Agenda item

Cynnydd yn erbyn Cynllun Seiliedig ar Risg Archwilio Mewnol 2022-23

Cofnodion:

Pwrpas yr adroddiad oedd rhoi datganiad sefyllfa i Aelodau'r Pwyllgor ar y cynnydd a wnaed yn erbyn y gwaith archwilio oedd wedi ei gynnwys ac a gymeradwywyd yng Nghynllun Seiliedig ar Risg Archwilio Mewnol 2022-23.

 

Cyflwynwyd y Cynllun Archwilio Mewnol ar gyfer 2022-23 i'r Pwyllgor Llywodraethu ac Archwilio ei ystyried a'i gymeradwyo ar yr 22ain o Fehefin 2022. Roedd y Cynllun yn amlinellu'r aseiniadau oedd i gael eu cynnal fyddai'n rhoi digon o wybodaeth i fedru ffurfio barn ar ddiwedd 2022-23.

 

Roedd y Cynllun yn hyblyg i ganiatáu ar gyfer newid mewn amgylchiadau a digwyddiadau a allai godi, megis ceisiadau i ymateb i faterion newydd a allai ddod i'r amlwg.

 

Mae’r cynnydd a wnaed yn erbyn y Cynllun a gymeradwywyd, ar gyfer y cyfnod o’r 1af o Ebrill 2022 hyd yr 31ain o Fawrth 2023, wedi ei atodi yn Atodiad A. Rhydd hwn sefyllfa bresennol pob adolygiad a gynlluniwyd, y farn archwilio, a’r nifer o argymhellion blaenoriaeth uchel, canolig neu isel a gafodd eu gwneud i wella'r amgylchedd rheoli.

 

Dylid nodi nad oes gan rai adolygiadau a restrwyd farn archwilio, er enghraifft, cyngor ac arweiniad ac adroddiadau'r Pwyllgor Llywodraethu ac Archwilio/Bwrdd Rheoli Corfforaethol (CMB). Y rheswm am hyn yw bod y gwaith archwilio a wnaed ar yr eitemau hyn wedi cael ei gynllunio ond nad yw natur y gwaith yn arwain at brofi a ffurfio barn archwilio, er y gwneir argymhellion mewn rhai achosion.

 

Dengys Atodiad A fod cyfanswm o ddau ar bymtheg o archwiliadau wedi cael eu cwblhau gyda barn archwilio tra mae chwe archwiliad pellach wedi cael eu cyhoeddi mewn ffurf ddrafft. Disgwylir adborth gan yr adrannau gwasanaeth gyda golwg ar gynlluniau gweithredu'r rheolwyr ar gyfer yr archwiliadau drafft hyn ac unwaith y bydd yr adborth wedi cael ei dderbyn caiff yr adroddiadau eu cwblhau. Yn ogystal, mae deg archwiliad yn cael eu hadolygu a disgwylir i'r adroddiadau archwilio drafft gael eu cyhoeddi'n fuan. Felly, amcangyfrifir y bydd barn archwilio tri deg tri o archwiliadau yn bwydo i mewn i'r farn archwilio flynyddol gyffredinol ar gyfer 2022-23.

 

Yn seiliedig ar yr asesiad o gryfderau a gwendidau’r meysydd a archwiliwyd drwy roi prawf ar effeithiolrwydd yr amgylchedd rheoli mewnol mae’r farn archwilio ar gyfer y 17 o archwiliadau fel a ganlyn: pump wedi cael sicrwydd sylweddol, 11 sicrwydd rhesymol ac un archwiliad wedi cael barn archwilio o sicrwydd cyfyngedig, hynny yw, dim ond sicrwydd cyfyngedig y gellir ei roi ar y system bresennol o reolaeth fewnol.

 

Roedd yr un olaf hwn yn ymwneud ag ysgol gynradd ac mae’r manylion wedi eu cynnwys yn yr adroddiad, ond roedd y materion allweddol yn ymwneud â threfniadau llywodraethu. Cynhaliwyd yr archwiliad hwn ym mis Hydref 2022. Er bod rhai cryfderau wedi cael eu nodi, gwelwyd bod y pandemig wedi effeithio’n sylweddol ar yr ysgol a darganfuwyd problemau allweddol. Roedd y rhain yn ymwneud â’r Corff Llywodraethu a fethodd â chwrdd â’r gofyniad statudol i gyfarfod bob tymor yn ystod blwyddyn academaidd 2021/22 oherwydd bod problemau Aelodaeth a phresenoldeb yn golygu nad oedd cworwm. O ganlyniad, nid oedd tystiolaeth bod rhai materion allweddol megis y gyllideb a pholisïau wedi cael eu hadolygu a'u cytuno gan y Corff Llywodraethu. Nodwyd materion hefyd o ran cronfa breifat yr ysgol.

 

Cytunwyd ar yr holl argymhellion a wnaed yn yr ysgol hon a chynhelir ymweliad archwilio arall i sicrhau bod cynnydd yn cael ei wneud a bod y risgiau a nodwyd wedi cael eu lliniaru.

 

Mae Atodiad A hefyd yn nodi'r archwiliadau oedd heb eu cwblhau yn ystod 2022/23. O'r rhain, mae dau wedi cychwyn ac yn cael eu cario ymlaen tra mae naw arall heb ddechrau ond fydd yn cael eu hystyried yng nghynllun 2023/24. Mae un archwiliad na chafodd ei gynnal ac na fydd yn cael ei gynnwys yng nghynllun 2023/24, sef adolygiad o gynlluniau grant gan Lywodraeth Cymru a ddyrannwyd yn ystod ac ar ôl y pandemig.

 

Mae Atodiad A yn nodi bod pedwar deg un o argymhellion blaenoriaeth ganolig a 49 o argymhellion blaenoriaeth isel wedi cael eu gwneud hyd yma i wella'r amgylchedd rheoli. Mae gweithrediad yr argymhellion hyn yn cael ei fonitro i sicrhau bod y gwelliannau a nodwyd ac y cytunwyd arnynt yn cael eu gwneud.

 

Fel yr adroddwyd yn ystod y flwyddyn, mae’r Gwasanaeth Archwilio Mewnol Rhanbarthol (RIAS) wedi llwyddo i recriwtio staff archwilio newydd yn ystod 2022-23 ond, fel y dywedwyd o’r blaen, nid yw’r staff newydd wedi cael effaith ar yr adnoddau presennol sydd ar gael i gyflawni’r cynllun archwilio mewnol oherwydd y cymorth a’r hyfforddiant oedd eu hangen. Lluniwyd y cynllun gan dybio y byddai’r sefydliad yn llawn ac er bod Gwasanaethau Archwilio Mewnol SWAP wedi cynorthwyo, ni chynhaliwyd naw archwiliad oedd wedi eu cynllunio yn ystod 2022/23.

 

Fodd bynnag, amcangyfrifir y caiff tri deg tri o archwiliadau eu cwblhau gyda barn archwilio. Bydd y rhain, ynghyd â ffynonellau sicrwydd eraill megis adroddiadau asesu allanol gan Arolygiaeth Gofal Cymru, Estyn a’n hunanasesiadau risg rheoledig ni ein hunain a gwblhawyd gan bob ysgol, yn darparu digon o wybodaeth i alluogi’r Pennaeth Archwilio Mewnol i ddarparu barn ar drefniadau’r Cyngor ar gyfer rheolaeth fewnol, llywodraethu a threfniadau rheoli risg drwy gydol 2022-23.

 

Gan gyfeirio at y mater o seiberddiogelwch, tynnodd Aelod sylw at y ffaith ei fod yn ei waith proffesiynol arall wedi ymweld â nifer o gwmnïau Ewropeaidd mawr yn ystod y flwyddyn ddiwethaf, a’u bod yn ofnus iawn ar hyn o bryd, yn enwedig ynghylch problem ransomware. Nododd y gallai hyn gael effaith ddirfodol bosibl ar y Cyngor, sy'n golygu, pe baem yn cael ein taro gan un o'r rhain, y gallem, er enghraifft, fod mewn sefyllfa lle byddai ein holl Swyddogion yn methu ag agor eu gliniaduron. Cyfeiriodd at enghraifft Maersk, y cwmni llongau cludo cynwysyddion mawr, oedd wedi gorfod cau’r busnes am ddau fis. Pe bai’n rhaid inni gau’r holl wasanaethau hynny am hyd yn oed wythnos, yna byddai’r effaith yn ddinistriol.

 

Y prif fector ar gyfer hyn yw hacio Rwsiaidd ac yn anffodus nid yw'r ransomware a'r ymosodiadau cysylltiedig yn rai manwl, felly gallant fod yn targedu un cwmni, ond mewn gwirionedd yn taro pawb arall. Roedd yr Aelod yn pryderu y byddai modd inni gael ein taro’n ddamweiniol y tu allan i dargedau gwirioneddol hacwyr Rwsia.

 

Gofynnodd am i waith seiberddiogelwch gael y lefel uchaf o flaenoriaeth oherwydd bod y risg hon yn hynod debygol a hefyd yn cael effaith hynod o fawr. Dyna'r un peth fyddai'n cau'r Cyngor.

 

Nododd y Cadeirydd na ddylai'r Cyngor aros am archwiliad ar y mater hwn os oedd mor bwysig â hynny. Roedd yn hyderus ei fod eisoes ar agenda'r tîm rheoli. Gobeithiai y gellid codi hyn eto drwy un o’r pwyllgorau craffu a’r tîm rheoli oherwydd bod yna awdurdodau lleol oedd wedi cael eu taro, a’i bod yn hollbwysig sicrhau bod systemau’n ddigon cadarn i ymdrin â beth bynnag a ddeuai i mewn i’r awdurdod. Nododd, pe bai arbenigwr TG yn y cyfarfod, y byddai’n cydnabod bod ymosodiad ar CBS Pen-y-bont ar Ogwr 10/15/20 gwaith y dydd. Ond nid oedd yn meddwl ei fod yn fater i'r pwyllgor.

 

Mewn ymateb, gwnaeth y Prif Swyddog - Cyllid, Perfformiad a Newid, ddau bwynt: yn gyntaf, er mwyn rhoi sicrwydd, roedd adolygiad allanol wedi cael ei gwblhau ac roedd angen ystyried yr adborth i benderfynu a oes angen i'r Cyngor gymryd unrhyw gamau o ran y mater hwn. Yn ail, mae’r pwyllgor i fod i gael yr asesiad risg corfforaethol wedi’i ddiweddaru ym mis Mehefin a’r ffordd yr oedd hyn yn cael ei wneud yn ddiweddar oedd plymio’n ddyfnach i un neu ddau o’r materion yn y pwyllgor oherwydd ei fod yn dod â’r materion yn fyw i’r Aelodau. Byddai’n briodol plymio’n ddyfnach i seiberddiogelwch yn y cyfarfod nesaf a gellid gwahodd ein staff TG i fod yn bresennol.

 

Awgrymodd y Cadeirydd, ar wahân i gael swyddogion yn bresennol yn y cyfarfod, y gallai Aelod y Cabinet â chyfrifoldeb dros TG hefyd fod yn bresennol fel bod yr Aelodau'n dod i ddeall y mater yn gyffredinol.

 

Gan symud ymlaen, gofynnodd Aelod Lleyg a oedd modd blaenoriaethu archwiliadau a hefyd penderfynu nifer y dyddiau i’w neilltuo iddynt.

 

Gyda golwg ar y drafodaeth ynghylch seiberddiogelwch a TG, roedd yn dyfalu ynghylch proffil risg presennol y mater hwn. Nododd mai mater o amser yn unig oedd hi nes y byddai rhywbeth yn digwydd ac yna beth fyddai'r cynllun ymateb? Roedd angen iddo fod yn barod i gael ei godi’n syth a’i weithredu. Credai y byddai'n gymorth i weld y gofrestr risg yn y pwyllgor nesaf.

 

Gan ddod yn ôl at y cynllun cyffredinol, nododd nad oedd naw archwiliad neilltuol wedi cael eu cynnal o ganlyniad i broblem adnoddau, a holodd a oedd unrhyw fath o gysoni wedi digwydd o ran y dyddiau a gollwyd oherwydd swyddi gweigion, salwch ac yn y blaen.

 

Ymatebodd Dirprwy Bennaeth RIAS i sylwadau am seiberddiogelwch drwy nodi bod cynllun 2022-23 yn cyfeirio at waith a wnaed mewn perthynas â seiberddiogelwch fel gwaith 'dan adolygiad', hynny yw, bod archwiliad wedi cael ei gynnal ar fregusrwydd a rheoli ardaloedd ac unwaith y bydd wedi cael ei adolygu, cyhoeddir adroddiad drafft, a rhoddir barn i mewn yng nghynllun cyffredinol 2022-23. Dylid nodi hefyd y bydd seiberddiogelwch yn ogystal â rhaglen archwilio TGCh yn y cynllun ar gyfer 2023-24.

 

Nododd hefyd fod gan y gwasanaeth un archwiliwr TG cymwys, a bod un arall wedi dechrau hyfforddiant.

 

O ran y naw archwiliad heb eu cwblhau, roedd nifer o resymau pam na ellid eu cynnal, gan gynnwys adnoddau, ceisiadau am wasanaeth a materion amseru. Roedd SWAP wedi gwneud rhywfaint o’r gwaith, ond caiff yr archwiliadau sy'n weddill eu cynnwys yng nghynllun 2023-24.

 

Cyfeiriodd y Cadeirydd yn ôl at y pwynt a wnaed gan yr Aelod Lleyg ynghylch blaenoriaethu. Nododd, os oedd archwiliad yn flaenoriaeth uchel yn 2019-2020 a’i fod yn dal yn flaenoriaeth uchel, yna’n amlwg y dylid cynnwys hyn yng nghynllun archwilio 2023-24.

 

Tynnodd Aelod arall sylw at y mater o hunanymwybyddiaeth a bod y gallu i hunanasesu yn allweddol i allu cynnal archwiliad.

 

Holodd Aelod am y cyfeiriadau at dwyll / gwall / afreoleidd-dra ac ystyr y blwch gwag yn erbyn ‘Ymchwiliadau i Afreolaidd-dra - Gwaith adweithiol lle’r amheuir bod afreoleidd-dra wedi ei ganfod.’

 

Eglurodd Dirprwy Bennaeth RIAS eu bod yn neilltuo rhai dyddiau rhag ofn bod ymchwiliadau yn cael eu cyflwyno yn ystod y flwyddyn. Yn yr achos hwnnw, neilltuwyd diwrnodau i fater penodol ynghylch Cywirdeb Data a Llwythi Achosion. Nid archwiliad penodol ydoedd ond ymchwiliad.

 

Gwnaed argymhellion i wella'r amgylchedd rheoli. Gwnaed dau argymhelliad canolig ac un argymhelliad isel o ganlyniad i'r gwaith hwnnw.

 

Gofynnodd Aelod arall sut y gwnaed y penderfyniad i beidio â chynnal y naw archwiliad.

 

Cadarnhaodd Pennaeth RIAS fod hwn yn benderfyniad gan Reolwyr Archwilio Mewnol a fyddai wedyn yn hysbysu’r CMB. Ar adegau, byddant yn gohirio archwiliad er mwyn cynorthwyo rheolwyr gwasanaeth. Weithiau bydd ganddynt flaenoriaethau uwch na chael archwiliad ac mae'r gwasanaeth yn ceisio deall hynny a darparu ar ei gyfer. Mae yna achlysuron hefyd pan nad oes adnoddau i wneud y gwaith.

 

O ran y broses gynllunio, mae'r gwasanaeth yn nodi a yw archwiliad yn risg uchel, canolig neu isel a byddai hynny'n cael ei ddangos yn y cynllun. Dywedodd y byddent yn darparu mwy o wybodaeth am y ffordd y maent yn blaenoriaethu archwiliadau pan fydd y pwyllgor yn derbyn y cynllun ar gyfer 2023-24 ym mis Mehefin. O bryd i'w gilydd, caiff archwiliad sy’n flaenoriaeth uchel ei ohirio tan y flwyddyn ganlynol ac yna cynhelir asesiad risg blynyddol o ran y broses gynllunio i sicrhau mai’r rheiny fydd yn cael sylw yn gyntaf.

 

Mewn ymateb, nododd y Cadeirydd pan ddaw’r rhestr o archwiliadau i’w cynnal yn 2023-24 ymlaen ym mis Mehefin, os bydd unrhyw faterion sydd wedi bod yn weddill ers nifer o flynyddoedd ac yn dal yn flaenoriaeth, y dylai’r Pwyllgor ddweud y dylid cynnal yr archwiliadau hynny y flwyddyn honno. Cyfle yw adolygiad archwilio ac nid bygythiad. Gallai'r tîm sy'n cynnal yr archwiliad godi rhai pwyntiau dilys iawn fyddai’n cyfrannu at well perfformiad a darparu gwasanaeth gwell.

 

PENDERFYNWYD:

 

Bod Aelodau'r Pwyllgor yn nodi cynnwys yr adroddiad a'r cynnydd a wnaed yn erbyn Cynllun Seiliedig ar Risg Archwilio Mewnol 2022-23.

 

Dogfennau ategol: