Agenda item
Partner archwilio mewnol TIAA a'r adroddiadau Archwilio Mewnol diweddaraf
- Cyfarfod Pwyllgor Archwilio a Sicrwydd Risg Comisiwn y Senedd, Dydd Llun, 11 Chwefror 2019 10.00 (Item 4.)
- Gwybodaeth gefndir i eitem 4.
Cofnodion:
Eitem
lafar - partner archwilio mewnol TIAA
4.1
Croesawodd y
Pwyllgor Clive Fitzgerald o TIAA, partner archwilio mewnol y Comisiwn a
ariennir ar y cyd, i'r cyfarfod. Er budd aelodau newydd y Pwyllgor, rhoddodd
Clive rywfaint o gefndir i'r cwmni, sef y darparwr archwilio, sicrwydd busnes a
gwrth-dwyll mewnol annibynnol mwyaf y wlad, gan ymdrin ag ystod eang o
sefydliadau sector cyhoeddus. Disgrifiodd Gareth sut mae'r trefniant a ariennir
ar y cyd yn gweithio'n ymarferol, gan ddod ag arbenigedd a gwybodaeth benodol
ac amddiffyn annibyniaeth y swyddogaeth archwilio mewnol.
ACARAC
(01-19) Papur 4 - Cynllun Dirprwyo
4.2
Dywedodd y Pwyllgor
fod y sicrwydd sylweddol yn adlewyrchiad cadarnhaol ar waith ymgysylltiad y Tîm
Cyllid â deiliaid cyllideb ac aeddfedrwydd y cynllun dirprwyo. Mewn ymateb i
gwestiynau ynghylch lefelau dirprwyo, disgrifiodd Nia Morgan yr ymdeimlad
cynyddol o berchnogaeth a diddordeb mewn rheoli cyllideb, yn rhannol o ganlyniad
i ganiatáu i ddeiliaid cyllideb osod dirprwyaethau priodol yn eu meysydd.
ACARAC
(01-19) Papur 5 - Dilyniant Cydymffurfiaeth GDPR
4.3
Croesawodd y
Pwyllgor yr adolygiad dilynol hwn o sicrwydd ynghylch cydymffurfiaeth GDPR.
Dywedodd Dave fod Polisi Diogelu Data diwygiedig wedi'i gymeradwyo gan y Bwrdd
Gweithredol, ac y byddai pecyn hyfforddi staff electronig yn barod i'w gyflwyno
yn yr wythnosau nesaf. Cafodd ei ddatblygu'n fewnol gan nad oedd dim ar gael yn
fasnachol a oedd yn addas. Cytunodd y Comisiwn i ystyried y ffordd orau o gael
tystiolaeth o faint sydd wedi dilyn yr hyfforddiant hwn.
4.4
Roedd y Comisiwn yn
ystyried opsiynau ar gyfer penodi Swyddog Diogelu Data dros dro i gyflenwi yn
ystod cyfnod mamolaeth. Byddai gwytnwch
y tîm yn cael ei gynyddu drwy hyfforddi aelod arall o staff.
4.5
Roedd y materion
ymarferol ynghylch cytundebau diogelu data ar gyfer aelodau etholedig yn cael
eu trafod ymhellach mewn fforwm rhyng-seneddol ar ddiwedd mis Chwefror a gallai
hyn lywio penderfyniadau ynghylch dull y Comisiwn.
4.6
Trafododd y
Pwyllgor y gwaith o brofi diogelwch gwybodaeth bersonol sensitif a gedwir gan y
Comisiwn a rôl a phwysigrwydd Cofrestrau Asedau Gwybodaeth a Chofrestrau Data
Personol. Nodwyd y byddai symud i SharePoint fel system rheoli dogfennau yn
lliniaru risgiau sy'n gysylltiedig â gwybodaeth ymhellach ac y byddai'r
adolygiad sydd ar y gweill o seiber-ddiogelwch yn helpu i brofi'r rheolaethau.
Cytunwyd y dylai Dave a Bob ystyried hyn ymhellach.
4.7
Gofynnodd aelodau'r
pwyllgor i gydymffurfiaeth GDPR gael ei adolygu mewn cyfarfod yn y dyfodol.
4.8
Gofynnodd y
Pwyllgor i ailedrych ar y mater cytundeb diogelu data gydag Adnoddau
Dynol/darparwr system y gyflogres, ac awgrymodd y dylid rhoi gwybod i ICO.
ACARAC (01-19) Papur 6 – y Gyflogres
4.9
Gofynnodd y
Pwyllgor am sicrwydd bod yr argymhellion o'r archwiliad blaenorol wedi cael eu
gweithredu'n effeithiol. Eglurodd Gareth fod yr adolygiad yn canolbwyntio ar y
systemau sydd ar waith tra bod yr adolygiad blaenorol wedi canolbwyntio ar
ddadansodded data lle darparwyd sicrwydd o adolygiadau rheolaidd a thrylwyr gan
Swyddfa Archwilio Cymru wrth archwilio'r cyfrifon. Trafodwyd effeithiolrwydd
dadansoddeg data yn rheolaidd mewn cyfarfodydd rhyng-seneddol. Dywedodd hefyd
fod aneffeithlonrwydd o ran ymyriadau â llaw ar gyfer cysoni wedi cael ei
ddileu cymaint â phosibl. Gofynnodd y Pwyllgor i edrych ar y mater hwn eto mewn
cyfarfod yn y dyfodol.
Camau i'w cymryd
– (4.3) Dave
i rannu'r pecyn hyfforddi staff diogelu data electronig gyda Chynghorwyr
Annibynnol.
– (4.6) Dave a Bob i drafod profi'r rheolaethau sy'n ymwneud â diogelwch
gwybodaeth.
– (4.7) Tîm clercio i ychwanegu cydymffurfiaeth GDPR i'r flaenraglen waith.
– (4.8) Dave i roi diweddariad ar y cytundeb diogelu data gydag Adnoddau
Dynol/darparwr system y Gyflogres mewn cyfarfod yn y dyfodol.
– (4.9) Nia i ddarparu diweddariad ar ymyriadau â llaw ar gyfer cysoni data
AD a chyllid.