follow-On 
IAS/2013/213 
Compliance to Student Engagement Policy Follow-On 
Follow-On 
Table 1: Audit completed during 2012/2013 
 
Comparative figures for the four previous financial years are outlined in table 2 below: 
 
 
FY 12/13 
FY 11/12 
FY 10/11 
FY 09/10 
FY 08/09 
Total 
Full 


11 
10 

43 
Follow-On 
13 

12 


44 
Ad-Hoc 






Total 
18 
17 
23 
15 
18 
91 
Table 2: Analysis of number of audit reviews completed per financial year 
 
A summary of audit findings in respect of the above reviews can be found at Section 5 of this 
report.  All reports, incorporating management responses where appropriate have been 
submitted to and considered by the Audit Committee during the financial year. In addition, 
the results of all audits have been formally reported to the relevant managers.  An executive 
summary highlighting the key findings from each review can be found in Appendix A
 
 
4.2 Compliance Testing 
During the year the IAS completed a series of compliance tests focusing on UKBA related 
processes.  The scope of the testing was agreed with the Compliance Oversight Group and 5 
separate tests were completed.  Results were discussed at the Audit Committee and with the 
members of the Compliance Oversight group. 
 
4  
 

 
  
4.3 Ad-Hoc Consultancy / Advice on risk management, control and governance: 
In addition to our planned audit work, the IAS also provided advice on governance, internal 
control and risk management issues throughout the year, as required  
 
 
 
5. SUMMARY OF AUDIT RESULTS 
 
5.1 Full Audits 
5 full audit reviews were completed during the year.  An overall grading is issued for each 
audit review (where applicable) to provide a summary opinion on the adequacy and 
effectiveness of the internal control system in place. 
 
The following categories of overall grading are used: 
 
Superior 
Controls / procedures accord with accepted good practice and are 
operating to a high standard. 
Satisfactory 
Controls / procedures generally accord with accepted good practice but 
certain matters are noted as requiring improvement. Key control points 
are in place. 
Marginal 
Some controls / procedures in place have material weaknesses and / or 
deficiencies which, if not resolved, could lead to an unsatisfactory 
position. 
Unsatisfactory 
Controls / procedures in place offer scope for considerable improvement 
and concern is expressed about their adequacy.  The control system has 
fundamental weaknesses. 
 
 
Overall gradings awarded during the year for full audits are summarised in Table 3 below.  
Statistics for the previous two financial years and cumulative to date are also included for 
comparative purposes. Cumulative total includes all audit gradings awarded since the 
formation of the in-house internal audit service in 2004.   
 
Grading 
2012/2013 
2011/2012 
2010/2011 
To Date 
Superior 




Satisfactory 



38 
Marginal 



19 
Unsatisfactory 



10 
Not Applicable 




Total 


12 
77 
Table 3: Summary of audit gradings (full audits) 
 
 
12% of full audit reviews completed to date have received a ‘Superior’ assessment, with a 
further 49% receiving a ‘Satisfactory’ assessment.        
 
The overall assessment for each individual review completed during 2012 / 2013 is detailed 
Table 4 below.   
 
 
5  
 

 
Reference 
Title 
Grading 
IAS/2012/108 
Review of Compliance with Bank Loan Covenants 
Superior 
IAS/2013/101 
Audit of Expenses Process 
Satisfactory 
IAS/2013/102 
Audit of Anti-Bribery Procedures 
Satisfactory 
IAS/2013/103 
Audit of Project Expenditure 
Satisfactory 
IAS/2013/105 
Audit of Risk Management Process 
Satisfactory 
Table 4: Results of Full Audit Reviews completed during 2012 / 2013  
 
All audits completed and reported to the Audit Committee during the year received a 
‘Satisfactory’ or ‘Superior’ assessment.  Time has been allocated in the 2013/2014 Annual 
Internal Audit Plan to complete follow-on work for all of the full audits completed during 
2012/2013 that received a ‘Satisfactory’ assessment.  No audit recommendations were issued 
as part of the Review of Compliance with Bank Loan Covenants.     
 
 
5.2. Recommendations: 
23 formal audit recommendations were issued and accepted during the year.  The significance 
of each audit recommendation is graded in accordance with the following criteria: 
 
Grade 1 
Severe weaknesses which must be addressed immediately 
Grade 2 
Serious failings within the system which should be dealt with in the short term 
Grade 3 
Areas which warrant management attention but not immediate action 
 
Table 5 below summarises the gradings of our recommendations for each full audit completed 
during the period.  Statistics for the previous financial year and cumulative figures to date are 
also detailed for comparative purposes. 
 
Review 



Total 
Review of Compliance with Bank Loan Covenants 




Audit of Expenses Process 




Audit of Anti-Bribery Procedures 




Audit of Project Expenditure 




Audit of Risk Management Process 




2012/2013 Total 

16 

23 
Cumulative to date 
58 
435 
184 
677 
Table 5: Analysis of Audit Recommendations 
 
A total of 23 audit recommendations were issued and agreed during the year.  This is a 
significant decrease in comparison with the previous year (108) and is also significantly 
below the yearly average of 91.  This is due to two factors.  Firstly, a smaller number of full 
audit reviews were completed during 2012/2013 (further explanation provided in Section 7 of 
this report).  Secondly, as the results of the full audits completed were generally very positive, 
the number of recommendations made in each audit was lower than average (on average, 9 
recommendations are included in each audit report).   
 
The status of all recommendations issued during the year will be followed-up during 2013 / 
2014.  
 
 
5.3 Follow-On Audits 
13 follow-on audits were completed during the year.  The purpose of a follow-on audit is to 
determine whether appropriate action has been taken to implement the recommendations 
agreed following a full audit, in accordance with the agreed timetable.   
 
6  
 

 
The results of the follow-on audits completed during the year are summarised below. 
 
Review 
Previous Grading 
Follow-On Grading 
IT Asset Management Follow-On (1st) 
Unsatisfactory 
Unsatisfactory 
New Programme Development  
Satisfactory 
Satisfactory 
Equality & Diversity Follow-On 
Satisfactory 
Satisfactory 
Data Protection Follow-On (2nd)  
Satisfactory 
Satisfactory 
Mitigation Process Follow-On 
Unsatisfactory 
Satisfactory 
Relationship with SAUWS Follow-On (2nd)  
Satisfactory 
Satisfactory 
Recruitment & Admissions International 
Marginal 
Satisfactory 
Payments to Suppliers 
Satisfactory 
Satisfactory 
Procurement (Supplier Selection) 
Satisfactory 
Satisfactory 
IT Asset Management Follow-On (2nd) 
Unsatisfactory 
Satisfactory 
Enabling Support Processes Follow-On 
Marginal 
Satisfactory 
Risk Mgmt (Control Measures) Follow-On 
Marginal 
Satisfactory 
Student Engagement Follow-On 
Satisfactory 
Satisfactory 
Table 6: Summary of Follow-On Reviews 
 
In the 2011/2012 Annual Internal Audit Report, we raised a concern that the results of the 
follow-on audits completed in that year were generally disappointing as action was not always 
being taken to implement the agreed audit recommendations within the timescale agreed.    
The follow-on audits completed during 2012/2013 show a significant improvement.     
 
The results of the follow-on audits completed during the year are summarised below: 
 
Recommendation Status: 
Review 

Implemented 
Partially 
Not 
No longer 
Total 
or In 
Implemented 
Implemented 
applicable 
Progress 
 
IT Asset Mgmt (1st) 




16 
New Programme Dev 





Equality & Diversity 





Data Protection (2nd)  
10 



10 
Mitigation 
20 



24 
Relationship with 





SAUWS (2nd) 
Rec & Adm Intl Students 
12 



14 
Payments to Suppliers 




13 
Proc (Supplier Selection) 
11 



12 
IT Asset Mgmt (2nd) 
12 



16 
Enabling Support 
10 



16 
Risk Mgmt (Control 





Measures) 
Student Engagement 





Total 
107 
29 


150 
Percentage 
71% 
20% 
4% 
5% 
 
Table 7: Summary of Follow-On Review results 
 
7  
 

 
 
71% of recommendations have been confirmed as fully implemented or are in progress.   
Recommendations are only reported as ‘in progress’ where the original target date has not yet 
passed.  In cases where work is ongoing and the target date has passed, the recommendation 
status is reported as ‘partially implemented’.  5% of recommendations are no longer 
applicable due to changes since the time of the original audit.   
 
 
6. COMMON WEAKNESSES 
 
At the end of each year, we review the issues raised in audit reports during that year  to 
identify any common weaknesses or themes.  For 2012/2013, one common issue has been 
identified.  In a number of audits, we raised recommendations regarding improving reporting 
and management information.  
 
 
7. COMPARISON WITH 2012 / 2013 ANNUAL INTERNAL AUDIT PLAN 
 
The 2012 / 2013 plan was partially achieved with 18 of the 26 planned activities completed 
during the year.  Work on a further 3 activities was in progress at the year end. 
 
2012 / 2013 has been a difficult year for the audit team.  The Senior Internal Auditor left 
REDACTED S38(1)(b).  Although the post was replaced, there was a gap of 5 months before 
the new Senior Internal Auditor joined the team.  In addition to the absence of a Senior 
Internal Auditor, REDACTED S38(1)(b).  The Head of Internal Audit Service worked 
additional hours during this period however approximately 128 audit days were lost.  
Obviously this had a significant impact on progress in comparison to plan. Following 
discussion with the Chair of the Audit Committee, a decision  was made to prioritise 
completion of the scheduled follow-on audits over commencing new full audits.      
   
The achievements of the IAS in comparison with the plan are detailed in Appendix B and a 
summary is provided below. 
 
Full Reviews: 
The 2012 / 2013 plan included 12 full audits. 4 of these were completed during the year and 3 
were in progress at the year end.  At the March meeting of the Audit Committee, it was 
agreed to postpone 4 audits as the Annual Internal Audit Plan was behind schedule due to the 
significantly reduced resources.  The 1 remaining audit in the plan was originally scheduled to 
start in July however has been delayed due to other scheduled audits taking longer than 
planned.    
 
Follow-On Reviews: 
The 2012/2013 plan included 12 follow-on audits.  All follow-on audits were completed as 
scheduled.  In addition, a second IT Asset Management Follow-on Audit was completed 
during the year, which was not included in the original plan.  
 
Compliance Testing: 
The 2012/2013 plan included compliance testing on UKBA processes.  A series of 5 
compliance tests was completed as scheduled.   
 
Fraud Awareness Programme: 
Time was included in the 2012/2013 plan for Fraud Awareness Training.  Due to the reduced 
resources in the IAS team, this activity was postponed.   
 
 
8  
 

 
8. PERFORMANCE MEASUREMENTS  
 
The Audit Committee previously approved five performance measurements to monitor the 
efficiency and effectiveness of the IAS on an ongoing basis, as follows:  
 
21.  Feedback Questionnaire 
22.  Progress Against Agreed Annual Plan 
23.  Issue of Draft Reports 
24.  Issue of Final Reports 
25.  Recommendations Agreed By Management 
 
1. Feedback Questionnaire 
A feedback questionnaire is issued following audit assignments to give management an 
opportunity to comment on the audit process.  At the time of this report, only 2 questionnaires 
had been returned during the year.  Results are summarised in Appendix C.  Both respondents 
agreed with the statement ‘Overall, the audit added value to my organisation / process’.   
 
2. Progress Against Agreed Annual Plan 
Progress against the agreed annual plan has been reported at each Audit Committee meeting 
throughout the year.   
 
15.  Issue of Draft Reports 
82% of draft reports were issued within 10 days of the date of the audit closure meeting (PY 
81%).  3 reports exceeded this target 
 
16.  Issue of Final Reports 
88% of final reports were issued within 10 days of final management comments being 
received (PY88%).  2 reports exceeded this target, both of which were delayed due to annual 
leave.  
 
17.  Recommendations Agreed By Management 
100% of recommendations issued in draft audit reports were agreed by management 
(PY95%).     
 
In addition to the five performance measurements reported above which focus on the 
effectiveness and efficiency of the IAS, we also measure timeliness of management response 
to draft audit reports. 
 
18.  Timeliness of Management Response to Draft Report    
When a draft report is issued, managers are requested to submit their response to the 
recommendations and any other comments within 10 working days.  Of the draft reports 
issued during 2012/2013, 76% of comments were received within 10 working days (PY75%).   
 
 
9. STAFFING  
 
The IAS currently has a staff complement of 2.36 FTE and 3 members of staff, all working on 
a part-time basis.  There are 3 permanent posts –  Head of IAS, Senior Internal Auditor and 
Assistant Internal Auditor.  Each member of the department has a documented personal 
development plan and training and development activity is monitored throughout the year.   
 
 
 

 
9  
 

 
10. SUMMARY OF 2013 / 2014 ANNUAL INTERNAL AUDIT PLAN 
 
A summary of the draft 2013/2014 Annual Internal Audit Plan is outlined below. 
 
Full Audits: 
 
 
Category 

Monitoring of Outcomes Agreement 
Corp Gov, Strategy etc 

Social Media 
Corp Gov, Stratgy etc 

REDACTED S30(b)&(c) 
Compliance 

Copyright 
Compliance 

Capital Expenditure 
Financial 

Tax Processes (including IR35) 
Financial 

Academic Profesional Development 
Academic 

Work-Based Learning and Placements 
Academic 

Research Institutes 
Academic 
10  Research Ethics 
Academic 
11  REDACTED S30(b)&(c) 
Support 
12  Residences 
Support 
 
Follow-On Audits: 
 
 
Category 

Risk Management Process 
Corp Gov., Strategy etc. 

Anti-Bribery Procedures 
Compliance 

Expenses 
Financial  

Project Expenditure 
Financial 

Payroll 
Financial 

Equipment Management in Academic Schools 
Financial / Academic 

Moderation 
Academic 

Payments to Suppliers (2nd) 
Financial 

Mitigation Process (2nd)  
Academic 
 
 
The overall objective of the plan is to effectively and efficiently deploy internal audit 
resources to meet the responsibilities of the service.  The preparation of the plan involved an 
update of the Audit Universe, a comprehensive risk assessment of each process in the audit 
universe and discussions with senior members of staff and other stakeholders. 
 
The detailed plan has been submitted to the Audit Committee for approval. 
 
10  
 


 
 
 
 
 
INTERNAL AUDIT SERVICE 
 
 
 
 
 
  
 
 
Annual Internal Audit Report 
2012/2013 
 
Appendices 

 
September 2013 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
CONFIDENTIAL 
The distribution of this report is restricted. 
Please do not copy or circulate without the prior permission of the Head of Internal Audit. 
 
11  
 

 
CONTENTS 
 
 
Appendix A………………  Audit Reports – Executive Summaries 
 
Appendix B ……………...  Comparison of Performance Against Plan 
 
Appendix C ……………...  Feedback Questionnaire Results 
 
 
 
12  
 

 
APPENDIX A: 
 
AUDIT REPORTS – EXECUTIVE SUMMARIES 
 
Reference: 
IAS / 2012 / 108 
Title:   
Review of Compliance with Bank Loan Covenants 
 
Overall Assessment: 
SUPERIOR 
 
Audit Objectives and Scope: 
The purpose of the audit was to gain assurance that a robust process is in place to monitor 
compliance with bank loan covenants on an ongoing basis 
 
Main Findings: 
No concerns were identified.  There is a robust process in place to monitor compliance with 
bank loan covenants on an ongoing basis.   
 
No of recommendations:
 

 
__________________________________________________________________________ 
 
Reference:
 
IAS / 2013 / 101 
Title:   
Audit of Expenses Process 
 
Overall Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this audit was to identify and appraise the adequacy, reliability and 
effectiveness of the controls in the expenses process 
 
Main Findings: 
A clear policy and procedure on expenses has been documented, approved and communicated 
to staff.  The sample testing carried out during this audit confirms that, on the whole, effective 
controls are in place to ensure that expenses processed are valid, supported by adequate 
documentation, approved by relevant management and are in compliance with the University 
policy & procedure.  A number of issues have been identified however the volume of issues 
identified during the sample testing is significantly lower than in previous internal audit 
reviews of this process. 
 
No of recommendations:  

7 
 
 
___________________________________________________________________________ 
 
Reference: 
IAS / 2013 / 102 
Title:   
Audit of Anti Bribery Procedures 
 
Overall Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The overall purpose of this audit was to provide assurance that adequate procedures have 
been put in place to prevent bribery, in accordance with the Bribery Act 2010. 
  
Main Findings: 
The steps taken to implement anti-bribery procedures at UWS generally follow the six 
guiding principles set out in the Ministry of Justice Guidance.  We carried out a 
benchmarking exercise to compare steps taken at UWS to implement anti-bribery procedures 
with other HEIs.  This exercise highlighted that UWS is well-placed in the sector.  The audit 
 
13  
 

 
identified some areas where further steps should be taken to help to ensure that UWS can 
demonstrate that adequate ant-bribery procedures have been implemented 
 
No of recommendations: 


 
 
___________________________________________________________________________ 
 
Reference:
 
IAS / 2013 / 103 
Title:   
Audit of Project Expenditure  
 
Overall Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this audit was to provide assurance that expenditure on projects is being 
adequately controlled and monitored. 
 
Main Findings: 
Based on the sample of projects we reviewed, project expenditure appears to be adequately 
controlled and monitored  on the whole, although certain areas are noted as requiring 
improvement. 
 
No of recommendations:
 

 
___________________________________________________________________________ 
 
Reference: 

IAS / 2013 / 105 
Title:   
Audit of Risk Management Process 
 
Overall Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the audit was to appraise the adequacy and effectiveness of the risk 
management process. 
 
Main Findings: 
The risk management process in place at UWS has been well thought out and generally 
reflects good practice within the HE sector. A number of improvements have been made to 
the process in the past year and there has been a noticeable improvement in the quality of the 
content of a number of local risk registers during 2012.  We benchmarked the UWS process 
in comparison with 8 other HEIs.  No concerns were identified from this exercise and the 
process in place at UWS compares favourably to other HEIs.  Our review identified a small 
number of areas for management attention.   
 
No of recommendations: 


 
 
___________________________________________________________________________ 
 
Reference: 
IAS / 2013 / 201 
Title:   
IT Asset Management 1st Follow-On Audit 
 
1st Follow-On Assessment: 
UNSATISFACTORY 
Original Assessment: 
UNSATISFACTORY 
 
 
 

 
14  
 

 
Audit Objectives and Scope: 
The purpose of the follow-on audit was to determine the status of the actions agreed following 
the Review of IT Asset Management  
 
Main Findings: 
Whilst some progress has been made, the majority of the recommendations are either 
‘partially implemented’ or ‘not implemented’ at the time of this follow-on audit.  Significant 
work has still to be undertaken before the outstanding recommendations could be considered 
to be fully implemented.    
 
___________________________________________________________________________ 
 
Reference:
 
 
IAS / 2013 / 202  
Title: 
New Programme Development Follow-On Audit 
 
Original Assessment: 
SATISFACTORY 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this follow-on audit was to determine the status of the recommendations 
agreed following the Review of New Programme Development.   
 
Main Findings: 
Good  progress has been made to address the recommendations made.  6 of the 9 
recommendations have been fully implemented.  The status of the remaining 3 
recommendations is reported as ‘partially implemented’.  Whilst some work has been 
undertaken to progress these recommendations, all of them involve updating the New 
Programme Proposals Form and associated guidance document.  The Portfolio Oversight 
Group made a decision to put the update of these documents on hold due to a current review 
of the operation of POG.   
 
_________________________________________________________________ 
 
Reference:
 
 
IAS / 2013 / 203 
Title: 
Equality & Diversity Follow-On Audit 
 
Original Assessment: 
SATISFACTORY 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the follow-on audit was to determine the status of the actions agreed following 
the Review of Equality & Diversity: Equality Scheme & Implementation Plan.   
 
Main Findings: 
The conclusion of the original Review of Equality & Diversity: Equality Scheme & 
Implementation Plan was that a significant amount of work has been undertaken particularly 
by the Equality & Diversity Co-ordinator to ensure that the University addresses equality & 
diversity issues.  9 recommendations were made (mostly grade 3).  Good progress has been 
made with 6 of the 9 recommendations now implemented.  1 recommendation is no longer 
applicable due to process changes.   
 
_________________________________________________________________  
 
 
 

 
15  
 

 
Reference: 
 
IAS / 2013 / 204 
Title: 
Data Protection Follow-On Audit 
 
Original Assessment: 
MARGINAL 
1st Follow-On Assessment: 
SATISFACTORY 
2nd Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this follow-on audit was to determine the status of the 3 recommendations that 
were reported as ‘partially implemented’ at the time of the first follow-on audit.  This audit 
was not a full review of Data Protection –  the scope was limited to the 3 outstanding 
recommendations only.     
 
Main Findings: 
Although action was not taken within the revised timescale agreed, all recommendations have 
now been implemented. 
 
__________________________________________________________________________ 
 
Reference: 
 
IAS / 2013 / 205 
Title: 
Mitigation Process Follow-On Audit 
 
Original Assessment: 
UNSATISFACTORY 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this follow-on audit was to determine the status of the actions agreed 
following the Review of Mitigation Process.   
 
Main Findings: 
A significant amount of work has been undertaken to address the issues raised in the original 
audit.  The Chair of the Learning, Teaching & Assessment Board (LTAB) now has overall 
ownership of the process.  A short-life working group was established to address the concerns 
raised. By the date of the follow-on audit, 19 of the 24 recommendations had been fully 
implemented.     
 
__________________________________________________________________________ 
 
Reference:
 
 
IAS / 2013 / 206 
Title: 
Relationship with Students Association Follow-On Audit 
 
Original Assessment: 
SATISFACTORY 
1st Follow-On Assessment: 
SATISFACTORY 
2nd Follow-On Assessment 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this second follow-on audit was to determine the status of the actions agreed 
following the original Review of Relationship with Students Association.   
 
Main Findings: 
The original audit review had an overall assessment of ‘Satisfactory’ and included only 2 
recommendations.  An updated Code of Practice document has now been drafted and is 
currently with SAUWS for consideration.   
   
 
16  
 

 
Reference: 
 
IAS / 2013 / 207 
Title: 
Recruitment and Admission of International Students Follow-On 
Audit 
 
Original Assessment: 
MARGINAL 
1st Follow-On Assessment: 
MARGINAL 
2nd Follow-On Assessment 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the follow-on audit was to determine the status of the 9 recommendations 
which were reported as either ‘in progress’, ‘partially implemented’ or ‘not implemented’ at 
the time of the first follow-on audit.   
 
Main Findings: 
By the time of the first follow-on audit, 5 of the 14 recommendations had been implemented.  
Since that time, good progress has been made to address the remaining 9 recommendations.  
At the time of the first follow-on audit, our main continuing concern related to weaknesses in 
the process surrounding overseas recruitment agents & partners. All of the recommendations 
relating to overseas recruitment agents & partners have now been implemented. 
 
___________________________________________________________________________ 
 
Reference: 
 
IAS / 2013 / 208 
Title: 
Payment to Suppliers Follow-On Audit 
 
Original Assessment: 
SATISFACTORY 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the follow-on audit was to determine the status of the actions agreed following 
the Review of Payment to Suppliers.   
 
Main Findings: 
Since the time of our original review, there has been a management change within the 
Finance team responsible for processing payments to suppliers.  As a result, there has been a 
delay in implementing a number of the recommendations from the audit.  7 of the 13 
recommendations had been fully implemented by the time of this follow-on audit and a 
further 5 recommendations had been partially implemented.  Controls surrounding the 
addition of new suppliers to Agresso have been strengthened and an exercise has been 
undertaken to identify and ‘park’ duplicate and inactive suppliers on Agresso.  Further work 
is still required to ensure that  the concern over retrospective ordering is addressed and to 
reduce the number of payments being made by cheque rather than BACS.   
 
 
 
Reference: 
 
IAS / 2013 / 209 
Title: 
Procurement Supplier Selection Follow-On Audit 
 
Original Assessment: 
SATISFACTORY 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the follow-on audit was to determine the status of the actions agreed following 
the Review of Procurement (Supplier Selection).  
 
17  
 

 
Main Findings: 
Good progress has been made to address the concerns raised in the original audit report. 11 of 
the 12 recommendations had been fully implemented by the time of the follow-on audit.  
 _________________________________________________________________________ 
 
Reference: 
 
IAS / 2013 / 210 
Title: 
IT Asset Management 2nd Follow-On Audit 
 
Original Assessment: 
UNSATISFACTORY 
1st Follow-On Assessment: 
UNSATISFACTORY 
2nd Follow-On Assessment 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the follow-on audit was to determine the status of the 10 recommendations 
which were reported either as ‘partially implemented’ or ‘not implemented’ at the time of the 
first follow-on audit. 
 
Main Findings: 
A significant amount of work has been undertaken since the time of the first follow-on audit 
to address the outstanding audit recommendations.  Good progress has been made and the 
majority of the recommendations are now fully implemented.  
 
_________________________________________________________________________ 
 
Reference: 
 
IAS / 2013 / 211 
Title: 
Enabling Support Processes Follow-On Audit 
 
Original Assessment: 
MARGINAL 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this follow-on audit was to determine the status of the actions agreed 
following the Review of Enabling Support Processes.   
 
Main Findings: 
Good progress has been made to implement the agreed audit recommendations.  Four 
recommendations are no longer applicable due to a change in the process since the time of the 
original audit.  These relate to the Assistive Technology Loan Programme which was 
previously run in-house however has now been outsourced. 
 
_________________________________________________________________________ 
 
Reference: 
 
IAS / 2013 / 212 
Title: 
Risk Management (Control Measures) 2012 Follow-On Audit 
 
Original Assessment: 
MARGINAL 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the follow-on review was to determine the status of the actions agreed 
following the Review of Risk Management (Control Measures) 2012. 
 
Main Findings: 
All recommendations have been fully implemented. 
_________________________________________________________________________ 
 
18  
 

 
Reference: 
 
IAS / 2013 / 213 
Title: 
Compliance to Student Engagement Policy Follow-On Audit 
 
Original Assessment: 
SATISFACTORY 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the follow-on audit was to determine the status of the actions agreed following 
the Review of Compliance to Student Engagement Policy & Procedure.  
 
Main Findings: 
Good progress has been made to address the issues raised and 6 of the 7 recommendations 
had been fully implemented by the time of the follow-on audit.  
_________________________________________________________________________ 
 
19  
 

 
Appendix B 
COMPARISON OF PERFORMANCE AGAINST PLAN 
 
Full Audit Reviews 

 
Category 
Review 
Status 
Comment 
 

Corp Gov etc 
Audit of Risk Management Process 
Complete 
Reported to Audit Committee (Mar 2013) 

Compliance 
Audit of Anti-Bribery Procedures  
Complete 
Reported to Audit Committee (Mar 2013)  

Compliance 
Audit of Copyright  
Postponed 
Discussed at Audit Committee (Mar 2013). Agreed to postpone 

Financial 
Audit of Expenses process  
Complete 
Reported to Audit Committee (Dec 2012) 

Financial 
Payroll 
In Progress 
In progress at year end.  To be finalised shortly. 

Financial 
TRAC / Full Economic Costing 
Postponed 
Discussed at Audit Committee (Mar 2013). Agreed to postpone 

Academic 
Academic Results Processing - Moderation 
Complete 
In progress at year end.  Draft discussed at Audit Comm (Sept 2013) 

Academic 
Study Abroad 
Outstanding  Outstanding at year end.  

Academic 
Plagiarism 
Postponed 
Discussed at Audit Committee (Mar 2013). Agreed to postpone   
10 
Support 
Equipment Management (Non IT Assets) 
In Progress 
In progress at year end.  To be finalised shortly.  
11 
Support 
Printing 
Postponed 
Discussed at Audit Committee (Mar 2013). Agreed to postpone 
12 
Ad Hoc 
Approval & Monitoring of Project Expenditure 
Complete 
Reported to Audit Committee (Jun 2013) 
 
Follow-On Reviews 
 
Category 
Review 
Status 
Comment 

Corp Gov etc 
Risk Management (Control Measures) 2012 (1st) 
Complete 
Reported to Audit Committee (Jun 2013) 

Compliance 
Data Protection (2nd) 
Complete 
Reported to Audit Committee (Dec 2012) 

Compliance 
Equality & Diversity: Equality Scheme (1st) 
Complete 
Reported to Audit Committee (Mar 2013) 

Financial 
Payment to Suppliers (1st) 
Complete 
Reported to Audit Committee (June 2013) 

Academic 
New Programme Development (1st) 
Complete 
Reported to Audit Committee (Mar 2013) 

Academic 
Mitigation Process (1st) 
Complete 
Reported to Audit Committee (Mar 2013) 

Academic 
Compliance to Student Engagement Policy (1st) 
Complete 
Reported to Audit Committee (Sept 2013)  

Support 
Recruitment & Admission of Intl Students (2nd) 
Complete 
Reported to Audit Committee (Mar 2013) 

Support 
Procurement (Supplier Selection) (1st) 
Complete 
Reported to Audit Committee (Sept 2013) 
10 
Support  
Enabling Support  Processes (1st) 
Complete 
Reported to Audit Committee (Jun 2013) 
11 
Support  
IT Asset Management (1st) 
Complete 
Reported to Audit Committee (Dec 2012) 
12   Ad Hoc 
Relationship with Students Association (2nd) 
Complete 
Reported to Audit Committee (Sept 2013) 
 
Additional Follow-On review  

13 
Support 
IT Asset Management (2nd) 
Complete 
Reported to Audit Committee (Jun 2013) 
 
20  
 

 
Compliance Testing 
Process 
Status 
Comment 
UKBA  
Complete 
Results were reported to the Compliance Oversight Group. 
Reported to Audit Committee (Dec 2012)  
 
 
21  
 

 
APPENDIX C   
FEEDBACK QUESTIONNAIRE RESULTS 
 
 
 
 
Agree 
Neutral 
Disagree 
1. The audit objectives, purpose and scope were clearly 

 
 
communicated to me before the audit commenced. 
2. The audit team maintained an adequate level of 

 
 
communication throughout the audit. 
3. The personal conduct of the audit team was 

 
 
professional and courteous. 
4. The disruption of daily activities was minimised as 

 
 
much as possible during the audit. 
5. The draft audit report was delivered in a timely 

 
 
manner. 
6. Audit results were accurately reported and 

 
 
appropriate perspective was provided. 
7. The draft audit report was clearly written and 

 
 
logically organised. 
8. Audit recommendations were constructive and 

 
 
actionable. 
9. The draft audit report was adequately discussed and 

 
 
any problems resolved before the final report was 
formally issued. 
10. The final audit report was delivered in a timely 

 
 
manner. 
11. Internal audit demonstrated independence and 

 
 
objectivity in performing the audit. 
12. Overall, the audit ‘added value’ to my organisation 

 
 
/ process. 
 
 
General Comments: 
 
The experience was immensely helpful and the audit very well carried out’.  
 
22  
 


 
 
 
 
 
INTERNAL AUDIT SERVICE 
 
 
 
 
 
  
 
 
Annual Internal Audit Report 
2013/2014 
 
September 2014 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
CONFIDENTIAL 
The distribution of this report is restricted. 
Please do not copy or circulate without the prior permission of the Head of Internal Audit. 
 
 

link to page 134 link to page 134 link to page 135 link to page 136 link to page 136 link to page 137 link to page 137 link to page 138 link to page 138 link to page 138 link to page 139 link to page 140 link to page 142 link to page 142 link to page 142 link to page 142 link to page 142 link to page 142 link to page 142 link to page 143 link to page 143 link to page 143 link to page 143 link to page 143 link to page 143 Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
 
Contents 
1.  INTRODUCTION ................................................................................................................. 1 
2.  IAS TERMS OF REFERENCE ................................................................................................. 1 
3.  STATEMENT OF ASSURANCE ............................................................................................. 2 
4.  SUMMARY OF IAS ACTIVITY .............................................................................................. 3 
4.1 Audit Reviews .................................................................................................................. 3 
4.2 Compliance Testing ......................................................................................................... 4 
4.3 Governance, Risk Management, and Internal Control Consultancy and Advisory ......... 4 

5.  SUMMARY OF AUDIT RESULTS .......................................................................................... 5 
5.1 Audit Assessment Grading .............................................................................................. 5 
5.2 Ful  Audits ........................................................................................................................ 5 
5.3 Recommendations .......................................................................................................... 6 
5.4 Follow-On Audits ............................................................................................................. 7 
6.  COMMON WEAKNESSES ................................................................................................... 9 
7.  COMPARISON WITH 2013 / 2014 ANNUAL INTERNAL AUDIT PLAN ................................. 9 
7.1 Full Reviews ..................................................................................................................... 9 
7.2 Follow-On Reviews .......................................................................................................... 9 
7.3 Compliance Testing ......................................................................................................... 9 

8.  PERFORMANCE MEASUREMENTS ..................................................................................... 9 
8.1 Progress against Agreed Annual Plan ............................................................................. 9 
8.2 Issue of draft reports ..................................................................................................... 10 
8.3 Issue of final reports ..................................................................................................... 10 
8.4 Recommendations agreed by management ................................................................. 10 
8.5 Other measures ............................................................................................................. 10 

9.  STAFFING ......................................................................................................................... 10 
10. 
2014 / 2015 ANNUAL INTERNAL AUDIT PLAN ............................................................. 10 
 
 
 
Appendices 

Audit Reports – Executive Summaries 
 

Comparison of Performance Against Plan 
 
 
 
 
Page | i 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
1.  INTRODUCTION 
This Annual Report has been prepared by the Head of Internal Audit Service (IAS) with the 
following two objectives: 
 
•  To provide the University Court and Principal, through the Audit & Risk Committee, with 
a formal opinion on the adequacy and effectiveness of the University’s arrangements 
for: a.  Governance, Risk Management, and Internal Control; 
b.  Economy, Efficiency, and Effectiveness (Value for Money). 
 
•  To provide the University Court and Principal, through the Audit & Risk Committee, with 
a summary of the activities of the IAS for the financial year ended 31st July 2014. 
 
Submission of this Annual Report is a requirement of the UWS IAS Terms of Reference and 
reflects compliance with recommended good practice as set out in The Scottish Code of 
Good HE Governance, the CUC Handbook for Members of Audit Committees in Higher 
Education Institutions, and professional guidance issued by the Institute of Internal Auditors. 
 
 
2.  IAS TERMS OF REFERENCE 
The purpose of the IAS is to provide an objective, independent appraisal of the institution’s 
activities, financial or otherwise, focusing on arrangements for governance, risk 
management, and internal control. 
 
To provide the required assurance, the IAS undertakes a risk-based programme of work, 
authorised by the Audit & Risk Committee on behalf of the University Court.  The 
programme of work has the following objectives: 
 
•  To appraise the soundness, adequacy and application of the governance, risk 
management, and internal control arrangements. 
 
•  To ascertain the extent to which the system of internal control ensures compliance with 
established policies and procedures, laws, and regulations. 
 
•  To ascertain the extent to which the assets and interests entrusted to, or funded by the 
University are properly controlled and safeguarded from losses arising from 
improprieties, including fraud, irregularity, or corruption. 
 
•  To ascertain that accounting and other financial information is reliable as a basis for 
producing accounting and financial, statistical and other returns. 
 
•  To ascertain the integrity and reliability of financial and other information provided to 
management, including that used in decision-making. 
 
•  To ascertain that systems of control are laid down and operate to promote the 
economic, efficient, and effective use of resources. 
 
 
Page | 1 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
3.  STATEMENT OF ASSURANCE 
The Head of IAS is required to provide the University Court and the Principal with assurance 
as to the adequacy and effectiveness of the arrangements for governance, risk management, 
and internal control.  In giving this opinion it should be noted that this assurance can never 
be absolute and that at most, the opinion wil  provide reasonable assurance that no major 
weaknesses have been identified in governance, risk management, or internal control 
arrangements, or where weaknesses have been identified, these are being addressed. 
 
In assessing the level of assurance that can be given, the fol owing is taken into account: 
 
•  The results of all audits undertaken in the period; 
 
•  The results of all audits undertaken during previous periods; 
 
•  Any fol ow up action taken in response to audits from the current and previous periods; 
 
•  Representations from  management, both written and verbal, as to corrective action 
taken or to be taken in response to IAS recommendations which have yet to be 
confirmed by further internal audit review. 
 
In addition, consideration is also given to: 
 
•  Any recommendations not accepted by management and the consequent risks; 
 
•  Any limitations which may have been placed on the scope of internal audit; 
 
•  The proportion of the University’s audit needs covered to date. 
 
A variety of sources of evidence are considered when assessing the level of assurance that 
can be given.  Opinions are based on an objective evaluation of evidence gathered through 
the whole activity and work of the IAS (whether through structured formal audit reviews and 
other consultancy or advisory assignments, or less formal evidence gathered through being 
an in-house audit service). 
 
The Head of IAS is satisfied that our work to date allows us to draw a reasonable conclusion 
as to the adequacy and effectiveness of the University’s governance, risk management, and 
internal control arrangements, and on value for money arrangements. 
 
Opinion 
 
Governance 

Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods and other sources of evidence, in my opinion, reasonable 
assurance can be given that the governance arrangements are adequate and effective. 
 
Risk Management 
Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods and other sources of evidence, in my opinion, reasonable 
assurance can be given that the risk management arrangements are adequate and effective. 
 
Page | 2 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
Internal Control 
Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods and other sources of evidence (including where appropriate 
management representations), in my opinion, reasonable assurance can be given that the 
internal control arrangements are adequate and effective. 
 
Value for Money 
Based on the areas examined during the period, and taking into account the results of audits 
undertaken in previous periods and other sources of evidence, in my opinion, the University 
appears to have adequate arrangements in place to promote and secure value for money. 
 
These opinions are based on a programme of audit work which was delivered: 
 
•  In accordance with the approved annual internal audit plan which was derived from a 
systematic risk assessment of all identified auditable areas. 
•  By suitably experienced and qualified internal auditors. 
•  In accordance with the processes outlined in the UWS IAS Procedures Manual (based on 
best practice professional guidance published by the Institute of Internal Auditors and 
Public Sector Internal Audit Standards). 
 
 
 
4.  SUMMARY OF IAS ACTIVITY 
This section provides a summary of IAS work undertaken during the year. 
 
4.1 Audit Reviews 
A total of 15 audit reviews were completed in the year ended 31st July 2014.  9 audits from 
the 2013/2014 Annual Audit Plan were stil  in progress at the end of the financial year and 
are excluded from this analysis.  The analysis includes four audits from the 2012/2013 
Annual Audit Plan that were completed in the financial year under review. 
 
The audits completed during 2013/2014 are listed in the table below: 
 
 
 
Reference 
Title 
Full Audits 
 
2012/2013 Audit Plan 
 
 
IAS/2013/104  Audit of Moderation Process 
 
 
IAS/2013/106  REDACTED S30(b)&(c) 
 
 
IAS/2013/107  Audit of Payroll Process 
 
 
IAS/2013/108  Audit of Study Abroad (Outward Bound) Processes 
 
2013/2014 Audit Plan 
 
 
IAS/2014/101  Review of Use and Management of Social Media 
 
 
IAS/2014/102  Audit of Student Accommodation 
 
 
IAS/2014/104  Monitoring of Outcome Agreements 
 
 
IAS/2014/108  REDACTED S30(b)&(c) 
 
Follow-On Audits 

 
2013/2014 Audit Plan 
 
 
IAS/2014/201  Risk Management 
 
 
IAS/2014/202  Project Expenditure 
Page | 3 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
 
 
Reference 
Title 
 
 
IAS/2014/203  Anti-Bribery Procedures 
 
 
IAS/2014/204  Payments to Suppliers (2nd Follow-On) 
 
 
IAS/2014/205  Expenses 
 
 
IAS/2014/206  Mitigation (2nd Follow-On) 
 
 
IAS/2014/207  Payroll 
Table 1: Audits completed during 2013/2014 
 
Comparative figures for the four previous financial years are outlined in Table 2 below. 
 
Audit Type 
FY 13/14 
FY 12/13 
FY 11/12 
FY 10/11 
FY 09/10 
5 Year 
Total 
Ful  



11 
10 
43 
Follow-On 

13 

12 

54 
Ad-Hoc 






Total 
15 
18 
17 
23 
15 
94 
Table 2: Analysis of number of audits completed by Financial Year 
 
A summary of audit assessments and recommendations in respect of the above reviews can 
be found in the fol owing section of this report. 
 
Al  completed audit reports, including management responses and action plans, have been 
submitted to and considered by the Audit & Risk Committee during the financial year.  The 
results of all audits have been formally reported to the relevant managers.  An executive 
summary highlighting the key findings from each review is included as Appendix A to this 
report. 
 
4.2 Compliance Testing 
During the year, IAS conducted a series of targeted compliance tests focused on Non-
Competitive Action (NCA) decisions made as  part of the Procurement (Supplier Selection) 
process, confirming that due process was being fol owed and that NCA’s were subject to 
appropriate review and challenge prior to approval. 
 
4.3 Governance, Risk Management, and Internal Control Consultancy and Advisory  
IAS has not engaged in any large scale consultancy or advisory projects in the course of the 
year.  IAS has however continued to be consulted on an ad hoc basis for advice on a variety 
of process improvement initiatives. 
 
As discussed below, a planned audit of the Use and Management of Social Media was 
delivered as an advisory review, assisting management in the identification of best practice 
guidance in this rapidly evolving area. 
 
Appropriate procedures are in place to ensure that any consultancy or advisory service 
offered by IAS does not compromise the independence or objectivity of the service with 
regard to its assurance objectives. 
 
 
Page | 4 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
 
5.  SUMMARY OF AUDIT RESULTS 

 
5.1 Audit Assessment Grading 
An overall assessment is applied to each audit review, providing a summary opinion on the 
adequacy and effectiveness of the governance, risk management, and internal control 
arrangements in place for the processes and activities within the audit scope. 
 
During the year, and in consultation with the Audit & Risk Committee, the terminology used 
within these assessments has been modified.  The definition applied to the assessments is 
however unchanged compared to prior years.  The change was in response to feedback from 
users of the report reflecting an inconsistent interpretation of the significance of the terms 
used, and specifically the use of ‘Superior’ and ‘Marginal’. 
 
The grades and their definitions are reproduced below: 
 
Revised 
Previous 
Definition 
Terminology 
Terminology 
Good 
Superior 
Controls / procedures accord with accepted good practice 
and are operating to a high standard. 
Satisfactory 
Satisfactory 
Controls / procedures generally accord with accepted good 
practice but certain matters are noted as requiring 
improvement.  Key control points are in place. 
Requires 
Marginal 
Some controls / procedures in place have material 
Improvement 
weaknesses and / or deficiencies which, if not resolved 
could lead to an unsatisfactory position. 
Unsatisfactory  Unsatisfactory  Controls / procedures in place offer scope for considerable 
improvement and concern is expressed about their 
adequacy.  The control system has fundamental 
weaknesses. 
 
5.2 Full Audits 
8 full audit reviews were completed during the year. 
 
The overal  assessments applied to these audits are summarised in Table 3 below.  Statistics 
for the previous two financial years and cumulative data for all audit assessments applied 
since the formation of the in-house IAS in 2004 are also provided. 
 
Assessment 
FY 13/14 
FY 12/13 
FY 11/12 
Cumulative 
Good 




Satisfactory 



39 
Requires 



23 
Improvement 
Unsatisfactory 



12 
Not Applicable 




Total 



85 
Table 3: Summary of audit assessments (full audits) 
 
To date, 11% of full audit reviews have received a Good / Superior assessment with a further 
46% receiving a Satisfactory rating. 
Page | 5 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
 
The overall assessments for each of the full audits completed in the year is detailed in Table 
4 below: 
 
Reference 

Title 
Assessment 
IAS/2013/104  Audit of Moderation Process 
Requires 
Improvement 
IAS/2013/106  REDACTED S30(b)&(c) 
 
IAS/2013/107  Audit of Payroll Process 
Requires 
Improvement 
IAS/2013/108  Audit of Study Abroad (Outward Bound) Processes 
Requires 
Improvement 
IAS/2014/101  Review of Use and Management of Social Media 
Not Applicable 
IAS/2014/102  Audit of Student Accommodation 
Satisfactory 
IAS/2014/104  Monitoring of Outcome Agreements 
Requires 
Improvement 
IAS/2014/108  REDACTED S30(b)&(c) 
 
Table 4: Results of Full Audits completed in 2013/14 
 
No opinion was given on the Review of the Use and Management of Social Media which was 
delivered as an advisory assignment. 
 
Time has been allocated in the 2014/2015 Annual Internal Audit Plan to complete Follow-On 
audits in respect of each of the above audits. 
 
5.3 Recommendations 
85 formal audit recommendations were issued and accepted during the year.  The 
significance of each recommendation is graded in accordance with the following criteria: 
 
Grade   
Definition 

Critical 
Severe weaknesses which must be addressed immediately 

Important 
Serious failings within the system which should be dealt with in the 
short term 

Desirable 
Areas which warrant management attention but not immediate 
action. 
 
Table 5 below summarises these recommendations, by grade, for each full audit completed 
during the period.  A comparative analysis of the total number of recommendations issued 
in the prior two years and cumulative recommendations since 2004 is also provided. 
Page | 6 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
 
 
Grade 



Total 
Audit 
Audit of Moderation Process 

16 

17 
REDACTED S30(b)&(c) 
 
 
 
 
Audit of Payroll Process 

11 

15 
Audit of Study Abroad (Outward Bound) 




Processes 
Review of Use and Management of Social 




Media 
Audit of Student Accommodation 




Monitoring of Outcome Agreements 




REDACTED S30(b)&(c) 
 
 
 
 
2013 / 2014 Total 

68 

85 
2012 / 2013 Total 

16 

23 
2011 / 2012 Total 

75 
28 
108 
Cumulative 
67 
503 
192 
762 
Table 5: Analysis of Audit Recommendations 
 
The number of  recommendations issued and agreed during the year has increased 
significantly in comparison with the previous year.  This is due to two key factors.   
 
•  Resource constraints in 2012 / 2013 within IAS meant that fewer full scope audits were 
completed in the year.  In addition, the audits that were completed in 2012 / 2013 were 
generally very positive, generating Good or Satisfactory overall assessments and 
relatively few recommendations.  It should also be noted that 51 of the 
recommendations reflected in Table 5 relate to audits forming part of the 2012 / 2013 
plan where delivery was delayed as a consequence of the resource constraints already 
referred to. 
 
•  The Audit Needs Assessment process supporting the 2013 / 2014 audit plan identified a 
number of management concerns in higher risk audit areas.  These concerns were then 
reflected in the plan submitted to the Audit & Risk Committee for approval.  Audits 
undertaken in the current year have confirmed the substance of many of these 
management concerns, and some positive assurance should be drawn from this 
alignment of management expectations and IAS findings. 
 
The status of all recommendations issued during the year will be followed up during 2014 / 
2015 to the extent that they have not already been addressed by 2013 / 2014 fol ow-on 
audits. 
 
5.4 Follow-On Audits 
7 follow-on audits were completed in the year.  The purpose of the fol ow-on audit is to 
determine whether appropriate action has been taken, within agreed timescales, to 
implement recommendations fol owing a full audit. 
 
The results of the follow-on audits completed in the year are summarised below: 
 
 
Page | 7 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
Review 
Previous 
Follow-On 
Assessment 
Assessment 
Risk Management 
Satisfactory 
Satisfactory 
Project Expenditure 
Satisfactory 
Satisfactory 
Anti-Bribery Procedures 
Satisfactory 
Satisfactory 
Payments to Suppliers (2nd Follow-On) 
Satisfactory 
Satisfactory 
Expenses 
Satisfactory 
Satisfactory 
Mitigation (2nd Follow-On) 
Satisfactory 
Satisfactory 
Payroll 
Requires 
Satisfactory 
Improvement 
Table 6: Summary of Fol ow-On Reviews 
 
A Follow-On Audit of the Moderation audit was planned for completion during the year, but 
as a consequence of the delays in completing the ful  audit in the 2012 / 2013 plan, the 
majority of recommendations could not be ful y implemented before the end of the 2013 / 
2014 academic year, with limited value to be generated from an early Follow-On review. 
 
Similarly, a Follow-On audit of REDACTED S30(b)&(c) was included in the current year plan 
but again, delays in the completion of the initial audit meant that only limited progress in 
addressing issues was expected through to the end of the 2013/14 academic year. 
 
The implementation status of recommendations associated with these audits is summarised 
below: 
 
Review 
Impl. 
In  Partial y 
Not  No longer 
Total 
Progress 
Impl. 
Impl.  applicable 
Risk Management 






Project Expenditure 






Anti-Bribery 






Procedures 
Payments to 
13 




13 
Suppliers (2nd Follow-
On) 
Expenses 






Mitigation (2nd 
20 




24 
Follow-On) 
Payroll 
12 




15 
Total 
62 




75 
Percentage 
83 




 
Table 7: Summary of Current Year Fol ow-On Review results 
 
In the case of second (or subsequent) fol ow-on reviews, the statistics for implemented 
recommendations may include recommendations previously reported as implemented after 
the earlier follow-on reviews. 
 
Recommendations are classified as in progress if the original target implementation date has 
passed.  Where a recommendation is classified as either Partially Implemented or Not 
Implemented, the original target implementation date has passed. 
 
Completion statistics are comparable to the results for 2012 / 2013. 
Page | 8 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
 
 
6.  COMMON WEAKNESSES 
Common themes emerging from the completed audits relate to a lack of consistent practice 
in processes devolved to Departments and Schools for local implementation.  While some 
variation in practice between Departments and Schools is expected, and at times is 
necessary to accommodate the specific local objectives and risks, there are also instances 
where greater consistency and standardisation could improve efficiencies. 
 
 
7.  COMPARISON WITH 2013 / 2014 ANNUAL 
INTERNAL AUDIT PLAN 
The 2013 / 2014 plan was partially achieved with 11 of the 21 planned activities completed 
during the year.  An additional 4 activities brought forward from the prior year’s plan were 
also completed. 
 
As indicated in Section 9 below, IAS capacity during the year was reduced through a vacancy 
in the Assistant Internal Auditor role. 
 
7.1 Full Reviews 
The 2013 / 2014 plan included 12 ful  audits.  4 of these were completed in the year with 7 
still in progress at the year end.  The timing of one further audit was moved into 2014 / 
2015, as during detailed planning it emerged that the underlying processes were progressing 
through a major transition and that the better value would be gained from a post-
implementation audit. 
 
7.2 Follow-On Reviews 
The 2013 / 2014 plan included 9 fol ow-on audits.  7 of these were completed in the year 
with 2 still in progress at the year end.  The incomplete audits relate to follow-on reviews of 
2012 / 2013 audits where completion of the initial audit was delayed until the early part of 
the current plan year.  As a consequence, the fol ow-on audits were delayed to ensure that 
adequate time was allowed for management to implement the agreed recommendations.   
 
 
7.3 Compliance Testing 
Compliance testing was completed as planned in the first quarter of the year. 
 
 
8.  PERFORMANCE MEASUREMENTS 
A series of performance measures have been agreed with the Audit & Risk Committee to 
monitor the efficiency and effectiveness of the IAS on an on-going basis. 
 
8.1 Progress against Agreed Annual Plan 
Progress against the agreed Annual Internal Audit Plan has been reported at each meeting of 
the Audit & Risk Committee. 
 
Page | 9 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
8.2 Issue of draft reports 
A target has been agreed of issuing all draft audit reports within 10 working days of the audit 
closure meeting.  Achieved performance for the year was 89% (2012 / 2013 performance: 
82%).  2 reports did not achieve the target with delays caused by holidays. 
 
8.3 Issue of final reports 
A target has been agreed of issuing all final reports within 10 working days of final 
management comments being received.  Achieved performance for the year was 100% 
(2012 / 2013: 88%). 
 
8.4 Recommendations agreed by management 
100% of recommendations issued in draft reports were agreed by management (2012 / 
2013: 100%). 
 
8.5 Other measures 
In addition to the above performance measures which focus on the effectiveness and 
efficiency of the IAS, we also measure the timeliness of management responses to draft 
audit reports. 
 
Managers are requested to submit their responses to recommendations and any other 
comments within 10 working days of the draft report being issued.  This target was achieved 
for 56% of reports  issued in 2013 / 2014 (2012 / 2013: 76%).  This measure has been 
impacted by the increased numbers of recommendations to be considered and the need for 
an increased number of actions to be agreed by multiple stakeholders.  In a number of cases, 
while initial responses were received within the target timescales, these then formed the 
basis of further discussions prior to the finalisation of management responses. 
 
 
9.  STAFFING 
IAS currently operates with a complement of 3 positions (2.42 FTE), comprising the Head of 
IAS, a Senior Internal Auditor and an Assistant Internal Auditor.  Actual achieved capacity in 
the year was 2.08 FTE due to a three month vacancy in the Assistant Internal Auditor post in 
the April – June period REDACTED S38(1)(b).  For the latter part of the year, the Head of IAS 
post has been fil ed on an interim basis by an experienced, qualified, independent 
contractor.  Steps are being taken by the Audit & Risk Committee and University senior 
management to recruit a suitably experienced and qualified member of staff into this 
position.   
 
Each member of staff has a documented personal development plan, and training and 
development activity is monitored throughout the year. 
 
 
 
10.  2014 / 2015 ANNUAL INTERNAL AUDIT PLAN 
A summary of the draft 2014 / 2015 Annual Internal Audit Plan coverage is outlined below: 
 
a)  Core Audit Plan 
 
The fol owing list represents the proposed audit coverage from the core audit plan: 
 
Page | 10 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
 
Audit 
Primary Process Area 
Executive lead 
Process 
responsibility 
category 
1  Operational Planning  Strategic Planning 
Depute Principal 
Governance 
2  Staff Recruitment 
People & Organisational 
Depute Principal 
Support 
Development 
3  Activity Planning 
People & Organisational 
Depute Principal 
Academic 
Development 
4  Financial Costing 
Finance 
Chief Finance & 
Finance 
Models 
Information Officer 
5  International Travel 
Finance 
Chief Finance & 
Support 
Information Officer 
6  Procurement Cards 
Finance 
Chief Finance & 
Support 
Information Officer 
7  IS Strategy 
Information Systems 
Chief Finance & 
Support 
Information Officer 
8  Estates Maintenance  Estates Management 
Chief Finance & 
Support 
Information Officer 
9  Risk Management 
Risk Management 
University Secretary  Governance 
& Registrar 
10  Complaints 
Academic Services 
University Secretary  Compliance 
Management 
& Registrar 
11  Enrolment & 
Registry 
University Secretary  Academic 
Induction 
& Registrar 
12  Portfolio Review 
Learning & Innovation 
VP & PVC Education  Academic 
13  Careers & 
Student Link 
VP & PVC Education  Support 
Employability 
14  International 
International 
VP & PVC 
Academic 
Partnerships 
International 
15  Research Ethics 
Research Services 
VP & PVC Research 
Academic 
& Enterprise 
 
Audit topics have been selected through a risk based analysis of the activities and processes 
undertaken within the University taking account of a range of risk factors and with inputs 
from senior management, other stakeholders, and cumulative audit knowledge and 
experience. 
 
b)  Fol ow On Audits 
 
 
Audit 
Primary Process Area 
Executive lead 
Process 
responsibility 
category 
1  REDACTED 
 
 
 
S30(b)&(c) 
2  Monitoring Outcome  Strategic Planning 
Depute Principal 
Governance 
Agreements 
3  Study Abroad 
Academic Schools 
Depute Principal 
Academic 
4  Work Based Learning  Academic Schools 
Depute Principal 
Academic 
& Placements 
5  Capital Expenditure 
Finance 
Chief Finance & 
Finance 
Information Officer 
6  Staff Expenses (2nd) 
Finance 
Chief Finance & 
Finance 
Page | 11 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
 
Audit 
Primary Process Area 
Executive lead 
Process 
responsibility 
category 
Information Officer 
7  Employment Status 
Finance 
Chief Finance & 
Finance 
Information Officer 
8  REDACTED 
 
 
 
S30(b)&(c) 
9  ICT Asset 
Information Systems 
Chief Finance & 
Support 
Management 
Information Officer 
10  Student Residences 
Estates Management 
Chief Finance & 
Support 
Information Officer 
11  Mitigation (3rd) 
Academic Services 
University Secretary  Academic 
& Registrar 
12  Anti-Bribery Policy 
Compliance 
University Secretary  Compliance 
(2nd) 
& Registrar 
13  CLA Copyright 
Libraries & e-Learning 
VP & PVC Education  Compliance 
14  International 
International 
VP & PVC 
Academic 
Recruitment & 
International 
Admissions 
 
Fol ow On audits are determined by the status of recommendations and action plans 
brought forward from prior Internal Audit Plans. 
Page | 12 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
APPENDIX A: AUDIT REPORTS – EXECUTIVE 
SUMMARIES 
 
 
Reference:
 
IAS / 2013 / 104 
Title:   
Audit of Moderation Processes 
 
Overal  Assessment: 
REQUIRES IMPROVEMENT 
 
Audit Objectives and Scope: 
The purpose of the audit was to identify and appraise the adequacy, reliability and 
effectiveness of the moderation process in place at UWS. 
 
Main Findings: 
We found a wide variety of practice and we saw some robust processes with good 
documentation.   However, a number of weaknesses in key controls were identified during 
the audit, which warranted management attention to ensure that the moderation process in 
place at UWS is effective.   
 
 
No of recommendations:
 
17 
 
 
 
 
__________________________________________________________________________ 
 
Reference:
 
IAS / 2013 / 106 
REDACTED S30(b)&(c)   
___________________________________________________________________________ 
 
Reference: 
IAS / 2013 / 107 
Title:   
Audit of Payroll 
 
Overal  Assessment: 
REQUIRES IMPROVEMENT 
 
Audit Objectives and Scope: 
The overall purpose of this audit was to identify and appraise the adequacy, reliability and 
effectiveness of the internal controls within the payroll process.  The audit covered payroll 
payments made during the tax year ended 5th April 2013. 
 
 
Main Findings: 

Our audit of the payrol  process identified a number of control weaknesses and we had a 
general concern about the apparent lack of understanding within the payroll team of the 
controls incorporated into the process.  Some of the basic expected key controls (such as 
separation of duties between ‘input’ and ‘checking’ tasks) were not in place.   
 
 
No of recommendations: 

15 
 
Appendix A | 1 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
APPENDIX A: AUDIT REPORTS – EXECUTIVE 
SUMMARIES 
 
 
___________________________________________________________________________ 
 
Reference: 
IAS / 2013 / 108 
Title:   
Audit of Study Abroad (Outward Bound) Processes 
 
Overal  Assessment: 
REQUIRES IMPROVEMENT 
 
Audit Objectives and Scope: 

The purpose of the audit was to consider the adequacy and effectiveness of the outward 
bound study abroad processes at UWS 
 
Main Findings: 
A number of specific actions relating to outward-bound mobility contained in the 
Internationalisation and Global Citizenship Strategy and Action Plan were in progress at the 
time of our audit fieldwork, albeit some of these actions were at an early stage.   
 
There was considerable variation in the range of opportunities to participate in outward-
bound study abroad activities from school to school with focus ranging from Erasmus 
opportunities to short-term non-credit bearing opportunities.  All schools have prepared an 
International Activity Summary and opportunities to study abroad are promoted to students 
in a variety of ways.   
 
The audit identified a number of areas where improvements could be made 
 
No of recommendations: 

7 
 
 
 
___________________________________________________________________________ 
 
Reference:
 
IAS / 2014 / 101 
Title:   
Review of Use and Management of Social Media 
 
Overal  Assessment: 
NOT APPLICABLE 
 
Review Objectives and Scope: 
The purpose of this review was to identify best practice guidance with regards to the use 
and management of social media, and to review the approach currently being taken at UWS. 
 
Main Findings: 
As social media is a relatively new and emerging area, we felt that it would be more 
appropriate to perform an advisory review – to identify best practice guidance with regards 
to the use and management of social media, and to review the approach currently being 
taken at UWS. There is a range of good practice guidance available on how an organisation 
can effectively use social media whilst managing the associated risks.  The advice varies to 
some degree, however there is a common theme running through all of the good practice 
guidance documents based around four key steps.  For each step, we summarised the 
Appendix A | 2 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
APPENDIX A: AUDIT REPORTS – EXECUTIVE 
SUMMARIES 
 
recommended good practice guidance, commented on current UWS status and identified 
suggested ‘next steps’ for consideration. 
 
No of recommendations: 
N/A 
___________________________________________________________________________ 
 
Reference: 

IAS / 2014 / 102 
Title:   
Audit of Student Accommodation 
 
Overal  Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 

The purpose of the audit was to identify and appraise the adequacy, reliability and 
effectiveness of the internal controls surrounding the University’s student accommodation. 
 
 
Main Findings: 
On the whole, student accommodation is being wel  managed and control ed.  Current 
licences are in place for each residence (where required). Processes are in place for the 
setting, review and approval of accommodation fees.  Information is provided to students 
and a transparent application handling process is in place.  Tenancy agreements are in place 
for student lets and steps are taken to safeguard the University’s property.  Occupancy levels 
are monitored and the occupancy rate for 2013/2014 has been very high to date. 
 
We identified some areas where controls could be improved –  primarily relating to 
commercial letting of student accommodation. 
 
No of recommendations: 


 
___________________________________________________________________________ 
 
Reference: 
IAS / 2014 / 103 
Title:   
Review of Research Ethics   
 
Overal  Assessment: 
NOT APPLICABLE 
 
Review Objectives and Scope: 

The purpose of the review was to assist the Acting Chair of the University’s Ethics Committee 
in identifying areas requiring improvement in the University’s Research Ethics processes to 
allow a coherent approach to restructuring the current procedures in place. 
 
Main Findings: 
No findings reported at this stage.  A post-implementation review will be incorporated into 
the 2014 / 2015 Internal Audit Plan. 
 
No of recommendations: 

N/A 
 
 
 
_________________________________________________________________________ 
Appendix A | 3 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
APPENDIX A: AUDIT REPORTS – EXECUTIVE 
SUMMARIES 
 
 
 
Reference: 
IAS / 2014 / 104 
Title:   
Audit of Monitoring of Outcomes Agreement 
 
Overal  Assessment: 
REQUIRES IMPROVEMENT 
 
Audit Objectives and Scope: 

The purpose of the audit was to identify and appraise the adequacy, reliability, and 
effectiveness of the process for monitoring outcome agreements. 
 
Main Findings: 
While the submission of the self-evaluation monitoring report to the SFC was completed on 
time and was subject to appropriate controls over its compilation, validation, and approval, 
the process was found to be unsustainable and did not support regular management 
monitoring of progress against outcomes throughout the year.  This was an acknowledged 
process deficiency and there was evidence of progress in the development of improved 
management information to address this gap. 
 
No of recommendations: 


 
 
 
Reference: 
IAS / 2014 / 108 
REDACTED S30(b)&(c) 
 
__________________________________________________________________________ 
Appendix A | 4 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
APPENDIX A: AUDIT REPORTS – EXECUTIVE 
SUMMARIES 
 
 
Reference:
 
IAS / 2014 / 201 
Title:   
Risk Management Follow-On Audit 
 
1st Follow-On Assessment: 
SATISFACTORY 
Original Assessment: 
SATISFACTORY 
 
 
Audit Objectives and Scope: 

The purpose of the fol ow-on audit was to determine the status of the recommendations 
agreed following the original audit of Risk Management Processes. 
 
Main Findings: 

Good progress has been made to address the recommendations made. 5 of the 6 
recommendations have been ful y implemented.  The status of the remaining 
recommendation is reported as ‘partially implemented’.  This relates to documenting a more 
detailed statement on risk appetite and work on this recommendation is progressing.   
 
 
 
___________________________________________________________________________ 
 
Reference:
 
 
IAS / 2014 / 202 
Title: 
Project Expenditure Fol ow-On Audit 
 
Original Assessment: 
SATISFACTORY 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the fol ow-on audit was to determine the status of the actions agreed 
fol owing the Audit of Project Expenditure.  The main objective of the audit was to gain 
assurance that all of the recommendations have been implemented, in accordance with the 
agreed timetable. 
 
Main Findings: 
The original audit review had an overall assessment of ‘Satisfactory’ and included only 3 
recommendations.  As all recommendations are now implemented, no further follow-on 
audit work is scheduled at this time. 
 
 
 
_________________________________________________________________ 
 
Appendix A | 5 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
APPENDIX A: AUDIT REPORTS – EXECUTIVE 
SUMMARIES 
 
 
Reference:
 
 
IAS / 2014 / 203 
Title: 
Anti-Bribery Procedures Follow-On Audit 
 
Original Assessment: 
SATISFACTORY 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the fol ow-on audit was to determine the status of the actions agreed 
following the Audit of Anti-Bribery Procedures.  The main objective of the audit was to gain 
assurance that all of the recommendations have been implemented, in accordance with the 
agreed timetable. 
 
Main Findings: 
Good progress had been made to address the issues raised and 6 of the 7 recommendations 
had been ful y implemented by the time of the follow-on audit. 
 
 
 
 
_________________________________________________________________  
 
Reference:
 
 
IAS / 2014 / 204 
Title: 
Payment to Suppliers 2nd Follow-On Audit 
 
Original Assessment: 
SATISFACTORY 
1st Follow-On Assessment: 
SATISFACTORY 
2nd Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the fol ow-on audit was to determine the status of the outstanding actions 
agreed following the first follow-on Audit of the Payment to Suppliers Process.  The main 
objective of the audit was to gain assurance that al  of the recommendations have been 
implemented, in accordance with the agreed timetable. 
 
 
Main Findings: 
At the time of our 1st Follow-On Audit, there had been a management change within the 
Finance team responsible for processing payments to suppliers.  As a result, there had been 
a delay in implementing a number of the recommendations from the original audit. Good 
progress has been made since the time of the 1st Follow-On with al  of the outstanding 
recommendations now reported as implemented.   
__________________________________________________________________________ 
 
Appendix A | 6 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
APPENDIX A: AUDIT REPORTS – EXECUTIVE 
SUMMARIES 
 
 
Reference:
 
 
IAS / 2014 / 205 
Title: 
Expenses Process Fol ow-On Audit 
 
Original Assessment: 
SATISFACTORY 
Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the fol ow-on audit was to determine the status of the actions agreed 
fol owing the Audit of the Expenses Process.  The main objective of the audit was to gain 
assurance that all of the recommendations have been implemented, in accordance with the 
agreed timetable. 
 
Main Findings: 
Progress has been made with three of the recommendations now reported as implemented 
and one recommendation now considered no longer applicable.  One further 
recommendation is recorded as partially implemented as this relates to revision of the policy 
document which requires to be approved by committee at a future date.  The two remaining 
recommendations are reported as not implemented; however a stronger focus and new 
approach has been proposed resolve the underlying issues. 
 
 
 
__________________________________________________________________________ 
 
Reference:
 
 
IAS / 2014 / 206 
Title: 
Mitigation 2nd Follow-On Audit 
 
Original Assessment: 
UNSATISFACTORY 
1st Follow-On Assessment: 
SATISFACTORY 
2nd Follow-On Assessment 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of this second fol ow-on audit was to determine the status of outstanding 
actions following the first follow-on review. 
 
 
Main Findings: 
Of the 24 recommendations initially raised, 19 had been implemented at the time of the first 
follow-on audit, with a further 1 recommendation ful y implemented and the remainder 
found to be partial y implemented.  The outstanding actions relate primarily to the 
formalisation of actions already taken in process documentation made available to students. 
___________________________________________________________________________   
 
Appendix A | 7 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
APPENDIX A: AUDIT REPORTS – EXECUTIVE 
SUMMARIES 
 
 
Reference:
 
 
IAS / 2014 / 207 
Title: 
Payroll Follow-On Audit 
 
Original Assessment: 
REQUIRES IMPROVEMENT 
1st Follow-On Assessment: 
SATISFACTORY 
 
Audit Objectives and Scope: 
The purpose of the fol ow-on audit was to determine the status of the agreed actions 
following the Payroll audit completed earlier in the current year. 
 
Main Findings: 
Good progress has been made with the majority of actions satisfactorily completed.  The 
remaining actions relate to the collation of process and user documentation which currently 
exists across a number of dispersed sources, and housekeeping activities that will be 
completed following the structural reorganisation effective from 1st August 2014. 
___________________________________________________________________________ 
 
 
 
Appendix A | 8 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
APPENDIX B: COMPARISON OF PERFORMANCE AGAINST PLAN 
 
Appendix B 
COMPARISON OF PERFORMANCE AGAINST PLAN 
 
Full Audit Reviews 

 
Category 
Audit 
Status 
Comment 
 

Corp Gov 
Monitoring of Outcomes Agreement 
Complete  Reported to Audit & Risk Committee in June 2014. 

Corp Gov 
Social Media 
Complete  Reported to Audit & Risk Committee in March 2014. 

Compliance 
REDACTED S30(b)&(c) 
In Progress  Scheduled to complete in early 2014/15 

Compliance 
Copyright 
In Progress  Scheduled to complete in early 2014/15 

Financial 
Capital Expenditure 
Planned 
Fieldwork on hold pending Finance staff availability 

Financial 
Employment Status 
In Progress  Scheduled to complete in early 2014/15 

Academic 
Academic Profesional Development 
In Progress  Scheduled to complete in early 2014/15 

Academic 
Research Institutes 
In Progress  Scheduled to complete in early 2014/15 

Academic 
Research Ethics 
Deferred 
Deferred to 2014 / 2015 academic year due to processes in a state of 
transition.  Deferral reported to the Audit & Risk Committee in March 
2014 
10 
Academic 
Work-Based Learning & Placements 
In progress  Scheduled to complete in early 2014/15 
11 
Support 
REDACTED S30(b)&(c) 
Complete  Reported to Audit & Risk Committee in September 2014 
12 
Support 
Residences 
Complete  Reported to Audit & Risk Committee in March 2014. 
 
Follow-On Reviews 
 

Category 
Review 
Status 
Comment 

Corp Gov 
Risk Management Process 
Complete  Reported to Audit & Risk Committee in March 2014. 

Compliance 
Anti-Bribery Procedures 
Complete  Reported to Audit & Risk Committee in March 2014. 

Financial 
Project Expenditure 
Complete  Reported to Audit & Risk Committee in March 2014. 

Financial 
Payroll 
Complete  Reported to Audit & Risk Committee in September 2014 
Appendix B | 9 

Internal Audit Service 
Annual Internal Audit Report – 2013 / 2014 
September 2014  
APPENDIX B: COMPARISON OF PERFORMANCE AGAINST PLAN 
 
 
Category 
Review 
Status 
Comment 

Financial / 
REDACTED S30(b)&(c) 
In Progress  Scheduled to complete in early 2014/15 
Academic 

Academic 
Moderation 
In Progress  Scheduled to complete in early 2014/15 

Financial 
Payments to Suppliers (2nd) 
Complete  Reported to Audit & Risk Committee in March 2014. 

Academic 
Mitigation Process (2nd)  
Complete  Reported to Audit & Risk Committee in September 2014 

Financial 
Expenses 
Complete  Reported to Audit & Risk Committee in June 2014. 
 
Compliance Testing 
Process 

Status 
Comment 
Non Competitive Action Decisions 
Complete 
 Reported to Audit & Risk Committee in December 2013 
 
 
 
 
Appendix B | 10 

Document Outline