Mae hwn yn fersiwn HTML o atodiad i'r cais Rhyddid Gwybodaeth 'SFC Financial Memorandum and Internal Audit'.











University of the Highlands and Islands
Internal Audit Service
Annual Internal Audit Report 2010/11
29/08/2011
Fiona M Larg
UHI Executive Office
061211

Internal Audit Annual Report
2010/11
CONTENTS
1.
Introduction................................................................................................................. 3
2.
Responsibilities for Risk Management, Control, Governance and Value for Money . 3
3.
Role of Internal Audit .................................................................................................. 3
4.
Performance against the Internal Audit Plan.............................................................. 4
5.
Summary of Internal Audit Work undertaken ............................................................. 6
6.
Follow up of agreed management actions ............................................................... 12
7.
Annual opinion on the adequacy and effectiveness of the University of the
Highlands
and
Islands’s
arrangements
for
risk
management,
control
and
governance; economy, efficiency and effectiveness (value for money). ................. 14
8.
Internal Audit Key performance Indicators ............................................................... 18
9.
Internal Audit Service Quality Assurance programme ............................................. 19
10.
Conclusion................................................................................................................ 21
Appendices
Appendix A -The Institute of Internal Auditors UK and Ireland - An approach to implementing
Risk Based Internal Audit ...................................................................................... 22
Appendix B - UHI Internal Audit Service internal quality assessment - peer reviews ................. 29
Page 2

University of the Highlands and Islands
Annual Internal Audit Report
2010/11
Internal Audit Service
Annual Internal Audit Report
2010/11
1.
Introduction
1.1.
The UHI Millennium Institute was awarded university title on the 2 of February 2011and
became the University of Highlands and Islands (UHI). For the purposes of this report
reference to the UHI Millennium Institute has been superseded by the use of University
of the Highlands and Islands. This also applies when referencing the Board of
Governors which is now referred to as Court. The Principal was also appointed Principal
and Vice Chancellor on award of university title.
1.2.
UHI recruited an in-house Internal Auditor and established a Co-Sourced Internal Audit
Service with Henderson Loggie Chartered Accountants in February 2009. This Annual
Internal Audit Report provides a summary of the Internal Audit Service’s activities since
the 1st August 2010 for the financial year 2010/11.
1.3.
The Internal Audit Terms of Reference require the UHI Internal Auditor to give an annual
opinion to Court and Principal and Vice Chancellor, through the Audit Committee, on the
adequacy and effectiveness of UHI’s arrangements for:

risk management, control and governance; and for

economy, efficiency and effectiveness (value for money)
1.4.
The opinion is provided in section 7 of this report.
2.
Responsibilities for Risk Management, Control, Governance and Value for
Money

2.1.
Within the University of the Highlands and Islands, responsibility for risk management,
control and governance arrangements and the achievement of value for money rests
with Court and management, who should ensure that appropriate and adequate
arrangements exist without reliance on the UHI Internal Audit Service. The UHI Internal
Audit Service has no executive role, nor does it have any responsibility for the
development, implementation or operation of systems.
3.
Role of Internal Audit
3.1.
The UHI Internal Audit Service is responsible for providing an objective, independent
appraisal of all the University of the Highlands and Islands activities, financial and
otherwise. It provides a service to the whole organisation, including Court and all levels
of management. It is not an extension of, nor a substitute for, good management,
although it can have a role in advising management. The Internal Audit Service is
responsible for evaluating and reporting to the University of the Highlands and Islands
Court and the Principal and Vice Chancellor, through the Audit Committee, thereby
providing them with assurance on the arrangements for risk management, control,
governance and value for money. It remains the duty of management, not the internal
auditor, to operate these arrangements.
Page 3

University of the Highlands and Islands
Annual Internal Audit Report
2010/11
Internal Audit Service
3.2.
The UHI Internal Auditor is required to give an annual opinion to Court and the Principal
and Vice Chancellor, through the Audit Committee, on the adequacy and effectiveness
of the arrangements for risk management, control and governance and for economy,
efficiency and effectiveness (value for money) within UHI, and the extent to which Court
can rely on these.
3.3.
Independence
3.4.
The Internal Audit Service has no executive role, nor does it have any responsibility for
the development, implementation or operation of systems. The UHI Internal Auditor,
subject to any guidance from the Audit Committee is solely responsible for the
management and development of the University of the Highlands and Islands co-
sourced Internal Audit Service.
3.5.
For day-to-day administrative purposes only, the UHI Internal Auditor reports to the UHI
Principal and Vice Chancellor. The UHI Internal Auditor also has right of access to the
UHI Principal and Vice Chancellor.
3.6.
The Institute of Internal Auditors International Standards for the Professional Practice of
Auditing state that “internal audit activity should be free from interference in determining
the scope of internal auditing, performing work, and communicating results”.
3.7.
Where there are differences of opinion between Internal Audit and management, Court
(on the advice of the Audit Committee) should ultimately determine whether or not to
accept audit recommendations, recognise and accept the risks of not taking action, and
instruct management to implement recommendations.
4.
Performance against the Internal Audit Plan
4.1.
The University of the Highlands and Islands Internal Audit plan for 2010/11 plan was
prepared using a planning methodology in line with the Scottish Funding Council (SFC)
guidance and current best practice from the Committee of University Chairmen (CUC),
Institute of Internal Auditors (IIA), Higher Education Funding Council for England
(HEFCE), the Council of Higher Education Internal Auditors (CHEIA) and also in the
context of UHI’s risk management infrastructure.
4.2.
The Internal Audit Planning Methodology and proposed Internal Audit Plans were
discussed and reviewed by the External Auditor who was of the opinion that the Internal
Audit Plan and the associated methodology were of a good standard and in line with
best practice, and were clearly risk based.
4.3.
The Audit Committee approved the Internal Audit Plan for 2010/11 at its meeting on the
22 June 2010. Nine out of the twelve planned internal audits have been completed. One
audit is still being progressed. The IT Network Vulnerability Test required significantly
more time than initially anticipated with the results of the first test requiring a further
detailed follow up to be carried out. This has therefore, compromised the ability to deliver
all the planned audits within the agreed timescale. The audit scheduled for academic
partner interfaces is to be undertaken as part of the 2011/12 internal audit plan.
Page 4

University of the Highlands and Islands
Annual Internal Audit Report
2010/11
Internal Audit Service
Audit Plan 2010/11
Progress to date
1.
IT Network Vulnerability
 Reported to Audit Committee 24
Test
Nov 2010
2.
IT Network Vulnerability -
 Reported to Audit Committee 05
Test Follow Up
September 2011
3.
Student retention and
 Reported to Audit Committee 15
management of withdrawals
Feb 2011
4.
Health and Safety
 Reported to Audit Committee 15
Feb 2011
5.
Procurement
 Reported to Audit Committee 18
May 2011
6.
Project Management-
 Reported to Audit Committee 18
methodology, practices and
May 2011
management
7.
Compliance with Equalities
 Reported to Audit Committee 05
Legislation
September 2011
8.
Strategic Planning
 Reported to Audit Committee 05
September 2011
9.
Risk Management
 Reported to Audit Committee 05
September 2011
10. Department of Diabetes
 Scope and Objectives prepared
 Fieldwork underway
11. Academic Partner
 Deferred to the 2011/12 plan
Interfaces - impact of UHI
investment - Monitoring
Delivery
12. Student examination
 Deferred to the reserve list of the
processes
2011/12 plan
Page 5

University of the Highlands and Islands
Annual Internal Audit Report
2010/11
Internal Audit Service
5.
Summary of Internal Audit Work undertaken
5.1.
The following paragraphs provide a summary of the Internal Audit work undertaken from
the Internal Audit Plan 2010/11.
5.2.
IT Network Vulnerability Test
5.3.
An IT Network Vulnerability Test was carried out to review the adequacy and
effectiveness of UHI’s IT security controls to attack. As today's highly connected IT
infrastructures exist in a continuously changing environment that is increasingly hostile.
It is therefore, necessary to take a proactive approach to managing IT security risk and
implementing robust IT security controls whilst balancing this with the needs of users
and maintaining the accessibility of IT services.
The results of the first independent
Network Vulnerability Test provided a snapshot view of UHI IT Security Controls tested
at the time. The testing provided the following conclusions:

The External Vulnerability Test – concluded that 'due to the number of hosts
which were assessed, the level of security was fairly high. Due to evidence of no
internal security, these few hosts put the whole network at risk. Based on this
analysis we declare this is not fit for purpose'

During the Internal Network Vulnerability Test an unsecured wireless access
point was found to have unlimited connectivity to the internal network. This in
itself presents a critical level vulnerability to the network. The testing concluded
that 'having completed a fraction of the testing due to service disruption, we
have not been able to perform a full IT health check. Having completed this
review we declare this as not fit for purpose'
(Note: The Unsecured wireless network has now been fixed and was retested
by Encription Limited on the 1st November 2010).


Internal application test (MYUHI, SITS and GroupWise) - report conclusion 'As
these services require a user to be authenticated with a staff or student account,
the risk is lowered. Having completed this review we declare this as fit for
purpose'
5.4.
Thirty three recommendations for improvement in IT Security control were identified as
a result of the testing. At the time of the audit 17 agreed management actions were
complete. The remaining 15 agreed management actions were prioritised as two high,
five medium, and the remainder as low priority. Actions to improve control were agreed
by Management, with the final action due for implementation by 30 June 2011.
5.5.
A further six overarching recommendations were made where improvements in control
should be considered, of which three were prioritised as high and three as medium.
These recommendations sought to help reduce the threat surface available to potential
attackers and better enable early identification and mitigation of IT security
vulnerabilities/risks
by
further
strengthening
governance
and
management
arrangements. Actions to improve control were agreed by Management, with the final
action due for implementation by 30 September 2011.
5.6.
IT Network Vulnerability Test Follow Up
5.7. The purpose of this review was to record the findings of IT Network Vulnerability Test –
Follow Up. The results of the IT Network Vulnerability Test – Follow Up provided a
snapshot view of UHI IT Security Controls tested at the time. The testing provided the
following conclusions:
5.7.1.
The External IT Network Vulnerability Test – concluded that while we have seen a
significant improvement since the October 2010 IT Network Vulnerability Test, with this
number of high risk software vulnerabilities it was difficult for us to declare the network
as ”fit for purpose” in its current state. It was worth remembering however, that some of
the vulnerabilities in this report will be being reported for the first time, as they affect the
Page 6

University of the Highlands and Islands
Annual Internal Audit Report
2010/11
Internal Audit Service
SAMS network rather than the main UHI network. Therefore we must currently declare
the externally accessible network infrastructure at UHI as Not Fit for Purpose.
5.7.2.
The Internal IT Network Vulnerability Test – One area of vulnerability was found and
categorised as Critical. This related to multiple networked hosts being found to be
missing critical Microsoft security patches. The test concluded that whilst multiple high
and medium related issues were discovered, the number of issues detected in
comparison with the number of IP addresses scanned (over 5000), was found to be
relatively low. Therefore, we are pleased to be able to declare the internal network at
UHI Fit for Purpose.
5.7.3.
Forty four recommendations for improvement in IT Security control were identified as a
result of the testing, of which one was prioritised as critical, nine as high, twenty one as
medium, and the remainder as low priority. Two low risk recommendations were not
agreed. Forty two actions to improve control were agreed, three of which were already
complete.
5.7.4.
A further high priority recommendation was made and agreed to improve control to
ensure that where IT security vulnerabilities were identified that measures to mitigate
the risk were implemented on a timely basis.
5.7.5.
Actions to improve control were agreed by Management, with the final action due for
implementation by 16 December 2011.
5.8.
Student Retention and Management of Withdrawals
5.9.
An internal audit review was carried out to review the adequacy of the arrangements in
place to manage student retention and management of withdrawals. UHI had recognised
the retention of students as an important issue for UHI in terms of reputational risk and
Court had requested that retention be included as a standing item on its agenda. A UHI
Retention Strategy was in place. Roles, responsibilities and procedures had been
defined for student withdrawals and these were detailed in the Academic Standards and
Quality Regulations.
5.10.
There were opportunities identified to improve the timeliness of student withdrawals by
fully defining timeframes and better controlling the timeliness of notification and
processing. There was also scope to better engage students in completing their
withdrawal forms and to improve the accuracy and completeness of information on
student withdrawals. This will help to improve management information on the current
student population and to enable better understanding of the reasons for students
withdrawing. An online withdrawal form was in the process of being developed which
may help to improve matters.
5.11.
Student retention is monitored and reviewed through the Annual Quality Monitoring
Process overseen by the Learning and Teaching Quality Committee, who had also
established a Retention Working Group to help ensure that consideration of student
retention occurs in all learning and teaching activities at UHI.
5.12.
Eight recommendations for improvement in control were identified, of which two were
prioritised as high, four as medium, and the remainder as low priority. Actions to improve
control were agreed by Management, with the final action due for implementation by 31
May 2011.
5.13.
Health and Safety
5.14.
An internal audit review was carried out to assess the adequacy and effectiveness of
UHI processes and procedures to promote and manage health and safety.
5.15.
Court had demonstrated its commitment to health and safety by setting up a UHI Health
and Safety Committee with a remit to assure Court that UHI operates within health and
safety legislation in relation to both staff and students and to promote best practice in
health and safety matters within UHI Executive Office and Academic Partners. UHI had
recently reviewed and updated the UHI Executive Office Health, Safety and
Page 7

University of the Highlands and Islands
Annual Internal Audit Report
2010/11
Internal Audit Service
Environmental Policy which defined the general policy, responsibilities and health and
safety arrangements.
5.16.
There was scope identified in UHI Executive Office to better demonstrate a systematic
approach to identifying and assessing health, safety and environmental risks and to
determining that control measures were established and being maintained. There was
an opportunity to better formalise UHI health and safety assurance arrangements by
requesting Academic Partners to provide an annual health safety report describing the
arrangements that were in place throughout the year to ensure the health, safety and
wellbeing of UHI staff and students. Health and safety performance could be better
monitored by requesting Academic Partners to provide information on incidents and
accidents.
5.17.
Six recommendations for improvement in control were identified, of which three were
prioritised as high and three as medium priority. Actions to improve control were agreed
by Management, with the final action due for implementation by 30th September 2011.
5.18.
Procurement
5.19.
An internal audit review was carried out to assess the adequacy and effectiveness of the
processes and procedures for managing and controlling purchase ordering, receipt of
goods or services, purchase invoice processing and payment of invoices.
5.20.
Although recent developments had gone some way to supporting best value purchasing
across UHI Executive Office in relation to non-pay spend further improvements can be
made by continuing to implement and embed actions identified in the Procurement
Capability Assessment report prepared by Advanced Procurement for Universities and
Colleges. On the whole we found that the processes and procedures for managing and
controlling purchase ordering, receipt of goods or services, purchase invoice processing
and payment of invoices were adequate and effective. It was evident that these had
been strengthened with the implementation of PECOS in November 2010.
5.21.
Eleven recommendations for improvement in control were identified, of which 3 were
prioritised as high, 7 as medium, and the remainder as low priority. Ten actions to
improve control were agreed by Management, with the final action due for
implementation by 31 July 2012.
5.22.
Project Management
5.23.
An internal audit review was carried out to assess the adequacy and effectiveness of the
processes and procedures for managing and controlling projects across UHI Executive
Office.
5.24.
The review found that UHI had a good project management methodology in place,
however, there was a need to further refine and strengthen this to ensure an appropriate
level of project governance and assurance was received without placing too much
administrative burden on the Project Managers. In addition, we noted that there was an
inconsistent use of the UHI Project Management Methodology among staff and that if a
centralised system for recording key project information was implemented then central
oversight would be easier and compliance with the methodology could increase.
5.25.
Thirteen recommendations for improvement in control were identified, of which 11 were
prioritised as medium and the remainder as low priority.
No recommendations were
prioritised as high. Actions to improve control were agreed by Management, with the
final action due for implementation by 30 September 2011.
5.26.
Compliance with the Equalities Legislation
5.27.
An internal audit review was carried out of UHI arrangements for ensuring compliance
with the Equality Act 2010.
Page 8

University of the Highlands and Islands
Annual Internal Audit Report
2010/11
Internal Audit Service
5.28.
The Equality and Human Rights Commission Scotland had recognised that there was
uncertainty surrounding the definition and agreement of the Equality Act 2010 specific
duties by the Scottish Parliament and that in the interim public authorities were still
covered by the general duty to give due regard to equality in all that they do. In the
absence of specific duties, the Commission strongly recommends that public authorities
continue to follow good practice, in particular in assessing equality impact and gathering
relevant evidence and information.
5.29.
UHI had articulated its commitment to ensuring equality of opportunity and fair treatment
of staff and students by Court approving an Equality and Diversity Charter. UHI was
currently working towards the development of a Single Equality Framework in response
to the Equality Act 2010. However, there was scope identified to better ensure the
impact assessment of all policies, processes and practices by better formalising
responsibilities for carrying out impact assessment and developing a planned and
measured approach that can be monitored. There were opportunities to further
strengthen the Equal Opportunities Committee reporting arrangements to better provide
a more robust and demonstrable evidence base to assure Court of compliance with
Equality Law.
5.30.
Eight recommendations for improvement in control were identified, of which two were
prioritised as high, five as medium, and the remainder as low priority. Actions to improve
control were agreed by Management, with the final action due for implementation by 31
December 2011.
5.31.
Strategic Planning
5.32.
An internal audit review of Strategic Planning was carried out to assess the adequacy
and effectiveness of the processes and procedures for managing and controlling the
preparation, development and implementation of the UHI Strategic Plan.
5.33.
UHI was in the process of developing a new UHI Strategic Plan for 2012-15. UHI had in
place a formalised process to develop the new strategic plan and had consulted with
Court, Senior Managers, Academic Partners, UHI Committees, Staff, Students, Schools
and school leavers as well as representatives of public and private sectors and local
business. There were opportunities identified to further improve the strategic planning
process by better developing internal and external sources of business intelligence to
underpin strategic planning.
5.34.
Significant management effort had been expended on the comprehensive and detailed
processes for implementing and monitoring the 2008-11 UHI Strategic Plan, however,
this had not proved fully effective given the subsequent retiral of the Performance
Reporting System through lack of use. Review of the 2008-11 UHI Strategic Plan also
identified scope to improve controls surrounding the better definition of SMART
objectives and linked Key Performance Indicators as well as progress reports to Court.
In this regard it was noted that Court had recently approved a new set of Key
Performance Indicators.
5.35.
Two high priority recommendations were made:

There was scope identified to provide more cohesive indicators of performance
by better correlating Key Performance Indicators to Strategic Objectives.

There was scope to better define arrangements to monitor progress against the
strategic plan by ensuring that strategic plan progress reports were included as
standing items on appropriate committee agendas and that relevant timely
reports and Key Performance Indicators were provided.
5.36.
There was also an opportunity to develop a more formalised approach to the ongoing
review of the strategic planning process, to aid in the identification of areas for
improvement and to help implement any lessons learnt.
Page 9

University of the Highlands and Islands
Annual Internal Audit Report
2010/11
Internal Audit Service
5.37.
Six recommendations for improvement in control were identified, of which two were
prioritised as high, three as medium, and the remainder as low priority. Actions to
improve control were agreed by Management, with the final action due for
implementation by 31 December 2012.
Page 10

University of the Highlands and Islands
Annual Internal Audit Report
2010/11
Internal Audit Service
5.38.
Risk Management
5.39.
An internal audit review of risk management was carried out using a template provided
by the Institute of Internal Auditors (IIA) which helps to enable an assessment of an
organisations risk maturity to be undertaken.
5.40.
The UHI Revised Process for Risk Identification and Management provided a sound
starting point to define and formalise UHI’s risk management framework processes and
procedures. The formation and work of the Risk Review Group was providing a
continuing impetus to improve risk management processes and was better enabling the
provision of timely risk information to the Finance and General Purposes Committee and
Court.
5.41.
One High priority recommendation was made to further improve control by improving
processes to collate information on partnership risk from Academic Partners and to
maintain and update lower level risk registers.
5.42.
In total, four recommendations for improvement in control were identified, of which one
was prioritised as high and the remainder as medium priority. One action to improve
control had already been completed and three remaining actions were agreed by
Management, with the final action due for implementation by 31of December 2011.
5.43.
On conclusion of the assessment it was the Internal Auditor’s opinion that UHI’s risk
maturity could be classified as ‘Risk Defined’. The IIA describe the key characteristics of
being risk defined as having the “strategy and policies in place and communicated. Risk
appetite defined”. The IIA suggest that in these circumstances Internal Audit’s approach
should be to “facilitate risk management / liaise with risk management and use
management assessment of risk where appropriate”.
Page 11

University of the Highlands and Islands
Annual Internal Audit Report
2010/11
Internal Audit Service
6.
Follow up of agreed management actions
6.1.
As part of the normal Internal Audit process the Internal Audit Service follows up the
implementation of agreed management actions to provide assurance to the Audit
Committee that actions to improve control or further mitigate risk are being implemented
on a timely basis.
6.2.
The UHI Internal Audit Service records all agreed management actions to improve
control in a follow-up database. The follow-up database is used to provide managers
with a monthly reminder/update of their agreed management actions. The Internal
Auditor provides the Audit Committee with a follow-up report at each meeting which the
Committee uses to closely monitor the implementation of agreed management actions.
6.3.
The following table describes the categories used to prioritise recommendations to
improve control.
Categorisation of
Definition of category
recommendation
High
Inadequate systems and controls which if not addressed could
expose the institution to significant financial, operational or
reputational risk and adversely impact on implementation of its
strategic plan.
Medium
Systems and controls which are not fully effective, and failure to
improve them could adversely affect operational plans at
departmental level.
Low
Good practice dictates that some enhancements to existing
systems and controls are desirable.
6.4.
The following table shows the total number of agreed management actions by Audit
Year and priority.
Priority
2008-9
2009-10
2010-11
Total
High
17
7
33
57
Medium
26
34
78
138
Low
17
55
31
103
60
96
142
298
Page 12

The University of the Highlands and Islands
Internal Audit Service
Annual Internal Audit Report 2010/11
6.5.
The following table provides a summary of all the agreed management actions by audit since February 2009. It is important to note that the table includes
agreed management actions that are not yet due for completion.
High
Medium
Low
Audit
Total
Percentage
Audit Title
Total
Completed
Total
Completed
Total
Completed
Total
Ref
Completed
completed
09-01
Risk Management 2009
3
3
4
4
3
3
10
10
100%
09-02
Review of the Strategic Delivery Body
4
4
3
3
6
6
13
13
100%
09-03
Curriculum Development Review
1
1
5
5
6
6
100%
09-04
Business Continuity Planning
6
4
9
7
4
2
19
13
68%
10-09
Data Management Information Accessibility and Security
5
2
12
6
6
5
23
13
57%
09-06
Monitoring Academic Partners’ financial position
3
2
5
3
4
4
12
9
75%
10-07
Student Fees
5
3
37
28
42
31
74%
10-19
Transparent Approach to Costing
3
3
3
3
100%
10-05
HR Payroll
3
3
3
3
6
6
100%
10-03
Research Business Planning and Development
1
7
3
4
2
12
5
42%
10-06
Student Retention and Management of Withdrawals
2
4
1
2
0
8
1
13%
10-08
Network Vulnerability Test (IT)
10
8
21
20
13
12
44
40
91%
10-04
Business Transformation
3
3
4
4
7
7
100%
10-11
Risk Management 2010
1
1
1
1
1
1
3
3
100%
11-05
Health and Safety
3
0
3
0
6
0
0%
11-01
Procurement
3
0
6
0
1
1
10
1
10%
11-06
Project Management
11
1
2
0
13
1
8%
11-07
Compliance with Equality Law
2
0
5
2
1
0
8
2
25%
11-11
Risk Management 2011
1
0
3
1
4
1
25%
11-03
IT Network Vulnerability Test - Follow Up
10
1
22
2
11
0
43
3
7%
11-04
Strategic Planning
2
0
3
0
1
0
6
0
0%
Total
57
26
138
71
103
71
298
168
56%
Percentage Complete
High 46%
Medium 51%
Low 69%
Total 56%
Page 13

The University of the Highlands and Islands
Annual Internal Audit Report
2010/11
Internal Audit Service
7.
Annual opinion on the adequacy and effectiveness of the University of the
Highlands and Islands arrangements for risk management, control and
governance; economy, efficiency and effectiveness (value for money).

7.1.
The Internal Audit Terms of Reference require the UHI Internal Auditor to give an annual
opinion to Court and Principal and Vice Chancellor, through the Audit Committee, on the
adequacy and effectiveness of UHI’s arrangements for:

risk management, control and governance;

economy, efficiency and effectiveness (value for money).
7.2.
It is important to note that:

The opinion is based upon the internal audit work undertaken since the 1st August
2010 from the Internal Audit Plan 2010/11, summarised earlier in section five.

Internal control can provide only a reasonable and not absolute assurance to
management and Court regarding achievement of UHI’s objectives.

Responsibility for risk management, control and governance arrangements and
the achievement of value for money rests with Court and management, who
should ensure that appropriate and adequate arrangements exist without reliance
on the University of the Highlands and Islands Internal Audit Service.

Internal Audit reviews have a reasonable chance of detecting significant control
weaknesses but cannot guarantee that fraud, error or non compliance will be
detected.
7.3.
Adequacy and Effectiveness of the University of the Highlands and Islands
arrangements for Risk Management, Control and Governance

7.4.
Findings
Risk Management
7.5.
An internal Audit Review of Risk Management was undertaken during the year and a
summary of the review was included in paragraphs 5.31 to 5.43. Appendix A also
includes the internal audit assessment on UHI’s risk maturity.
7.6.
The review concluded that the UHI Revised Process for Risk Identification and
Management provided a sound starting point to define and formalise UHI’s risk
management framework processes and procedures. The formation and work of the Risk
Review Group was providing a continuing impetus to improve risk management
processes and was better enabling the provision of timely risk information to the Finance
and General Purposes Committee and Court. Recommendations for improvement in
control were identified and actions to improve control were agreed by management.
Control
7.7.
During the year the Internal Audit Service has reviewed and tested many of UHI’s
internal controls based upon the Internal Audit Plan. A summary of the findings of these
reviews is included in section 5.
7.8.
All of the internal audits undertaken during the year have resulted in recommendations
being made to improve control. The following table shows the categorisation of internal
audit recommendations.
Page 14

The University of the Highlands and Islands
Annual Internal Audit Report
2010/11
Internal Audit Service
Categorisation
Definition of category
Number
of
Percentage
of
of
recommendations
recommendations
recommendation
made
agreed
by
management
High
Inadequate
systems
and
controls
which
if
not
addressed
could
expose
the institution to significant
financial,
operational
or
32
100%
reputational
risk
and
adversely
impact
on
implementation
of
its
strategic plan.
Medium
Systems
and
controls
which are not fully effective,
and failure to improve them
75
99%
could
adversely
affect
operational
plans
at
departmental level.
Low
Good practice dictates that
some
enhancements
to
32
94%
existing
systems
and
controls are desirable.
Total
139
98%
7.9.
There were no significant internal audit recommendations that the Internal Audit Service
consider had not received adequate management attention. The implementation of the
agreed management actions corresponding to the recommendations will continue to
improve UHI’s internal control arrangements.
Governance
7.10.
In December 2009 UHI had reviewed its Statement of Governance and Code of Practice
and the Handbook for Members of Court. The Statement of Governance and Code of
Practice were revised to take into account the guidance issued by Committee of
University Chairmen and other authorities. Both documents seek to ensure that UHI
governance is in line with sector best practice.
7.11.
On the 9 of December 2010 a Special Resolution of the Company “That the name of the
Company be changed from “UHI Millennium Institute” to “University of the Highlands and
Islands, such change of name being conditional upon Privy Council consent.” was
carried unanimously.
7.12.
Following a rigorous review by the Quality Assurance Agency scrutiny panel the Privy
Council awarded University title to the UHI Millennium Institute and UHI Millennium
Institute became the University of the Highlands and Islands on the 2 of February 2011.
7.13.
The Delegated Authorisation Schedule was updated and approved by Court at its
meeting of the 22 March 2011, to take account of minor changes required following
University title being granted and for changes to committee structures.
7.14.
During the year Court agreed that the work of the Post Title Working Group should
continue and that it had a useful role to play by informing debate with regard to
considering possible options and models for the future strategy and governance
Page 15

The University of the Highlands and Islands
Annual Internal Audit Report
2010/11
Internal Audit Service
structure of the organisation. Court resolved to approve the recommendation from the
Post Title Working Group to establish an Academic Partner Chairs Committee chaired
by the UHI Chairman or Vice Chairman who would meet approximately four weeks prior
to each Court meeting to discuss relevant issues and to report to the Court in an effort to
enhance communications and improve information flow between the Academic Partners
and the governing body. Court approved the formation of an Academic Partner Chairs
Committee for an initial period of two years and then to review its effectiveness.
7.15.
In June 2011 Court members attended a one day training session. The main focus of the
training was on “governing in an economic downturn”. Training was provided by a tutor
from the Leadership Foundation.
7.16.
Opinion
On the basis of the work carried out since 1 August 2010, the UHI Internal Auditor
concludes that where scope to improve controls was identified management
actions have been agreed to address these. There is sufficient evidence of
controls and procedures to provide reasonable assurance that UHI has adequate
and effective arrangements for risk management, control and governance.

7.17.
Adequacy and Effectiveness of the University of the Highlands and Islands
arrangements for economy, efficiency and effectiveness (value for money)

7.18.
Findings
7.19.
The Scottish Funding Council Financial Memorandum mandatory requirements effective
from the 14 October 2008, state that the ‘institution must have a strategy for
systematically reviewing management’s arrangements for securing value for money. As
part of its internal audit arrangements, the institution must obtain a comprehensive
appraisal of management’s arrangements for achieving value for money’.
7.20.
In April 2009 Internal Audit discussed the need to prepare a UHI Value for Money (VFM)
Strategy with the Deputy Principal - Secretary and the Director of Finance and Planning.
A VFM Strategy was prepared and the Finance and General Purposes Committee
agreed at its 9 of June 2009 meeting to recommend approval of the strategy to Court
and welcomed the fact that UHI already fulfilled many of the requirements. Court
approved the VFM Strategy at its meeting on the 23 of June 2009.
7.21.
The VFM Strategy was prepared in line with guidance issued by HEFCE1. The Finance
and General Purposes Committee is responsible for developing and overseeing the VFM
Strategy. The VFM Strategy also sets out a comprehensive action plan of actions to be
undertaken that will help to contribute further to the achievement of value for money.
Executive Board and Senior Management have operational responsibility for developing
the improvement arrangements and identifying resource requirements, co-ordinating and
delivering work against the plan.
7.22.
The VFM Strategy states that Finance and General Purposes Committee will receive a
progress report twice a year to monitor progress against the VFM improvement plan and
to ensure that recommendations are implemented. The Finance and General Purposes
Committee received a progress report and updated VFM improvement plan for approval
at its meeting on the 31st of August 2010. The action plan defined a number of actions
to be progressed throughout 2010. The UHI Secretary confirmed that the VFM action
plan was to be reviewed and an updated plan provided to the Finance and General
Purposes Committee ahead of reporting to Court in December 2011.
1 Higher Education Funding Council England (HEFCE) – Guidance on value for money (VFM) strategies and
reporting
Page 16

The University of the Highlands and Islands
Annual Internal Audit Report
2010/11
Internal Audit Service
7.23.
Additional to the actions identified in the VFM improvement plan, a zero based
budgeting exercise had been carried out and had informed the preparation of
operational budgets for financial years 2010-13. The purpose was to ensure resources
were aligned to UHI’s strategic and operational priorities. The process involved a
constructive challenge of each departmental budget based on best value concepts of the
‘Four C’s’; that is, challenging why, how and by whom, comparing performance,
consulting where possible with users, and competing for resources with other
departments.
7.24.
During the year, a UHI Procurement Policy had been developed the purpose of the
procurement policy was to provide details of UHI:

Procurement leadership and governance;

People;

Procurement strategy and objectives;

Approach to defining its supply needs, including the specification of goods and
services;

Sourcing strategy and use of collaborative procurement;

Purchasing processes and systems, and

Contract management.
7.25.
The Procurement Policy was scheduled for approval at the Finance and General
Purposes Committee meeting on the 30 August 2011.
7.26.
In the course of the year UHI had progressed a number of strategic initiatives. The
following two UHI strategic initiatives provide examples of areas where business process
developments will promote achievement of value for money outcomes:

In May 2011, Learning and Information Services and the Academic Partners
created the Fort Augustus Agreement that forms the basis of an agreement to
progress a shared Learning and Information Service.

UHI also advanced a strategic programme to develop a Curriculum for the 21st
Century (C21C). C21C is focussed on the development and use of internal
resources to enhance the student experience via the concentration of resources,
shared development, wider access, a broader range of approaches to learning
and greater consistency / equivalence across the network. It aims to increase the
sustainability of UHI’s curriculum and delivery via increased co-operation in the
development and delivery of a more networked curriculum.
7.27.
Opinion
On the basis of the work carried out since 1 August 2010, the UHI Internal Auditor
concludes that in June 2009 Court approved a Value for Money Strategy which
defined the objectives, approach, roles, responsibilities, reporting requirements
and provides an action plan to help promote and secure value for money within
UHI.

There is sufficient evidence (subject to the full implementation of the Value for
Money Strategy and review and update of the action plan) that there are now
processes and procedures to provide reasonable assurance that UHI has
adequate and effective arrangements to promote economy, efficiency and
effectiveness (value for money).

Page 17

The University of the Highlands and Islands
Annual Internal Audit Report
2010/11
Internal Audit Service
8.
Internal Audit Key Performance Indicators
8.1.
The Internal Audit Terms of Reference require the UHI Internal Auditor to implement
measures to monitor the effectiveness of the Internal Audit Service. The Key
Performance Indicators were discussed and agreed with the Secretary. They are derived
from Key Performance Indicators suggested in the Committee of University Chairmen,
Handbook for Members of Audit Committees in Higher Education.
Internal Audit Performance indicator
Target
Actual 2010/11
Percentage of audit work delivered by
60%
100%
qualified staff.
Internal Audit Plan to be submitted by June
Final Audit Plan for
each year.
2010/11 approved
June of each
by Audit Committee
year
at its June 2010
meeting.
Follow-ups to be performed within 3 months
Management are
of the last action date of recommendations
provided with a
made.
monthly update on
Within 3 months
their agreed
of the last action
management
date of
actions and a follow
recommendation
up report is provided
to each meeting of
the Audit
Committee.
Issue of draft reports within 30 days of work
30 working days
100%
being completed.
Issue of final report within 10 working days
10 working days
100%
of receipt of management responses.
Recommendations made compared with
80%
98%
recommendations accepted.
Internal audit reviews that added value.
90%
100%
Internal audit attendance at audit committee
100%
100%
meetings.
Issue of internal audit annual report.
Report provided to
September of
September 2011
each year
Audit Committee
Page 18

The University of the Highlands and Islands
Annual Internal Audit Report
2010/11
Internal Audit Service
9.
Internal Audit Service Quality Assurance programme
9.1.
The UHI Internal Audit Service is required through its Terms of Reference to perform
internal audit work with due professional care, in accordance with appropriate
professional auditing practice and with regard to Treasury and the Institute of Internal
Auditors standards (see later paragraph 9.11).
9.2.
The letter of agreement established between the University of the Highlands and Islands
and the co-sourced internal audit partner Henderson Loggie affirms that the co-sourced
internal audit partner will perform internal audit services in accordance with relevant
professional standards and guidelines and in accordance with the Scottish Funding
Council Financial Memorandum.
9.3.
Compliance with the Institute of Internal Auditors, International standards requires the
UHI Internal Auditor to develop and maintain a quality assurance and improvement
program that covers all aspects of the internal audit activity. The Institute of Internal
Auditors International standards requires that the Internal Audit Service Quality
Assurance Programme must include both internal and external assessments.
9.4.
The UHI Internal Audit Service has established a two tier approach to its quality
assurance and improvement program:

The ongoing process of monitoring the performance of internal audit activity.

Internal Audit Annual Quality Assurance assessments. An internal review
undertaken by the Principal and Vice Chancellor and the Secretary and an
external evidence based peer review assessment.
9.5.
Ongoing Performance Monitoring of Internal Audit Activity
9.6.
The UHI Internal Auditor manages the provision of the co-sourced Internal Audit Service
on an ongoing basis. A monthly reporting process is in place to keep the Principal and
Vice Chancellor informed of Internal Audit’s progress. The Internal Audit Service has
introduced Internal Audit Performance Questionnaires that are issued to management
and staff at the conclusion of internal audit work. Feedback from management and staff
on the performance of Internal Audit reviews is valued by the Internal Audit Service and
helps enable the service provided to be improved and assists the Audit Committee in
forming an opinion on the efficiency and effectiveness of the Internal Audit Service.
Page 19

The University of the Highlands and Islands
Annual Internal Audit Report
2010/11
Internal Audit Service
9.7.
The table below presents a summary of the Internal Audit Performance Questionnaire
responses received. The responses illustrate that on the whole 100% of the respondents
were either fully satisfied or satisfied.
Internal Audit Performance
Fully
Not
Fully
Satisfied
N/A
Questionnaire
Satisfied
Satisfied
Dissatisfied
1. Were you given adequate
78%
22%
0%
0%
0%
notification of the audit?
2. Were
you
adequately
informed of the audit scope
78%
22%
0%
0%
0%
and objectives?
3. Were the appropriate staff
consulted for the audit area
67%
33%
0%
0%
0%
covered?
4. Did the auditor display a
professional,
constructive
67%
33%
0%
0%
0%
and
positive
approach
during the review?
5. Did the auditor discuss key
results/findings
with
you
67%
33%
0%
0%
0%
during the review?
6. Were
you
given
the
opportunity to discuss the
67%
33%
0%
0%
0%
draft report with the auditor
prior to finalisation?
7. Was the report produced to
67%
33%
0%
0%
0%
a professional standard?
8. Overall, were you satisfied
with the review? Has it been
67%
33%
0%
0%
0%
worthwhile and added value
to your work?
Percentage Totals
69%
31%
0%
0%
0%
9.8.
Annual Internal Audit Quality Assurance Reviews
9.9.
In January 2009, the Institute of Internal Auditors launched its International Professional
Practices Framework. This is a revised version of the IIA Standards and Guidance. The
revised requirements state that the Internal Audit Service Quality Assurance Programme
must include both internal and external assessments.
Internal Quality Assessment Reviews
9.10.
The Committee of University Chairmen guide for members of Audit Committees in
Higher Education provides useful templates to help in the annual evaluation of internal
audit. The Principal and Vice Chancellor and Secretary completed assessments in July
and August 2011 respectively, which provide an independent internal evaluation of the
Internal Audit Service. The UHI Internal Audit Service internal quality assessments are
included in Appendix B.
Page 20

The University of the Highlands and Islands
Annual Internal Audit Report
2010/11
Internal Audit Service
External Quality Assessment reviews
9.11.
The UHI Internal Audit Service participated in an external evidence based peer-reviewed
assessment to provide independent external assurance to the Audit Committee over
quality control of the UHI Internal Audit Service and to demonstrate compliance with the
IIA standards.
9.12.
The Council of Higher Education Internal Auditors (CHEIA), with the support of the
Higher Education Funding Council England (HEFCE) leadership fund, piloted an internal
audit ‘self assessment’ tool in 2006/07 which was developed by RSM Robson Rhodes;
this was then rolled out from 2007/08. The self assessment tool provides a means of
benchmarking service delivery against recognised best practice and helps to achieve
and maintain an even higher quality internal audit service in the higher education sector.
9.13.
The self assessment tool is a spreadsheet-based assessment comprising of 60
questions, against which the assessor is required to rate the audit service on a four point
scale, from ‘best practice' to ‘potentially non-compliant'. To ensure consistency of
completion the assessment requires a response to be provided to all 60 questions
regardless of whether they best fit an individual institution’s Internal Audit Service
arrangements or not. Responses to these questions are then weighted and calculated to
deliver percentage scores against six criteria: due professional care; strategy;
methodology; people; independence and quality assurance. The tool can be completed
in three ways, by self assessment, peer reviewed self assessment and finally by an
evidence based peer-review process. The tool is in widespread use across the UK and
Ireland as promulgated by HEFCE and CHEIA.
9.14.
The UHI Internal Auditor attended a meeting on the 3 August 2011 in Edinburgh with the
Heads of Internal Audit of Newcastle University and the University of Strathclyde to have
an evidence based peer-review of the UHI Internal Audit Service carried out. The
following table presents the results of the assessment.
Assessment Criteria
%
Key
Due professional care
85
90% - 100% Best Practice
Strategy
83
60% - 90%
Good Practice
Methodology
82
20% - 60%
Partially Compliant
People
73
0% - 20%
Potentially Non-Compliant
Independence
87
Quality assurance
71
Overall average
80
9.15.
The results of the UHI Internal Audit Service evidence based peer-reviewed assessment
show that the UHI Internal Audit Service represents Good Practice.
10.
Conclusion
10.1.
The co-sourced Internal Audit Service was established in February 2009. The Internal
Audit Service is continuing to develop its role within the University of the Highlands and
Islands and seeks to assist the University in progressing towards achievement of its
objectives by providing independent, objective assurance on risk management, control
and governance.
Page 21

The University of the Highlands and Islands
Annual Internal Audit Report 2010/11
Appendix A - The Institute of Internal Auditors UK and Ireland - An approach to implementing Risk Based Internal Audit
Assessing the University's risk maturity -This assessment was made by reviewing the University of the Highlands and Islands’ practices, processes and relevant
supporting documentation such as the risk management strategy, policy and risk registers.
Risk Maturity
Risk naive
Risk aware
Risk defined
Risk managed
Risk enabled
Sample audit
Summary of findings
test
Key
No
formal
Scattered
silo
Strategy
and
Enterprise
Risk
characteristics.
approach
based
approach
policies
in
approach to risk
management and
developed
for
to
risk
place
and
management
internal
controls
risk
management.
communicated.
developed
and
fully
embedded
management.
Risk
appetite
communicated.
into
the
defined
operations.
The
Possibly.
Yes - but may be
UHI’s objectives are defined in
organisation's
no
consistent


 Check
the
Yes
Yes
Yes
organisation's
the Strategic Plan.
objectives
are
approach.
objectives
are
defined.
determined
by
Court and have
been
communicated to
all
staff.
Check
other
objectives
and targets are
consistent
with
the organisation's
objectives.
Management
No
Some
limited
Managers were aware of risk
have
been
training.


 Interview
Yes
Yes
Yes
managers
to
and
their
responsibility
for
trained
to
confirm
their
managing
it.
Whilst
some
understand
understanding of
managers were maintaining up
what risks are,
risk
and
the
to date risk registers for their
and
their
extent to which
areas of responsibility others
responsibility
they manage it.
were not. However, managers
for them.
confirmed that they carried out
activities to actively manage risk.
Page 22

The University of the Highlands and Islands
Annual Internal Audit Report 2010/11
A
scoring
No
Unlikely, with no
Court had defined a scoring
system
for
consistent


 Check
the
Yes
Yes
Yes
scoring
system
system for assessing risks.
assessing risks
approach
has
been
has
been
defined.
approved
defined.
communicated
and is used.
The
risk
No
No
Court
had
defined
its
risk
appetite of the


 Check
the
Yes
Yes
Yes
document
on
appetite and also set tolerance
organisation
which
the
levels for approval of risks via its
has
been
controlling
body
risk scoring system.
defined in terms
has approved the
of
the
scoring
risk
appetite.
system.
Ensure
it
is
consistent
with
the
scoring
system and has
been
communicated.
Processes have
No
Unlikely
Yes, but may
Yes
Yes
Examine
the
A key part of the Risk Review
been defined to
not apply to the
processes
to
Group role is to ‘ensure that the
determine risks,
whole
ensure they are
identification and evaluation of
and these have
organisation.
sufficient
to
key
risks
that
threaten
been followed.

ensure
achievement of UHI’s objectives
identification
of
is carried out and that a register
all risks. Check
of these risks is maintained’. The
they are in use,
Risk Review Group has met
by examining the
throughout
2010/11
and
has
output from any
invited
risk
owners
to
give
workshops.
presentations
on
the
management of risks within their
particular
sphere
of
responsibility.
However,
there
remained
scope
to
improve
processes
to
ensure
that
departmental and Faculty risk
registers were being kept up to
date. The on-going work of the
Risk
Review
Group
has
improved
the
process
of
Page 23

The University of the Highlands and Islands
Annual Internal Audit Report 2010/11
identifying,
assessing
and
reporting on high level risks via
the
UHI
High
Level
Risk
Register.
All
risks
have
No
Some incomplete
Yes, but may
Yes
Yes
Examine the Risk
The process approved by Court
been
collected
lists may exist.
not apply to the
Register. Ensure
defined a governance framework
into
one
list.
whole
it
is
complete,
with responsibilities for review
Risks have been
organisation.
regularly
and approval of risks above
allocated
to
reviewed
defined scores. The High Level
specific
job

assessed
and
Risk Register shows that where
titles.
used to manage
risks have been collated, that
risks. Risks are
they have been allocated to a
allocated
to
Risk Owner.
managers.
There was potentially a risk that
the High Level Risk Register
may
not
be
complete
as
processes to collate information
on
partnership
risk
from
Academic Partners were not yet
in
place
and
processes
to
maintain and update lower level
risk registers were not being
complied with. The Risk Review
Group had also noted that there
was currently no methodology
for automatically collating risk
information
from
all
the
risk
registers.
However,
the
Risk
Review Group process requiring
risk owners (e.g. members of the
Senior
Executive
Team
and
Senior
Academic
Team)
to
provide information on new risks
and to review and update the
High Level Risk Register ahead
of each quarterly meeting of the
Risk Review Group may help to
Page 24

The University of the Highlands and Islands
Annual Internal Audit Report 2010/11
mitigate this.
All
risks
have
No
Some incomplete
Yes, but may
Risks were being assessed in
been
assessed
lists may exist.
not apply to the

 Check
the
Yes
Yes
scoring applied to
accordance
with
the
defined
in
accordance
whole
a
selection
of
scoring system.
with the defined
organisation.
risks is consistent
scoring system.
with
the
policy.
Look
for
consistency (that
is
similar
risks
have
similar
scores).
Responses
to
No
Some responses
Yes, but may
Yes
Yes
Examine the Risk
Review of the High Level Risk
the risks have
identified.
not apply to the
Register
to
Register
highlighted
that
been
selected
whole
ensure
responses to risks had been
and
organisation
appropriate
recorded for each risk. Many of
implemented.

responses
have
the mitigating controls described
been identified.
required on-going commitment
to provide mitigation. However,
there
was an
opportunity to
further
improve
processes
surrounding the recording of the
person responsible and action
timescale for further actions.
Management
No
Some monitoring
Yes, but may
Yes
Yes
For a selection of
A Risk Review Group had been
have
set
up
controls.
not apply to the
responses,
established and processes were
methods
to
whole
processes
and
in place to facilitate the review of
monitor
the
organisation.
actions, examine
the High Level Risks in the
proper
the
monitoring
Register.
Risk
Owners
had
operation of key

control(s)
and
provided presentations to the
processes,
ensure
Risk Review Group on their risks
responses
and
management
and the actions being taken to
action
plans
would know if the
mitigate them, the constraints
(monitoring
responses
or
and issues faced and to help
controls).
processes
were
identify
any
further
support
not working or if
needed to better manage risk.
the actions were
The minutes of the Risk Review
not implemented.
Group
were
reported
to
the
Page 25

The University of the Highlands and Islands
Annual Internal Audit Report 2010/11
Finance and General Purposes
Committee,
Audit
Committee
and Court together
with the
updated risk register.
Risks
are
No
Some risks are
Regular
Regular reviews,
Regular reviews,
Check
for
Responsibilities for Committees
regularly
reviewed,
but
reviews,
probably
probably
evidence that a
to review risks at different levels
reviewed by the
infrequently.
probably
quarterly.
quarterly.
thorough
review
throughout the UHI had been
organisation.
annually.
process
is
defined
by
Court.
Processes

regularly
carried
were in place to facilitate the
out.
review of UHI’s high level risks
via the Risk
Review
Group,
Finance and General Purposes
Committee and by Court itself.
However, it was noted that most
lower level departmental and
Faculty risk registers were not
being reviewed and kept up to
date. The consequence of this
may be a failure to identify,
manage and report on risk on a
timely basis.
Management
No
No
Yes, but may
Yes
Yes
For risks above
The current risk management
report risks to
be no formal
the risk appetite,
process
uses
the
initial
risk
directors where
process.
check that Court
assessment (the gross risk) to
responses have
has been formally
define
when
risk
should
be
not managed

informed of their
reported to the Risk Review
the risks to a
existence.
Group for review and approval.
level acceptable
There
were
currently
no
to Court.
formalised processes to define
the
risk
appetite
(the
level
acceptable to Court) for each
risk.
A Risk Review Group had been
established where risk owners
were invited to explain the risk,
actions being taken to mitigate
their risks, the constraints and
Page 26

The University of the Highlands and Islands
Annual Internal Audit Report 2010/11
issues faced and identify support
needed from the group or the
organisation
to
help
manage
risk.
Court has been presented
regularly with the High Level
Risk Register and had noted its
contents.
All significant
No
No
Most projects.
All Projects.
All Projects.
Examine project
Processes had been defined,
new projects are
proposals for an
communicated and implemented
routinely

 analysis ofthe
to help ensure that all new
assessed for
risks which might
projects were assessed for risk.
risk.
threaten them.
However,
there
was
an
opportunity to improve control by
better
defining
reporting
arrangements for project risk to
the Risk Review Group.
Responsibility
No
No
Limited.
Most job
Yes
Examine job
Responsibilities
for
the
for the
descriptions.
descriptions.
management of risk were being
determination,

Check the
incorporated where relevant into
assessment,
instructions for
job
descriptions
for
new
and
setting up job
appointments.
management of
descriptions.
risks is included
in job
descriptions.

Managers
No
No
No
Some managers.
Yes
Examine
the
Risk
Owners
have
attended
provide
assurance
meetings of the Risk Review
assurance
on

provided. For key
Group to explain the actions
the
risks, check that
being taken to mitigate their
effectiveness of
controls and the
risks.
their
risk
management
management.
system
of
monitoring,
are
operating.
Managers
are
The
Secretary
agreed
to
assessed
on


 Somemanagers. Yes
Examine
a
No
No
No
sample
of
incorporate
manager’s
risk
their
risk
appraisals
for
management
performance
in
Page 27

The University of the Highlands and Islands
Annual Internal Audit Report 2010/11
management
evidence
that
performance
appraisal
targets
performance.
risks
for 2010/11.
management was
properly
assessed
for
performance.
Internal
Audit
Promote
risk
Promote
Facilitate risk
Audit
risk
Audit
risk
approach
management
enterprise-
wide
management /
management
management
and
rely
on
approach to risk
liaise with risk
processes
and
processes
and
alternative
management and
management
use management
use management
Audit Planning
rely on alternative
and
use
assessment
of
assessment
of
method
Audit
Planning
management
risk
as
risk
as
method.
assessment of
appropriate.
appropriate.
risk
where
appropriate.
Page 28

AC11-
Appendix 1
Appendix B - UHI Internal Audit Service internal quality assessment - peer
reviews

Fiona M Larg
UHI Executive office
11210


AC11-
Appendix 1
Fiona M Larg
UHI Executive office
11210


AC11-
Appendix 1
Fiona M Larg
UHI Executive office
11210

AC11-
Appendix 1
Fiona M Larg
UHI Executive office
11210


AC11-
Appendix 1
Fiona M Larg
UHI Executive office
11210


AC11-
Appendix 1
Fiona M Larg
UHI Executive office
11210


AC11-
Appendix 1
Fiona M Larg
UHI Executive office
11210


AC11-
Appendix 1
Fiona M Larg
UHI Executive office
11210


AC11-
Appendix 1
Fiona M Larg
UHI Executive office
11210


AC11-
Appendix 1
Fiona M Larg
UHI Executive office
11210

PAGE BREAK