Mae hwn yn fersiwn HTML o atodiad i'r cais Rhyddid Gwybodaeth 'SFC Financial Memorandum and Internal Audit'.



 
 
 
 
 
 
 
 
University of the Highlands and Islands 
Internal Audit Service 
Annual Internal Audit Report 2013/14 
 
02/09/2014 

link to page 3 link to page 3 link to page 3 link to page 4 link to page 6 link to page 11 link to page 15 link to page 15 link to page 15 link to page 19 link to page 20 link to page 23 link to page 24 link to page 24 link to page 33  
Internal Audit Annual Report 
2013/14 
 
CONTENTS 
 
1. 
Introduction ................................................................................................................. 3 
2. 
Responsibilities for Risk Management, Control, Governance and Value for Money . 3 
3. 
Role of Internal Audit .................................................................................................. 3 
4. 
Performance against the Internal Audit Plan.............................................................. 4 
5. 
Summary of Internal Audit Work undertaken ............................................................. 6 
6. 
Follow up of agreed management actions ............................................................... 11 
7. 
Annual opinion on the adequacy and effectiveness of the University of the 
Highlands and Islands’s arrangements for risk management, control and 
governance; economy, efficiency and effectiveness (value for money). ................. 15 

8. 
Internal Audit Key performance Indicators ............................................................... 20 
9. 
Internal Audit Service Quality Assurance programme ............................................. 21 
10. 
Conclusion ................................................................................................................ 23 
 
Appendices 
 
Appendix  A  -The Institute of Internal Auditors UK and Ireland -  An approach to implementing 
Risk Based Internal Audit ...................................................................................... 24 
Appendix B - UHI Internal Audit Service internal quality assessment - peer reviews ................. 33 
Page 2 
 

University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
Annual Internal Audit Report  
2013/14 
1. 
Introduction 
1.1. 
UHI recruited an in-house Internal Auditor and established a Co-Sourced Internal Audit 
Service with Henderson Loggie Chartered Accountants in February 2009. This  Annual 
Internal Audit Report provides a summary of the Internal Audit Service’s activities since 
the 1st August 2013 for the financial year 2013/14.  
1.2. 
The  Internal Audit Terms of Reference require the  Head of Internal Audit  to give an 
annual opinion to Court and Principal and Vice Chancellor, through the Audit Committee, 
on the adequacy and effectiveness of UHI’s arrangements for: 
• 
risk management, control and governance; and for 
• 
economy, efficiency and effectiveness (value for money)  
1.3. 
The opinion is provided in section 7 of this report. 
 
2. 
Responsibilities for Risk Management, Control, Governance and Value for 
Money 

2.1. 
Within  the  University of the Highlands and Islands, responsibility for risk management, 
control and governance arrangements and the achievement of value for money rests 
with  Court  and management, who should ensure that appropriate and adequate 
arrangements exist without reliance on the UHI Internal Audit Service. The UHI Internal 
Audit Service has no executive role, nor does it have any responsibility for the 
development, implementation or operation of systems. 
 
3. 
Role of Internal Audit 
3.1. 
The  UHI  Internal Audit Service is responsible for providing an objective, independent 
appraisal of all the  University of the Highlands and Islands  activities, financial and 
otherwise. It provides a service to the whole organisation, including Court and all levels 
of management. It is not an extension of, nor a substitute for, good management, 
although it can have a role in advising management. The Internal Audit Service is 
responsible for evaluating and reporting to the University of the Highlands and Islands 
Court  and  the  Principal and Vice Chancellor,  through the Audit Committee, thereby 
providing them with assurance on the arrangements for risk management,  control, 
governance  and value for money. It remains the duty of management, not the internal 
auditor, to operate these arrangements. 
3.2. 
The  Head of Internal Audit  is required to give an annual opinion to Court  and  the 
Principal and Vice Chancellor, through the Audit Committee, on the adequacy and 
effectiveness of the arrangements for risk management, control and governance and for 
economy, efficiency and effectiveness (value for money) within UHI, and the extent to 
which Court can rely on these. 
Page 3 
 

University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
3.3. 
Independence  
3.4. 
The Internal Audit Service has no executive role, nor does it have any responsibility for 
the development, implementation or operation of systems.  The  Head of Internal Audit, 
subject to any guidance from the Audit Committee is solely responsible for the 
management and development of the University of the Highlands and Islands  co-
sourced Internal Audit Service. 
3.5. 
For day-to-day administrative purposes only, the Head of Internal Audit  reports  to the 
UHI Principal and Vice Chancellor. The Head of Internal Audit also has right of access to 
the UHI Principal and Vice Chancellor. 
3.6. 
The Institute of Internal Auditors International Standards for the Professional Practice of 
Auditing state that ‘internal audit activity should be free from interference in determining 
the scope of internal auditing, performing work, and communicating results’.  
3.7. 
Where there are differences of opinion between Internal Audit and management, Court 
(on the advice of the Audit Committee) should ultimately determine whether or not to 
accept audit recommendations, recognise and accept the risks of not taking action, and 
instruct management to implement recommendations. 
4. 
Performance against the Internal Audit Plan 
4.1. 
The  University of the Highlands and Islands  Internal Audit Plan for 2013/14  plan was 
prepared using a planning methodology in line with the Scottish Funding Council (SFC) 
guidance and current best practice from the Committee of University Chairmen (CUC), 
Institute of Internal Auditors (IIA), Higher Education Funding Council for England 
(HEFCE), the Council of Higher Education Internal Auditors (CHEIA) and also in the 
context of UHI’s risk management infrastructure.  
4.2. 
The Internal Audit Planning Methodology and proposed Internal Audit Plans were 
discussed and reviewed by the External Auditor. 
4.3. 
The Audit Committee approved  the  Internal Audit Plan for 2013/14  at its meeting in 
September 2013. Progress with the audit plan was reviewed by the Audit Committee at 
each meeting during the year. During the year UHI has had to make preparations for a 
number of significant changes:  
•  Post-16 Education (Scotland) Act. 
•  Establishment of UHI as a Regional Strategic Body. 
•  Office of National Statistics reclassification of incorporated Colleges. 
•  New draft SFC Financial Memoranda. 
•  Revision  of the UHI Articles of Association and reconstitution of Court and its 
respective committees. 
•  Establishment of the Further Education Regional Board  
4.4. 
The above changes necessitate additional responsibilities being assumed by 
UHI and amend the governance and operational arrangements surrounding the 
UHI  Academic Partners.   During the year the Head of Internal has reviewed 
documentation and consultation papers on  the Post 16 Education (Scotland) 
Act, the new SFC Financial Memoranda, as well as the  new requirements that 
will apply to incorporated  colleges subject to Office of National  Statistics 
Reclassification e.g. the Scottish Public Finance Manual, Public Sector Internal 
Audit Standards, Directors Certificates of Assurance and Internal Control 
Checklist. The Head of Internal Audit has kept the Audit Committee informed of 
these changes and identified that the changes will widen the scope of internal 
Page 4 
 

University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
audit activity within UHI and increase the level of assurance required by the 
Audit Committee and Court.  
4.5. 
The Head of Internal Audit has consulted with the Finance Directors 
Practitioners Group, liaised with the Further Education Regional Board Short 
Life Working Group and consulted Academic Partner Principals through the Vice 
Principal Further Education in order to plan the new partnership information and 
assurance requirements. 
4.6. 
Preparation for the above changes has impacted delivery of the planned audits. 
Time allocated to reviewing Organisational Structures was directly allocated to 
liaising with the Further Education Regional Board Short Life Working Group 
and to identifying the new partnership information and assurance requirements.   
The planned audits of identification and management of research opportunities 
and succession planning were not able to be completed.  
2013/14 Audit Plan  
Audit risk 
Progress to date  
score 
Corporate Governance Framework - 
41 
Reported to Audit Committee 26 
compliance with best practice 
February 2014 
Organisational Structure - Committee and 
40 
Work carried out with the Further 
Court Organisation and Administration 
Education Regional Board Short 
Monitoring of Executive Management, 
Life Working Group to identify the 
Delegated authority 
new partnership information and 
assurance requirements. 
Full review of new structures in this 
area deferred to 2014/15 internal 
audit plan. 
IT Asset Register and Software Licence 
24 
Reported to Audit Committee 11 
Compliance 
September 2014 
Identification and management of research 
35 
Initial Audit Planning meeting with 
opportunities 
Vice Principal Research carried out 
Scope and Objectives defined 
Field work underway  unable to be 
completed during the year due to 
additional activities undertaken 
(See paragraph 4.6) 
Student recruitment  
32 
Reported to Audit Committee 6 
June 2014
 
Succession Planning 
32 
Deferred to 2014/15 internal audit 
plan (See paragraph 4.6) 
Compliance with Legislation - Protecting 
30 
Reported to Audit Committee 6 
Vulnerable Groups Scheme 
June 2014  
Student Placements 
23 
Reported to Audit Committee 11 
September 2014
 
Library Services 
20 
Reported to Audit Committee 26 
February 2014
 
Risk Management 
 
Reported to Audit Committee 11 
September 2014
 
 
Page 5 
 

University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
5. 
Summary of Internal Audit Work undertaken 
5.1. 
The following paragraphs provide a summary of the Internal Audit work undertaken from 
the Internal Audit Plan 2013/14. 
5.2. 
Scottish Code of Good HE Governance 
5.3. 
An audit review was carried out to compare and assess UHI corporate Governance 
arrangements against best practice –  the Scottish Code of Good HE Governance. The 
review concluded that the UHI Annual Report and Financial Statements (2012-13) 
record that the University had  agreed to adopt the Scottish Code of Good Higher 
Education Governance as good practice  for 2013-14 onwards. UHI will be required to 
report in the corporate governance statement of their annual audited financial 
statements (Annual Reports) that they have had regard to the Code, and that where an 
Institution’s practices are not consistent with particular provisions of the Code an 
explanation should be published in that statement. 
5.4. 
For the most part there was evidence to support that UHI had in place arrangements to 
demonstrate compliance with the Code. However, there were some areas identified 
where UHI could further increase the transparency surrounding its practices as well as 
some opportunities to improve practices to better demonstrate compliance with the 
Code. 
5.5. 
Ten recommendations for improvement in control were  identified, of which all were 
prioritised as Medium. Actions to improve compliance with the Scottish Code of Good 
HE Governance were  agreed by management, with the final action due for 
implementation by 31 December 2015. 
5.6. 
IT Asset Register and Software Licence Compliance 
5.7. 
An audit review of the processes used to record UHI IT assets and ensure compliance 
with software licence requirements  was carried out.  The review  concluded that there 
was no formal policy or procedures to ensure that the list of IT assets recorded on the 
LIS helpdesk software, which formed the basis of a UHI IT Asset Register, was 
complete, accurate and provided sufficient information for analysis.  Furthermore, the 
processes being used for IT asset additions did not ensure that all IT assets were tagged 
or were entered onto the IT Asset Register.  Audit sample testing identified that a 
significant proportion of items were not recorded on the IT Asset Register and that 
information about IT assets in the Register was not always accurate.  There were no 
formal input or monitoring controls to ensure all asset additions or transfers in the IT 
Asset Register were accurate and complete. 
5.8. 
There were no formal processes for IT hardware disposal.  IT assets requiring disposal 
were removed by a specialist contractor periodically for destruction or recycling and it 
provided a list of all items that it had destroyed or recycled.  The contractor provided a 
certificate of compliance with relevant legal requirements  and was International 
Organisation for Standardisation  registered.  Some  IT assets were passed on to 
Academic Partners and in these cases LIS advised that they wrote over all data and 
software to ensure that Data Protection legislation requirements had been met. 
5.9. 
There were no policies or procedures that set out in detail how software licence terms 
and conditions should be identified, and outlined how controls should be put in place to 
ensure licence requirements were met. 
5.10. 
Any software that departments wished to purchase would only be reviewed by LIS for 
appropriateness if it was funded from the LIS budget or if LIS was requested to review 
this.  As a result, some software may have been purchased that was not best value for 
money or the most appropriate for UHI.  
5.11. 
There was no central software register identifying software licences purchased, 
summarising key terms and conditions, and identifying what controls should be put in 
place to ensure that the risk of non-compliance with software licence requirements was 
Page 6 
 

University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
minimised.  There was also no procedure to update software records when software was 
disposed of. The Protection Against Malicious Software Policy set out that users should 
not store or use unlicensed software, however there were no arrangements in place to 
identify, locate and remove un-licenced software. 
5.12. 
Sixteen recommendations for improvement in control were  identified, of which 11 were 
prioritised as Medium, and the remainder as Low priority.  Fifteen actions to improve 
control  were  agreed by Management, one action was not agreed as the scope of the 
recommendation was considered too wide and was covered by other agreed actions. 
The final action was due for implementation by 31 December 2015. 
5.13. 
Student Recruitment 
5.14. 
An audit review of student recruitment was carried out.  The review found that there was 
appropriate oversight of student recruitment activities at UHI through the Partnership 
Planning Forum and also in Academic Partners through review by their senior 
management or governing body.  Roles and responsibilities for undertaking student 
recruitment activities were clear within the Executive Office and within Academic 
Partners, however some Academic Partners advised that the division of roles and 
responsibilities between Executive Office and Academic Partners were not clear. 
5.15. 
A UHI Marketing and Communications Strategy and Plan was in place but this could be 
expanded upon.  All Academic Partners involved in recruitment activity advised that they 
had a Marketing Strategy or were developing one (NAFC Marine Centre advised that it 
did not undertake recruitment activity). A formal annual student recruitment plan was in 
place at Executive Office.  All Academic Partners involved in recruitment activity advised 
that they had either a formal or informal student recruitment plan or were developing 
one. 
5.16. 
Student recruitment activity at  Executive Office was planned, based on research, co-
ordinated with Academic Partners and reviewed and monitored for economy, 
effectiveness and efficiency.  Most Academic Partners had student recruitment activities 
designed to be economic, efficient and effective and underpinned with data, however 
some smaller or specialist Academic Partners had limited information, particularly about 
measuring the effectiveness of student recruitment activities. 
5.17. 
Mechanisms for sharing best practice related mainly to the Marketing and 
Communications Practitioners Group conferences, with no formal process in place to 
consider what best practice could be shared and ensure this was done. 
5.18. 
The knowledge and skills of staff undertaking student recruitment activities was formally 
considered, with training provided when necessary. 
5.19. 
Appropriate processes were in place at  Executive Office and in Academic Partners to 
deal with student recruitment complaints. 
5.20. 
Six recommendations for improvement in control were  identified, of which all were 
prioritised as Medium. Five actions to improve control were agreed by Management. For 
one recommendation no further additional action was proposed. The final agreed action 
was due for implementation by 31 December 2014. 
5.21. 
Compliance with Legislation –  Using disclosure information and the Protecting 
Vulnerable Groups Scheme  

5.22. 
A review was carried out to assess whether UHI had effective arrangements in place for 
lawfully obtaining disclosure information under the Police Act 1997 and or the Protection 
of Vulnerable Groups (Scotland) Act 2007. 
5.23. 
The review concluded that although there was a UHI PVG Scheme Policy in place, that 
this was not up-to-date or as comprehensive as required.  Furthermore, there was no 
guidance over how Police Act 1997 disclosure checks should be applied. 
Page 7 
 

University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
5.24. 
The ‘Code of Practice’ produced by Disclosure Scotland sets out the requirements for 
registered bodies regarding the operating of the PVG Scheme.  We noted a number of 
areas where the requirements of the Code were not being met. 
5.25. 
Procedures were in place to consider whether a disclosure check was required, however 
the logic for requiring or not requiring these checks was not documented.  In addition, 
when ‘Authority to Recruit’ forms highlighted the need for a disclosure check sometimes 
Human Resources staff overruled this based on their knowledge of the post and the 
disclosure legislation requirements but did not document their reasoning for this.  
Furthermore, procedures about how to process disclosure checks were not formally 
documented. 
5.26. 
We reviewed a sample of staff to determine whether or not these staff required a 
disclosure check.  We identified five staff that were employed prior to the PVG scheme 
and should require retrospective PVG checks. UHI staff who were employed prior to the 
introduction of the PVG Scheme in 2011 had not been systematically transferred onto 
the Scheme. 
5.27. 
The UHI PVG Scheme Policy required  staff to commence employment only once their 
Disclosure Scotland check had been received, however we found that all staff in post at 
28 February 2014 who had disclosure checks had received these after they commenced 
employment. 
5.28. 
Based on responses received to a questionnaire all but three Academic Partners 
appeared to have appropriate policies, procedures and controls in place to comply with 
Police Act 1997 and the Protection of Vulnerable Groups (Scotland) Act 2007 
requirements, however there was no periodic process to obtain assurances from 
Academic Partners on compliance with this legislation. 
5.29. 
Fifteen recommendations for improvement in control were identified, of which three were 
prioritised as High, nine as Medium, and the remainder as low priority. Actions to 
improve control were  agreed by Management, with the final action due for 
implementation by 31 December 2014. 
5.30. 
Student Placements 
5.31. 
An audit review on Student Placements  was carried out. The review concluded that 
Academic Council had approved a UHI Placement Learning Policy. The Policy defined 
the scope, process, role of academic staff and the role of UHI Careers Centre. It was 
found  that the Policy had not been fully communicated or implemented and that there 
was a lack of clarity surrounding who had responsibility for monitoring compliance with it. 
The Policy did not define a clear management framework in terms of oversight and 
reporting structures within which placement activity would operate.  
5.32. 
There was scope identified to further develop policy, guidance, processes and 
procedures for the planning, administration, management and monitoring of placement 
activity to assist in the effective management of risk. 
5.33. 
There was an opportunity to improve record keeping processes to aid in the effective 
coordination and administration of placement activity across the partnership. Control 
could be further strengthened with a  formalised process of monitoring across UHI to 
provide assurance that risks surrounding placement activity were being managed 
effectively and that the Placement Learning Policy and guidance was being complied 
with. 
5.34. 
There were two high priority recommendations: 
•  Formalising  the process for  communication and implementation of the Placement 
Learning Policy. Measures to monitor compliance with the policy should be 
determined. 
Page 8 
 

University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
•  Improve control by ensuring the use of a tripartite agreement between the UHI, 
Placement Provider and Student  to define roles and responsibilities and govern 
placement activity. 
5.35. 
Eighteen recommendations for improvement in control were identified, of which two were 
prioritised as High, Fourteen as Medium, and the remainder as low priority. In order to 
progress agreement to the recommendations identified. The report will be referred to the 
Quality  Assurance  Enhancement  Committee (QAEC)  for consideration alongside the 
QAEC Placement Review Group  report. QAEC will receive both the QAEC Placement 
Review Group report and the internal audit report on 10 September 2014, and make 
decisions on the recommendations in the QAEC review group report. Relevant 
recommendations will be made to Academic Council for approval/action. An updated 
internal report will be provided to the Audit Committee with the management actions 
section fully completed. 
5.36. 
Library Services 
5.37. 
An audit review of UHI library services was carried out. The review concluded that there 
had not been a formalised partnership wide planning or review process to determine the 
needs of students and staff in relation to library resources required to support the 
University curriculum and research activities and inform purchasing.  Furthermore, there 
was a lack of comprehensive reporting of library resource usage and expenditure to 
inform planning and monitoring.  There was therefore a lack of evidence of processes to 
underpin demonstration that the UHI Executive Office expenditure on library resources 
provided value for money. 
5.38. 
Academic Partner library services were provided by  the 13 autonomous Academic 
Partners across a range of sites; they provide access to a range of physical and 
electronic materials.  Academic Partners develop, fund, control and manage their own 
library services and provision.  There were varying practices and different standards of 
service offered across Academic Partner Libraries such as: library opening hours; out-of-
hours access; monitoring of the actual use of library services and end user feedback; the 
charging of library fines; and the provision of appropriate IT and other facilities and 
services for students. 
5.39. 
There was insufficient evidence to conclude that there was equity of response at each 
Academic Partner site in terms of the availability of physical materials to meet the needs 
of students and staff in relation to the University curriculum.  Furthermore, there was no 
effective process of post approval monitoring of library resources reading lists to ensure 
that the required core texts were purchased and made available whether electronically 
or via hard copies at appropriate Academic Partner Library sites. The findings identified 
a number of areas where further investigation was required to determine whether there 
could be opportunities to improve equity of response at each Academic Partner site and 
or service improvement through harmonisation or standardisation of practices. 
5.40. 
Eleven  recommendations for improvement in control were  identified, of which seven 
were  prioritised as Medium, and the remainder as low priority.  Actions to improve 
control were agreed by Management, with the final action due for implementation by 31 
December 2015. 
5.41. 
Risk Management 
5.42. 
An audit review on Risk Management was carried out. The review concluded that whilst 
UHI is continuing to embed its risk management processes there remains opportunities 
to further improve these by ensuring the regular completion and update of all risk 
registers and by more closely monitoring completion of actions to mitigate risk. The work 
of the two Risk Review Groups was providing a continuing impetus to improve  risk 
management processes and was better enabling the provision of timely risk information 
to the Finance and General Purposes Committee, Higher Education Partnership Policy 
and Resources Committee and to Court.  
Page 9 
 

University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
5.43. 
In total, two recommendations for improvement in control were identified, of which both 
were prioritised as high priority. The High priority recommendations identified scope to 
improve control by: 
•  Reinforcing processes to ensure that the standard risk register templates were 
all completed as well as updated on a timely basis.  
•  The Executive  Office  Risk Review Group monitoring the implementation of 
further actions to mitigate risk. This could be assisted through the development 
of trend reports on residual risk that highlight by exception where residual risks 
are static for a period of time. 
5.44. 
Actions have been agreed by Management, with the final action due for implementation 
by the 31 December 2014.  
5.45. 
It was noted that there remained three agreed management actions outstanding from 
the previous internal audit review of risk management in 2013 these had been given 
revised action dates. 
•  There was scope to improve the transparency surrounding Court’s risk appetite 
for each risk by requesting Court to review the High Level Risk Register and 
highlight by exception risks (for further review by the Risk Review Group) where 
the residual risk was not within its risk appetite.  (High priority, revised action 
date 31 October 2014). 
•  There was scope to reinforce the importance of appraising senior staff on their 
risk management performance.  (Medium priority, revised action date 30 
September 2014). 
•  There was scope to improve control by reviewing and updating the Revised 
Process for Risk Identification and Management to reflect the role of the Risk 
Review Group, Programme and Project Board and recent changes to UHI 
management structures.  (Low priority, revised action date 31 October 2014). 
5.46. 
Implementation of all of the above actions will continue to be monitored and progress 
reported to the Audit Committee as part of the ongoing internal audit follow up process. 
5.47. 
On conclusion of the assessment it is the Head of Internal Audit’s opinion that UHI’s risk 
maturity could be classified as ‘Risk Defined’. The IIA describe the key characteristics of 
being risk defined as having the “strategy and policies in place and communicated. Risk 
appetite defined”. The IIA suggest that in these circumstances Internal Audit’s approach 
should be to “facilitate risk management / liaise with risk management and use 
management assessment of risk where appropriate”. 
Page 10 
 

University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
6. 
Follow up of agreed management actions  
6.1. 
As part of the normal Internal Audit process the Internal Audit Service follows up the 
implementation of agreed management actions to provide assurance to the Audit 
Committee that actions to improve control or further mitigate risk are being implemented 
on a timely basis. 
6.2. 
The UHI Internal Audit Service records all agreed management actions to improve 
control in a follow-up database. The follow-up database is used to provide managers 
with reminders or updates on  their agreed management actions. The Head of Internal 
Audit  provides the Audit Committee with a follow-up report at each meeting which the 
Committee uses to closely monitor the implementation of agreed management actions.  
6.3. 
The  following table describes the categories used to prioritise recommendations to 
improve control. 
Categorisation of  Definition of category 
recommendation 

High 
Inadequate systems and controls which if not addressed could 
expose the institution to significant financial, operational or 
reputational risk and adversely impact on implementation of its 
strategic plan. 
Medium  
Systems and controls which are not fully effective, and failure to 
improve them could adversely affect operational plans at 
departmental level. 
Low 
Good practice dictates that some enhancements to existing 
systems and controls are desirable. 
 
6.4. 
The following table shows the total number of agreed management actions by Audit 
Year and priority. 
Priority 
2008-9 
2009-10 
2010-11 
2011-12 
2012-13 
2013-14 
Total 
High 
17 

33 



75 
Medium 
26 
34 
78 
40 
51 
57 
286 
Low 
17 
55 
31 
15 
24 
14 
156 
 
60 
96 
142 
60 
82 
77 
517 
Page 11 
 

The University of the Highlands and Islands 
Internal Audit Service  
 
                         
 
 
     Annual Internal Audit Report 2013/14                                                                        
 
6.5. 
The following table provides a summary of all  the  agreed management actions by audit  since February 2009. It is important to note that the table includes 
agreed management actions that are not yet due for completion. 
 
 
High 
Medium 
Low 
 
 
 
Audit 
Total 
Percentage 
Audit Title 
Total  Completed 
Total 
Completed 
Total  Completed  Total 
Ref 
Completed 
completed 
09-01 
Risk Management 2009 






10 
10 
100% 
09-02 
Review of the Strategic Delivery Body 






13 
13 
100% 
09-03 
Curriculum Development and Review 




 
 


100% 
09-04 
Business Continuity Planning 






19 
19 
100% 
Data Management Information Accessibility and 
10-09 


12 
12 


23 
22 
96% 
Security 
09-06 
Monitoring Academic Partners' financial position 






12 
12 
100% 
10-07 
Student Fees 
 
 


37 
37 
42 
42 
100% 
10-19 
Transparent Approach to Costing 
 
 


 
 


100% 
10-05 
HR Payroll 
 
 






100% 
10-03 
Research Business Planning and Development 






12 
12 
100% 
10-06 
Student retention and management of withdrawals 








100% 
10-08 
IT Network Vulnerability Test 
10 
10 
21 
21 
13 
13 
44 
44 
100% 
10-04 
Business Transformation 
 
 






100% 
10-11 
Risk Management 2010 








100% 
11-05 
Health and Safety 




 
 


100% 
11-01 
Procurement 






10 
10 
100% 
11-06 
Project Management 
 
 
11 
11 


13 
13 
100% 
11-07 
Compliance with Equality Law 








75% 
11-11 
Risk Management 2011 




 
 


100% 
 
 
 
 
 
 
 
 
Page 12 
 

The University of the Highlands and Islands 
Internal Audit Service  
 
                         
 
 
     Annual Internal Audit Report 2013/14                                                                        
 
 
 
 
 
 
 
 
 
 
 
High 
Medium 
Low 
 
 
 
Audit 
Audit Title 
Total  Completed 
Total 
Completed 
Total  Completed  Total 
Total 
Percentage 
Ref 
Completed 
completed 
11-04 
Strategic Planning 








100% 
11-03 
IT Network Vulnerability Test - Follow Up 
10 
10 
22 
22 
11 
11 
43 
43 
100% 
12-08 
Compliance with Freedom of Information Act 
 
 
11 
11 


15 
15 
100% 
Department of Diabetes and Cardiovascular 
12-09 








100% 
Research 
12-06 
Student Recruitment and Admissions 
 
 
10 



13 
12 
92% 
12-10 
Risk Management 2012 








100% 
12-04 
Student Records Management 






13 
13 
100% 
12-04 
Governance and Management of SDB 






17 
16 
94% 
13-04 
UKBA Tier 4 Compliance 


19 
19 


27 
27 
100% 
13-19 
North Highland College - sub contract Ballet West 
 
 


 
 


50% 
13-09 
TRAC 2013 
 
 






75% 
Student Retention and Management of Withdrawals 
13-07 
 
 






100% 
2013 
13-08 
Compliance with legislation - Bribery Act 2010 
 
 




13 

54% 
13-02 
Resource Allocation - EO budgetary control 
 
 


 
 


100% 
13-03 
Planning - Continuing Student Numbers 
 
 

 
 
 


0% 
13-10 
Risk Management 2013 






13 
10 
77% 
14-09 
Library Services 
 
 

 


12 

8% 
14-01 
Scottish Code of Good HE Governance 
 
 
10 
 
 
 
10 

0% 
14-05 
Student Recruitment 
 
 

 
 
 


0% 
14-07 
Compliance legislation - Disclosure and PVG 

 
10 
 

 
15 

0% 
14-08 
Student Placements 

 
14 
 

 
18 

0% 
Page 13 
 

The University of the Highlands and Islands 
Internal Audit Service  
 
                         
 
 
     Annual Internal Audit Report 2013/14                                                                        
 
 
 
 
High 
Medium 
Low 
 
 
 
Audit 
Audit Title 
Total  Completed 
Total 
Completed 
Total  Completed  Total 
Total 
Percentage 
Ref 
Completed 
Completed 
14-11 
Risk Management 2014 

 
 
 
 
 


0% 
14-03 
IT asset register and software licence compliance 
 
 
10 
 

 
15 

0% 
 
Total 
75 
66 
286 
218 
156 
139 
517 
423 
82% 
Percentage Complete 
High 88% 
Medium 76% 
Low 89% 
Total 82% 
Page 14 
 

link to page 9  
 
 
The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
7. 
Annual opinion on the adequacy and effectiveness of the University of the 
Highlands and Islands  arrangements for  risk management, control and 
governance; economy, efficiency and effectiveness (value for money). 

7.1. 
The Internal Audit Terms of Reference require the Head of Internal Audit  to give an 
annual opinion to Court  and  the  Principal and Vice Chancellor, through the Audit 
Committee, on the adequacy and effectiveness of UHI’s arrangements for: 
• 
risk management, control and governance; 
• 
economy, efficiency and effectiveness (value for money). 
7.2. 
It is important to note that: 
• 
The opinion is based upon the internal audit work undertaken since the 1st August 
2013 from the Internal Audit Plan 2013/14, summarised earlier in section five. 
• 
Internal control can provide only a reasonable  and  not  absolute  assurance to 
management and Court regarding achievement of UHI’s objectives.  
• 
Responsibility for risk management, control and governance arrangements and 
the  achievement of value for money rests with Court  and management, who 
should ensure that appropriate and adequate arrangements exist without reliance 
on the UHI Internal Audit Service. 
• 
Internal Audit reviews  have a reasonable chance of detecting  significant  control 
weaknesses but cannot guarantee that fraud, error or non compliance will be 
detected.  
7.3. 
Adequacy and Effectiveness of the University of the Highlands and Islands 
arrangements for Risk Management, Control and Governance  

7.4. 
Findings  
Risk Management 
7.5. 
An  internal Audit Review of Risk Management was undertaken during the year and a 
summary of the review was included in paragraph  5.41.  Appendix A also includes the 
internal audit assessment on UHI’s risk maturity.  
7.6. 
Whilst UHI is continuing to embed its risk management processes there remains 
opportunities to further improve these by ensuring the regular completion and update of 
all risk registers and by more closely monitoring completion of actions to mitigate risk. 
The work of the two Risk Review Groups was providing a continuing impetus to improve 
risk management processes and is better enabling the provision of timely risk 
information to the Finance and General Purposes Committee, Higher Education 
Partnership Policy and Resources Committee and to Court.  
7.7. 
In total, two recommendations for improvement in control were identified, of which both 
were prioritised as high priority. The High priority recommendations identified scope to 
improve control by: 
•  Reinforcing processes to ensure that the standard risk register templates were 
all completed as well as updated on a timely basis.  
•  The Executive  Office  Risk Review Group monitoring the implementation of 
further actions to mitigate risk. This could be assisted through the development 
of trend reports on residual risk that highlight by exception where residual risks 
are static for a period of time. 
Page 15 
 

 
 
 
The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
7.8. 
Actions have been agreed by Management, with the final action due for implementation 
by the 31 December 2014.  
7.9. 
There remained three agreed management actions outstanding from the previous 
internal audit review of risk management in 2013 these had been given revised action 
dates. 
•  There was scope to improve the transparency surrounding Court’s risk appetite 
for each risk by requesting Court to review the High Level Risk Register and 
highlight by exception risks (for further review by the Risk Review Group) where 
the residual risk was not within its risk appetite.  (High priority, revised action 
date 31 October 2014). 
•  There was scope to reinforce the importance of appraising senior staff on their 
risk management performance.  (Medium priority, revised action date 30 
September 2014). 
•  There was scope to improve control by reviewing and updating the Revised 
Process for Risk Identification and Management to  reflect the role of the Risk 
Review Group, Programme and Project Board and recent changes to UHI 
management structures.  (Low priority, revised action date 31 October 2014). 
7.10. 
Implementation of all of the above actions will continue to be monitored and progress 
reported to the Audit Committee as part of the ongoing internal audit follow up process. 
7.11. 
On conclusion of the assessment it is the Head of Internal Audit’s opinion that UHI’s risk 
maturity could be classified as ‘Risk Defined’. The IIA describe the key characteristics of 
being risk defined as having the “strategy and policies in place and communicated. Risk 
appetite defined”. The IIA suggest that in these circumstances Internal Audit’s approach 
should be to “facilitate risk management / liaise with risk management and use 
management assessment of risk where appropriate”. 
Control 
7.12. 
During the year the Internal Audit Service has reviewed and tested many of UHI’s 
internal controls based upon the Internal Audit Plan. A summary of the findings of these 
reviews is included in section 5. 
7.13. 
All of the  internal audits  undertaken during the year had  resulted in recommendations 
being made to improve control. The following table shows the categorisation of internal 
audit recommendations. 
Categori
Definition of category 
Number of Percentage of 
sation  of 
recommend
recommendat
recomme
ations made 
ions 
agreed 
ndation 
by 
management 

High 
Inadequate systems and controls which if not 
addressed could expose the institution to significant 
financial, operational or reputational risk and 

100% 
adversely impact on implementation of its strategic 
plan. 
Medium  
Systems and controls which are not fully effective, 
and failure to improve them could adversely affect 
59 
97% 
operational plans at departmental level. 
Low 
Good practice dictates  that some enhancements to 
14 
100% 
existing systems and controls are desirable. 
 
Total 
79 
97% 
Page 16 
 

link to page 6  
 
 
The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
7.14. 
There were no significant internal audit recommendations that the Internal Audit Service 
consider had not received adequate management attention. The implementation of the 
agreed management actions corresponding to the  recommendations will continue to 
improve UHI’s internal control arrangements.  
Governance 
7.15. 
In August 2011 the Post Title Working Group commissioned with the approval of Court 
Capita Consulting to undertake a review to prepare an outline business case for a new 
UHI operating model. Following the Capita Consulting “Options for Change” report in 
January 2012 the Cabinet Secretary for Education and Lifelong Learning convened two 
meetings of the chairs and principals of UHI and its thirteen academic partners.   The 
Cabinet Secretary subsequently announced, in the Scottish Parliament, the changes he 
proposed to make to regionalise further education provision in Scotland.  In doing so, he 
asked Dr Michael Foxley, the then chair of West Highland College UHI, to establish and 
chair a working group to provide proposals of the governance changes required in UHI 
to ensure the effective and efficient operation of further and higher education in the 
Highlands and Islands.  This group reported  to the Cabinet Secretary on  the  30 
September 2012. The  Report of the Governance Working Group was adopted by the 
University Court on the  31 October 2012.  Since October 2012 arrangements were 
progressed to: 
• 
Review the UHI Memorandum and Articles of Association 
• 
Review the Court and establish an interim Shadow Court 
• 
Establish a Further Education Regional Board as a Committee of Court 
• 
Appointment Associate/Vice Principals and establish the Triumvirate 
7.16. 
The final Scottish Code of Good Higher Education Governance was published on the 18 
July 2013.  As referenced earlier in paragraph 5.2, during the year an internal audit 
review to compare and assess UHI Corporate Governance arrangements against best 
practice (the Scottish Code of Good HE Governance) was carried out. The review found 
that for the most part there was evidence to support that UHI had in place arrangements 
to demonstrate compliance with the Code. However, there were some areas identified 
where UHI  could further increase the transparency surrounding its practices as well as 
some opportunities to improve practices to better demonstrate compliance with the 
Code. 
7.17. 
During the year there have been significant changes in government policy and strategy 
within the higher education and further education sector. These changes have been 
formalised in the Post 16 education Scotland Bill passed by parliament on the 26 June 
2013 and received Royal Assent on the 7 August 2013.  There  has  been substantial 
processes and significant effort expended in reviewing and evaluating UHI’s governance 
structure and business model. Work in  this area is still progressing and will be further 
consolidated as changes required as a result of the Post 16 Education (Scotland) Act 
are implemented. 
7.18. 
Opinion 
On the basis of the work carried out since  1 August 2013, the  Head of Internal 
Audit concludes that where scope to improve controls was identified management 
actions have been agreed  to address these.  There  is sufficient evidence of 
controls and procedures to provide reasonable assurance that UHI has adequate 
and effective arrangements for risk management, control and governance. 

Page 17 
 

 
 
 
The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
7.19. 
Adequacy and Effectiveness of the University of the Highlands and Islands 
arrangements for economy, efficiency and effectiveness (value for money)  

7.20. 
Findings  
7.21. 
The Scottish Funding Council Financial Memorandum mandatory requirements effective 
from the 14 October 2008,  state that the  ‘institution must have a strategy for 
systematically reviewing management’s arrangements for securing value for money. As 
part of its internal audit arrangements, the institution must obtain a comprehensive 
appraisal of management’s arrangements for achieving value for money’. 
7.22. 
At its meeting on the 23 June 2009, Court approved a Value for  Money Strategy, as 
agreed by Finance and General Purposes Committee on 9 June 2009. On the 29 
November 2011 Finance and General Purposes Committee approved a revised Value 
for Money Policy and Procedures. 
7.23. 
The  UHI  Procurement Policy  was approved by the  Finance and General Purposes 
Committee at its meeting on the 30 August 2011, the purpose of the procurement policy 
was to provide details of UHI: 
• 
Procurement leadership and governance; 
• 
People; 
• 
Procurement strategy and objectives; 
• 
Approach to defining its supply needs, including the specification of goods and 
services; 
• 
Sourcing strategy and use of collaborative procurement; 
• 
Purchasing processes and systems, and   
• 
Contract management. 
7.24. 
The policy was further amended in November 2011 to include information on sustainable 
procurement. 
7.25. 
UHI participates in the Advanced Procurement for Universities and Colleges (APUC) 
Procurement Capability Assessment. The Procurement Capability Assessment seeks to 
assist organisations in improving their structure, capability, processes and ultimately 
performance, by attaining the best standards that are appropriate to the scale and 
complexity of their business. The Assessment is independently assessed by APUC staff 
and identifies areas for improvement. To date UHI had completed two full assessments 
in February 2010 and April 2011 with a further interim assessment in December 2011. 
UHI had continued to demonstrate improved performance at each assessment.  
7.26. 
In the course of the year Learning and Information Services have progressed a strategic 
initiative  to  establish a shared  Learning and Information Service.  A    Learning and 
Information Services Shared Services Board was established  in July 2011 to oversee 
this development.  The Director of Learning and information Services was seconded to 
the project on a full time basis with the support of the Learning and information Services 
Development Programme Manager. In the course of 2013/14  A business plan was 
developed and reviewed by the Academic Partners and Court. Work remains ongoing to 
determine a delivery model within which the shared service can operate.  
7.27. 
The University Court at its meeting on the 18 June 2013 had agreed in approving the 
2013/14 budget that the following should take place: 
I. 
A challenge exercise should be undertaken on the Executive Office budget 
involving representatives from the partnership. 
Page 18 
 

 
 
 
The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
II. 
A scoping and rapid identification of duplication and waste exercise should be 
undertaken with a view to agreeing efficiencies of delivery across the 
partnership.  
7.28. 
A Budget Challenge / UHI Partnership Resources Dialogue process was defined with the 
following objectives: 
•  Greater understanding / increased transparency of how resources are used / 
linked to deliver UHI Strategy / Partnership Outcomes; 
•  Identification of potential areas of inefficiency, under investment or duplication in 
the use of resources or delivery of activities; 
•  Identification of areas that would benefit from greater co-ordination across the 
partnership (assist in the prioritisation of shared service activity); and 
•  Identification of use of resources / delivery of activities that do not contribute 
towards UHI Strategy / Partnership Outcomes. 
7.29. 
The  Head of Internal Audit reviewed documentation used to facilitate the first stage of 
Budget Challenge / UHI Partnership Resources Dialogue and observed the partnership 
challenge / dialogue on the proposed Executive Office 2014-15 Budget on the16 May 
2014 at Eden Court. Initial early observations of the process were provided to the Higher 
Education Partnership Policy and Resources Committee (HEPPRC) on the 29 May 
2014.  The next stages of the Budget Challenge / UHI Partnership Resources Dialogue 
process are to be taken forwards in 2014/15. 
7.30. 
The Internal Audit Service as a normal part of carrying out internal audit reviews seeks 
to identify any areas where there are opportunities to better demonstrate value for 
money and makes recommendations to improve control.  A summary of the findings of 
these reviews is included in section 5.  
7.31. 
Opinion 
On the basis of the work carried out since 1 August 2013, the  Head of Internal 
Audit  concludes that  UHI has in place a Value for Money Policy and Procedures 
which  confirms UHI’s commitment to achieving value for money from all of its 
activities, regardless of the method of funding. It further defines  the  scope, 
responsibilities, concept of value for money and approaches to assessing value 
for money to help promote and secure value for money within UHI.  

There is sufficient evidence (subject to compliance with the Value for Money 
Policy and Procedures)  that there are  processes  and  procedures  to provide 
reasonable assurance that UHI has adequate and effective arrangements to 
promote economy, efficiency and effectiveness (value for money). 

Page 19 
 

 
 
 
The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
8. 
Internal Audit Key Performance Indicators  
8.1. 
The Internal Audit Terms of Reference require  the  Head of Internal Audit  to implement 
measures to monitor the effectiveness of the Internal Audit Service.  The  Key 
Performance Indicators were discussed and agreed with the Secretary. They are derived 
from Key Performance Indicators suggested in the Committee of University Chairmen, 
Handbook for Members of Audit Committees in Higher Education. 
Internal Audit Performance indicator 
Target 
Actual 2013/14 
Percentage of audit work delivered by 
60% 
100% 
qualified staff. 
Internal Audit Plan to be submitted by June 
June of each 
Final Audit Plan for 
each year. 
year 
2013/14 approved 
by Audit Committee 
at its September 
2013 meeting. 
Follow-ups to be performed within 3 months 
Within 3 months 
Management are 
of the last action date of recommendations  of the last action 
provided with 
made. 
date of 
regular updates on 
recommendation 
their agreed 
management 
actions and a follow 
up report is provided 
to each meeting of 
the Audit 
Committee. 
Issue of draft reports within 30 days of work  30 working days 
100% 
being completed. 
Issue of final report within 10 working days  10 working days 
100% 
of receipt of management responses. 
Recommendations made compared with 
80% 
97% 
recommendations accepted. 
Internal audit reviews that added value. 
90% 
100% 
Internal audit attendance at audit committee 
100% 
100% 
meetings. 
Issue of internal audit annual report. 
September of 
Report provided to 
each year 
September 2014 
Audit Committee 
 
Page 20 
 

link to page 23  
 
 
The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
9. 
Internal Audit Service Quality Assurance programme  
9.1. 
The  UHI Internal Audit Service  is required through  its Terms of Reference to perform 
internal audit work with due professional care, in accordance with appropriate 
professional auditing practice and with  regard to Treasury and  the  Institute of Internal 
Auditors standards (see later paragraph 9.11)
9.2. 
The letter of agreement established between the University of the Highlands and Islands 
and the co-sourced internal audit partner Henderson Loggie affirms that the co-sourced 
internal  audit partner will perform internal audit services in accordance with relevant 
professional standards and guidelines and in accordance with the  Scottish Funding 
Council Financial Memorandum. 
9.3. 
Compliance with the Institute of Internal Auditors, International standards  requires  the 
Head of Internal Audit  to develop and maintain a quality assurance and improvement 
program that covers all aspects of the internal audit activity. The Institute of Internal 
Auditors International standards  require  that the Internal Audit Service Quality 
Assurance Programme must include both internal and external assessments. 
9.4. 
The  UHI Internal Audit Service  has established a  two tier approach to its  quality 
assurance and improvement program: 
• 
The ongoing process of monitoring the performance of internal audit activity. 
• 
Internal Audit  Annual  Quality Assurance  assessments.  An  internal review 
undertaken by the Principal and Vice Chancellor  and  the  Chief Operating Officer 
and Secretary and an external evidence based peer review assessment. 
9.5. 
Ongoing Performance Monitoring of Internal Audit Activity 
9.6. 
The  Head of Internal Audit  manages the provision of the co-sourced Internal Audit 
Service  on an ongoing basis. A monthly reporting process is in place to keep the 
Principal and Vice Chancellor  informed of Internal Audit’s progress. The Internal Audit 
Service has introduced Internal Audit Performance Questionnaires that are issued to 
management and staff at the conclusion of internal audit work. Feedback from 
management and staff on the performance of Internal Audit reviews is valued by the 
Internal Audit Service and helps enable the service provided to be improved and assists 
the Audit Committee in forming an opinion on the efficiency and effectiveness of the 
Internal Audit Service. 
Page 21 
 

 
 
 
The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
9.7. 
The table below presents a summary of the Internal Audit Performance Questionnaire 
responses received. The responses illustrate that on the whole 100% of the respondents 
were fully satisfied with the internal audit review process. 
 
Internal Audit Performance 
Fully 
Not 
Fully 
Satisfied 
N/A 
Questionnaire 
Satisfied 
Satisfied 
Dissatisfied 
1.  Were you given adequate 
100% 
0% 
0% 
0% 
0% 
notification of the audit? 
2.  Were you adequately 
informed of the audit scope 
100% 
0% 
0% 
0% 
0% 
and objectives? 
3.  Were the appropriate staff 
consulted for the audit area 
100% 
0% 
0% 
0% 
0% 
covered? 
4.  Did the auditor display a 
professional, constructive  83% 
17% 
0% 
0% 
0% 
and positive approach 
during the review? 
5.  Did the auditor discuss key 
results/findings with you  83% 
0% 
0% 
0% 
17% 
during the review? 
6.  Were you given the 
opportunity to discuss the 
83% 
17% 
0% 
0% 
0% 
draft report with the auditor 
prior to finalisation? 
7.  Was the report produced to 
100% 
0% 
0% 
0% 
0% 
a professional standard? 
8.  Overall, were you satisfied 
with the review? Has it been 
100% 
0% 
0% 
0% 
0% 
worthwhile and added value 
to your work? 
Percentage Totals 
94% 
4% 
0% 
0% 
2% 
 
9.8. 
Annual Internal Audit Quality Assurance Reviews  
9.9. 
In January 2009, the Institute of Internal Auditors launched its International Professional 
Practices Framework. This is a revised version of the IIA Standards and Guidance. The 
revised requirements state that the Internal Audit Service Quality Assurance Programme 
must include both internal and external assessments. 
Internal Quality Assessment Reviews  
9.10. 
The Committee of University Chairmen guide for members of Audit Committees in 
Higher  Education  provides useful templates to help in the annual  evaluation of internal 
audit. The Principal and Vice Chancellor, Deputy Principal and the Chief Operating 
Officer and Secretary  completed  assessments  in August 2014,  which provide an 
independent  internal  evaluation of the Internal Audit Service.  The  UHI Internal Audit 
Service internal quality assessments are included in Appendix B.    
Page 22 
 

 
 
 
The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
External Quality Assessment reviews  
9.11. 
The UHI Internal Audit Service participated in an external evidence based peer-reviewed 
assessment to provide independent external  assurance to the Audit Committee over 
quality control of the UHI Internal Audit Service and to demonstrate compliance with the 
IIA standards. 
9.12. 
The Council of Higher Education Internal Auditors (CHEIA), with the support of the 
Higher Education Funding Council England (HEFCE) leadership fund, piloted an internal 
audit ‘self assessment’ tool in 2006/07 which was developed by RSM Robson Rhodes; 
this was then rolled out from 2007/08. The self assessment tool provides a means of 
benchmarking service delivery against recognised best practice and helps to achieve 
and maintain an even higher quality internal audit service in the higher education sector.  
9.13. 
The self assessment tool is a spreadsheet-based assessment comprising of 60 
questions, against which the assessor is required to rate the audit service on a four point 
scale, from ‘best practice' to ‘potentially non-compliant'. To ensure consistency of 
completion the assessment requires a response to be provided to all 60 questions 
regardless of whether they best fit  an  individual institution’s Internal Audit Service 
arrangements or not. Responses to these questions are then weighted and calculated to 
deliver percentage scores against six criteria: due professional care; strategy; 
methodology; people; independence and quality assurance. The tool can be completed 
in three ways, by self assessment, peer reviewed self assessment and finally by an 
evidence based peer-review process. The tool is in widespread use across the UK and 
Ireland as promulgated by HEFCE and CHEIA.  
9.14. 
The questionnaire has remained the same since 2010 in January 2014 CHEIA reviewed 
the questionnaire and made a few minor amendments to the questionnaire, altering the 
text of some questions and substituting new questions. 
9.15. 
The UHI Head of Internal Audit attended a meeting on the 25 July 2014 in Edinburgh 
with the Heads of Internal Audit of Newcastle University and the University of Strathclyde 
as well as the Partner of the Public Sector Group of Scott-Moncrieff to have an evidence 
based peer-review of the UHI Internal Audit Service undertaken. The  following table 
presents the results of the assessment. 
Assessment Criteria 

 
Key 
Due professional care 
87% 
 
90% - 100%  Best Practice 
Strategy 
86% 
 
60% - 90%    Good Practice 
Methodology 
89% 
 
20% - 60%    Partially Compliant 
People 
83% 
 
  0% - 20%    Potentially Non-Compliant                                                                                                     
Independence 
90% 
 
 
Quality assurance 
77% 
 
 
Overall average   85% 
 
 
9.16. 
The results of the UHI Internal Audit Service evidence based peer-reviewed assessment 
show that the UHI Internal Audit Service represents Good Practice.   
10.   Conclusion 
10.1. 
The co-sourced Internal Audit Service was established in February 2009. The Internal 
Audit Service is continuing to develop its role within the University of the Highlands and 
Islands  and seeks to assist the  University  in progressing towards achievement of its 
objectives by providing independent, objective assurance on risk management, control 
and governance. 
Page 23 
 

The University of the Highlands and Islands  
 
                      
 
           Annual Internal Audit Report 2013/14 
 
Appendix A - The Institute of Internal Auditors UK and Ireland - An approach to implementing Risk Based Internal Audit  
Assessing the University's risk maturity -This assessment was made by reviewing the University of the Highlands and Islands’s practices, processes and relevant 
supporting documentation such as the risk management strategy, policy and risk registers. 
 
Risk Maturity 
Risk naive 
Risk aware 
Risk defined 
Risk managed 
Risk enabled 
Sample audit 
  Summary of findings 
test 
Key 
No formal 
Scattered silo 
Strategy and 
Enterprise 
Risk 
 
   
characteristics.  
approach 
based approach policies in 
approach to risk  management and 
developed for to risk 
place and 
management 
internal controls 
risk 
management.  
communicated. 
developed and 
fully embedded 
management.  
Risk appetite communicated.  
into the 
defined 
operations. 
The 
Possibly.  
Yes -  but may be 
Check the 
  UHI’s objectives are defined in 
organisation's 
no consistent 



Yes          
 
Yes           
 
Yes           
 
organisation's 
the UHI Strategic Plan. 
objectives are 
approach.  
objectives are 
defined.  
determined by 
 
Court  and have 
been 
communicated to 
all staff. Check 
other objectives 
and targets are 
consistent with 
the organisation's 
objectives.  
Management 
No  
Some limited 
Interview 
  Managers were aware of risk 
have been 



  training. 
Yes          
 
Yes           
 
Yes           
 
managers to and their responsibility for 
trained to 
confirm their managing it. Whilst most 
understand 
understanding of 
managers were  maintaining up 
what risks are, 
risk and the  to date risk registers for their 
and their 
extent to which 
areas of responsibility others 
responsibility 
they manage it.  
were in the process of 
for them.  
developing or had yet to develop 
risk registers. 
Arrangements 
were being developed to better 
formalise the process of 
Page 24 
 

The University of the Highlands and Islands  
 
                      
 
           Annual Internal Audit Report 2013/14 
 
identifying risk owners to ensure 
that they are notified and aware 
when risks were assigned to 
them. 
A scoring 
No  
Unlikely, with no 
Check the 
  Court has defined a scoring 
system for 
consistent 



Yes          
 
Yes           
 
Yes           
 
scoring system  system for assessing risks this 
assessing risks 
approach 
has been 
had been reviewed by the Risk 
has been 
defined.  
approved 
Review Group. A partnership 
defined. 
 
communicated 
approach to risk scoring and 
and is used.  
recording  had been developed 
through the Finance Directors 
Practitioners Group and this was 
being used in Executive Office 
and being implemented  across 
the partnership. 
The risk 
No  
No  
Check the 
  Court had defined its risk 
appetite of the 



  Yes          
 
Yes           
 
Yes           
 
document on appetite and set risk score levels 
organisation 
which the 
to determine the inclusion of 
has been 
controlling body 
risks on the high level risk 
defined in terms 
has approved the 
register for its review and 
of the scoring 
risk appetite. approval. The risk appetite has 
system.  
Ensure it is  been reviewed by the Risk 
consistent with  Review Group and efforts made 
the scoring 
to augment the process by 
system and has 
seeking to develop a portfolio 
been 
approach to risk management.  
communicated.  
The Risk Review Group 
recognised that at any one time 
UHI may be carrying a high level 
of risks in one or more parts of 
its business, however, UHI 
should ensure that the number 
of areas exposed to high risk at 
any time are minimised and 
balanced with a low risk 
approach in other areas. 
Court approved the formation of 
an Executive Office Risk Review 
Page 25 
 

The University of the Highlands and Islands  
 
                      
 
           Annual Internal Audit Report 2013/14 
 
Group to identify and review 
risks for inclusion on the high 
level risk register. This process 
has been augmented with a 
Partnership Risk Review Group 
which has a remit to identify and 
collate high level  partnership 
risks. 
Processes have  No  
Unlikely  
Yes, but may  Yes  
Yes  
Examine the 
  A new standardised risk register 
been defined to 
  not apply to the 
processes to template had been developed 
determine risks, 
whole 
ensure they are 
for use in Executive Office and 
and these have 
organisation. 
sufficient to 
Academic Partners to improve 
been followed.  

ensure 
the monitoring, visibility and 
       
 
identification of  reporting of risk throughout 
all risks. Check 
Executive Office and the 
they are in use, 
partnership. In accordance with 
by examining the 
the new process  a separate risk 
output from any 
register template were required 
workshops.  
to be completed by each 
Executive Office department, 
project and Academic Partner. 
The risk register template 
assists in determining risks by 
having controls to require the 
completion of set fields.  
A process of periodic horizon 
scanning has been implemented 
through the Partnership Risk 
Review Group to assist in 
forecasting longer term or 
emergent risks. 
The 
Executive Office 
Risk 
Review Group had identified at 
its March 2014 meeting that not 
all departments/projects were 
currently using risk registers and 
requested that new templates 
were completed. The majority of 
Page 26 
 

The University of the Highlands and Islands  
 
                      
 
           Annual Internal Audit Report 2013/14 
 
managers and projects were 
maintaining risk registers for 
their areas of responsibility. 
However, as identified by the 
Executive Office Risk Review 
Group there were still some risk 
registers templates that require 
completion. In most cases 
Academic Partners were still to 
complete risk register templates. 
All risks  have  No  
Some incomplete  Yes, but may  Yes 
Yes  
Examine the Risk    There was a potential  risk that 
been collected  
lists may exist.  
not apply to the 
Register. Ensure 
the High Level Risk Register 
into one list. 
  whole 
it is complete, 
may not be complete as not all 
Risks have been 
organisation.  
regularly 
departments and Academic 
allocated to 
reviewed 
Partners had completed their 
specific job 
       
assessed and  risk register templates.  
titles.  
used to manage 
risks. Risks are 
 
allocated to 
managers. 
All risks have No  
Some incomplete  Yes, but may 
Check the 
  Risks were being assessed in 
been assessed 
lists may exist.  
not apply to the 


Yes           
 
Yes           
 
scoring applied to 
accordance with the defined 
in accordance 
  whole 
a selection of 
scoring system.  
with the defined 
organisation. 
risks is consistent 
scoring system.  
 
with the policy. 
 
Look for 
consistency (that 
is similar risks 
have similar 
scores).  
Responses to 
No  
Some responses  Yes, but may  Yes  
Yes  
Examine the Risk    Review of the high level  risk 
the risks have 
identified.  
not apply to the 
Register to 
register and lower level risk 
been selected 
  
whole 
ensure 
registers highlighted that 
and 
organisation                                                                          appropriate 
responses to risks had been 
implemented.  

responses have 
recorded for risks. Many of the 
mitigating controls described 
               
 
been identified.  
required on-going commitment 
to provide mitigation. Where 
further actions to mitigate risk 
Page 27 
 

The University of the Highlands and Islands  
 
                      
 
           Annual Internal Audit Report 2013/14 
 
had been identified, for some 
actions a person responsible 
had not been recorded or a 
timescale allocated. A process 
to seek regular reports from all 
risk owners on the 
implementation of further actions 
to mitigate risk had not yet been 
implemented. The Risk Review 
Group had given consideration 
to developing a monthly sign off 
mechanism to ensure that risk 
reports and identified actions 
within risk templates were 
completed on time and identified 
that a workflow may provide an 
appropriate solution.  
 
Management 
No  
Some monitoring  Yes, but may 
Yes  
Yes  
For a selection of    An Executive Office Risk Review 
have set up 
controls.  
not apply to the 
responses, 
Group had been established and 
methods to 
  whole 
processes and  processes were in place to 
monitor the 
organisation.   
actions, examine 
facilitate the review of the High 
proper 
the monitoring  Level Risks Register.  However, 
operation of key 

              
 
control(s) and  there was an opportunity to 
processes, 
ensure 
implement 
more robust 
responses and 
management 
monitoring  of  risk registers to 
action plans 
would know if the 
provide assurance that actions 
(monitoring 
responses or to mitigate risk were operating 
controls).  
processes were 
effectively 
and that further 
not working or if 
actions  were  being implemented 
the actions were 
on a timely basis.  There was 
not implemented.  
scope to further  assist the 
monitoring of the implementation 
of actions to mitigate risk 
through  the development of 
trend reports  on residual risk 
that highlight by exception where 
residual risks are static for a 
Page 28 
 

The University of the Highlands and Islands  
 
                      
 
           Annual Internal Audit Report 2013/14 
 
period of time. 
The minutes of the Executive 
Office  Risk Review Group were 
reported to the Finance and 
General Purposes Committee 
and Court together with the 
updated 
High Level Risk 
Register.    
Risks are 
No  
Some risks are  Regular 
Regular reviews, 
Regular reviews,  Check for 
  Responsibilities for Committees 
regularly 
reviewed, but 
reviews, 
probably 
probably 
evidence that a 
to review risks at different levels 
reviewed by the 
infrequently.  
probably 
quarterly.  
quarterly. 
thorough review 
throughout the UHI had been 
organisation.  
 
annually. 
process is 
defined by Court. Processes 
  
regularly carried 
were in place to facilitate the 
 
out.  
review of UHI’s high level risks 
via the Executive Office Risk 
Review Group, Finance and 
General Purposes Committee 
and by Court itself. A 
Partnership Risk Review Group 
had been established to review 
Academic Partner risks 
registers. However, it was noted 
that some lower level risk 
registers were not being 
reviewed and kept up to date. 
The consequence of this may be 
a failure to identify, manage and 
report on risk on a timely basis.  
Management 
No  
No  
Yes, but may 
Yes 
Yes 
For risks above 
  The current risk management 
report risks to 
 
be no formal 
the risk appetite, 
process uses the initial risk 
directors where 
process. 
check that Court 
assessment (the gross risk) to 
responses have 
has been formally 
define when risk should be 
not managed 

                
 
informed of their 
reported to the Executive Office 
the risks to a 
existence.  
Risk Review Group for review 
level acceptable 
and approval. The Executive 
to Court.  
Office Risk Review Group had 
previously established a process 
where risk owners have been 
Page 29 
 

The University of the Highlands and Islands  
 
                      
 
           Annual Internal Audit Report 2013/14 
 
invited to explain their risks, 
actions being taken to mitigate 
their risks, the constraints and 
issues faced and identify any 
support needed to help manage 
risk.  The  Executive Office Risk 
Review Group was taking steps 
to develop  a monthly sign off 
mechanism to ensure that risk 
reports and identified actions 
within risk templates were 
completed on time’. 
Court has been presented 
regularly with the High Level 
Risk Register and had noted its 
contents.  There was a lack of 
transparency surrounding the 
risk appetite (the level 
acceptable to Court) for each 
risk. The Chief Operating Officer 
and Secretary had agreed to 
take forward an action that the 
new Court was to agree its 
approach to risk at an early 
stage. 
All significant 
No  
No  
Most projects. 
All Projects.       
All   
 Pr  
ojects.         
Ex        
ami      
ne pr  
oj  
ec  
t      
 
 
Pr   
oc  
es  
s  
es  
   
had been defined, 
new projects are 
 
proposals for an 
communicated and implemented 
routinely 


 
  analysis of the 
to help ensure that all new 
assessed for 
risks which might 
projects were assessed for risk. 
risk.  
threaten them.  
The Programme and Project 
Board reviewed Programme and 
Project risks.  The Executive 
Office Risk Review Group remit 
was revised by the Finance and 
General Purposes Committee to 
include the review of the risk 
registers of large strategic 
projects to ensure an 
independent view could be fed 
Page 30 
 

The University of the Highlands and Islands  
 
                      
 
           Annual Internal Audit Report 2013/14 
 
back to the appropriate project 
board. Information on project 
risk was being reported to the 
Executive Office Risk Review 
Group.  
Responsibility 
No             
No                
Limited.  
Most job 
Yes 
Examine job 
  Responsibilities for the 
for the 
descriptions. 
descriptions. 
management of risk were being 
determination, 
 
Check the 
routinely incorporated into all job 
assessment, 
instructions for 
descriptions for senior 
and 
setting up job 
appointments.  
management of 
descriptions.  
risks is included 
in job 
descriptions.  

Managers 
No             
No                
No             
Some managers.  Yes  
Examine the 
  Risk Owners have attended 
provide 
assurance 
meetings of the Executive Office 
assurance on 
 
provided. For key 
Risk Review Group to explain 
the 
risks, check that 
the actions being taken to 
effectiveness of 
controls and the 
mitigate their risks. 
their risk 
management 
management.  
system of 
 
monitoring, are 
operating.  
Managers are 
No             
No                
No            
Some  managers.  Yes  
Examine a 
  The Chief Operating Officer and 
assessed on 
sample of 
Secretary had agreed to 
their risk 
 
appraisals for reinforce the importance of 
management 
evidence that appraising senior staff on their 
performance.  
risks 
risk management performance.  
 
management was 
properly 
 
assessed for 
performance.  
Internal Audit 
Promote risk 
Promote 
Facilitate risk  Audit risk 
Audit risk 
 
 
approach  
management 
enterprise-  wide  management /  management 
management 
and rely on approach to risk  liaise with risk  processes and 
processes and 
alternative 
management and  management 
use management  use management 
Audit Planning  rely on alternative  and use 
assessment of 
assessment of 
method  
Audit Planning 
management 
risk as 
risk as 
Page 31 
 

The University of the Highlands and Islands  
 
                      
 
           Annual Internal Audit Report 2013/14 
 
 
method. 
assessment of  appropriate.  
appropriate.  
risk where 
appropriate.  

 
 
Page 32 
 


The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
Appendix B  -  UHI Internal Audit Service internal quality assessment -  peer 
reviews 

 
Page 33 
 





The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
 
 
 
Page 34 
 


The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
 
Page 35 
 



The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
 
 
Page 36 
 


The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
 
Page 37 
 


The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
Page 38 
 


The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
Page 39 
 


The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
Page 40 
 


The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
Page 41 
 


The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
 
 
 
 
 
 
 
 
Page 42 
 


The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
 
 
 
 
 
 
 
 
 
 
 
Page 43 
 


The University of the Highlands and Islands 
                             Annual Internal Audit Report 2013/14 
Internal Audit Service  
                                                                         
 
 
 
Page 44 
 

Document Outline