This is an HTML version of an attachment to the Freedom of Information request 'SFC Financial Memorandum and Internal Audit'.



 
 
BG10- 
Appendix 1 
 
 
 
 
 
THE UHI MILLENNIUM INSTITUTE  
Internal Audit Service 
Annual Internal Audit Report 2009/10 
 
30/08/2010 
Fiona M Larg 
UHI Executive Office 
81110 

link to page 3 link to page 3 link to page 3 link to page 4 link to page 5 link to page 10 link to page 12 link to page 12 link to page 12 link to page 15 link to page 16 link to page 19 link to page 20 link to page 20 link to page 28  
Internal Audit Annual Report 
2009/10 
 
CONTENTS 
 
1. 
Introduction ................................................................................................................. 3 
2. 
Responsibilities for Risk Management, Control, Governance and Value for Money . 3 
3. 
Role of Internal Audit .................................................................................................. 3 
4. 
Performance against the Internal Audit Plan.............................................................. 4 
5. 
Summary of Internal Audit Work undertaken ............................................................. 5 
6. 
Follow up of agreed management actions ............................................................... 10 
7. 
Annual opinion on the adequacy and effectiveness of the UHI Millennium Institute’s 
arrangements for risk management, control and governance; economy, efficiency 
and effectiveness (value for money). ....................................................................... 12 

8. 
Internal Audit Key performance Indicators ............................................................... 16 
9. 
Internal Audit Service Quality Assurance programme ............................................. 17 
10. 
Conclusion ................................................................................................................ 19 
 
Appendices 
 
Appendix  A  -The Institute of Internal Auditors UK and Ireland -  An approach to implementing 
Risk Based Internal Audit ...................................................................................... 20 
Appendix B - UHI Internal Audit Service internal quality assessment - peer reviews ................. 28 
 
Page 2 
 

The UHI Millennium Institute 
                               Annual Internal Audit Report 
2009/10 
Internal Audit Service  
                                                                         
 
 
Annual Internal Audit Report  
2009/10 
1. 
Introduction 
1.1. 
The UHI Millennium Institute recruited an in-house Internal Auditor and established a 
Co-Sourced Internal Audit Service with Henderson Loggie Chartered Accountants in 
February 2009. This Annual Internal Audit Report provides a summary of the Internal 
Audit Service’s activities since the 1st August 2009 for the financial year 2009/10.  
1.2. 
The Internal Audit Terms of Reference require the UHI Millennium Institute Internal 
Auditor to give an annual opinion to the Board of Governors and Principal, through the 
Audit Committee, on the adequacy and effectiveness of UHI’s arrangements for: 
• 
risk management, control and governance; and for 
• 
economy, efficiency and effectiveness (value for money)  
1.3. 
The opinion is provided in section 7 of this report. 
 
2. 
Responsibilities for Risk Management, Control, Governance and Value for 
Money 

2.1. 
Within the UHI Millennium Institute, responsibility for risk management, control and 
governance arrangements and the achievement of value for money rests with the Board 
of Governors and management, who should ensure that appropriate and adequate 
arrangements exist without reliance on the UHI Millennium Institute’s Internal Audit 
Service. The Internal Audit Service has no executive role, nor does it have any 
responsibility for the development, implementation or operation of systems. 
 
3. 
Role of Internal Audit 
3.1. 
The UHI Millennium Institute Internal Audit Service is responsible for providing an 
objective, independent appraisal of all the UHI Millennium Institute’s activities, financial 
and otherwise. It provides a service to the whole organisation, including the Board of 
Governors and all levels of management. It is not an extension of,  nor a substitute for, 
good management, although it can have a role in advising management. The Internal 
Audit Service is responsible for evaluating and reporting to the UHI Millennium Institute’s 
Board of Governors and Principal, through the Audit Committee, thereby providing them 
with assurance on the arrangements for risk management, control, governance and 
value for money. It remains the duty of management, not the internal auditor, to operate 
these arrangements. 
3.2. 
The UHI Millennium Institute Internal Auditor is required to give an annual opinion to the 
Board of Governors and Principal, through the Audit Committee, on the adequacy and 
effectiveness of the arrangements for risk management, control and governance and for 
economy, efficiency and effectiveness (value for money) within UHI, and the extent to 
which the Board of Governors can rely on these. 
Page 3 
 

The UHI Millennium Institute 
                               Annual Internal Audit Report 
2009/10 
Internal Audit Service  
                                                                         
 
3.3. 
Independence  
3.4. 
The Internal Audit Service has no executive role, nor does it have any responsibility for 
the development, implementation or operation of systems. The UHI Millennium Institute 
Internal Auditor, subject to any guidance from the Audit Committee is solely responsible 
for the management and development of the UHI Millennium Institute co-sourced 
Internal Audit Service. 
3.5. 
For day-to-day administrative purposes only, the UHI Millennium Institute Internal 
Auditor reports to the UHI Principal. The UHI Millennium Institute Internal Auditor has 
right of access to the UHI Principal. 
3.6. 
The institute of Internal Auditors International Standards for the Professional Practice of 
Auditing state that “internal audit activity should be free from interference in determining 
the scope of internal auditing, performing work, and communicating results”.  
3.7. 
Where there are differences of opinion between Internal Audit and management, the 
Board of Governors (on the advice of the Audit Committee) should ultimately determine 
whether or not to accept audit recommendations, recognise and accept the risks of not 
taking action, and instruct management to implement recommendations 
 
4. 
Performance against the Internal Audit Plan 
4.1. 
The UHI Millennium Institute Internal Audit plan for 2009/10 plan was prepared using a 
planning methodology in line with the Scottish Funding Council (SFC) guidance and 
current best practice from the Committee of University Chairmen (CUC), Institute of 
Internal Auditors (IIA), Higher Education Funding Council for England (HEFCE), the 
Council of Higher Education Internal Auditors (CHEIA) and also in the context of UHI’s 
risk management infrastructure.  
4.2. 
The Internal Audit Planning Methodology and proposed Internal Audit Plans were 
discussed and reviewed by the External Auditor who was of the opinion that the Internal 
Audit Plan and the associated methodology were of a good standard and in line with 
best practice, and were clearly risk based. 
4.3. 
The Audit Committee approved a draft Internal Audit Plan for 2009/10 at its April 2009 
meeting. The final Internal Audit Plan for 2009/10 was approved by the Audit Committee 
on the 22 September 2009 (as the earlier meeting in June was cancelled). Eight out of 
the eleven planned internal audits have been completed. Two audits are still being 
progressed (one of which is to be undertaken by an external contractor). Three audits on 
the internal audit plan required significantly more time than initially anticipated, these 
were Data Management, Information Accessibility and Security, Research Business 
Planning and Development and the Student Fees audit. This has therefore, comprised 
the ability to deliver all the planned audits within the agreed timescale. The audit 
scheduled for Recruitment and Admissions was moved to the reserve list of the 2010/11 
internal audit plan. 
Page 4 
 

The UHI Millennium Institute 
                               Annual Internal Audit Report 
2009/10 
Internal Audit Service  
                                                                         
 
 
Audit Plan 2009/10 
Audit 
Progress to date  
days 
 
1. 
Data Management, Information 
20 
•  Report to 23 February Audit 
accessibility and security 
Committee 
2. 
Transparent Approach to 
10 
•  Report to 23 February Audit 
Costing (TRAC) 
Committee 
3. 
Human Resources and Payroll 

•  Report to 27 April Audit Committee 
4. 
Research Business Planning 
17 
•  Report to 27 April Audit Committee 
and Development and review  
5. 
HIE funding – Grant Claims 
11 
•  Report to 22 June Audit Committee 
6. 
Risk Management  

•  Report to 22 June Audit Committee 
7. 
Business Transformation   
15 
•  Report to 6 September Audit 
 
   
Committee  
8. 
Student Fees 
11 
•  Report to 6 September Audit 
Committee 
9. 
Student retention and 
15 
•  Scope and objectives issued. 
management of withdrawals 
•  Fieldwork underway 
10.  Network Vulnerability Test 
15 
•  Scope and objectives issued and 
agreed 
•  Quote for testing service prepared 
and advertised (10 August) on 
Public Contracts Scotland website 
•  Deadline for return of quotes 27 
August 
 
 
 
   
5. 
Summary of Internal Audit Work undertaken 
5.1. 
The following paragraphs provide a summary of the Internal Audit work undertaken from 
the Internal Audit Plan 2009/10. 
5.2. 
Data Management Information Accessibility and Security  
5.3. 
An internal audit review of data management information accessibility and security was 
carried out to assess the adequacy and effectiveness of the processes and procedures 
for data management, information accessibility and security. 
5.4. 
The penalties for non-compliance with the Data Protection Act were due to increase as 
the Information Commissioner’s Office gained powers in early 2010 to issue monetary 
penalties. There was scope identified to further improve and better develop UHI policies, 
practices and processes for data management, information accessibility and security. 
This would help UHI to better demonstrate ongoing compliance with the Data Protection 
Act requirements. 
5.5. 
The following five areas of concern were prioritised as high priority: 
•  To help underpin compliance with the Data Protection Act, UHI should consider 
developing and maintaining a comprehensive UHI record of all the types of 
Page 5 
 

The UHI Millennium Institute 
                               Annual Internal Audit Report 
2009/10 
Internal Audit Service  
                                                                         
 
personal or sensitive personal data processed including the staff with 
responsibilities for ownership or control. As well as implementing a coordinated 
process to notify the Information Commissioner’s Office of any changes within 
28 days. 
•  There was scope to further raise awareness of the Data Protection Act amongst 
UHI staff and to help ensure compliance by:  

Providing Data Protection Act awareness, information and training where 
relevant as part of UHI induction process for new staff. 

Identifying staff who have data controller responsibilities and fostering 
accountability by formally defining their roles and responsibilities as data 
controllers and where necessary providing them with appropriate training. 

Developing mechanisms for identifying and promulgating data protection 
best practice throughout UHI.  
•  There was scope to review the existing UHI Data Protection Policy and the Staff 
Manual policy on Data Protection and Access to Personal Information with a 
view to creating a single policy statement on Data Protection that could also 
form part of UHIMI Terms and Conditions of Employment.  A communication 
strategy should also be adopted to ensure that a ‘golden copy’ of the policy can 
be readily accessed by all UHI staff. The revised policy should  be formally 
approved by the Board of Governors. 
•  There was scope to improve control surrounding the timely completion of the 
UHI Information Security Policy. 
•  There was scope to further develop and better formalise UHI information 
security governance arrangements and acceptable use policies by including 
these in the new service level agreements between UHI and Academic Partners. 
5.6. 
Twenty three recommendations for improvement in control were identified, of which five 
were prioritised as high, twelve as medium, and the remainder as low priority. Actions to 
improve control were agreed by Management, with the final action due for 
implementation by the 28th February 2011. 
5.7. 
Transparent Approach to Costing (TRAC) 
5.8. 
An internal audit review was carried out to review the adequacy of the arrangements in 
place to prepare the Annual Transparency Review Return 2008/09.  
5.9. 
UHI had been developing its processes for TRAC over a period of time. To date UHI had 
been preparing its TRAC returns on the basis of being able to apply dispensation. 
Institutions applying dispensation still have to comply with the TRAC requirements 
although they do not have to use fully robust methods. It was unlikely that UHI would be 
able to apply dispensation in future years as income received for UHIMI own research 
would probably be greater than the £500k threshold. UHI will therefore, need to further 
develop its TRAC processes to be more demonstrably robust.  
5.10. 
There was an opportunity to further improve the arrangements for the oversight of TRAC 
policy and methods by formalising these through the establishment of a TRAC Steering 
Group. Improved TRAC documentation would also help to better demonstrate TRAC 
compliance, aid in knowledge transfer and make it easier for new staff to undertake 
TRAC. 
5.11. 
There was also scope identified to further improve the TRAC information provided to the 
Finance and General Purposes Committee to better support it in carrying out its role of 
confirming compliance with the TRAC return requirements.  
5.12. 
Three recommendations for improvement  in control were identified, all of which have 
been prioritised as medium priority. Actions to improve control were agreed by 
Management, with the final action due for implementation by 31 January 2011. 
Page 6 
 

The UHI Millennium Institute 
                               Annual Internal Audit Report 
2009/10 
Internal Audit Service  
                                                                         
 
5.13. 
Human Resources and Payroll 
5.14. 
An Internal audit review of human resources and payroll systems at UHI was carried out 
to review the adequacy and effectiveness of the processes and procedures in place to 
ensure that payroll payments made on UHI’s payroll system are valid, authorised, made 
accurately, and monitored. 
5.15. 
Manual human resources starter, leaver and change authorisation processes were in 
place and, on the whole, these were adequate to ensure that payroll payments made on 
UHI’s payroll system were valid, authorised and made accurately.  However, there was 
not always evidence available to confirm that induction training had been carried out 
timeously for new starts. 
5.16. 
Finance staff process and review input to, and output from, the payroll system, however 
there was a lack of evidence of independent checks being undertaken on this.  
Reconciliations were undertaken between the payroll system and UHI’s main accounting 
system and payments to third parties of deductions were appropriately controlled. 
5.17. 
Budget holders regularly receive high level summary information for monitoring payroll 
expenditure. However, there was scope to improve control to enable budget holders to 
better monitor their payroll transactions by providing more detailed salary monitoring 
information. 
5.18. 
Six areas of concern were identified, three of which were prioritised as medium priority 
and the remainder as low. Actions to improve control were agreed by Management, with 
the final action due for implementation by the 1st of September 2010. 
5.19. 
Research Business Planning and Development 
5.20. 
An internal audit review of research business planning and development was carried 
out. The review sort to assess the adequacy and effectiveness of the processes and 
procedures for managing and controlling the preparation of research bids; costing and 
pricing bids; and recovering overheads. 
5.21. 
UHI had defined a strategic objective to diversify income and to strengthen UHI’s 
financial sustainability. One of the critical success factors declared was to increase 
research income by growing UHI’s research base. A Research and Commercialisation 
Implementation Plan had been developed to help deliver this. UHI had established a 
Research Office and the Vice Principal, Research and Enterprise had recognised the 
need to review the existing business processes supporting the preparation and 
submission of funding applications.  
5.22. 
There was scope identified to improve the process of objectively reviewing and 
approving grant applications prior to submission to help minimise UHI risk exposure. 
Management information to enable the monitoring of research development and 
planning could be enhanced and there was an opportunity to improve the transparency 
surrounding whether research applications cover their full costs or provide a contribution 
towards UHI overheads. There was also scope identified to improve control by providing 
a policy to help mitigate exchange rate losses and also by providing a clear and robust 
pricing policy and strategy. 
5.23. 
One high priority recommendation was made which identified scope to better formalise  
Partner accountability and Partner acceptance of risk by ensuring that evidence was 
required of senior partner staff’s (with budgetary responsibilities) review of research 
application, approval of costs and acceptance of responsibility for delivery of the project 
prior to the research application submission by UHI. 
5.24. 
Nine recommendations for improvement in control were identified, of which one was 
prioritised as high, five as medium, and the remainder as low priority. Twelve actions to 
improve control were agreed by Management, with the final action due for 
implementation by the 1st October 2011. 
Page 7 
 

The UHI Millennium Institute 
                               Annual Internal Audit Report 
2009/10 
Internal Audit Service  
                                                                         
 
5.25. 
Highlands and Islands Enterprise (HIE) Funding – Grant Claims 
5.26. 
An audit of HIE Funding had been scheduled on the 2009/10 Internal Audit Plan.  The 
terms and conditions of HIE grant funding require an independent audit to be carried out 
to certify grant claims. UHI engaged Ernst & Young LLP on the 24 April 2009 and later 
on the 24 February 2010 to conduct the HIE grant audits. Audit reports were prepared 
for sixteen HIE grant claims with a total defrayed expenditure value of £7,003,661.  
5.27. 
Given the level of audit / assurance work commissioned in this area it was decided that it 
would not be beneficial for internal audit to commit further resources at this time to 
auditing these activities. It was therefore agreed with the UHI Principal that the Internal 
Auditor would review the work of the Ernst & Young LLP in this area and if content 
provide a summary report of the findings to the Audit Committee. There were no 
significant control issues identified in any of the audit reports provided. Four minor claim 
errors were found resulting in a net over claim of £6,900.35. This represents an error of 
0.1% of the total value of the claims audited. The Director, Finance and Strategy 
confirmed that the errors identified were corrected in the next claims. No 
recommendations for improvement in control were made. 
5.28. 
Risk Management 
5.29. 
An internal audit review on risk management was carried out using a template provided 
by the Institute of Internal Auditors (IIA) which helps to enable an assessment of an 
organisations risk maturity to be undertaken.   
5.30. 
The Revised Process for Risk Identification and Management provided a sound starting 
point to define and formalise UHI’s risk management framework processes and 
procedures. To fully realise the benefits of effective risk management this process needs 
to be complied with and further embedded as part of routine business processes. 
5.31. 
The formation of the Risk Review Group and its ongoing work should help to provide a 
continuing impetus to improve risk management processes and help to better ensure the 
implementation and monitoring of the risk management policy. 
5.32. 
On conclusion of the assessment it is the Internal Auditor’s opinion that UHI’s risk 
maturity could be classified as ‘Risk Defined’. The IIA describe the key characteristics of 
being risk defined as having the “strategy and policies in place and communicated. Risk 
appetite defined”. The IIA suggest that in these circumstances Internal Audit’s approach 
should be to “facilitate risk management / liaise with risk management and use 
management assessment of risk where appropriate”. 
5.33. 
Three recommendations for improvement in control were identified, of which one was 
prioritised as high, one as medium, and the remainder as low priority. Actions to improve 
control were agreed by Management, with the final action due for implementation by 30 
September 2010. 
5.34. 
Business Transformation 
5.35. 
An internal audit review of Business Transformation was carried to assess the adequacy 
and effectiveness of the  processes and procedures for managing and controlling 
business transformation activities. 
5.36. 
Business Transformation was actively supporting the change management process 
through personal involvement, consultation with involved parties, and via the provision of 
implementation plans, user guides and system documentation.  
5.37. 
There was an opportunity over the longer term to consider improving the process for 
identifying areas for Business Transformation activity/review by developing a UHI wide 
business transformation planning and prioritisation process that engages business areas 
and appropriate stakeholders to help identify areas for business improvement. 
Transparency surrounding business transformation activities could be further improved 
by developing a more standardised process/lifecycle supported by key documentation. 
Page 8 
 

The UHI Millennium Institute 
                               Annual Internal Audit Report 
2009/10 
Internal Audit Service  
                                                                         
 
Definition of key performance indicators or metrics at the outset of business 
transformation activities would help to enable the monitoring of delivery and better 
demonstrate whether business transformation activities represented value for money. 
5.38. 
Seven recommendations for improvement in control have been identified, of which three 
have been prioritised as Medium, and the remainder as low priority. Actions to improve 
control have been agreed by Management, with the final low priority action due for 
implementation by 1st July 2012. 
5.39. 
Student Fees 
5.40. 
An internal audit review of Student Fees was carried out to assess the adequacy and 
effectiveness of the processes and procedures in place to ensure that student fees are 
complete, accurate and collected on a timely basis.  The audit covered the procedures in 
place within both UHI and Academic Partners. 
5.41. 
The findings in the report were based on written responses from Academic Partners, 
followed up with clarification of these written responses by e-mail and telephone. Where 
controls, processes or procedures were noted as being in place these were stated on 
the basis of the responses provided by the relevant Academic Partners. 
5.42. 
The processes used by four Academic Partners were inadequate to ensure that all 
Higher Education student fees that should be received had been correctly calculated 
and invoiced as formal controls over completeness were not in place.  The use of an 
integrated student registry and debtor system, such as the SITS/SAM system, would 
improve controls over completeness and accuracy of student fee invoicing.  A range of 
data quality checks were undertaken by Academic Partners, including checks requested 
from UHI Executive Office. 
5.43. 
An analysis was performed by UHI Executive Office Finance and Planning staff which 
identified differences between expected and reported income.  It was not possible to 
determine within the scope of this audit whether there were valid reasons for these, 
however control weaknesses in the completeness and accuracy of student fee income, 
as noted above, could contribute to the differences. 
5.44. 
Two Academic Partners have detailed Higher Education discretionary fee waiver 
policies, one Academic Partner had a set policy but also allowed some management 
discretion, one used senior management discretion only as to when to apply 
discretionary fee waivers and eight did not award discretionary fee waivers.  
5.45. 
Forty two recommendations were made to Academic Partners where there was scope 
identified to improve control and thirty seven management actions agreed. 
5.46. 
Six areas of concern were identified for UHI Executive Office, which were prioritised as 
medium. Five actions to improve control were agreed by Management, with the final 
action due for implementation by 1st October 2011. 
Page 9 
 

The UHI Millennium Institute 
                               Annual Internal Audit Report 
2009/10 
Internal Audit Service  
                                                                         
 
6. 
Follow up of agreed management actions  
6.1. 
As part of the normal Internal Audit process the Internal Audit Service follows up the 
implementation of agreed management actions to provide assurance to the Audit 
Committee that actions to improve control or further mitigate risk are being implemented 
on a timely basis. 
6.2. 
The UHI Internal Audit Service records all agreed management actions to improve 
control in a follow-up database. The follow-up database is used to provide managers 
with a monthly reminder/update of their agreed management actions. The Internal 
Auditor provides the Audit Committee with a follow-up report at each meeting which the 
Committee uses to closely monitor the implementation of agreed management actions.  
6.3. 
The following table describes the categories used to prioritise recommendations to 
improve control. 
Categorisation of  Definition of category 
recommendation 

High 
Inadequate systems and controls  which if not addressed could 
expose the institution to significant financial, operational or 
reputational risk and adversely impact on implementation of its 
strategic plan. 
Medium  
Systems and controls which are not fully effective, and failure to 
improve them could adversely affect operational plans at 
departmental level. 
Low 
Good practice dictates that some enhancements to existing 
systems and controls are desirable. 
 
6.4. 
The following table shows the total number of agreed management actions by Audit 
Year and priority. 
Priority 
2008-9 
2009-10 
Total 
High 
17 

24 
Medium 
26 
34 
60 
Low 
17 
55 
72 
 
60 
96 
156 
Page 10 
 

The UHI Millennium Institute 
Internal Audit Service  
 
                           
 
     Annual Internal Audit Report 2009/10 
 
 
                                                                         
 
6.5.  The following table provides a summary of all  the agreed management actions by audit since February 2009. It is important to note that the table includes agreed 
management actions that are not yet due for completion. 
 
 
High 
Medium 
Low 
 
 
 
Audit 
Total 
Percentage 
Audit Title 
Total 
Completed 
Total  Completed  Total  Completed  Total 
Ref 
Completed 
completed 
09-01 
Risk Management (2009) 






10 
10 
100% 
09-02 
Review of the Strategic Delivery Body 






13 
13 
100% 
09-03 
Curriculum Development and Review 




 
 


100% 
09-04 
Business Continuity Planning 






19 
13 
68% 
09-06 
Monitoring Academic Partners' financial position 






12 

50% 
10-03 
Research Business Planning and Development 

 




12 

25% 
10-04 
Business Transformation 
 
 

 

 


0% 
10-05 
HR Payroll 
 
 






67% 
10-07 
Student Fees 
 
 


37 
 
42 

2% 
Data Management Information Accessibility and 
10-09 

 
12 



23 

22% 
Security 
10-11 
Risk Management (2010) 

 

 

 


0% 
10-19 
Transparent Approach to Costing 
 
 

 
 
 


0% 
 
Total 
24 
13 
60 
29 
72 
19 
156 
61 
39% 
 
Percentage Complete 
High 54% 
Medium 48% 
Low 26% 
Total 39% 
Page 11 
 

link to page 8 link to page 8  
 
 
The UHI Millennium Institute 
                               Annual Internal Audit Report 
2009/10 
Internal Audit Service  
                                                                         
 
7. 
Annual opinion on the adequacy and effectiveness of the UHI Millennium 
Institute’s arrangements for risk management, control and governance; 
economy, efficiency and effectiveness (value for money). 

7.1. 
The Internal Audit Terms of Reference require the UHI Millennium Institute Internal 
Auditor to  give an annual opinion to the Board of Governors and Principal, through the 
Audit Committee, on the adequacy and effectiveness of UHI’s arrangements for: 
• 
risk management, control and governance; 
• 
economy, efficiency and effectiveness (value for money). 
7.2. 
It is important to note that: 
• 
The opinion is based upon the internal audit work undertaken since the 1st August 
2009 from the Internal Audit Plan 2009/10, summarised earlier in section five. 
• 
Internal control can provide only a reasonable  and  not absolute  assurance to 
management and the Board of Governors regarding achievement of UHI’s 
objectives.  
• 
Responsibility for risk management, control and governance arrangements and 
the achievement of value for money rests with the Board of Governors and 
management, who should ensure that appropriate and adequate arrangements 
exist without reliance on the UHI Millennium Institute’s Internal Audit Service. 
• 
Internal Audit reviews have a reasonable chance of detecting significant control 
weaknesses but cannot guarantee that fraud, error or non compliance will be 
detected.  
7.3. 
Adequacy and Effectiveness of the UHI Millennium Institute’s arrangements for 
Risk Management, Control and Governance  

7.4. 
Findings  
Risk Management 
7.5. 
An internal Audit Review of Risk Management was undertaken during the year and a 
summary of the review was included in paragraphs 5.28  to  5.33. Appendix A also 
includes the internal audit assessment on UHI’s risk maturity.  
7.6. 
The review concluded that the Revised Process for Risk Identification and Management 
provided a sound starting point to define and formalise UHI’s risk management 
framework processes and procedures. To fully realise the benefits of effective risk 
management this process needs to be complied with and further embedded as part of 
routine business processes. The formation of the Risk Review Group and its ongoing 
work should help to provide a continuing impetus to improve risk management 
processes and help to better ensure the implementation and monitoring of the risk 
management policy.   Recommendations for improvement in control were identified and 
actions to improve control were agreed by management. 
Control 
7.7. 
During the year the Internal Audit Service has reviewed and tested many of UHI’s 
internal controls based upon the Internal Audit Plan. A summary of the findings of these 
reviews is included in section 5. 
Page 12 
 

 
 
 
The UHI Millennium Institute 
                               Annual Internal Audit Report 
2009/10 
Internal Audit Service  
                                                                         
 
7.8. 
The majority of internal audits undertaken during the year have resulted in 
recommendations being made to improve control. The following table shows the 
categorisation of internal audit recommendations. 
 
 
Categorisation of  Definition of category 
Number of 
Percentage 
recommendation 
recommendations 
of actions 
made 
agreed by 
management 

High 
Inadequate systems and 
controls which if not 
addressed could expose 
the institution to 
significant financial, 

100% 
operational or 
reputational risk and 
adversely impact on 
implementation of its 
strategic plan. 
Medium  
Systems and controls 
which are not fully 
effective, and failure to 
improve them could 
35 
97% 
adversely affect 
operational plans at 
departmental level. 
Low 
Good practice dictates 
that some enhancements 
60 
92% 
to existing systems and 
controls are desirable. 
 
Total  
102 
94% 
7.9. 
There were no significant internal audit recommendations that the Internal Audit Service 
consider had not received adequate management attention. The implementation of the 
agreed management actions corresponding to the recommendations will continue to 
improve UHI’s internal control arrangements.  
Governance 
7.10. 
In the previous financial year the UHI Millennium Institute Deputy Principal -  Secretary 
oversaw a review process to revise the UHI Millennium Institute Statement of 
Governance and Code of Practice and the Handbook for Members of the Board of 
Governors. The Statement of Governance and Code of Practice was revised to take into 
account the guidance issued by Committee of University Chairmen and other authorities.  
Both documents seek to ensure that UHI governance is in line with sector best practice.  
7.11. 
At its June 2009 meeting, the Board of Governors granted interim approval to the draft 
Statement of Governance and Code of Practice and the draft Handbook for Members of 
the Board of Governors and referred both for detailed consideration to Finance  and 
General Purposes Committee and the Audit Committee. The Finance and General 
Purposes Committee and the Audit Committee approved the revisions to the Code of 
Practice and the proposed Governors’ Handbook subject to some amendments. On the 
Page 13 
 

link to page 14  
 
 
The UHI Millennium Institute 
                               Annual Internal Audit Report 
2009/10 
Internal Audit Service  
                                                                         
 
15 December 2009 the Board of Governors noted the revised Statement of Governance 
and Code of Practice and the revised Handbook for Members of the Board of Governors. 
7.12. 
Earlier in 2009, Ernst & Young were commissioned to review the UHI Millennium 
Institute, Executive Office organisation structure and report on how this could be 
improved.  At an early stage in their work, they highlighted the cumbersome UHI 
committee structure being supported which took considerable staff resource to service. 
A radical overhaul of the governance process and the role of UHI committees was 
subsequently undertaken to reduce the committee system to the minimum number of 
higher level committees essential for providing governance at a strategic level. The 
restructuring proposals set out that each UHI committee and working group would have 
a clear remit and statement on delegated authority agreed by its senior committee.   
7.13. 
At its meeting of the 15th of December 2009, the Board of Governors approved the 
proposals for the new UHI committee structure, in principle, but subject to agreement by 
the Executive Board. The new UHI committee structure was implemented on the 4th 
January 2010. 
7.14. 
The Delegated Authorisation Schedule has been amended to take account of the 
revisions to both the UHI Committee Structure and the Executive Office and was 
approved by the Board of Governors at its meeting of the 27 April 2010. 
7.15. 
Opinion 
On the basis of the work carried out since 1 August 2009, the UHI Millennium 
Institute
  Internal Auditor concludes that where scope to improve controls was 
identified management actions have been agreed to address these. There is 
sufficient evidence of controls and procedures to provide reasonable assurance 
that UHI has adequate and effective arrangements for risk management, control 
and governance. 

 
7.16. 
Adequacy and Effectiveness of the UHI Millennium Institutes arrangements for 
Economy, efficiency and effectiveness (value for money)  

7.17. 
Findings  
7.18. 
The Scottish Funding Council Financial memorandum mandatory requirements effective 
from the 14 October 2008, state that the ‘institution must have a strategy for 
systematically reviewing management’s arrangements for securing value for money. As 
part of its internal audit arrangements, the institution must obtain a comprehensive 
appraisal of management’s arrangements for achieving value for money’. 
7.19. 
In April 2009 Internal Audit discussed the need to prepare a UHI Value for Money (VFM) 
Strategy with the Deputy Principal - Secretary and the Director of Finance and Planning. 
A VFM Strategy was prepared and the Finance and General Purposes Committee 
agreed at its 9th of June 2009 meeting to recommend approval of the strategy to the 
Board of Governors and welcomed the fact that UHI already fulfilled many of the 
requirements. The Board of Governors approved the VFM Strategy at its meeting on the 
23rd of June 2009.  
7.20. 
The VFM Strategy was prepared in line with guidance issued by HEFCE1. The Finance 
and General Purposes Committee is responsible for developing and overseeing the VFM 
Strategy. The VFM Strategy also sets out a comprehensive action plan of actions to be 
undertaken that will help to contribute further to the achievement of value for money.  
                                                 
1  Higher Education Funding Council England (HEFCE)  – Guidance on value for money (VFM) strategies and 
reporting 
Page 14 
 

 
 
 
The UHI Millennium Institute 
                               Annual Internal Audit Report 
2009/10 
Internal Audit Service  
                                                                         
 
7.21. 
Executive Board and Senior Management Group have operational responsibility for 
developing the improvement arrangements and identifying resource requirements, co-
ordinating and delivering work against the plan. 
7.22. 
The VFM Strategy states that Finance and General Purposes Committee will receive a 
progress report twice a year to monitor progress against the VFM improvement plan and 
to ensure that recommendations are implemented. The Finance and General Purposes 
Committee is scheduled to receive (at its meeting of the 31st of August 2010) a progress 
report for approval on the VFM improvement plan. This reports progress to September 
2010 and also provides revised actions and dates. 
7.23. 
Additional to the actions identified in the VFM improvement plan, a zero based 
budgeting exercise was carried out during the year, to prepare operational budgets for 
financial years 2010-13. The purpose was  to ensure resources were aligned to UHI’s 
strategic and operational priorities, The process involved a constructive challenge of 
each departmental budget based on best value concepts of the ‘Four C’s’; that is, 
challenging why, how and by whom, comparing performance, consulting where possible 
with users, and competing for resources with other departments.  
7.24. 
Opinion 
On the basis of the work carried out since 1 August 2009, the UHI Millennium 
Institute Internal Auditor concludes that in June 2009 the Board of  Governors 
approved a Value for Money Strategy which defined the objectives, approach, 
roles, responsibilities, reporting requirements and provides an action plan to help 
promote and secure value for money within UHI.  

There is sufficient evidence (subject  to the full implementation of the Value for 
Money Strategy and action plan) that there are now processes and procedures to 
provide reasonable assurance that UHI has adequate and effective arrangements 
to promote economy, efficiency and effectiveness (value for money). 

Page 15 
 

 
 
 
The UHI Millennium Institute 
                               Annual Internal Audit Report 
2009/10 
Internal Audit Service  
                                                                         
 
8. 
Internal Audit Key performance Indicators  
8.1. 
The Internal Audit Terms of Reference require the UHI Millennium Institute Internal 
Auditor to implement measures to monitor the effectiveness of the Internal Audit Service. 
The Key Performance Indicators were discussed and agreed with the Secretary. They 
are derived from Key Performance Indicators suggested in the Committee of University 
Chairmen, Handbook for Members of Audit Committees in Higher Education. 
Internal Audit Performance indicator 
Target 
Actual 2009/10 
Percentage of audit work delivered by 
60% 
100% 
qualified staff. 
Internal Audit Plan to be submitted by June 
Draft Internal Audit 
each year. 
Plan for 2009/10 
approved by Audit 
Committee in April 
2009. Final Audit 
June of each 
Plan for 2009/10 
year 
approved by Audit 
Committee in 
September 2009 as 
June meeting was 
cancelled. 
Follow-ups to be performed within 3 months 
Management are 
of the last action date of recommendations 
provided with a 
made. 
monthly update on 
Within 3 months 
their agreed 
of the last action 
management 
date of 
actions and a follow 
recommendation  up report is provided 
to each meeting of 
the Audit 
Committee. 
Issue of draft reports within 30 days of work  30 working days 
100% 
being completed. 
Issue of final report within 10  working days  10 working days 
100% 
of receipt of management responses. 
Recommendations made compared with 
80% 
94% 
recommendations accepted. 
Internal audit reviews that added value. 
90% 
100% 
Internal audit attendance at audit committee 
100% 
100% 
meetings. 
Issue of internal audit annual report. 
Report provided to 
September of 
September 2010 
each year 
Audit Committee 
 
Page 16 
 

link to page 19  
 
 
The UHI Millennium Institute 
                               Annual Internal Audit Report 
2009/10 
Internal Audit Service  
                                                                         
 
9. 
Internal Audit Service Quality Assurance programme  
9.1. 
The UHI Millennium Institute Internal Audit Service is required through its Terms of 
Reference to perform internal audit work with due professional care, in accordance with 
appropriate professional auditing practice and with regard to Treasury and the Institute 
of Internal Auditors standards (see later paragraph 9.11). 
9.2. 
The letter of agreement established between the UHI Millennium Institute and the co-
sourced internal audit partner Henderson Loggie affirms that the co-sourced internal 
audit partner will perform internal audit services in accordance with relevant professional 
standards and guidelines and in accordance with the Scottish Funding Council Financial 
Memorandum. 
9.3. 
Compliance with the Institute of Internal Auditors, International standards requires the 
UHI Millennium Institute Internal Auditor to develop and maintain a quality assurance 
and improvement program that covers all aspects of the internal audit activity. The 
Institute of Internal Auditors International standards requires that the Internal Audit 
Service Quality Assurance Programme must include both internal and external 
assessments. 
9.4. 
The UHI Millennium Institute Internal Audit Service has established a two tier approach 
to its quality assurance and improvement program: 
• 
The ongoing process of monitoring the performance of internal audit activity. 
• 
Internal Audit Annual Quality Assurance assessments. An internal review 
undertaken by the Principal and the Secretary and an external evidence based 
peer review assessment. 
9.5. 
Ongoing Performance Monitoring of Internal Audit Activity 
9.6. 
The UHI Millennium Institute internal Auditor manages the provision of the co-sourced 
Internal Audit Service on an ongoing basis. A monthly reporting process is in place to 
keep the Principal informed of Internal Audit’s progress. The Internal Audit Service has 
introduced Internal Audit Performance Questionnaires that are issued to management 
and staff at the conclusion of internal audit work. Feedback from management and staff 
on the performance of Internal Audit reviews is valued by the Internal Audit Service and 
helps enable the service provided to be improved and assists the Audit Committee in 
forming an opinion on the efficiency and effectiveness of the Internal Audit function. 
Page 17 
 

 
 
 
The UHI Millennium Institute 
                               Annual Internal Audit Report 
2009/10 
Internal Audit Service  
                                                                         
 
9.7. 
The table below presents a summary of the Internal Audit Performance Questionnaire 
responses received. The responses illustrate that on the whole 100% of the respondents 
were either fully satisfied or satisfied. 
 
Internal Audit Performance 
Fully 
Not 
Fully 
Satisfied 
N/A 
Questionnaire 
Satisfied 
Satisfied 
Dissatisfied 
1.  Were you given adequate 
67% 
33% 
0% 
0% 
0% 
notification of the audit? 
2.  Were you adequately 
informed of the audit scope 
89% 
11% 
0% 
0% 
0% 
and objectives? 
3.  Were the appropriate staff 
consulted for the audit area 
78% 
22% 
0% 
0% 
0% 
covered? 
4.  Did the auditor display a 
professional, constructive 
78% 
22% 
0% 
0% 
0% 
and positive approach 
during the review? 
5.  Did the auditor discuss key 
results/findings with you  78% 
22% 
0% 
0% 
0% 
during the review? 
6.  Were you given the 
opportunity to discuss the 
78% 
22% 
0% 
0% 
0% 
draft report with the auditor 
prior to finalisation? 
7.  Was the report produced to 
78% 
22% 
0% 
0% 
0% 
a professional standard? 
8.  Overall, were you satisfied 
with the review? Has it been 
78% 
22% 
0% 
0% 
0% 
worthwhile and added value 
to your work? 
Percentage Totals 
78% 
22% 
0% 
0% 
0% 
 
9.8. 
Annual Internal Audit Quality Assurance Reviews  
9.9. 
In January 2009, the Institute of Internal Auditors launched its International Professional 
Practices Framework. This is a revised version of the IIA Standards and Guidance. The 
revised requirements state that the Internal Audit Service Quality Assurance Programme 
must include both internal and external assessments. 
Internal Quality Assessment Reviews  
9.10. 
The Committee of University Chairmen guide for members of Audit Committees in 
Higher Education provides useful templates to help in the annual evaluation of internal 
audit. The Principal and Secretary completed assessments in August 2010, which 
provide an independent internal evaluation of the Internal Audit Service. The UHI 
Internal Audit Service internal quality assessments are included in Appendix B.    
Page 18 
 

link to page 4  
 
 
The UHI Millennium Institute 
                               Annual Internal Audit Report 
2009/10 
Internal Audit Service  
                                                                         
 
External Quality Assessment reviews  
9.11. 
The UHI Internal Audit Service participated in an external evidence based peer-reviewed 
assessment to provide independent external assurance to the Audit Committee over 
quality control of the UHI Internal Audit Service and to demonstrate compliance with the 
IIA standards. 
9.12. 
The Council of Higher Education Internal Auditors (CHEIA), with the support of the 
Higher Education Funding Council England (HEFCE) leadership fund, piloted an internal 
audit ‘self assessment’ tool in 2006/07 which was developed by RSM Robson Rhodes; 
this was then rolled out from 2007/08. The self assessment tool provides a means of 
benchmarking service delivery against recognised best practice and helps to achieve 
and maintain an even higher quality internal audit service in the higher education sector.  
9.13. 
The self assessment tool is a spreadsheet-based assessment comprising of 60 
questions, against which the assessor is required to rate the audit service on a four point 
scale, from ‘best practice' to ‘potentially non-compliant'. To ensure consistency of 
completion the assessment requires a response to be provided to all 60 questions 
regardless of whether they best fit an individual institution’s Internal Audit Service 
arrangements or not. Responses to these questions are then weighted and calculated to 
deliver percentage scores against six criteria: due professional care; strategy; 
methodology; people; independence and quality assurance. The tool can be completed 
in three ways,  by self assessment, peer reviewed self assessment and finally by an 
evidence based peer-review process. The tool is in widespread use across the UK and 
Ireland as promulgated by HEFCE and CHEIA.  
9.14. 
The UHI Internal Auditor attended a meeting on the 29 July 2010 in Edinburgh with the 
Heads of Internal Audit of Newcastle University, University of Edinburgh and the 
University of Strathclyde to have an evidence based peer-review of the UHI Internal 
Audit Service carried out. The following table presents the results of the assessment. 
Assessment Criteria 

 
Key 
Due professional care 
77 
 
90% - 100%  Best Practice 
Strategy 
83 
 
60% - 90%    Good Practice 
Methodology 
79 
 
20% - 60%    Partially Compliant 
People 
74 
 
  0% - 20%    Potentially Non-Compliant 
Independence 
82 
 
 
Quality assurance 
67 
 
 
Overall average   77 
 
 
9.15. 
The results of the UHI Internal Audit Service evidence based peer-reviewed assessment 
show that the UHI Internal Audit Service represents Good Practice. Some opportunities 
to better demonstrate good practice were identified and these will be progressed by the 
UHI Internal Auditor. 
 
9.16. 
As mentioned in earlier in paragraph 4.2, the UHI Millennium Institute External Auditor 
also provided independent feedback on the Internal Audit Service’s Internal Audit 
Planning Methodology and Internal Audit Plans.  
10.  Conclusion 
10.1. 
The co-sourced Internal Audit Service was established in February 2009. The Internal 
Audit Service is continuing to develop its role within the UHI Millennium Institute and 
seeks to assist the UHI Millennium Institute in progressing towards achievement of its 
objectives by providing independent, objective assurance on risk management, control 
and governance. 
Page 19 
 

The UHI Millennium Institute  
 
                      
 
           Annual Internal Audit Report 2009/10 
 
Appendix A - The Institute of Internal Auditors UK and Ireland - An approach to implementing Risk Based Internal Audit  
Assessing the University's risk maturity -This assessment was made by reviewing the UHI Millennium Institute’s practices, processes and relevant supporting 
documentation such as the risk management strategy, policy and risk registers. 
 
Risk Maturity 
Risk naive 
Risk aware 
Risk defined 
Risk managed 
Risk enabled 
Sample audit 
  Summary of 
test 
findings 
Key 
No formal 
Scattered silo 
Strategy and 
Enterprise 
Risk 
 
   
characteristics.  
approach 
based approach policies in 
approach to risk  management and 
developed for to risk 
place and 
management 
internal controls 
risk 
management.  
communicated. 
developed and 
fully embedded 
management.  
Risk appetite communicated.  
into the 
defined 
operations. 
The 
Possibly.  
Yes -  but may be 
Check the 
  UHI’s objectives are 
organisation's 
no consistent 



Yes          
 
Yes           
 
Yes           
 
organisation's 
defined in the 
objectives are 
approach.  
objectives are  Strategic Plan. 
defined.  
determined by 
the board and 
 
have been 
communicated to 
all staff. Check 
other 
objectives 
and targets are 
consistent with 
the organisation's 
objectives.  
Management 
No  
Some limited 
Interview 
  Managers were 
have been 



  training. 
Yes          
 
Yes           
 
Yes           
 
managers to aware of risk and 
trained to 
confirm their their responsibility 
understand 
understanding of 
for managing it. 
what risks are, 
risk and the  Managers also 
and their 
extent to which 
confirmed that they 
responsibility 
they manage it.  
carried  out activities 
for them.  
to actively manage 
risk. 
 
Page 20 
 

The UHI Millennium Institute  
 
                      
 
           Annual Internal Audit Report 2009/10 
 
A scoring 
No  
Unlikely, with no 
Check the 
  The Board of 
system for 
consistent 



Yes          
 
Yes           
 
Yes           
 
scoring system  Governors has 
assessing risks 
approach 
has been 
defined a scoring 
has been 
defined.  
approved 
system for assessing 
defined. 
 
communicated 
risks. 
and is used.  
The risk 
No  
No  
Check the 
  The Board of 
appetite of the 



  Yes          
 
Yes           
 
Yes           
 
document on Governors has 
organisation 
which the 
defined its risk 
has been 
controlling body 
appetite and also set 
defined in terms 
has approved the 
tolerance levels for 
of the scoring 
risk appetite. approval of risks via 
system.  
Ensure it is  its risk scoring 
consistent with  system. 
the scoring 
system and has 
been 
communicated.  
Processes have  No  
Unlikely  
Yes, but may  Yes  
Yes  
Examine the 
  The Board of 
been defined to 
  not apply to the 
processes to Governors has 
determine risks, 
whole 
ensure they are 
defined a process in 
and these have 
organisation. 
sufficient to 
which risk registers 
been followed.  

ensure 
will be reviewed and 
       
 
identification of  updated However, 
all risks. Check 
this process has not 
they are in use, 
been fully 
by examining the 
embedded. 
output from any 
However, the 
workshops.  
formation and 
ongoing work of the 
Risk Review Group 
should help to 
ensure that risks are 
identified, assessed, 
managed and 
reported on a 
timelier basis. 
All risks have No  
Some incomplete  Yes, but may  Yes 
Yes  
Examine the Risk    There was 
Page 21 
 

The UHI Millennium Institute  
 
                      
 
           Annual Internal Audit Report 2009/10 
 
been collected 
lists may exist.  
not apply to the 
Register. Ensure 
potentially a risk that 
into one list. 
  whole 
it is complete, 
the high level risk 
Risks have been 
organisation.  
regularly 
register may not be 
allocated to 
reviewed 
complete as 
specific job 
       
assessed and  processes to identify 
titles.  
used to manage 
and review other 
risks. Risks are 
risks registers and 
allocated to 
escalate risks to the 
managers. 
relevant group or 
committee were not 
being complied with. 
However, the recent 
establishment of the 
Risk Review Group 
may  help to improve 
this, as a new 
process requiring 
risk owners (e.g. 
members of the 
Senior Executive 
Team and Senior 
Academic Team) to 
review and update 
the high level risk 
register ahead of 
each quarterly 
meeting of the Risk 
Review Group was 
being proposed. 
The risk registers 
show that where 
risks have been 
collated, that they 
have been allocated 
to a Risk Owner.  
All risks have No  
Some incomplete  Yes, but may 
Check the 
  Risks were being 
been assessed 
lists may exist.  
not apply to the 


Yes           
 
Yes           
 
scoring applied to 
assessed in 
in accordance 
  whole 
a selection of 
accordance with the 
with the defined 
organisation. 
risks is consistent 
defined scoring 
with the policy. 
system in the high 
Page 22 
 

The UHI Millennium Institute  
 
                      
 
           Annual Internal Audit Report 2009/10 
 
scoring system.  
 
Look for 
level risk register. 
consistency (that 
However it was 
is similar risks 
noted that a different 
have similar 
scoring system had 
scores).  
been used for the 
management school 
risk register. 
Responses to 
No  
Some responses  Yes, but may  Yes  
Yes  
Examine the Risk    Review of the high 
the risks have 
identified.  
not apply to the 
Register to 
level risk register 
been selected 
  
whole 
ensure 
highlighted that 
and 
organisation                                                                          appropriate 
responses to risks 
implemented.  

responses have 
had been recorded 
               
 
been identified.  
for each risk. Many 
of the mitigating 
controls described 
required ongoing 
commitment to 
provide mitigation. It 
was noted that 
differing approaches 
were taken to 
recording mitigating 
controls and further 
actions. For some of 
the risks the person 
responsible and 
action timescale for 
further actions had 
been completed 
where no further 
action had been 
recorded. For some 
risks further actions 
were recorded with a 
responsible person 
but no timescale. 
Management 
No  
Some monitoring  Yes, but may 
Yes  
Yes  
For a selection of    A Risk Review 
have set up 
controls.  
not apply to the 
responses, 
Group had recently 
methods to 
  whole 
processes and  been established 
Page 23 
 

The UHI Millennium Institute  
 
                      
 
           Annual Internal Audit Report 2009/10 
 
monitor the 
organisation.   
actions, examine 
where  risk owners 
proper 
the monitoring  will be invited to 
operation of key 

              
 
control(s) and  explain the risk, 
processes, 
ensure 
actions being taken 
responses and 
management 
to mitigate their 
action plans 
would know if the 
risks, the constraints 
(monitoring 
responses or and issues faced 
controls).  
processes were 
and identify support 
not working or if 
needed from the 
the actions were 
group or the 
not implemented.  
organisation to help 
manage risk.   It is 
planned that a 
detailed review of 
each key risk will be 
undertaken on an 
annual basis. The 
Finance and General 
Purposes Committee 
will also be asked to 
consider a paper 
following each 
review group 
meeting which would 
identify emerging 
issues from the 
group. The minutes 
of the group will be 
reported to the 
Finance and General 
Purposes Committee 
and Board of 
Governors together 
with the updated risk 
register.   An annual 
report on the work of 
the group will go to 
the Audit Committee. 
Risks are 
No  
Some risks are  Regular 
Regular reviews, 
Regular reviews,  Check for 
  Responsibilities for 
regularly 
reviewed, but 
reviews, 
probably 
probably 
evidence that a 
Page 24 
 

The UHI Millennium Institute  
 
                      
 
           Annual Internal Audit Report 2009/10 
 
reviewed by the 
infrequently.  
probably 
quarterly.  
quarterly. 
thorough review 
Committees to 
organisation.  
 
annually. 
process is 
review risks at 
  
regularly carried 
different levels 
 
out.  
throughout UHI had 
been agreed by the 
Board of Governors. 
In general these 
were not being 
complied with. 
However, the recent 
establishment of the 
Risk Review Group 
may help to improve 
this as processes 
were being 
developed to 
facilitate a quarterly 
review of the high 
level risk register 
and provide reports 
to the Finance and 
General Purposes 
Committee and the 
Board of Governors. 
Management 
No  
No  
Yes, but may 
Yes 
Yes 
For risks above 
  The current risk 
report risks to 
 
be no formal 
the risk appetite, 
management 
directors where 
process. 
check that the 
processes use the 
responses have 
board has been 
initial risk 
not managed 

                
 
formally informed 
assessment (the 
the risks to a 
of their existence.  
gross risk) to define 
level acceptable 
when risk should be 
to the board.  
reported to certain 
Committees for 
review and approval. 
There are currently 
no formalised 
processes to define 
the risk appetite (the 
level acceptable to 
Page 25 
 

The UHI Millennium Institute  
 
                      
 
           Annual Internal Audit Report 2009/10 
 
the Board) for each 
risk.   
All significant 
No  
No  
Most projects. 
All Projects.       
All   
 Pr  
oj  
ec 
t  
s.   

x    
ami    
ne pr  
oj   
ect     
    
Pr 
ocesses had been 
new projects are 
 
proposals for an 
defined, 
routinely 


 
  analysis of the 
communicated and 
assessed for 
risks which might 
implemented to help 
risk.  
threaten them.  
ensure that all new 
projects are 
assessed for risk by 
appropriately trained 
staff. 
Responsibility 
Limited. 
Most job 
Yes 
Examine job 
  Responsibilities for 
for the 


No            
  No               
 
descriptions. 
descriptions. 
the determination, 
determination, 
Check the 
assessment, and 
assessment, 
instructions for 
management of risks 
and 
setting up job 
were to be 
management of 
descriptions.  
incorporated in job 
risks is included 
descriptions 
in job 
following the 
descriptions.  
Executive Office 
restructure.  
Managers 
Some managers. 
Yes  
Examine the 
  A Risk Review 
provide 



No            
  No               
 
No            
 
assurance 
Group had recently 
assurance on 
provided. For key 
been established 
the 
risks, check that 
where risk owners 
effectiveness of 
controls and the 
will be invited to 
their risk 
management 
explain the risk, 
management.  
system of 
actions being taken 
monitoring, are  to mitigate their 
operating.  
risks, the constraints 
and issues faced 
and identify support 
needed from the 
group or the 
organisation to help 
manage risk.   This 
will provide a forum 
Page 26 
 

The UHI Millennium Institute  
 
                      
 
           Annual Internal Audit Report 2009/10 
 
where Managers can 
provide assurance 
on the effectiveness 
of their risk 
management. 
Managers are 
Some managers. 
Yes  
Examine a 
  An assessment of 
assessed on 



No            
  No               
 
No            
 
sample of 
manager’s risk 
their risk 
appraisals for management 
management 
evidence that performance was to 
performance.  
risks 
be included in the 
No  
management was 
appraisal 
process 
properly 
following the 
assessed for Executive Office 
performance.  
restructure.  
Internal Audit 
Promote risk 
Promote 
Facilitate risk  Audit risk 
Audit risk 
 
 
approach  
management 
enterprise-  wide  management /  management 
management 
and rely on approach to risk  liaise with risk  processes and 
processes and 
alternative 
management and  management 
use management  use management 
Audit Planning  rely on alternative  and use 
assessment of 
assessment of 
method  
Audit Planning 
management 
risk as 
risk as 
 
method. 
assessment of  appropriate.  
appropriate.  
risk where 
appropriate.  

 
 
 
 
 
 
 
Page 27 
 


 
 
 
BG10- 
Appendix 1 
 
Appendix B -  UHI Internal Audit Service internal quality assessment -  peer 
reviews 

 
Fiona M Larg 
UHI Executive office 
11210 


 
 
 
BG10- 
Appendix 1 
 
 
 
Fiona M Larg 
UHI Executive office 
11210 


 
 
 
BG10- 
Appendix 1 
 
 
 
 
 
 
 
 
Fiona M Larg 
UHI Executive office 
11210 


 
 
 
BG10- 
Appendix 1 
 
Fiona M Larg 
UHI Executive office 
11210 


 
 
 
BG10- 
Appendix 1 
 
Fiona M Larg 
UHI Executive office 
11210 


 
 
 
BG10- 
Appendix 1 
 
 
 
 
 
 
Fiona M Larg 
UHI Executive office 
11210 

Document Outline