This is an HTML version of an attachment to the Freedom of Information request 'SFC Financial Memorandum and Internal Audit'.


UHI Millennium Institute
Internal Audit Annual Report
November 2006
This report and the work connected therewith are subject to the Terms and Conditions of 
the engagement letter between UHI Millennium Institute and Deloitte & Touche LLP.  The 
report is produced solely for the use of the UHI Millennium Institute.  Its contents should 
not be quoted or referred to in whole or in part without our prior written consent except as 
required by law
.  Deloitte & Touche LLP will accept no responsibility to any third party, as 
the report has not been prepared, and is not intended for any other purpose. 

Contents
Page 
Introduction
1
Results of Work Undertaken
2
Annual Statement to the Audit Committee
3
Statement  of Responsibility 
4

Introduction
As Internal Auditors, our role is to provide the Audit Committee, Board and Management with independent 
assurance as to the adequacy and effectiveness of the systems of internal control we review, and to report 
weaknesses identified together with recommendations for improvement.  We fulfil this role by performing 
appropriate audit work in accordance with the annual internal audit plan approved by the Audit Committee. 
This annual report summarises the overall results of our internal audit work programme undertaken in 
respect of the financial year ended 31 July 2006. We have presented our Annual Internal Audit Statement 
on page 3. 
In terms of overall progress we can confirm that all fieldwork has been completed in accordance with the 
agreed audit programme. 
1

Results of Work Undertaken at 15th October 2006
A summary of the results of each of our projects during the year is outlined below.
Status / Timing
Budgeted Input
Actual Input
Recommendations by Priority
PROCESS AREA 
31/10/2006
1
2
3
Corporate Governance
Final Report Issued
5
5
0
2
1
Strategy and Planning 
Strategic & Operational Planning
Deferred 2006/07
10
1
 -
 -
 -
Student Registration System
Student Registration System
Final Report Issued
15
15
0
0
3
Accounts Receivable
Final Report Issued
4
4
0
2
2
Allocation of Funding to Partners
Deferred 2006/07
10
3
 -
 -
 -
Financial Management Processes
Fixed Assets
Final Report Issued
4
4
0
6
0
Banking Arrangements
Final Report Issued
4
4
0
1
0
Managing Risk of Key Business & 
Risk Management
Final Report Issued
4
4
Systems Change 
0
1
2
IT Governance
Final Report Issued
10
10
0
2
0
IT Risk
IT Security
Final Report Issued
5
5
0
2
0
Follow Up 
Follow-Up on Prior Year Recommendations 
Final Report Issued
5
2
 -
 -
 -
IA Contract Management
Complete
3
3
 -
 -
 -
Audit Planning & Risk Assessment
Complete
2
2
 -
 -
 -
Contract Management 
Audit Planning & Risk Assessment 2006/07
Complete
0
2
 -
 -
 -
Audit Committee Planning & Attendance 04/05
Complete
2
2
 -
 -
Total Input Days
83
66
0
16
8
2005/06 Reviews
In 2005/06, the focus of the UHIMI internal audit were not exclusively based within Executive Office. Instead, internal audit input was also focused on
activities within Academic Partners but that had an effect on the operations and funding of UHIMI. As a result, out IT reviews and our review of the
Student Registration System resulted in over 35% of our plan being delivered across the partnership. Reviews undertaken solely within the Executive
Office were those on risk management, fixed assets, accounts receivable and the transfer of banking services from the Royal Bank of Scotland to the
Clydesdale Bank.
24 recommendations were raised across our reviews, with 16 recommendations classed as priority two and 8 being classed as priority three.
Two reviews were deferred due to an increased priority in 2006/07 reviews that were brought forward to assist management in gaining assurance over
these areas. The reviews of allocations to partners and strategic and operational planning will be undertaken in 2006/07.
Follow-up
Follow-up is an important part of the internal audit process as it ensures that recommendations from previous years are being implemented by designated
officers. Our review of prior year recommendations identified that, of 11 recommendations raised, 6 had been fully implemented, with 4 recommendations
in progress and one no longer applicable. Of those recommendations in progress, 2 were classed as priority two and 2 were classed as a priority three.
2

Annual Statement to the Audit Committee
Report to the Audit Committee
As Internal Auditors, we are required to provide the Audit Committee with an Annual Internal Audit statement.
The UHI
x
Millennium Institute and its management are responsible for ensuring that a system of control, financial and otherwise, is
established and maintained. This is in order to carry on the operations of UHIMI in an orderly and efficient manner, to ensure
adherence to management policies, to safeguard the assets, and to secure, as far as possible, the completeness and accuracy
of records. Our responsibility as internal auditors is to evaluate significant systems and processes and associated internal
controls and to report to the Audit Committee on the adequacy of such controls and systems. We cannot examine the whole
system of controls, financial or otherwise, nor is internal audit a substitute for management’s responsibility to maintain adequate
systems of internal control over financial or operational systems.
The number and priority of the recommendations that we raised during the year are summarised on page 2.
In considering our opinion on the framework of controls we have taken the following into consideration:
• all audits undertaken during the year
• the balance of probity work against review of management arrangements and value for money work
•our perception of the extent of ‘control awareness’ amongst staff.
On the basis of work undertaken in the year ended 31 July 2006 we consider that UHI Millennium Institute generally has an
adequate framework of control over the systems we examined as summarised on page 2 (subject to implementation of the
recommendations). In providing such an opinion we would draw to your attention our summary findings as presented in our
individual reports issued throughout the year.

We take responsibility for this report, which has been prepared on the basis of the limitations set out on page 4.
3

Statement of Responsibility
We take responsibility for this report which is prepared on the basis of the limitations set out below.
We take responsibility for this report which is prepared on the basis of the limitations set out below.
The matters raised in this report are only those which came to our attention during the course of our internal audit work and are not necessarily a comprehensive statement of all the 
weaknesses that exist or all improvements that might be made.  Recommendations for improvements should be assessed by you for their full impact before they are implemented.  The 
performance of internal audit work is not and should not be taken as a substitute for management’s responsibilities for the application of sound management practices.  We emphasise 
that the responsibility for a sound system of internal controls and the prevention and detection of fraud and other irregularities rests with management and work performed by internal 
audit should not be relied upon to identify all strengths and weaknesses in internal controls, nor relied upon to identify all circumstances of fraud or irregularity.  Auditors, in conducting 
their work, are required to have regards to the possibility of fraud or irregularities.  Even sound systems of internal control can only provide reasonable and not absolute assurance and 
may not be proof against collusive fraud.  Internal audit procedures are designed to focus on areas as identified by management as being of greatest risk and significance and as such we 
rely on management to provide us full access to their accounting records and transactions for the purposes of our audit work and to ensure the authenticity of these documents.  Effective 
and timely implementation of our recommendations by management is important for the maintenance of a reliable internal control system. 
Deloitte and Touche LLP
November 2006
In this document references to Deloitte are references to Deloitte & Touche LLP.
Deloitte & Touche LLP is the United Kingdom member firm of Deloitte Touche Tohmatsu.  Deloitte Touche Tohmatsu is a Swiss Verein (association), and, as such, neither Deloitte 
Touche Tohmatsu nor any of its member firms has any liability for each other’s acts or omissions.  Each of the member firms is a separate and independent legal entity operating under 
the names “Deloitte”, “Deloitte & Touche”, “Deloitte Touche Tohmatsu”, or other related names.  Services are provided by the member firms or their subsidiaries or affiliates and not by the 
Deloitte Touche Tohmatsu Verein.
©2006 Deloitte & Touche LLP.  All rights reserved. 
Deloitte & Touche LLP is a limited liability partnership registered in England and Wales with registered number OC303675.  A list of members’ names is available for inspection at 
Stonecutter Court, 1 Stonecutter Street, London EC4A 4TR, United Kingdom, the firm’s principal place of business and registered office.
4

Document Outline