Mae hwn yn fersiwn HTML o atodiad i'r cais Rhyddid Gwybodaeth 'SFC Financial Memorandum and Internal Audit'.


UHI Millennium Institute
Internal Audit Annual Report
December 2007
This report and the work connected therewith are subject to the Terms and Conditions of 
the engagement letter between UHI Millennium Institute and Deloitte & Touche LLP.  The 
report is produced solely for the use of the UHI Millennium Institute.  Its contents should 
not be quoted or referred to in whole or in part without our prior written consent except as 
required by law.  Deloitte & Touche LLP will accept no responsibility to any third party, as 
the report has not been prepared, and is not intended for any other purpose. 

Contents
Page 
Introduction
1
Results of Work Undertaken
2
Annual Statement to the Audit Committee
3
Statement  of Responsibility 
4

Introduction
As Internal Auditors, our role is to provide the Audit Committee, Board and Management with independent 
assurance as to the adequacy and effectiveness of the systems of internal control we review, and to report 
weaknesses identified together with recommendations for improvement.  We fulfil this role by performing 
appropriate audit work in accordance with the annual internal audit plan approved by the Audit Committee. 
This annual report summarises the overall results of our internal audit work programme undertaken in 
respect of the financial year ended 31 July 2007. We have presented our Annual Internal Audit Statement 
on page 3. 
In terms of overall progress we can confirm that all fieldwork has been completed in accordance with the 
agreed audit programme with the exception of our reviews on Academic Partner Agreements and 
Workforce Planning.  Due to the re-structuring of the risk management process, we were unable to 
undertake an assessment of operating effectiveness, instead focusing on design effectiveness.
1

Results of Work Undertaken at 15th November 2007
A summary of the results of each of our projects during the year is outlined below. 
UHI Internal Audit Operational Plan 2006/07
Status / Timing
Budgeted Input
Actual Input
Recommendations by priority
PROCESS AREA 
1
2
3
Strategy and Planning 
AP Agreements
Deferred
7
-
-
-
Workforce Planning
Deferred
5
1
-
-
-
Other Support Processes
Student Registration System
Final Report Issued
10
14
0
1
2
Marketing
Final Report Issued
10
10
0
3
3
Budgetary Control & Financial Planning
Final Report Issued
10
10
0
0
4
Financial Management Processes
Key Financial Control Assessment
Final Report Issued
4
4
0
2
3
Managing Risk of Key Business & Systems Change 
Risk Management
Fieldwork complete
5
4
-
-
-
TRAC Review
Final Report Issued
5
5
0
0
4
Legal, Regulatory and Business Risk Management 
Health and Safety 
Final Report Issued
5
5
1
5
3
Policy Management
Final Report Issued
5
5
0
4
0
IT Risk
IT Security
Final Report Issued
5
5
0
2
0
Follow Up 
Fol ow-Up on Prior Year Recommendations 
Fieldwork complete
5
3
-
-
-
IA Contract Management
Ongoing
5
7
-
-
-
Contract Management
Audit Planning & Risk Assessment
Ongoing
1
1
-
-
-
Audit Committee Planning and Attendance
Ongoing
3
3
-
-
-
Total Input Days
85
77
1
17
19
2006/07 Reviews
In 2006/07, the UHIMI internal audits covered a range of financial and operational areas, in line with the development of the organisation and with the key 
regulatory  requirements  of  the  sector.    Accordingly,  we  have  undertaken  audits  of  the  risk  management  system,  marketing  function and  policy 
management systems.  In response to regulatory and reporting requirements, we have also undertaken audits of the HESA returns driven by the student 
registration system, and of the compliance of UHI with the TRAC requirements.  Our internal audit of risk management has been completed, and results 
reported to management.  Whilst the report was being finalised at the time of this report, the findings are not expected to affect our statement provided on 
page 3, subject to the implementation of our recommendations.
37 recommendations were raised across our reviews, with 1 recommendation being categorised as a priority 1, 17 recommendations classed as priority 
two and 19 being classed as priority three.
Priority One Recommendation
One priority one recommendation was raised during 2006/07.  This was in relation to our internal audit of Health and Safety procedures.  At the time of our 
audit, UHI had not undertaken a full health and safety risk assessment of the Executive Office.
2

Annual Statement to the Audit Committee
Report to the Audit Committee
As  Internal  Auditors,  we  are  required  to  provide  the  Audit  Committee  with  an  Annual  Internal  Audit  statement.    The  UHI 
x
Millennium  Institute  and  its  management  are  responsible  for  ensuring  that  a  system  of  control,  financial  and  otherwise,  is 
established and maintained.  This is in order to carry on the operations of UHIMI in an orderly and efficient manner, to ensure 
adherence to management policies, to safeguard the assets, and to secure, as far as possible, the completeness and accuracy 
of  records. Our  responsibility  as  internal  auditors  is  to  evaluate  significant  systems  and  processes  and  associated  internal 
controls and to report to the Audit Committee on the adequacy of such controls and systems.  We cannot examine the whole 
system of controls, financial or otherwise, nor is internal audit a substitute for management’s responsibility to maintain adequate 
systems of internal control over financial or operational systems.
The number and priority of the recommendations that we raised during the year are summarised on page 2.  
In considering our opinion on the framework of controls we have taken the following into consideration:
• all audits undertaken during the year
• the balance of probity work against review of management arrangements and value for money work
•our perception of the extent of ‘control awareness’ amongst staff.
On  the  basis  of  work undertaken  in  the  year ended 31  July  2007  we  consider  that  UHI  Millennium  Institute  generally  has  an 
adequate  framework  of  control  over  the  systems  we  examined  as  summarised  on  page  2  (subject  to  implementation  of  the 
recommendations).    In  providing  such an opinion  we  would  draw  to your attention our  summary  findings  as presented  in  our 
individual reports issued throughout the year.
We take responsibility for this report, which has been prepared on the basis of the limitations set out on page 4.
3

Statement of Responsibility
We take responsibility for this report which is prepared on the basis of the limitations set out below.
The matters raised in this report are only those which came to our attention during the course of our internal audit work and are not necessarily a comprehensive statement of all the 
weaknesses that exist or all improvements that might be made.  Recommendations for improvements should be assessed by you for their full impact before they are implemented.  The 
performance of internal audit work is not and should not be taken as a substitute for management’s responsibilities for the application of sound management practices.  We emphasise 
that the responsibility for a sound system of internal controls and the prevention and detection of fraud and other irregularities rests with management and work performed by internal 
audit should not be relied upon to identify all strengths and weaknesses in internal controls, nor relied upon to identify all circumstances of fraud or irregularity.  Auditors, in conducting 
their work, are required to have regards to the possibility of fraud or irregularities.  Even sound systems of internal control can only provide reasonable and not absolute assurance and 
may not be proof against collusive fraud.  Internal audit procedures are designed to focus on areas as identified by management as being of greatest risk and significance and as such we 
rely on management to provide us full access to their accounting records and transactions for the purposes of our audit work and to ensure the authenticity of these documents.  Effective 
and timely implementation of our recommendations by management is important for the maintenance of a reliable internal control system. 
Deloitte and Touche LLP
December 2007
In this document references to Deloitte are references to Deloitte & Touche LLP.
Deloitte & Touche LLP is the United Kingdom member firm of Deloitte Touche Tohmatsu.  Deloitte Touche Tohmatsu is a Swiss Verein (association), and, as such, neither Deloitte 
Touche Tohmatsu nor any of its member firms has any liability for each other’s acts or omissions.  Each of the member firms is a separate and independent legal entity operating under 
the names “Deloitte”, “Deloitte & Touche”, “Deloitte Touche Tohmatsu”, or other related names.  Services are provided by the member firms or their subsidiaries or affiliates and not by the 
Deloitte Touche Tohmatsu Verein.
©2007 Deloitte & Touche LLP.  All rights reserved. 
Deloitte & Touche LLP is a limited liability partnership registered in England and Wales with registered number OC303675.  A list of members’ names is available for inspection at 
Stonecutter Court, 1 Stonecutter Street, London EC4A 4TR, United Kingdom, the firm’s principal place of business and registered office.
4