Eitem Rhaglen

Cyflwyno adroddiad y Pennaeth Archwilio a Risg.

Cyflwynwyd i’r Pwyllgor ei ystyried – adroddiad y Pennaeth Archwilio a Risg yn rhoi diweddariad ar y cynnydd diweddaraf gan Archwilio Mewnol o ran darparu gwasanaeth, darpar sicrwydd a’r adolygiadau a gwblhawyd.

Amlygodd y Pennaeth Archwilio a Risg y prif bwyntiau fel a ganlyn –

•           Cwblhawyd un adroddiad adolygiad archwilio yn derfynol yn ystod y cyfnod, yn ymwneud â Seiber-ddiogelwch TG – arweiniodd at farn Sicrwydd Rhesymol (rhoddwyd copi o’r adroddiad llawn i’r Pwyllgor). Er i’r adolygiad gasglu ar y cyfan fod gan y Cyngor nifer o reolaethau effeithiol mewn lle i reoli’r risg i seiber-ddiogelwch ac i atal ymosodiadau maleisus, allanol a lleihau eu heffaith ar Wasanaethau, systemau a gwybodaeth y Cyngor, roedd hefyd yn nodi y gallai’r llwyddiant yn y maes hwn ddioddef yn sgil diffyg monitro rhagweithiol o raddau a natur bygythiadau seiber cyfredol a newydd sy’n wynebu’r Cyngor. Codwyd cyfanswm o bump mater/risg ac mae Cynllun Gweithredu i roi sylw i’r materion hynny wedi’i gytuno gyda’r Rheolwyr.

•           Cafodd un adolygiad dilyn-i-fyny ei orffen yn ystod y cyfnod, sef trydydd adolygiad dilyn-i-fyny ar Fynediad Rhesymegol a Gwahaniad Dyletswyddau. Cafodd adolygiad ar reolaethau mynediad rhesymegol a gwahaniad dyletswyddau ei wneud gyntaf fel rhan o’r Cynllun Archwilio Mewnol Blynyddol yn 2014/15; roedd hyn wedi arwain at sgôr Coch gyda 14 o argymhellion ac un awgrym. Ar ôl yr adolygiad dilyn-i-fyny cyntaf ym mis Mehefin, 2015 fe’i sgoriwyd yn Goch eto a chanfuwyd fod 12 o’r argymhellion dal heb eu gweithredu. Fe wnaed ail adolygiad dilyn-i-fyny ym mis Rhagfyr 2017 a gadarnhaodd fod 5 argymhelliad yn dal i fod angen sylw. O ganlyniad, arweiniodd yr adolygiad hwn at farn Sicrwydd Cyfyngedig yn unol â’r dull archwilio newydd. Ym mis Rhagfyr 2018, fe wnaed trydydd adolygiad dilyn-i-fyny. Cadarnhaodd yr adolygiad hwn o’r pum mater/risg a oedd yn weddill, fod dau wedi derbyn sylw a bod tri – yn ymwneud â gwahaniad dyletswyddau yn yr Adain Gyflogau – yn y broses o dderbyn sylw.

Mae’r adain gyflogau yn cael ei hailstrwythuro ar hyn o bryd. Unwaith mae’r prosiect Northgate wedi’i orffen, bydd y strwythur newydd yn cael ei weithredu. Mae’r cylch cyntaf o ymgynghoriadau ar y strwythur newydd wedi digwydd a byddant yn mynd yn eu blaen yn ystod mis Ionawr, 2019. Unwaith mae wedi ei weithredu’n llawn, mae’r Rheolwr Gwasanaeth Cyfrifeg yn ffyddiog y bydd hyn yn mynd i’r afael â’r materion/risgiau gwreiddiol sydd ar ôl. Er bod cynnydd wedi’i wneud, gan ystyried canlyniadau’r adolygiad dilyn-i-fyny, mae lefel sicrwydd yr adroddiad yn aros fel Sicrwydd Cyfyngedig ac mae adolygiad dilyn-i-fyny arall wedi’i drefnu ar gyfer mis Gorffennaf, 2019.

•           Bydd dau adroddiad sydd â lefel Sicrwydd Cyfyngedig yn cael adolygiad dilyn-i-fyny cyn diwedd y flwyddyn ariannol – Gorchmynion Llys Gofal Plant o dan yr Amlinelliad Cyfraith Gyhoeddus, a Chydymffurfiaeth â Safonau Diogelwch Data y Diwydiant Cardiau Talu. Roedd y ddau adolygiad yn mynd rhagddynt ar adeg drafftio’r adroddiad  a gellir cadarnhau, ers ysgrifennu’r diweddariad, fod yr adolygiad dilyn-i-fyny ar Orchmynion Llys Gofal Plant o dan yr Amlinelliad Cyfraith Gyhoeddus wedi cael ei gwblhau’n derfynol, ac wedi cael ei godi i Sicrwydd Rhesymol.

•           Ers penodi’r ddau Uwch Archwilydd newydd, mae gwaith ar y Cynllun Gweithredol Archwilio Mewnol ar gyfer 2018/19 (Atodiad A i’r adroddiad) wedi mynd yn ei flaen yn dda. Fodd bynnag, o gofio pa mor hir oedd y swyddi hyn yn wag ynghyd ag ymchwiliadau hirfaith, gwaith dilynol sylweddol, ac absenoldeb mamolaeth y trydydd Uwch Archwilydd, bydd hi’n anodd cyflawni targed y Gwasanaeth i roi sylw i 80% o’r risgiau gweddilliol coch ac ambr yn y Gofrestr Risg Corfforaethol. Hyd yma, mae 35% o’r risgiau gweddilliol coch ac ambr wedi derbyn sylw, ac mae gwaith yn parhau mewn pum maes arall a ddynodwyd fel risgiau gweddilliol coch ac ambr yn y Gofrestr Risg Corfforaethol. Mae’r meysydd hynny wedi eu nodi yn yr adroddiad. Mae gwaith hefyd yn mynd ymlaen mewn tri maes penodol ar gais Penaethiaid Gwasanaeth. Mae’r Gwasanaeth hefyd yn rhan o ddau ymchwiliad sy’n mynd ymlaen ac sy’n tynnu at eu terfyn. Bydd meysydd nad ydynt yn cael sylw eleni yn cael eu dwyn ymlaen a’u blaenoriaethu yn 2019.

•           Roedd Yswirwyr y Cyngor, Zurich Municipal (ZM), wedi cynnal Gwiriad Iechyd Rheoli Risg annibynnol a oedd yn canolbwyntio ar y chwe maes o weithgaredd rheoli risg a nodir ym mharagraff 26 yr adroddiad. Roedd ZM wedi dod i’r casgliad fod rheolaeth risg ar lefel ‘Rheoledig’ o fewn y pum lefel aeddfedrwydd yn y Model Perfformiad a ddefnyddiwyd. Roedd hyn yn unol â’r disgwyl ac mae Cynllun Gweithredu’n cael ei ddatblygu i fynd i’r afael â’r holl sylwadau/argymhellion a wnaed gan ZM (mae crynodeb ohonynt yn yr adroddiad).

Rhoddodd y Pwyllgor ystyriaeth i’r adroddiad ac fe wnaeth y pwyntiau a ganlyn –

•           Nododd y Pwyllgor, mewn perthynas â diagram Cyfradd Ymosodiadau y System Atal Ymwthiadau o fewn yr Adroddiad Seiber-ddiogelwch TG, y bu cynnydd sydyn yng nghyfradd yr ymosodiadau dros dri diwrnod ar ddiwedd mis Tachwedd, 2018. Ceisiodd y Pwyllgor eglurhad ynghylch beth oedd yr ymosodiad hwn yn ei ddangos, ac a oedd ffynhonnell yr ymosodiad yn hysbys.

Rhoddwyd gwybod i’r Pwyllgor y gall actorion gwledydd tramor fod yn ffynhonnell ymosodiadau seiber ar gyrff cyhoeddus ac y byddant yn ceisio cuddio eu twyll trwy gynnal eu gweithgaredd gan esgus bod yn wlad arall. Fe wnaeth y rhan fwyaf o gyrff sector cyhoeddus y DU brofi lefelau uwch o ymosodiadau yn ail hanner 2018, ac adroddwyd bod y rhain wedi tarddu o wlad ffynhonnell benodol oedd yn cynyddu ei gweithgareddau seiber fel rhan o’r tensiynau yn y cyfnod yn dilyn y digwyddiad yn Salisbury. Mae hyfforddiant ymwybyddiaeth Seiber yn cael ei ddarparu ar gyfer yr holl staff ac Aelodau Etholedig.

•           Nododd y Pwyllgor ar adeg yr adolygiad fod 92% o staff sydd gan fynediad at gyfrifiadur wedi darllen a derbyn y Polisi Diogelwch Gwybodaeth sy’n golygu bod 8% o staff heb wneud hynny, gan beri risg i’r Cyngor. Dywedodd y Pennaeth Archwilio a Risg y gallai’r 8% fod wedi cynnwys staff oedd ar absenoldeb salwch, gwyliau a chyfnod mamolaeth ar adeg yr adolygiad a bod y canran hwnnw yn debygol o fod wedi gostwng yn y cyfnod ers cynnal yr adolygiad. Roedd y Gwasanaeth Archwilio Mewnol o’r farn fod 92% yn lefel rhesymol o gydymffurfiaeth.

•           Nododd y Pwyllgor fod yr adolygiad wedi tynnu sylw at ddiffyg monitro rhagweithiol o raddau a natur bygythiadau seiber cyfredol a newydd ac y gallai hynny amharu ar lwyddiant yn y maes hwn. Roedd hyn yn destun pryder i’r Pwyllgor. Ceisiodd eglurhad p’un a oes camau’n cael eu cymryd i adfer y diffyg hwn.

Dywedodd y Pennaeth Archwilio a Risg fod y data angenrheidiol ar gael a’i fod yn cael ei fonitro ond nid ar lefel Pennaeth Gwasanaeth; mae angen cryfhau trefniadau sgriwtini ac adrodd ar y lefel hon. Nid oes ychwaith swydd benodol o fewn y Gwasanaeth a’r strwythur TG sy’n ysgwyddo’r cyfrifoldeb hwn ac mae nifer o swyddi’n rhannu agweddau o gyfrifoldebau Seiber-Ddiogelwch sy’n golygu bod monitro rhagweithiol yn cael ei esgeuluso’n anfwriadol.

•           Nododd y Pwyllgor, mewn perthynas â’r trydydd adolygiad dilyn-i-fyny ar Fynediad Rhesymegol a Gwahaniad Dyletswyddau fod y gyfradd sicrwydd yn parhau’n Gyfyngedig ar ôl tair blynedd a thri diweddariad. Awgrymodd y Pwyllgor ar ôl cymaint o amser efallai fod yr adolygiad wedi colli’i berthnasedd a bod y potensial i ddysgu gwersi ohono yn gyfyngedig.

Dywedodd y Pennaeth Archwilio a Risg, er eu bod wedi etifeddu’r archwiliad o gyfnod blaenorol a system archwilio flaenorol, fod gwahaniad dyletswyddau yn reolaeth bwysig i liniaru yn erbyn y risg o dwyll.

Dywedodd y Pennaeth Swyddogaeth (Adnoddau)/Swyddog Adran 151 er gwaetha’r ffaith nad yw rheolaethau penodol wedi’u gweithredu i safon sy’n bodloni’r Gwasanaeth Archwilio Mewnol, fod yna fesurau diogelu eraill mewn lle i sicrhau bod y Gyflogres yn gywir ac yn ddibynadwy ac i wneud yn siŵr fod yr Awdurdod ond yn talu gweithwyr sydd yn y Cyngor mewn gwirionedd ac yn gweithio iddo. Er ei fod yn reolaeth resymol i’w rhoi ar waith, mae strwythur y Tîm Cyflogau yn golygu nad oes modd ei weithredu ar hyn o bryd. Unwaith mai’r ailstrwythuro yn gyflawn ac bydd Gweinyddwr System ffurfiol yn y tîm, gellir gweithredu’r elfen gwahaniad dyletswyddau yn y system mewn modd sy’n cael ei reoli’n briodol. Hefyd, mae systemau ariannol yr Awdurdod – gan gynnwys y Gyflogres – yn destun archwiliad gan Archwilio Allanol fel rhan o’r broses archwilio cyfrifon. Mae angen i’r Archwilwyr felly gael sicrwydd fod y wybodaeth y mae’r system Gyflogau yn ei chynhyrchu yn gywir a byddant yn cynnal gwiriadau rheolaethau system i’r perwyl hwnnw; nid yw Archwilio Allanol wedi canfod unrhyw broblemau gyda’r system Gyflogau. Fodd bynnag, mae’n anodd iawn cyflawni’r dasg o wahanu dyletswyddau mewn tîm bach fel hwn. Cadarnhaodd y Swyddog fod yr archwiliad wedi cynnwys gwahaniad dyletswyddau ar draws ystod o systemau ac mai’r Gyflogres oedd yr unig system lle mae yna faterion yn parhau, ond bod hynny hefyd o ganlyniad i’r ffaith fod y Gyflogres wedi bod yn rhan o brosiect gwella hirfaith sy’n ceisio integreiddio’r Gyflogres gyda rhan o’r system Adnoddau Dynol.

•           Nododd y Pwyllgor fod y dull o gynnal archwiliadau nawr yn hollol seiliedig ar risg; yn wyneb hyn, holodd a yw’n bosib y bydd rhai archwiliadau cyfredol yn gollwng o’r cynllun wrth i’w statws risg newid.

Dywedodd y Pennaeth Archwilio a Risg fod y meysydd sy’n cario mlaen i 2019 i gyd yn y Gofrestr Risg Gorfforaethol.

Penderfynwyd ar ôl ystyried y wybodaeth a gyflwynwyd a’r eglurhad a roddwyd gan y Swyddogion, fod y Pwyllgor Archwilio a Llywodraethu yn derbyn ac yn nodi’r cynnydd diweddaraf gan Archwilio Mewnol mewn perthynas â’i ddarpariaeth gwasanaeth, darpariaeth sicrwydd, yr adolygiadau a gwblhawyd, perfformiad ac effeithiolrwydd wrth yrru gwelliant.

NI CHYNIGIWYD UNRHYW GAMAU GWEITHREDU YCHWANEGOL