Agenda item

Eitem lafar - partner archwilio mewnol TIAA

4.1     Croesawodd y Pwyllgor Clive Fitzgerald o TIAA, partner archwilio mewnol y Comisiwn a ariennir ar y cyd, i'r cyfarfod. Er budd aelodau newydd y Pwyllgor, rhoddodd Clive rywfaint o gefndir i'r cwmni, sef y darparwr archwilio, sicrwydd busnes a gwrth-dwyll mewnol annibynnol mwyaf y wlad, gan ymdrin ag ystod eang o sefydliadau sector cyhoeddus. Disgrifiodd Gareth sut mae'r trefniant a ariennir ar y cyd yn gweithio'n ymarferol, gan ddod ag arbenigedd a gwybodaeth benodol ac amddiffyn annibyniaeth y swyddogaeth archwilio mewnol. 

ACARAC (01-19) Papur 4 - Cynllun Dirprwyo

4.2     Dywedodd y Pwyllgor fod y sicrwydd sylweddol yn adlewyrchiad cadarnhaol ar waith ymgysylltiad y Tîm Cyllid â deiliaid cyllideb ac aeddfedrwydd y cynllun dirprwyo. Mewn ymateb i gwestiynau ynghylch lefelau dirprwyo, disgrifiodd Nia Morgan yr ymdeimlad cynyddol o berchnogaeth a diddordeb mewn rheoli cyllideb, yn rhannol o ganlyniad i ganiatáu i ddeiliaid cyllideb osod dirprwyaethau priodol yn eu meysydd.

ACARAC (01-19) Papur 5 - Dilyniant Cydymffurfiaeth GDPR

4.3     Croesawodd y Pwyllgor yr adolygiad dilynol hwn o sicrwydd ynghylch cydymffurfiaeth GDPR. Dywedodd Dave fod Polisi Diogelu Data diwygiedig wedi'i gymeradwyo gan y Bwrdd Gweithredol, ac y byddai pecyn hyfforddi staff electronig yn barod i'w gyflwyno yn yr wythnosau nesaf. Cafodd ei ddatblygu'n fewnol gan nad oedd dim ar gael yn fasnachol a oedd yn addas. Cytunodd y Comisiwn i ystyried y ffordd orau o gael tystiolaeth o faint sydd wedi dilyn yr hyfforddiant hwn.

4.4     Roedd y Comisiwn yn ystyried opsiynau ar gyfer penodi Swyddog Diogelu Data dros dro i gyflenwi yn ystod cyfnod mamolaeth.  Byddai gwytnwch y tîm yn cael ei gynyddu drwy hyfforddi aelod arall o staff.

4.5     Roedd y materion ymarferol ynghylch cytundebau diogelu data ar gyfer aelodau etholedig yn cael eu trafod ymhellach mewn fforwm rhyng-seneddol ar ddiwedd mis Chwefror a gallai hyn lywio penderfyniadau ynghylch dull y Comisiwn.

4.6     Trafododd y Pwyllgor y gwaith o brofi diogelwch gwybodaeth bersonol sensitif a gedwir gan y Comisiwn a rôl a phwysigrwydd Cofrestrau Asedau Gwybodaeth a Chofrestrau Data Personol. Nodwyd y byddai symud i SharePoint fel system rheoli dogfennau yn lliniaru risgiau sy'n gysylltiedig â gwybodaeth ymhellach ac y byddai'r adolygiad sydd ar y gweill o seiber-ddiogelwch yn helpu i brofi'r rheolaethau. Cytunwyd y dylai Dave a Bob ystyried hyn ymhellach.

4.7     Gofynnodd aelodau'r pwyllgor i gydymffurfiaeth GDPR gael ei adolygu mewn cyfarfod yn y dyfodol.

4.8     Gofynnodd y Pwyllgor i ailedrych ar y mater cytundeb diogelu data gydag Adnoddau Dynol/darparwr system y gyflogres, ac awgrymodd y dylid rhoi gwybod i ICO.

ACARAC (01-19) Papur 6 – y Gyflogres

4.9     Gofynnodd y Pwyllgor am sicrwydd bod yr argymhellion o'r archwiliad blaenorol wedi cael eu gweithredu'n effeithiol. Eglurodd Gareth fod yr adolygiad yn canolbwyntio ar y systemau sydd ar waith tra bod yr adolygiad blaenorol wedi canolbwyntio ar ddadansodded data lle darparwyd sicrwydd o adolygiadau rheolaidd a thrylwyr gan Swyddfa Archwilio Cymru wrth archwilio'r cyfrifon. Trafodwyd effeithiolrwydd dadansoddeg data yn rheolaidd mewn cyfarfodydd rhyng-seneddol. Dywedodd hefyd fod aneffeithlonrwydd o ran ymyriadau â llaw ar gyfer cysoni wedi cael ei ddileu cymaint â phosibl. Gofynnodd y Pwyllgor i edrych ar y mater hwn eto mewn cyfarfod yn y dyfodol.

Camau i'w cymryd

–      (4.3) Dave i rannu'r pecyn hyfforddi staff diogelu data electronig gyda Chynghorwyr Annibynnol. 

–      (4.6) Dave a Bob i drafod profi'r rheolaethau sy'n ymwneud â diogelwch gwybodaeth.

–      (4.7) Tîm clercio i ychwanegu cydymffurfiaeth GDPR i'r flaenraglen waith.

–      (4.8) Dave i roi diweddariad ar y cytundeb diogelu data gydag Adnoddau Dynol/darparwr system y Gyflogres mewn cyfarfod yn y dyfodol.

–      (4.9) Nia i ddarparu diweddariad ar ymyriadau â llaw ar gyfer cysoni data AD a chyllid.