This is an HTML version of an attachment to the Freedom of Information request 'SFC Financial Memorandum and Internal Audit'.



 
 
Appendix 1 
 
 
 
 
 
University of the Highlands and Islands 
Internal Audit Service 
Annual Internal Audit Report 2012/13 
 
29/08/2013 
 

link to page 3 link to page 3 link to page 3 link to page 4 link to page 5 link to page 11 link to page 15 link to page 15 link to page 15 link to page 20 link to page 21 link to page 24 link to page 25 link to page 25 link to page 33  
Internal Audit Annual Report 
2012/13 
 
CONTENTS 
 
1. 
Introduction ................................................................................................................. 3 
2. 
Responsibilities for Risk Management, Control, Governance and Value for Money . 3 
3. 
Role of Internal Audit .................................................................................................. 3 
4. 
Performance against the Internal Audit Plan.............................................................. 4 
5. 
Summary of Internal Audit Work undertaken ............................................................. 5 
6. 
Follow up of agreed management actions ............................................................... 11 
7. 
Annual  opinion  on  the  adequacy  and  effectiveness  of  the  University  of  the 
Highlands  and  Islands‟s  arrangements  for  risk  management,  control  and 
governance; economy, efficiency and effectiveness (value for money). ................. 15 

8. 
Internal Audit Key performance Indicators ............................................................... 21 
9. 
Internal Audit Service Quality Assurance programme ............................................. 22 
10. 
Conclusion ................................................................................................................ 24 
 
Appendices 
 
Appendix  A  -The  Institute  of  Internal  Auditors  UK  and  Ireland  -  An  approach  to  implementing 
Risk Based Internal Audit ...................................................................................... 25 
Appendix B - UHI Internal Audit Service internal quality assessment - peer reviews ................. 33 
Page 2 
 

University of the Highlands and Islands 
                               Annual Internal Audit Report 
2012/13 
Internal Audit Service  
                                                                         
 
Annual Internal Audit Report  
2012/13 
1. 
Introduction 
1.1. 
UHI recruited an  in-house Internal Auditor and established a Co-Sourced Internal Audit 
Service  with  Henderson  Loggie  Chartered  Accountants  in  February  2009.  This  Annual 
Internal Audit Report provides a summary of the Internal Audit Service‟s activities since 
the 1st August 2012 for the financial year 2012/13.  
1.2. 
The  Internal  Audit  Terms  of  Reference  require  the  Head  of  Internal  Audit  to  give  an 
annual opinion to Court and Principal and Vice Chancellor, through the Audit Committee, 
on the adequacy and effectiveness of UHI‟s arrangements for: 
 
risk management, control and governance; and for 
 
economy, efficiency and effectiveness (value for money)  
1.3. 
The opinion is provided in section 7 of this report. 
 
2. 
Responsibilities for Risk Management, Control, Governance and Value for 
Money 

2.1. 
Within  the  University  of  the  Highlands  and  Islands,  responsibility  for  risk  management, 
control  and  governance  arrangements  and  the  achievement  of  value  for  money  rests 
with  Court  and  management,  who  should  ensure  that  appropriate  and  adequate 
arrangements exist without reliance on the UHI Internal Audit Service. The UHI Internal 
Audit  Service  has  no  executive  role,  nor  does  it  have  any  responsibility  for  the 
development, implementation or operation of systems. 
 
3. 
Role of Internal Audit 
3.1. 
The  UHI  Internal  Audit  Service  is  responsible  for  providing  an  objective,  independent 
appraisal  of  all  the  University  of  the  Highlands  and  Islands  activities,  financial  and 
otherwise. It provides a service to the whole organisation, including  Court and all levels 
of  management.  It  is  not  an  extension  of,  nor  a  substitute  for,  good  management, 
although  it  can  have  a  role  in  advising  management.  The  Internal  Audit  Service  is 
responsible  for  evaluating  and  reporting  to  the  University  of  the  Highlands  and  Islands 
Court  and  the  Principal  and  Vice  Chancellor,  through  the  Audit  Committee,  thereby 
providing  them  with  assurance  on  the  arrangements  for  risk  management,  control, 
governance  and  value  for  money.  It  remains  the  duty  of  management,  not  the  internal 
auditor, to operate these arrangements. 
3.2. 
The  Head  of  Internal  Audit  is  required  to  give  an  annual  opinion  to  Court  and  the 
Principal  and  Vice  Chancellor,  through  the  Audit  Committee,  on  the  adequacy  and 
effectiveness of the arrangements for risk management, control and governance and for 
economy,  efficiency  and  effectiveness  (value  for  money)  within  UHI,  and  the  extent  to 
which Court can rely on these. 
Page 3 
 

University of the Highlands and Islands 
                               Annual Internal Audit Report 
2012/13 
Internal Audit Service  
                                                                         
 
3.3. 
Independence  
3.4. 
The Internal Audit Service has no executive role, nor does it have any responsibility for 
the  development,  implementation  or  operation  of  systems.  The  Head  of  Internal  Audit, 
subject  to  any  guidance  from  the  Audit  Committee  is  solely  responsible  for  the 
management  and  development  of  the  University  of  the  Highlands  and  Islands  co-
sourced Internal Audit Service. 
3.5. 
For  day-to-day  administrative  purposes  only,  the  Head  of  Internal  Audit  reports  to  the 
UHI Principal and Vice Chancellor. The Head of Internal Audit also has right of access to 
the UHI Principal and Vice Chancellor. 
3.6. 
The Institute of Internal Auditors International Standards for the Professional Practice of 
Auditing state that „internal audit activity should be free from interference in determining 
the scope of internal auditing, performing work, and communicating results‟.  
3.7. 
Where there are differences of opinion between Internal Audit and management,  Court 
(on  the  advice  of  the  Audit  Committee)  should  ultimately  determine  whether  or  not  to 
accept audit recommendations, recognise and accept the risks of not taking action, and 
instruct management to implement recommendations. 
 
4. 
Performance against the Internal Audit Plan 
4.1. 
The  University  of  the  Highlands  and  Islands  Internal  Audit  plan  for  2012/13  plan  was 
prepared using a planning methodology in line with the Scottish Funding Council (SFC) 
guidance  and  current  best  practice  from  the  Committee  of  University  Chairmen  (CUC), 
Institute  of  Internal  Auditors  (IIA),  Higher  Education  Funding  Council  for  England 
(HEFCE),  the  Council  of  Higher  Education  Internal  Auditors  (CHEIA)  and  also  in  the 
context of UHI‟s risk management infrastructure.  
4.2. 
The  Internal  Audit  Planning  Methodology  and  proposed  Internal  Audit  Plans  were 
discussed and reviewed by the External Auditor who was of the opinion that the Internal 
Audit  Plan  and  the  associated  methodology  were  of  a  good  standard  and  in  line  with 
best practice, and were clearly risk based. 
4.3. 
The  Audit  Committee  approved  the  Internal  Audit  Plan  for  2012/13  at  its  meeting  in 
September 2012. Progress with the audit plan was reviewed by the Audit Committee at 
each meeting during the year. The planned audit of Curriculum for the 21st Century was 
deferred to accommodate additional time allocated to the completion of a review of  the 
sub contract between North Highland College and Ballet West. 
 
Audit Plan  
Audit 
Progress to date  
days 
 
Report  to  Audit  Committee  14 
Student Records Management  
20 
November 2012 
UKBA Tier 4 sponsor licence -  
Report  to  Audit  Committee  20 
15 
International Student Recruitment 
February 2013 
North Highland College – Sub Contract 
Report  to  Audit  Committee  20 
20 
with Ballet West 
February 2013 
Student retention and management of 
Report  to  Audit  Committee  15  May 
20 
withdrawals 
2013 
Report  to  Audit  Committee  15  May 
Compliance with Legislation - Bribery Act 
11 
2013 
Page 4 
 

University of the Highlands and Islands 
                               Annual Internal Audit Report 
2012/13 
Internal Audit Service  
                                                                         
 
Report  to  Audit  Committee  15  May 
Transparent Approach to Costing 
11 
2013  
Resource Allocation- EO Budgetary 
Report  to  Audit  Committee  11 
12 
Control 
September 2013 
Report  to  Audit  Committee  11 
Risk Management (2013) 

September 2013 
Report  to  Audit  Committee  11 
Research Excellence Framework 
15 
September 2013 
Report  to  Audit  Committee  11 
Planning – Continuing Student Numbers 
18 
September 2013 
Discussed  the  development  of  the 
LIS  Shared  Service  with  the 
Director of LIS. 
LIS Single Initiative - Partnership Service 
10 
Received  the  notes  of  the  Shared 
Services Board, Risk Registers and 
copies  of  potential  draft  Articles  of 
Association  of  the  cost  sharing 
Group. 
Curriculum for the 21st Century  
20 
Deferred 
 
5. 
Summary of Internal Audit Work undertaken 
5.1. 
The following paragraphs provide a summary of the Internal Audit work undertaken from 
the Internal Audit Plan 2012/13. 
5.2. 
Student Records Management 
5.3. 
The  purpose  of  this  report  was  to  record  the  findings  of  an  internal  audit  review  of 
Student Records Management. 
5.4. 
A  records  management  cycle  and  structure  was  in  place.    Controls  were  in  place  to 
ensure  that  standing  data,  student  data  and  changes  to  such  data  were  accurate, 
complete  and  processed  on  a  timely  basis.    These  rely  on  Academic  Partner  staff 
inputting  data  accurately  and  on  a  timely  basis.    The  process  required  ongoing  close 
monitoring  and  follow-up  by  the  Student  Records  Office  to  help  ensure  data  integrity.  
The  progression  to  greater  data  entry  through  online  applications  (e.g.  enrolment, 
withdrawal  and  in  future  module  selection)  will  further  enhance  control  as  data 
verification and entry controls can be in built.  Furthermore, processes and checks were 
in  place  to  ensure  that  external  information  users  were  provided  with  information  that 
met their requirements. 
5.5. 
Internal users‟ student information needs had been identified and reports developed for 
use  by  Executive  Office  and  Academic  Partner  staff.    We  found  that  Executive  Office 
staff  generally  found  training  on  the  student  records  system  reporting  adequate, 
however  we  noted  that  some  Academic  Partners  did  not  use  the  Executive  Office 
developed student records system reports, but instead had developed their own reports 
with a  greater  level  of customisation, and as such had not had the need for training on 
the  Executive  Office  developed  reports.    Some  Academic  Partners  also  advised  that 
they would like to receive further training. 
5.6. 
There  were  physical  and  logical  access  controls  in  place  to  help  prevent  unauthorised 
access  to  student  records  held  on  the  student  records  system.    However,  there  was 
Page 5 
 

University of the Highlands and Islands 
                               Annual Internal Audit Report 
2012/13 
Internal Audit Service  
                                                                         
 
scope  identified  to  further  improve  control  through  the  periodic  review  of  the  list  of 
student records system users and also through review of the number of „generic‟ users. 
5.7. 
The University did not have a document retention policy and there were no agreed upon 
retention periods for student records.  Without such a policy it may be difficult for UHI to 
demonstrate it was complying with the Data Protection (Scotland) Act requirements and 
a recommendation was raised regarding this. 
5.8. 
Two  High  priority  recommendations  were  made.    One  identified  scope  to  improve  the 
retention of Early Statistics Return documentation, including keeping centrally Academic 
Partner  estimate  calculations  and  clear  notes  of  methods  used  as  well  as  retaining  a 
formal  audit  trail  between  the  Early  Statistics  Return  figures  submitted  by  Academic 
Partners and the final Early Statistics Return figures.  The second related to the lack of a 
student records retention policy. 
5.9. 
Thirteen recommendations for improvement in control were identified, of which two were 
prioritised as High, six as Medium, and the remainder were low priority.  One action was 
in  hand  and  twelve  actions  to  improve  control  were  agreed  by  Management,  with  the 
final action due for implementation by 1 August 2013. 
5.10. 
UKBA Tier 4 sponsor licence -  International Student Recruitment 
5.11. 
The purpose of this report was to record the findings of an internal audit review on UKBA 
Tier 4 Compliance. UHI  had put  in  place a Service  Level  Agreement between  UHI and 
its  Academic  Partners  to  govern  the  use  of  the  UHI  UKBA  Tier  4  Sponsor  Licence. 
Processes and procedures had been defined and roles assigned to staff to assist in the 
admission of International students under the UHI UKBA Tier 4 Sponsor Licence.  
5.12. 
The  UHI  UKBA  Tier  4  Sponsor  Licence  was  shared  across  the  UHI  partnership  and 
enabled  UHI  and  its  Academic  Partners  to  recruit  International  Students  onto  Higher 
Education  courses.  A  failure  by  UHI  or  any  of  its  Academic  Partner  to  comply  with  the 
UKBA  requirements  could  result  in  the  licence  being  revoked.  The  nature  of  the  UHI 
Partnership model means that operational responsibilities for the majority of international 
student  admissions  and  administration  rest  with  Academic  Partner  staff.  The  nature  of 
this operating model reduces the level of direct control and therefore requires a greater 
level  of  monitoring  to  be  carried  out  to  provide  on-going  assurance  of  compliance  with 
UHI processes and procedures and UKBA requirements.  
5.13. 
The current records structure and filing processes expose UHI to increased risk as they 
make collation of monitoring information burdensome and hinder the ability to effectively 
monitor  compliance  with  UKBA  requirements.  Increasing  UHI  UKBA  international 
student recruitment further would make the process more burdensome.  
5.14. 
There was scope identified to better improve control in the following high priority areas. 
 
Clarity  should  be  sought  from  the  Office  of  the  Immigration  Services 
Commissioner  on  UHI  Partnership  model  and  whether  all  Academic  Partners 
can  claim  exemption  from  the  requirement  to  be  regulated  by  the  Office  of 
Immigration Services Commissioner. 
 
Implementing  more  robust  monitoring  arrangements  to  ensure  UHI  Tier  4 
processes and procedures were complied with. 
 
Further improving monitoring of attendance records to ensure records were kept 
up to date, to better identify any attendance issues and to provide early warning 
of students nearing UKBA reporting requirements. 
5.15. 
Twenty six recommendations for improvement in control were identified, of which 3 were 
prioritised  as  High,  18  as  Medium,  and  the  remainder  were  low  priority.  Alternative 
mitigating action was taken against one recommendation. Twenty five actions to improve 
control have been agreed  by Management, with the final action due for implementation 
by 31 January 2014. 
Page 6 
 

University of the Highlands and Islands 
                               Annual Internal Audit Report 
2012/13 
Internal Audit Service  
                                                                         
 
5.16. 
North Highland College – Sub Contract with Ballet West 
5.17. 
The purpose of this report  was to record the findings  of an  internal audit review  on the 
North Highland  College  –  Sub  Contract  with Ballet West.    The  scope  and  objectives  of 
the review were discussed and agreed with the UHI Audit Committee, UHI Principal and 
Vice  Chancellor,  UHI  Secretary,  Chairman  of  North  Highland  College  Board  of 
Management,  the  Chair  of  North  Highland  College  Audit  and  Risk  Management 
Committee (Member of the North Highland College Board of Management), Principal of 
North Highland College prior to the commencement of fieldwork.  
5.18. 
UHI  had  reviewed  and  strengthened  its  arrangements  for  the  development, 
administration,  management  and  monitoring  of  collaborative  provision.  Academic 
Council  had  established  an  External  Partnership  Steering  Committee  which  was 
required to: 
 
Make recommendations to Academic Council on the procedures and processes 
for  the  approval,  monitoring,  withdrawal  from  and  review  of  external 
partnerships and related collaborative provision. 
 
Assess  and  approve  proposed  external  partners  through  the  conduct  of  due 
diligence enquiries, determining the nature and duration of institutional approval 
in each case. 
 
Review  new  programme  proposals  which  include  development  and/or  delivery 
with an external partner, and approve the strategic fit and financial sustainability 
of associated business cases. 
 
Receive  reports  of  all  approvals,  re-approvals,  annual  quality  monitoring  and 
periodic reviews of external partners and collaborative programmes in order  to 
identify areas that need to be addressed at University, Faculty and/or Academic 
Partner level or disseminated more widely as good practice. 
 
Ensure that appropriate scrutiny takes place in the monitoring and review of all 
collaborative  provision  in  order  to  maintain  academic  standards  and  to  assure 
and enhance the quality of learning opportunities. 
5.19. 
UHI had developed a comprehensive draft Collaborations Handbook which sets out the 
principles  and  definitions  relating  to  collaborative  provision,  and  provides  operational 
guidance  on  the  quality  assurance  and  enhancement  processes  for  collaborative 
partnerships.  
5.20. 
The following areas were identified  in the course of the review  as areas that should be 
considered in future collaborative arrangements: 
 
When  assessing  potential  collaborations  to  look  wider  than  the  student‟s 
academic  experience  and  consider  the  quality  of  the  student  experience  as  a 
whole.  
 
Ensuring robust and effective mechanisms to gain student feedback. 
 
Provision  (independent  from  the  contractor)  of  regular  face  to  face  student 
support by an experienced student support officer or member of academic staff. 
 
Obtaining  assurances  that  the  contractor  is  providing  a  safe  environment  for 
students  to study  and  has  arrangements  in  place  to  ensure  Health  and  Safety 
and safeguard student welfare. 
 
Mechanisms  to  monitor  changes  in  contractor  staffing  (relevant  academic 
qualifications / undergone disclosure checks). 
 
Establishing a robust management framework supported by: 
  Detailed roles and responsibilities with people held accountable. 
  A clear policy framework. 
Page 7 
 

University of the Highlands and Islands 
                               Annual Internal Audit Report 
2012/13 
Internal Audit Service  
                                                                         
 
  Minimum standards of service. 
  Detailed measures to assess performance. 
  Robust regular independent monitoring and oversight. 
  Reporting and escalation processes. 
  Risk management processes and business continuity arrangements. 
 
Legal review of contractual arrangements. 
5.21. 
Three  recommendations  for  improvement  in  control  were  identified,  of  which  all  were 
prioritised as Medium. Actions to improve control were agreed by Management, with the 
final action due for implementation by 30 June 2014. 
5.22. 
Student retention and management of withdrawals 
5.23. 
The  purpose  of  this  report  was  to  record  the  findings  of  an  internal  audit  review  on 
Student  Retention  and  Management  of  Withdrawals.  The  scope  and  objectives  of  the 
review were discussed and agreed with the Deputy Principal prior to commencement of 
fieldwork. 
5.24. 
UHI had recognised the retention of students as an  important issue for UHI in terms of 
reputational  risk  and  the  Court  had  requested  that  retention  be  included  as  a  standing 
item on its agenda. UHI was progressing strategies to assist in the retention of students. 
Comprehensive  management  information  and  reports  were  available  to  assist  staff  in 
monitoring student retention 
5.25. 
Roles,  responsibilities  and  procedures  had  been  defined  for  student  withdrawals  in 
Section  16  of  the  Academic  Standards  and  Quality  Regulations  and  in  the  UHI 
Withdrawal  Policy  and  Process.  The  majority  of  student  withdrawals  in  2012-13  were 
processed within a reasonable timescale (less than 60 days) however their remained an 
opportunity to further improve on the timeliness of notification of student withdrawals. 
5.26. 
Student  retention  was  monitored  and  reviewed  through  the  Annual  Quality  Monitoring 
Process overseen by the Learning and Teaching Quality Committee. However there was 
scope identified to improve the transparency surrounding performance against Teaching 
and  Learning  Key  Performance  Indicators  at the  time  of completion  of  Programme  and 
Module  Self  Evaluation  Documents  and  to  better  demonstrate  that  poor  performance 
against Key Performance Indicators was being responded to and that action plans were 
put in place.  
5.27. 
UHI  had  agreed  an  outcome  agreement  for  2012-13  with  the  Scottish  Funding  Council 
including  outcomes  for  retention  and  was  expecting  to  report  on  progress  in  autumn 
2013. Arrangements were actively being progressed to identify any gaps in management 
information  and  to  further  develop  monitoring  and  reporting  processes  to  better  enable 
monitoring of the retention outcomes for 2013-14 outcome agreement. 
5.28. 
Seven  recommendations  for  improvement  in  control  were  identified,  of  which  four  are 
medium,  and  the  remainder  as  low  priority.  Six  actions  to improve  control  were  agreed 
by Management, with the final action due for implementation by 31 January 2014. 
5.29. 
Compliance with Legislation - Bribery Act 
5.30. 
The  purpose  of  this  report  was  to  record  the  findings  of  an  internal  audit  review  on 
compliance  with  the  Bribery  Act  2010.    Anti-bribery  and  anti-corruption  policies  and 
procedures exist within UHI Executive Office that were proportionate to the bribery risks 
the  University  faces  and  to  the  nature,  scale  and  complexity  of  its  activities.  An 
appropriate  individual  had  been  assigned  to  deliver  the  message  of  zero  tolerance  to 
bribery  and  corruption  and  there  was  an  appropriate  level  of  involvement  of  the 
University Court and senior management in the development of the bribery procedures. 
Page 8 
 

University of the Highlands and Islands 
                               Annual Internal Audit Report 
2012/13 
Internal Audit Service  
                                                                         
 
5.31. 
At the beginning of the year UHI formalised its arrangements for preventing bribery and 
corruption  in  an  Anti-Bribery  Policy.  There  was  an  opportunity  to  ensure  that  bribery 
prevention  policies  and  procedures  were  further  communicated,  fully  embedded, 
understood and monitored throughout the organisation. 
5.32. 
There  was  awareness  across  the  UHI  Partnership  of  the  need  to  demonstrate  a 
commitment to prevent bribery and corruption. 
5.33. 
Thirteen  recommendations  for  improvement  in  control  were  identified,  of  which  eight 
were prioritised as Medium, and the remainder as low priority. Actions to improve control 
were  agreed  by  Management,  with  the  final  action  due  for  implementation  by  31  July 
2015. 
5.34. 
Transparent Approach to Costing 
5.35. 
The  purpose  of  this  report  was  to  record  the  findings  of  an  internal  audit  review  of  the 
Transparency  Review  returns  2011/12.    UHI  had  been  developing  its  processes  for 
TRAC  over  a  period  of  time.    A  significant  amount  of  work  had  been  done  by  UHI  to 
improve  its  Annual  TRAC  processes  for  2011/12  although  there  remained  some  scope 
for further refinement. 
5.36. 
Improvements  were  made  to  the  arrangements  for  the  oversight  of  TRAC  policy  and 
methods by formalising these through the establishment of a TRAC Steering Group.   
5.37. 
The University was unable to submit its TRAC(T) return to the Scottish Funding Council 
in  2011/12  due  to  difficulties  in  obtaining  robust  information  on  the  costs  of  teaching 
delivery  from  UHI  Academic  Partners.  The  University  had  contacted  the  Scottish 
Funding Council concerning this and was awaiting a response.  
5.38. 
Five  recommendations  for  improvement  in  control  were  identified,  of  which  two  were 
prioritised  as  Medium,  and  three  as  Low  priority.  Four  actions  to  improve  control  were 
agreed by Management, with the final action due for implementation by February 2016. 
5.39. 
Resource Allocation - Executive Office Budgetary Control 
5.40. 
The  purpose  of  the  report  was  to  record  the  findings  of  an  internal  audit  review  of  the 
UHI Executive Office budgetary control arrangements. 
5.41. 
A robust process was in place for 2013-14 budget setting, with budget holders provided 
with  adequate  information  to  assist  them  in  estimating  income  and  expenditure.  A 
budget challenge process was in place at both Finance and Senior Management Team 
levels  as  well  as  processes  of  review  at  Higher  Education  Partnership  Policy  and 
Resources  Committee  and  Finance  and  General  Purposes  Committee,  before  final 
review and approval by Court. 
5.42. 
Management  accounts  were  prepared  monthly  for  budget  holders  which  were  detailed 
enough for  variances to be identified.    Budget holders were required to monitor  budget 
variances and  where necessary,  further information to determine reasons for variances 
could  be  requested  by  budget  holders  from  their  Finance  Business  Partner. 
Management accounts, along with a variance analysis, were also provided to the Senior 
Management Team, Finance and General Purposes Committee and Court on a quarterly 
basis. 
5.43. 
Delegated  budgetary  responsibilities  were  in  place  and,  based  on  testing  undertaken, 
there were processes in place to ensure that the expense authorisation levels in PECOS 
were  in  line  with  the  University‟s  Delegated  Authorisation  Scheme  approved  in  April 
2013. 
5.44. 
Budget  holders  interviewed  considered  that  they  had  adequate  skills  to undertake  their 
budgetary  responsibilities,  however  they  recognise  that  further  budget  holder  training 
would  be  beneficial.  The  Director  of  Finance  advised  that  individualised  budget  holder 
training is planned to be provided in 2013-14. 
Page 9 
 

University of the Highlands and Islands 
                               Annual Internal Audit Report 
2012/13 
Internal Audit Service  
                                                                         
 
5.45. 
One recommendation for improvement in control was identified, which was prioritised as 
Medium. Action to improve control was agreed by Management, with the final action due 
for implementation by 31 March 2014. 
5.46. 
Risk Management 
5.47. 
The purpose of this report was to record the findings of an internal audit review on Risk 
Management. Whilst UHI was continuing to embed its risk management processes there 
remained  opportunities  to  secure  further  improvement  by  updating  the  process  and 
procedures  to  reflect  recent  changes  in  UHI  structures  and  by  more  closely  monitoring 
compliance. The work of the Risk Review Group  was providing a continuing impetus to 
improve risk management processes and was better enabling the provision of timely risk 
information to the Finance and General Purposes Committee and Court.  
5.48. 
Two High priority recommendations were made identifying scope to improve control by 
  Implementing a robust process to collate into one list information on all UHI risks 
on  a  timely  basis.  This  would  assist  in  enabling  the  regular  monitoring  of  risk 
register  completion  and  update  and  help  to  facilitate  the  provision  of  risk 
information for reporting purposes and review. 
  Improving  the  transparency  surrounding  Court‟s  risk  appetite  for  each  risk  by 
requesting  Court  to  review  the  High  Level  Risk  Register  and  highlight  by 
exception risks (for further review by the Risk Review Group) where the residual 
risk was not within its risk appetite. 
5.49. 
In  total,  thirteen  recommendations  for  improvement  in  control  were  identified,  of  which 
two  were  prioritised  as  high,  six  as  medium  and  the  remainder  as  low  priority.  Actions 
were agreed by Management, with the final action due for implementation by the 31 July 
2014. 
5.50. 
On  conclusion  of  the  assessment  it  is  the  Internal  Auditor‟s  opinion  that  UHI‟s  risk 
maturity could be classified as „Risk Defined‟. The Chartered Institute of Internal Auditors 
(CIIA) describe the key characteristics of being risk defined as having the “strategy and 
policies  in  place  and  communicated.  Risk  appetite  defined”.  The  CIIA  suggest  that  in 
these circumstances Internal Audit‟s approach should be to “facilitate risk management / 
liaise  with  risk  management  and  use  management  assessment  of  risk  where 
appropriate”. 
5.51. 
Research Excellence Framework 
5.52. 
The purpose of this report  was to record the findings  of an  internal audit review  on the 
UHI Research Excellence Framework. 
5.53. 
A  planned  staged  process  had  been  defined  to  facilitate  the  preparation  and  review  of 
the UHI Research Excellence Framework ahead of final submission. A governance and 
reporting structure had been established to oversee and monitor preparation of the UHI 
Research  Excellence  Framework.  Arrangements  to  assure  the  quality  of  the  UHI  REF 
submission  were  embedded  in  a  number  of  activities  /  actions  being  carried  out  in 
preparation for the REF such as a mini stock take, agreement of quality thresholds, mini 
REF  sabbaticals,  strategic  investment  in  key  appointments,  use  of  independent  critical 
friends  and  a  Mock  REF  exercise.  Regular  reports  on  progress  with  UHI  REF 
preparations  were  provided  to  the  REF  Steering  Group,  Research  Practitioners  Group, 
Research  Committee  and  to  Academic  Council.  The  final  decision  on  the  UHI  REF 
submission had been defined as resting with the Principal and Vice-Chancellor, advised 
by the Vice Principal Research and Enterprise and the Dean of Research. 
5.54. 
No recommendations for further improvement in control were identified. 
5.55. 
Planning – Continuing Student Numbers 
Page 10 
 

University of the Highlands and Islands 
                               Annual Internal Audit Report 
2012/13 
Internal Audit Service  
                                                                         
 
5.56. 
The purpose of this report  was to record the findings  of an  internal audit review  on the 
UHI processes for planning – continuing student numbers. The scope of the audit was to 
assess  the  adequacy  and  effectiveness  of  the  processes  and  procedures  in  place  to 
assist in forecasting continuing student numbers. 
5.57. 
The four Academic Partners contacted as part of this audit used a range of methods to 
estimate  continuing  student  numbers  for  forecasting  purposes,  with  most  requiring 
significant judgement to be applied by academic staff.     
5.58. 
The  Director  of  Marketing,  Communications  and  Planning  had  noted  that  forecasts  of 
continuing student numbers were not always accurate and put forward a new method for 
forecasting  these  at the  Partnership  Planning  Forum  in  June  2013.    This  new  process, 
which  will  be  implemented  in  2013/14,  aims  to  obtain  more  accurate  data  about 
individuals‟ intentions and academic ability to progress, as well as using historical trends, 
to better forecast continuing student numbers. 
5.59. 
One recommendation for improvement in control was identified which was prioritised as 
Medium. Action to improve control was agreed by Management, with the action due for 
implementation by 31 January 2014. 
 
6. 
Follow up of agreed management actions  
6.1. 
As  part  of  the  normal  Internal  Audit  process  the  Internal  Audit  Service  follows  up  the 
implementation  of  agreed  management  actions  to  provide  assurance  to  the  Audit 
Committee that actions to improve control or further mitigate risk are being implemented 
on a timely basis. 
6.2. 
The  UHI  Internal  Audit  Service  records  all  agreed  management  actions  to  improve 
control  in  a  follow-up  database.  The  follow-up  database  is  used  to  provide  managers 
with  reminders  or  updates  on  their  agreed  management  actions.  The  Head  of  Internal 
Audit  provides  the  Audit  Committee  with  a  follow-up  report  at  each  meeting  which  the 
Committee uses to closely monitor the implementation of agreed management actions.  
6.3. 
The  following  table  describes  the  categories  used  to  prioritise  recommendations  to 
improve control. 
Categorisation  of  Definition of category 
recommendation 

High 
Inadequate systems and controls  which  if not addressed could 
expose  the  institution  to  significant  financial,  operational  or 
reputational risk and adversely  impact on implementation  of its 
strategic plan. 
Medium  
Systems and controls which are not fully effective, and failure to 
improve  them  could  adversely  affect  operational  plans  at 
departmental level. 
Low 
Good  practice  dictates  that  some  enhancements  to  existing 
systems and controls are desirable. 
 
6.4. 
The  following  table  shows  the  total  number  of  agreed  management  actions  by  Audit 
Year and priority. 
Priority 
2008-9 
2009-10 
2010-11 
2011-12 
2012-13 
Total 
High 
17 

33 


69 
Page 11 
 

University of the Highlands and Islands 
                               Annual Internal Audit Report 
2012/13 
Internal Audit Service  
                                                                         
 
Medium 
26 
34 
78 
40 
51 
229 
Low 
17 
55 
31 
15 
24 
142 
 
60 
96 
142 
60 
82 
440 
Page 12 
 

The University of the Highlands and Islands 
Internal Audit Service  
 
                           
 
     Annual Internal Audit Report 2012/13                                                                        
 
6.5. 
The  following  table  provides  a  summary  of  all  the  agreed  management  actions  by  audit  since  February  2009.  It  is  important  to  note  that  the  table  includes 
agreed management actions that are not yet due for completion. 
 
 
High 
Medium 
Low 
 
 
 
Audit 
Total 
Percentage 
Audit Title 
Total  Completed 
Total 
Completed 
Total  Completed  Total 
Ref 
Completed 
completed 
09-01 
Risk Management 2009 






10 
10 
100% 
09-02 
Review of the Strategic Delivery Body 






13 
13 
100% 
09-03 
Curriculum Development and Review 




 
 


100% 
09-04 
Business Continuity Planning 






19 
18 
95% 
Data Management Information Accessibility and 
10-09 


12 
11 


23 
18 
78% 
Security 
09-06 
Monitoring Academic Partners' financial position 






12 
12 
100% 
10-07 
Student Fees 
 
 


37 
37 
42 
42 
100% 
10-19 
Transparent Approach to Costing 
 
 


 
 


100% 
10-05 
HR Payroll 
 
 






100% 
10-03 
Research Business Planning and Development 






12 
12 
100% 
10-06 
Student retention and management of withdrawals 








100% 
10-08 
IT Network Vulnerability Test 
10 
10 
21 
21 
13 
13 
44 
44 
100% 
10-04 
Business Transformation 
 
 






100% 
10-11 
Risk Management 2010 








100% 
11-05 
Health and Safety 




 
 


100% 
11-01 
Procurement 






10 
10 
100% 
11-06 
Project Management 
 
 
11 
11 


13 
13 
100% 
11-07 
Compliance with Equality Law 








75% 
11-11 
Risk Management 2011 




 
 


100% 
 
 
 
 
 
 
 
 
Page 13 
 

The University of the Highlands and Islands 
Internal Audit Service  
 
                           
 
     Annual Internal Audit Report 2012/13                                                                        
 
 
 
 
 
 
 
 
 
 
 
High 
Medium 
Low 
 
 
 
Audit 
Audit Title 
Total  Completed 
Total 
Completed 
Total  Completed  Total 
Total 
Percentage 
Ref 
Completed 
completed 
11-04 
Strategic Planning 








100% 
11-03 
IT Network Vulnerability Test - Follow Up 
10 
10 
22 
22 
11 
11 
43 
43 
100% 
12-08 
Compliance with Freedom of Information Act 
 
 
11 
10 


15 
13 
87% 
Department of Diabetes and Cardiovascular 
12-09 








100% 
Research 
12-06 
Student Recruitment and Admissions 
 
 
10 



13 
11 
85% 
12-10 
Risk Management 2012 








100% 
12-04 
Student Records Management 






13 
13 
100% 
12-04 
Governance and Management of SDB 






17 
16 
94% 
13-04 
UKBA Tier 4 Compliance 


19 


 
27 

33% 
13-19 
North Highland College - sub contract Ballet West 
 
 

 
 
 


0% 
13-09 
TRAC 2013 
 
 



 


25% 
Student Retention and Management of Withdrawals 
13-07 
 
 

 

 


0% 
2013 
13-08 
Compliance with legislation - Bribery Act 2010 
 
 

 

 
13 

0% 
13-02 
Resource Allocation - EO budgetary control 
 
 

 
 
 


0% 
13-03 
Planning - Continuing Student Numbers 
 
 

 
 
 


0% 
13-10 
Risk Management 2013 

 

 

 
13 

0% 
 
 
69 
63 
229 
186 
142 
119 
440 
368 
84% 
Percentage Complete 
High 91% 
Medium 81% 
Low 84% 
Total 84% 
Page 14 
 

link to page 10  
 
 
The University of the Highlands and Islands 
                               Annual Internal Audit Report 
2012/13 
Internal Audit Service  
                                                                         
 
7. 
Annual opinion on the adequacy and effectiveness of the University of the 
Highlands  and  Islands  arrangements  for  risk  management,  control  and 
governance; economy, efficiency and effectiveness (value for money). 

7.1. 
The  Internal  Audit  Terms  of  Reference  require  the  Head  of  Internal  Audit  to  give  an 
annual opinion to Court and Principal and Vice Chancellor, through the Audit Committee, 
on the adequacy and effectiveness of UHI‟s arrangements for: 
 
risk management, control and governance; 
 
economy, efficiency and effectiveness (value for money). 
7.2. 
It is important to note that: 
 
The opinion is based upon the internal audit work undertaken since the 1st August 
2012 from the Internal Audit Plan 2012/13, summarised earlier in section five. 
 
Internal  control  can  provide  only  a  reasonable  and  not  absolute  assurance  to 
management and Court regarding achievement of UHI‟s objectives.  
 
Responsibility  for  risk  management,  control  and  governance  arrangements  and 
the  achievement  of  value  for  money  rests  with  Court  and  management,  who 
should ensure that appropriate and adequate arrangements exist without reliance 
on the UHI Internal Audit Service. 
 
Internal  Audit  reviews  have  a  reasonable  chance  of  detecting  significant  control 
weaknesses  but  cannot  guarantee  that  fraud,  error  or  non  compliance  will  be 
detected.  
7.3. 
Adequacy  and  Effectiveness  of  the  University  of  the  Highlands  and  Islands 
arrangements for Risk Management, Control and Governance  

7.4. 
Findings  
Risk Management 
7.5. 
An  internal  Audit  Review  of  Risk  Management  was  undertaken  during  the  year  and  a 
summary  of  the  review  was  included  in  paragraph  5.46.  Appendix  A  also  includes  the 
internal audit assessment on UHI‟s risk maturity.  
7.6. 
The  review  concluded  that  whilst  UHI  was  continuing  to  embed  its  risk  management 
processes  there  remained  opportunities  to secure  further  improvement  by  updating  the 
process and procedures to reflect recent changes in UHI structures and by more closely 
monitoring  compliance.  The  work  of  the  Risk  Review  Group  is  providing  a  continuing 
impetus  to improve  risk management  processes  and  is  better  enabling  the  provision  of 
timely risk information to the Finance and General Purposes Committee and Court.  
7.7. 
Two High priority recommendations were made identifying scope to improve control by:  
 
Implementing a robust process to collate  into one list information on  all UHI risks 
on  a  timely  basis.  This  would  assist  in  enabling  the  regular  monitoring  of  risk 
register  completion  and  update  and  help  to  facilitate  the  provision  of  risk 
information for reporting purposes and review.  
 
Improving  the  transparency  surrounding  Court‟s  risk  appetite  for  each  risk  by 
requesting Court to review the High Level Risk Register and highlight by exception 
risks (for further review by the Risk Review Group) where the residual risk was not 
within its risk appetite.  
Page 15 
 

 
 
 
The University of the Highlands and Islands 
                               Annual Internal Audit Report 
2012/13 
Internal Audit Service  
                                                                         
 
7.8. 
In  total,  thirteen  recommendations  for  improvement  in  control  have  been  identified,  of 
which  two  were  prioritised  as  high,  six  as  medium  and  the  remainder  as  low  priority. 
Actions have been agreed by Management, with the final action due for implementation 
by the 31 July 2014.  
7.9. 
On  conclusion  of  the  assessment  it  is  the  Internal  Auditor‟s  opinion  that  UHI‟s  risk 
maturity could be classified as „Risk Defined‟. The Chartered Institute of Internal Auditors 
(CIIA) describe the key characteristics of being risk defined as having the „strategy and 
policies  in  place  and  communicated.  Risk  appetite  defined‟.  The  CIIA  suggest  that  in 
these circumstances Internal Audit‟s approach should be to „facilitate risk management / 
liaise  with  risk  management  and  use  management  assessment  of  risk  where 
appropriate‟.  
Control 
7.10. 
During  the  year  the  Internal  Audit  Service  has  reviewed  and  tested  many  of  UHI‟s 
internal controls based upon the Internal Audit Plan. A summary of the findings of these 
reviews is included in section 5. 
7.11. 
All  of  the  internal  audits  except  one  undertaken  during  the  year  had  resulted  in 
recommendations  being  made  to  improve  control.  The  following  table  shows  the 
categorisation of internal audit recommendations. 
Categorisation 
Definition of category 
Number 
of  Percentage 
of 
of 
recommendations 
recommendations 
recommendation 
made 
agreed 
by 
management 
High 
Inadequate  systems  and 
controls 
which 
if 
not 
addressed  could  expose 
the  institution  to  significant 
financial, 
operational 
or 

100% 
reputational 
risk 
and 
adversely 
impact 
on 
implementation 
of 
its 
strategic plan. 
Medium  
Systems 
and 
controls 
which are not fully effective, 
and failure to improve them 
49 
98% 
could 
adversely 
affect 
operational 
plans 
at 
departmental level. 
Low 
Good  practice  dictates  that 
some 
enhancements 
to 
26 
92% 
existing 
systems 
and 
controls are desirable. 
 
Total  
82 
96% 
7.12. 
There were no significant internal audit recommendations that the Internal Audit Service 
consider  had  not received  adequate  management  attention.  The  implementation  of  the 
agreed  management  actions  corresponding  to  the  recommendations  will  continue  to 
improve UHI‟s internal control arrangements.  
Governance 
Page 16 
 

 
 
 
The University of the Highlands and Islands 
                               Annual Internal Audit Report 
2012/13 
Internal Audit Service  
                                                                         
 
7.13. 
In August 2011 the  Post Title Working Group commissioned  with the approval of Court 
Capita Consulting to undertake a review to prepare an outline business case for a new 
UHI  operating  model.  The  review  was  completed  in  the  course  of  September  to 
December  2011  and  a  report  published  on  the  10  January  2012.  Court  recognised  the 
need  to  progress  the  implementation  of  the  recommendations  in  the  Capita  Consulting 
report  on  the  University  operating  model  and  established  a  Transformation 
Implementation  Group  to  oversee  implementation  of  the  recommendations.  The 
Transformation  Implementation  Group  established  a  membership  consistent  with  that 
agreed  by  Court  in  March  2012  and  held  its  first  meeting  on  the  3  July  2012.  The 
Transformation  Implementation  Group  is  responsible  for  progressing  the  65 
recommendations from the Capita „Options for Change‟ report which have been grouped 
into five „workstreams‟: 
1. 
Shared services 
2. 
Financial transparency and sustainability 
3. 
Research 
4. 
Student voice 
5. 
Teaching and learning (human resources) 
7.14. 
Court  received  at  its  meetings  throughout 2012-13  reports  on  the  progress  of  the  work 
streams from the Transformation Implementation Group.  
7.15. 
Following  the  Capita  Consulting  “Options  for  Change”  report  in  January  2012  the 
Cabinet  Secretary  for  Education  and  Lifelong  Learning  convened  two  meetings  of  the 
chairs and principals of UHI and its thirteen academic partners.   The Cabinet Secretary 
subsequently announced, in the Scottish Parliament, the changes he proposed to make 
to regionalise further education provision in Scotland.  In doing so, he asked Dr Michael 
Foxley,  chair  of West  Highland  College  UHI,  to  establish  and  chair  a  working  group  to 
provide  proposals  of  the  governance  changes  required  in  UHI  to  ensure  the  effective 
and  efficient  operation  of  further  and  higher  education  in  the  Highlands  and  Islands.  
This group reported to the Cabinet Secretary on the 30 September 2012. The Report of 
the Governance Working Group was adopted by the University Court on the 31 October 
2012.  Since October 2012 arrangements have been progressed in the following areas: 
 
Review of the Memorandum and Articles of Association 
 
Review of the Court and establishment of an interim Shadow Court 
 
Establishment of a Further Education Committee 
 
Appointment of Associate/Vice Principals and establishment of the Triumverate 
7.16. 
In June 2011, the Cabinet Secretary for Education and Lifelong Learning commissioned 
The  Review  of  Higher  Education  Governance  chaired  by  Professor  Ferdinand  von 
Prondzynski.  The  Review  reported  in  February  2012  and  made  a  number  of 
recommendations  on  higher  education  governance  arrangements,  including  a 
recommendation  for  the  drafting  of  a  Code  of  Good  Governance  for  Scottish  higher 
education institutions. The Committee of Scottish Chairs, in recognition of the benefits to 
be  achieved  by  developing  a  Scottish  Code  of  Good  Higher  Education  Governance 
which  can  serve  to  embed  existing  best  practice  across  the  sector,  undertook  to 
commission  the  necessary  work.  The  Cabinet  Secretary  for  Education  and  Lifelong 
Learning confirmed this approach in his statement to the Scottish Parliament on 28 June 
2012.  
7.17. 
Along with other Universities and stakeholders, UHI was engaged in January 2013 in the 
initial consultation process which lead to the formation of a draft Scottish Code of Good 
Higher  Education  Governance.  The  draft  Scottish  Code  of  Good  Higher  Education 
Governance was published for further consultation in April 2013. UHI reviewed the draft 
Page 17 
 

 
 
 
The University of the Highlands and Islands 
                               Annual Internal Audit Report 
2012/13 
Internal Audit Service  
                                                                         
 
code  and  provided  a  response  to  the  steering  group.  The  final  Scottish  Code  of  Good 
Higher Education Governance was published on the 18 July 2013. 
7.18. 
During the  year there have been significant changes in government policy and strategy 
within  the  higher  education  and  further  education  sector.  These  changes  have  been 
formalised in  the  Post  16 education  Scotland Bill passed by parliament on the 26 June 
2013 and received Royal Assent on the 7 August 2013. 
7.19. 
During  2012-13  there  have  been  substantial  processes  and  significant  effort  expended 
in  reviewing  and  evaluating  UHI‟s  Governance  structure  and  business  model.  Work  in 
this  area  is  still  progressing  and  will  be  further  consolidated  as  changes  required  as  a 
result of the Post 16 Education (Scotland) Act are considered and implemented. 
7.20. 
Opinion 
On  the  basis  of  the  work  carried  out  since  1  August  2012,  the  Head  of  Internal 
Audit concludes that where scope to improve controls was identified management 
actions  have  been  agreed  to  address  these.  There  is  sufficient  evidence  of 
controls and procedures  to provide reasonable  assurance that UHI has  adequate 
and effective arrangements for risk management, control and governance. 

 
Page 18 
 

link to page 9  
 
 
The University of the Highlands and Islands 
                               Annual Internal Audit Report 
2012/13 
Internal Audit Service  
                                                                         
 
7.21. 
Adequacy  and  Effectiveness  of  the  University  of  the  Highlands  and  Islands 
arrangements for economy, efficiency and effectiveness (value for money)  

7.22. 
Findings  
7.23. 
The Scottish Funding Council Financial Memorandum mandatory requirements effective 
from  the  14  October  2008,  state  that  the  „institution  must  have  a  strategy  for 
systematically reviewing management‟s arrangements for securing value for money. As 
part  of  its  internal  audit  arrangements,  the  institution  must  obtain  a  comprehensive 
appraisal of management‟s arrangements for achieving value for money‟. 
7.24. 
At  its  meeting  on  the  23  June  2009,  Court  approved  a  Value  for  Money  Strategy,  as 
agreed  by  Finance  and  General  Purposes  Committee  on  9  June  2009.  On  the  29 
November  2011  Finance  and  General  Purposes  Committee  approved  a  revised  Value 
for Money Policy and Procedures. 
7.25. 
The  UHI  Procurement  Policy  was  approved  by  the  Finance  and  General  Purposes 
Committee at its meeting on the 30 August 2011, the purpose of the procurement policy 
was to provide details of UHI: 
 
Procurement leadership and governance; 
 
People; 
 
Procurement strategy and objectives; 
 
Approach  to  defining  its  supply  needs,  including  the  specification  of  goods  and 
services; 
 
Sourcing strategy and use of collaborative procurement; 
 
Purchasing processes and systems, and   
 
Contract management. 
7.26. 
The policy was further amended in November 2011 to include information on sustainable 
procurement. 
7.27. 
UHI  participates  in  the  Advanced  Procurement  for  Universities  and  Colleges  (APUC) 
Procurement Capability Assessment. The Procurement Capability Assessment seeks to 
assist  organisations  in  improving  their  structure,  capability,  processes  and  ultimately 
performance,  by  attaining  the  best  standards  that  are  appropriate  to  the  scale  and 
complexity of their business. The Assessment is independently assessed by APUC staff 
and identifies areas for improvement. To date UHI had completed two full assessments 
in  February  2010  and  April  2011  with  a  further  interim  assessment  in  December  2011. 
UHI had continued to demonstrate improved performance at each assessment.  
7.28. 
An  Annual  Procurement  Report  (1  August  2011  to  31  July  2012)  was  presented  to the 
Finance  and  General  Purposes  Committee  at  its  meeting  of  the  13  January  2013. The 
report  detailed  activities  undertaken  and  provided  information  on  progress  with  the 
Procurement  Capability  Assessment  and  information  on  some  best  performance 
indicators. 
7.29. 
As  referenced  earlier  in  paragraph  5.39  Internal  Audit  reviewed  the  Executive  Office 
Budgetary Control process. A zero based budgeting exercise had been carried out and 
had  informed  the  preparation  of  operational  budgets  for  financial  years  2011-12  and 
2012-13.  The  process  supported  the  achievement  of  value  for  money  through  the 
constructive  challenge  of  departmental  budgets  and  ensuring  that  resources  were 
aligned to UHI‟s strategic and operational priorities.  
Page 19 
 

 
 
 
The University of the Highlands and Islands 
                               Annual Internal Audit Report 
2012/13 
Internal Audit Service  
                                                                         
 
7.30. 
In the course of the year Learning and Information Services have progressed a strategic 
initiative  to  establish  a  shared  Learning  and  Information  Service.  A    Learning  and 
Information  Services  Shared  Services  Board  was  established  in  July  2011  to  oversee 
this  development.  The  Director  of  Learning  and  information  Services  was  seconded  to 
the project on a full time basis with the support of the Learning and information Services 
Development Programme Manager. In the course of 2012-13 a summit was held at Fort 
Augustus  leading  to  a  Fort  Augustus  2  Agreement  reaffirming  the  commitment  to  work 
together  with  Academic  Partners  to  develop  a  range  of  shared  services  supporting  the 
whole  UHI  partnership.  The  aim  is  enhanced  student  experience,  greater  ability  to 
deliver  equivalence,  greater  efficiency  and  effectiveness  and  improved  quality.  The 
project  continues  to  develop  with  the  formation  of  a  „cost  sharing  group‟  company 
nearing  establishment  and  the  detailed  data  collection  and  due  diligence  process 
underway to inform the development of a business case.  
7.31. 
Opinion 
On  the  basis  of  the  work  carried  out  since  1  August  2012,  the  Head  of  Internal 
Audit  concludes  that  UHI  has  in  place  a  Value  for  Money  Policy  and  Procedures 
which  confirms  UHI’s  commitment  to  achieving  value  for  money  from  all  of  its 
activities,  regardless  of  the  method  of  funding.  It  further  defines  the  scope, 
responsibilities,  concept  of  value  for  money  and  approaches  to  assessing  value 
for money to help promote and secure value for money within UHI.  

There  is  sufficient  evidence  (subject  to  compliance  with  the  Value  for  Money 
Policy  and  Procedures)  that  there  are  processes  and  procedures  to  provide 
reasonable  assurance  that  UHI  has  adequate  and  effective  arrangements  to 
promote economy, efficiency and effectiveness (value for money). 

Page 20 
 

 
 
 
The University of the Highlands and Islands 
                               Annual Internal Audit Report 
2012/13 
Internal Audit Service  
                                                                         
 
8. 
Internal Audit Key Performance Indicators  
8.1. 
The  Internal  Audit  Terms  of  Reference  require  the  Head  of  Internal  Audit  to  implement 
measures  to  monitor  the  effectiveness  of  the  Internal  Audit  Service.  The  Key 
Performance Indicators were discussed and agreed with the Secretary. They are derived 
from  Key  Performance  Indicators  suggested  in  the  Committee  of  University  Chairmen, 
Handbook for Members of Audit Committees in Higher Education. 
Internal Audit Performance indicator 
Target 
Actual 2012/13 
Percentage  of  audit  work  delivered  by 
60% 
100% 
qualified staff. 
Internal Audit Plan to be submitted by June 
Final Audit Plan for 
each year. 
2012/13 approved 
June of each 
by Audit Committee 
year 
at its September 
2012 meeting. 
Follow-ups to be performed within 3 months 
Management are 
of  the  last  action  date  of  recommendations 
provided with a 
made. 
regular updates on 
Within 3 months 
their agreed 
of the last action 
management 
date of 
actions and a follow 
recommendation  up report is provided 
to each meeting of 
the Audit 
Committee. 
Issue of draft reports within 30 days of work 
30 working days 
100% 
being completed. 
Issue  of  final  report  within  10  working  days 
10 working days 
100% 
of receipt of management responses. 
Recommendations  made  compared  with 
80% 
96% 
recommendations accepted. 
Internal audit reviews that added value. 
90% 
100% 
Internal audit attendance at audit committee 
100% 
100% 
meetings. 
Issue of internal audit annual report. 
Report provided to 
September of 
September 2013 
each year 
Audit Committee 
 
Page 21 
 

link to page 24  
 
 
The University of the Highlands and Islands 
                               Annual Internal Audit Report 
2012/13 
Internal Audit Service  
                                                                         
 
9. 
Internal Audit Service Quality Assurance programme  
9.1. 
The  UHI  Internal  Audit  Service  is  required  through  its  Terms  of  Reference  to  perform 
internal  audit  work  with  due  professional  care,  in  accordance  with  appropriate 
professional  auditing  practice  and  with  regard  to  Treasury  and  the  Institute  of  Internal 
Auditors standards (see later paragraph 9.11)
9.2. 
The letter of agreement established between the University of the Highlands and Islands 
and the co-sourced internal audit partner Henderson Loggie affirms that the co-sourced 
internal  audit  partner  will  perform  internal  audit  services  in  accordance  with  relevant 
professional  standards  and  guidelines  and  in  accordance  with  the  Scottish  Funding 
Council Financial Memorandum. 
9.3. 
Compliance  with  the  Institute  of  Internal  Auditors,  International  standards  requires  the 
Head  of  Internal  Audit  to  develop  and  maintain  a  quality  assurance  and  improvement 
program  that  covers  all  aspects  of  the  internal  audit  activity.  The  Institute  of  Internal 
Auditors  International  standards  require  that  the  Internal  Audit  Service  Quality 
Assurance Programme must include both internal and external assessments. 
9.4. 
The  UHI  Internal  Audit  Service  has  established  a  two  tier  approach  to  its  quality 
assurance and improvement program: 
 
The ongoing process of monitoring the performance of internal audit activity. 
 
Internal  Audit  Annual  Quality  Assurance  assessments.  An  internal  review 
undertaken  by  the  Principal  and  Vice  Chancellor  and  the  Chief  Operating  Officer 
and Secretary and an external evidence based peer review assessment. 
9.5. 
Ongoing Performance Monitoring of Internal Audit Activity 
9.6. 
The  Head  of  Internal  Audit  manages  the  provision  of  the  co-sourced  Internal  Audit 
Service  on  an  ongoing  basis.  A  monthly  reporting  process  is  in  place  to  keep  the 
Principal  and  Vice  Chancellor  informed  of  Internal  Audit‟s  progress.  The  Internal  Audit 
Service  has  introduced  Internal  Audit  Performance  Questionnaires  that  are  issued  to 
management  and  staff  at  the  conclusion  of  internal  audit  work.  Feedback  from 
management  and  staff  on  the  performance  of  Internal  Audit  reviews  is  valued  by  the 
Internal Audit Service and helps enable the service provided to be improved and assists 
the  Audit  Committee  in  forming  an  opinion  on  the  efficiency  and  effectiveness  of  the 
Internal Audit Service. 
Page 22 
 

 
 
 
The University of the Highlands and Islands 
                               Annual Internal Audit Report 
2012/13 
Internal Audit Service  
                                                                         
 
9.7. 
The  table  below  presents  a  summary  of  the  Internal  Audit  Performance  Questionnaire 
responses received. The responses illustrate that on the whole 100% of the respondents 
were either fully satisfied or satisfied. 
 
Internal Audit Performance 
Fully 
Not 
Fully 
Satisfied 
N/A 
Questionnaire 
Satisfied 
Satisfied 
Dissatisfied 
1.  Were  you  given  adequate 
88% 
12% 
0% 
0% 
0% 
notification of the audit? 
2.  Were 
you 
adequately 
informed  of  the  audit  scope 
100% 
0% 
0% 
0% 
0% 
and objectives? 
3.  Were  the  appropriate  staff 
consulted  for  the  audit  area 
100% 
0% 
0% 
0% 
0% 
covered? 
4.  Did  the  auditor  display  a 
professional, 
constructive 
75% 
25% 
0% 
0% 
0% 
and 
positive 
approach 
during the review? 
5.  Did  the  auditor  discuss  key 
results/findings 
with 
you 
88% 
12% 
0% 
0% 
0% 
during the review? 
6.  Were 
you 
given 
the 
opportunity  to  discuss  the 
100% 
0% 
0% 
0% 
0% 
draft  report  with  the  auditor 
prior to finalisation? 
7.  Was  the  report  produced  to 
88% 
12% 
0% 
0% 
0% 
a professional standard? 
8.  Overall,  were  you  satisfied 
with the review? Has it been 
63% 
37% 
0% 
0% 
0% 
worthwhile  and  added  value 
to your work? 
Percentage Totals 
88% 
12% 
0% 
0% 
0% 
 
9.8. 
Annual Internal Audit Quality Assurance Reviews  
9.9. 
In January 2009, the Institute of Internal Auditors launched its International Professional 
Practices Framework. This is a revised version of the IIA Standards and Guidance. The 
revised requirements state that the Internal Audit Service Quality Assurance Programme 
must include both internal and external assessments. 
Internal Quality Assessment Reviews  
9.10. 
The  Committee  of  University  Chairmen  guide  for  members  of  Audit  Committees  in 
Higher  Education  provides  useful  templates  to  help  in  the  annual  evaluation  of  internal 
audit. The Principal and Vice Chancellor and the Chief Operating Officer and Secretary 
completed  assessments  in  July  /  August  2013,  which  provide  an  independent  internal 
evaluation  of  the  Internal  Audit  Service.  The  UHI  Internal  Audit  Service  internal  quality 
assessments are included in Appendix B.    
Page 23 
 

 
 
 
The University of the Highlands and Islands 
                               Annual Internal Audit Report 
2012/13 
Internal Audit Service  
                                                                         
 
External Quality Assessment reviews  
9.11. 
The UHI Internal Audit Service participated in an external evidence based peer-reviewed 
assessment  to  provide  independent  external  assurance  to  the  Audit  Committee  over 
quality control of the UHI Internal Audit Service and to demonstrate compliance with the 
IIA standards. 
9.12. 
The  Council  of  Higher  Education  Internal  Auditors  (CHEIA),  with  the  support  of  the 
Higher Education Funding Council England (HEFCE) leadership fund, piloted an internal 
audit „self assessment‟ tool in 2006/07 which was developed by RSM Robson Rhodes; 
this  was  then  rolled  out  from  2007/08.  The  self  assessment  tool  provides  a  means  of 
benchmarking  service  delivery  against  recognised  best  practice  and  helps  to  achieve 
and maintain an even higher quality internal audit service in the higher education sector.  
9.13. 
The  self  assessment  tool  is  a  spreadsheet-based  assessment  comprising  of  60 
questions, against which the assessor is required to rate the audit service on a four point 
scale,  from  „best  practice'  to  „potentially  non-compliant'. To  ensure  consistency  of 
completion  the  assessment  requires  a  response  to  be  provided  to  all  60  questions 
regardless  of  whether  they  best  fit  an  individual  institution‟s  Internal  Audit  Service 
arrangements or not. Responses to these questions are then weighted and calculated to 
deliver  percentage  scores  against  six  criteria:  due  professional  care;  strategy; 
methodology; people; independence and  quality assurance. The tool can be completed 
in  three  ways,  by  self  assessment,  peer  reviewed  self  assessment  and  finally  by  an 
evidence based peer-review process. The tool is in widespread use across the UK and 
Ireland as promulgated by HEFCE and CHEIA.  
9.14. 
The  Head  of  Internal  Audit  attended  a  meeting  on  the  25  June  2013  in  Edinburgh  with 
the  Heads  of  Internal  Audit  of  Newcastle  University  and  the  University  of  West  of 
Scotland  to  have  an  evidence  based  peer-review  of  the  UHI  Internal  Audit  Service 
carried out. The following table presents the results of the assessment. 
Assessment Criteria 

 
Key 
Due professional care 
86% 
 
90% - 100%  Best Practice 
Strategy 
84% 
 
60% - 90%    Good Practice 
Methodology 
88% 
 
20% - 60%    Partially Compliant 
People 
77% 
 
  0% - 20%    Potentially Non-Compliant                                                                                                     
Independence 
89% 
 
 
Quality assurance 
81% 
 
 
Overall average   84% 
 
 
9.15. 
The results of the UHI Internal Audit Service evidence based peer-reviewed assessment 
show that the UHI Internal Audit Service represents Good Practice.   
10.   Conclusion 
10.1. 
The  co-sourced  Internal  Audit  Service  was  established  in  February  2009.  The  Internal 
Audit Service is continuing to develop its role within the University of the Highlands and 
Islands  and  seeks  to  assist  the  University  in  progressing  towards  achievement  of  its 
objectives  by  providing  independent,  objective  assurance  on  risk  management,  control 
and governance. 
Page 24 
 

The University of the Highlands and Islands  
 
                      
 
           Annual Internal Audit Report 2012/13 
 
Appendix A - The Institute of Internal Auditors UK and Ireland - An approach to implementing Risk Based Internal Audit  
Assessing the University's risk maturity  -This assessment was made by reviewing the  University  of the Highlands  and Islands‟s  practices, processes and relevant 
supporting documentation such as the risk management strategy, policy and risk registers. 
 
Risk Maturity 
Risk naive 
Risk aware 
Risk defined 
Risk managed 
Risk enabled 
Sample audit 
  Summary of findings 
test 
Key 
No 
formal  Scattered 
silo  Strategy 
and  Enterprise 
Risk 
 
   
characteristics.  
approach 
based  approach  policies 
in  approach  to  risk  management  and 
developed 
for  to 
risk  place 
and  management 
internal  controls 
risk 
management.  
communicated. 
developed 
and  fully 
embedded 
management.  
Risk 
appetite  communicated.  
into 
the 
defined 
operations. 
The 
Possibly.  
Yes  -  but  may  be 
Check 
the    UHI‟s  objectives  are  defined  in 
organisation's 
no 
consistent 



Yes          
 
Yes           
 
Yes           
 
organisation's 
the UHI Strategic Plan. 
objectives 
are 
approach.  
objectives 
are 
defined.  
determined 
by 
 
Court  and  have 
been 
communicated  to 
all  staff.  Check 
other 
objectives 
and  targets  are 
consistent 
with 
the  organisation's 
objectives.  
Management 
No  
Some 
limited 
Interview 
  Managers  were  aware  of  risk 
have 
been 



  training. 
Yes          
 
Yes           
 
Yes           
 
managers 
to 
and 
their 
responsibility 
for 
trained 
to 
confirm 
their 
managing 
it. 
Whilst 
most 
understand 
understanding  of 
managers  were  maintaining  up 
what  risks  are, 
risk 
and 
the 
to  date  risk  registers  for  their 
and 
their 
extent  to  which 
areas  of  responsibility  others 
responsibility 
they manage it.  
were 
in 
the 
process 
of 
for them.  
developing or had yet to develop 
risk 
registers. 
Managers 
confirmed  that  they  carried  out 
activities to actively manage risk.  
Page 25 
 

The University of the Highlands and Islands  
 
                      
 
           Annual Internal Audit Report 2012/13 
 

scoring  No  
Unlikely,  with  no 
Check 
the    Court  has  defined  a  scoring 
system 
for 
consistent 



Yes          
 
Yes           
 
Yes           
 
scoring 
system 
system  for  assessing  risks  this 
assessing  risks 
approach 
has 
been 
had  been  reviewed  by  the  Risk 
has 
been 
defined.  
approved 
Review  Group.  A  partnership 
defined. 
 
communicated 
approach  to  risk  scoring  and 
and is used.  
recording  was  in  the  process  of 
being  taken  forward  through  the 
Finance  Directors  Practitioners 
Group.  Academic  Partner  Audit 
Committees were  in the process 
of being consulted with a view to 
implementation  on  the  1  August 
2013.  There  was  an  opportunity 
to  assist  in  improving  the 
transparency  surrounding  the 
effectiveness 
of 
risk 
mitigations/controls 
by 
using 
consistent  scoring  criteria  for 
assessing  gross  and  residual 
risk. 
 
The 
risk  No  
No  
Check 
the    Court  had  defined  its  risk 
appetite  of  the 



  Yes          
 
Yes           
 
Yes           
 
document 
on 
appetite  and  also  set  tolerance 
organisation 
which 
the 
levels for approval of risks via its 
has 
been 
controlling 
body 
risk 
scoring 
system. 
The 
defined  in  terms 
has  approved  the 
tolerance  levels  for  approval 
of  the  scoring 
risk 
appetite. 
were  defined  in  the  Revised 
system.  
Ensure 
it 
is 
Process  for  Risk  Identification 
consistent 
with 
and Management these required 
the 
scoring 
updating to reflect the role of the 
system  and  has 
Risk  Review  Group,  Programme 
been 
and  Project  Board  and  the 
communicated.  
recent  changes  to  committee 
structures.  The  risk  appetite  has 
recently  been  reviewed  by  the 
Risk  Review  Group  and  efforts 
made to augment the process by 
seeking  to  develop  a  portfolio 
approach  to  risk  management.  
Page 26 
 

The University of the Highlands and Islands  
 
                      
 
           Annual Internal Audit Report 2012/13 
 
The 
Risk 
Review 
Group 
recognised  that  at  any  one  time 
UHI may be carrying a high level 
of  risks  in  one  or  more  parts  of 
its 
business,  however, 
UHI 
should  ensure  that  the  number 
of  areas  exposed  to  high  risk  at 
any  time  are  minimised  and 
balanced 
with 

low 
risk 
approach in other areas. 
 
Processes  have  No  
Unlikely  
Yes,  but  may  Yes  
Yes  
Examine 
the    Court  agreed  in  April  2008  a 
been  defined  to 
  not apply to the 
processes 
to 
Revised 
Process 
for 
Risk 
determine  risks, 
whole 
ensure  they  are 
Identification  and  Management 
and  these  have 
organisation. 
sufficient 
to 
which  defines  a  governance 
been followed.  

ensure 
framework  requiring  the  review 
       
 
identification 
of 
and  approval  of  risk  registers. 
all  risks.  Check 
There  was  scope  identified  to 
they  are  in  use, 
review  and  update  the  Revised 
by  examining  the 
Process  for  Risk  Identification 
output  from  any 
and  Management  to  reflect  the 
workshops.  
role  of  the  Risk  Review  Group, 
the  Programme  and  Project 
Board  and  recent  changes  to 
UHI  management  structures.  As 
well  as  improving  transparency 
surrounding,  who  is  responsible 
for maintaining risk registers, the 
hierarchy  of  UHI  risk  registers 
and  the  escalation  paths  for 
reporting  of  risk  information  and 
registers 
for 
review 
and 
approval.  There  was  also  an 
opportunity 
to 
formalise 

process  of  periodic  horizon 
scanning  to  assist  in  forecasting 
longer term or emergent risks. 
The  majority  of  managers  were 
Page 27 
 

The University of the Highlands and Islands  
 
                      
 
           Annual Internal Audit Report 2012/13 
 
maintaining  risk  registers  for 
their  areas  of  responsibility. 
However,  there  was  a  need  to 
reinforce  processes  to  ensure 
the  use  of  a  standard  risk 
register  template.  It  was  noted 
that  there  was  a  need  to ensure 
risk  registers  were  properly 
completed  and  updated  on  a 
timely basis. Processes to assist 
in  the  collation  of  partnership 
risk  from  Academic  Partners 
were still in the process of being 
agreed. 
All  risks  have  No  
Some  incomplete  Yes,  but  may  Yes 
Yes  
Examine the Risk    There  was  a  potential  risk  that 
been 
collected   
lists may exist.  
not apply to the 
Register.  Ensure 
the  High  Level  Risk  Register 
into 
one 
list. 
  whole 
it  is  complete, 
may 
not 
be 
complete 
as 
Risks have been 
organisation.  
regularly 
processes  to  collate  timely  risk 
allocated 
to 
reviewed 
information  from  all  the  risk 
specific 
job 
       
assessed 
and 
registers  were  not  robust.  This 
titles.  
used  to  manage 
may be mitigated to some extent 
risks.  Risks  are 
by  the  Risk  Review  Group 
allocated 
to 
process  to  update  the  High 
managers. 
Level 
Risk 
Register 
which 
requires  senior  managers  to 
provide information on new risks 
or amendments to existing risks. 
The  High  Level  Risk  Register 
allocated  a  risk  owner  to  each 
risk. 
All  risks  have  No  
Some  incomplete  Yes,  but  may 
Check 
the    Risks  were  being  assessed  in 
been  assessed 
lists may exist.  
not apply to the 


Yes           
 
Yes           
 
scoring applied to 
accordance  with  the  defined 
in 
accordance 
  whole 

selection 
of 
scoring system.  
with  the  defined 
organisation. 
risks is consistent 
scoring system.  
 
with  the  policy. 
 
Look 
for 
consistency  (that 
is  similar  risks 
Page 28 
 

The University of the Highlands and Islands  
 
                      
 
           Annual Internal Audit Report 2012/13 
 
have 
similar 
scores).  
Responses 
to  No  
Some  responses  Yes,  but  may  Yes  
Yes  
Examine the Risk    Review  of  the  high  level  risk 
the  risks  have 
identified.  
not apply to the 
Register 
to 
register  and  lower  level  risk 
been 
selected 
  
whole 
ensure 
registers 
highlighted 
that 
and 
organisation                                                                          appropriate 
responses  to  risks  had  been 
implemented.  

responses  have 
recorded  for  each  risk.  Many  of 
               
 
been identified.  
the  mitigating  controls  described 
required  on-going  commitment 
to  provide  mitigation.  It  was 
noted  that  differing  approaches 
were  taken  to  recording  the 
person  responsible  and  action 
timescale for further actions. For 
some risks a person responsible 
had  been  recorded  with  no 
timescale,  for  other  risks  an 
action  had  been  recorded  with 
no 
person 
responsible 
or 
timescale.  There  was  scope  to 
improve  control  by  ensuring  that 
further  actions  to  mitigate  risk 
were  more  specific,  recorded 
persons 
responsible 
and 
timescales. 
Management 
No  
Some  monitoring  Yes, but may 
Yes  
Yes  
For a selection of    A Risk Review Group had been 
have 
set 
up 
controls.  
not apply to the 
responses, 
established  and  processes  were 
methods 
to 
  whole 
processes 
and 
in place to facilitate the review of 
monitor 
the 
organisation.   
actions,  examine 
the  High  Level  Risks  Register. 
proper 
the 
monitoring 
Risk 
Owners 
had 
provided 
operation  of  key 

              
 
control(s) 
and 
presentations to the Risk Review 
processes, 
ensure 
Group  on  their  risks  and  the 
responses  and 
management 
actions  being  taken  to  mitigate 
action 
plans 
would know  if the 
them, the constraints and issues 
(monitoring 
responses 
or 
faced  and  to  help  identify  any 
controls).  
processes 
were 
further  support  needed  to  help 
not  working  or  if 
better  manage  risk.    However, 
the  actions  were 
there  was  an  opportunity  to 
Page 29 
 

The University of the Highlands and Islands  
 
                      
 
           Annual Internal Audit Report 2012/13 
 
not implemented.  
implement 
more 
robust 
monitoring  of  low  level  risk 
registers  to  provide  assurance 
that 
processes 
to 
identify, 
assess  and  manage  risks  were 
operating 
effectively. 
The 
minutes  of  the  Risk  Review 
Group  were  reported  to  the 
Finance  and  General  Purposes 
Committee,  Audit  Committee 
and  Court  together  with  the 
updated 
High 
Level 
Risk 
Register.    
Risks 
are  No  
Some  risks  are  Regular 
Regular reviews, 
Regular  reviews,  Check 
for    Responsibilities  for  Committees 
regularly 
reviewed, 
but  reviews, 
probably 
probably 
evidence  that  a 
to review risks at different levels 
reviewed  by  the 
infrequently.  
probably 
quarterly.  
quarterly. 
thorough  review 
throughout  the  UHI  had  been 
organisation.  

annually. 
  
process 
is 
defined  by  Court.  Processes 
 
 
regularly  carried 
were  in  place  to  facilitate  the 
out.  
review  of  UHI‟s  high  level  risks 
via  the  Risk  Review  Group, 
Finance  and  General  Purposes 
Committee  and  by  Court  itself. 
However, it was noted that some 
lower  level  risk  registers  were 
not  being  reviewed  and  kept  up 
to date. The consequence of this 
may  be  a  failure  to  identify, 
manage  and  report  on  risk  on  a 
timely basis. 
Management 
No  
No  
Yes, but may 
Yes 
Yes 
For risks above 
  The  current  risk  management 
report risks to 
 
be no formal 
the risk appetite, 
process  uses  the  initial  risk 
directors where 
process. 
check that Court 
assessment  (the  gross  risk)  to 
responses have 
has been formally 
define  when  risk  should  be 
not managed 

                
 
informed of their 
reported  to  the  Risk  Review 
the risks to a 
existence.  
Group  for  review  and  approval. 
level acceptable 
The Risk Review Group requires 
to Court.  
information  from  risk  owners  on 
the  actions  being  taken  to 
Page 30 
 

The University of the Highlands and Islands  
 
                      
 
           Annual Internal Audit Report 2012/13 
 
mitigate risk, the constraints and 
issues  faced  and  to  identify 
support  needed  from  the  group 
or  the  organisation  to  help 
manage  risk.      Court  has  been 
presented  regularly  with  the 
High  Level  Risk  Register  and 
had  noted  its  contents.  There 
was  a  lack  of  transparency 
surrounding  the  risk  appetite 
(the  level  acceptable  to  Court) 
for  each  risk.    There  was  scope 
to  improve  the  transparency 
surrounding Court‟s risk appetite 
for  each  risk  by  asking  Court  to 
review  the  High  Level  Risk 
Register 
and 
highlight 
by 
exception 
risks 
(for 
further 
review  by  the  Risk  Review 
Group)  where  the  residual  risk 
was not within its risk appetite. 
All significant 
No  
No  
Most projects. 
All Projects.       
All    
 Projects.       
E   
x      
ami     
ne       
 project 
      
Pr
  
oces  
s   
es    
had  been  defined, 
new projects are 
 
proposals for an 
communicated and implemented 
routinely 


 
  analysis of the 
to  help  ensure  that  all  new 
assessed for 
risks which might 
projects  were  assessed  for  risk. 
risk.  
threaten them.  
Some information on project risk 
was  being  reported  to  the  Risk 
Review  Group  through  the  Risk 
Amendment  Form.  However, 
there remained an opportunity to 
better  develop  mechanisms  for 
the  Risk  Review  Group  to 
routinely  receive  information  on 
project risk and its management. 
Responsibility 
No             
No                
Limited.  
Most job 
Yes 
Examine job 
  Responsibilities 
for 
the 
for the 
descriptions. 
descriptions. 
management  of  risk  were  not 
determination, 
 
Check the 
being  routinely  incorporated  into 
assessment, 
instructions for 
all  job  descriptions  for  senior 
Page 31 
 

The University of the Highlands and Islands  
 
                      
 
           Annual Internal Audit Report 2012/13 
 
and 
setting up job 
appointments.  
management of 
descriptions.  
 
risks is included 
in job 
descriptions.  

Managers 
No             
No                
No             
Some managers.  Yes  
Examine 
the    Risk  Owners  have  attended 
provide 
assurance 
meetings  of  the  Risk  Review 
assurance 
on 
 
provided. For  key 
Group  to  explain  the  actions 
the 
risks,  check  that 
being  taken  to  mitigate  their 
effectiveness  of 
controls  and  the 
risks. 
their 
risk 
management 
management.  
system 
of 
monitoring, 
are 
operating.  
Managers 
are 
Some managers. 
Yes  
Examine 
a    The  appraisal  process  for  all 
assessed 
on 



No            
  No               
 
No            
 
sample 
of 
senior 
managers 
did 
not 
their 
risk 
appraisals 
for 
explicitly  include  an  assessment 
management 
evidence 
that 
of 
their 
risk 
management 
performance.  
risks 
performance. 
There 
was 
 
management was 
therefore 
an 
opportunity 
to 
properly 
reinforce  the  importance  of 
assessed 
for 
appraising  senior  managers  on 
performance.  
their 
risk 
management 
performance. 
Internal 
Audit  Promote 
risk  Promote 
Facilitate  risk  Audit 
risk  Audit 
risk   
 
approach  
management 
enterprise-  wide  management  /  management 
management 
and 
rely 
on  approach  to  risk  liaise  with  risk  processes 
and  processes 
and 
alternative 
management  and  management 
use  management  use  management 
Audit  Planning  rely on alternative  and 
use  assessment 
of  assessment 
of 
method  
Audit 
Planning  management 
risk 
as  risk 
as 
 
method. 
assessment of  appropriate.  
appropriate.  
risk 
where 
appropriate.  
 
 
Page 32 
 

 
 
Appendix B - UHI Internal Audit Service internal quality assessment - peer 
reviews