Dysgu o archwiliadau – systemau a phrosesau TG

Yn diweddar, cynhalion ni gyfres o archwiliadau TG thematig o sawl corff dyfarnu (CD), gan ganolbwyntio ar y trefniadau TG (gan gynnwys llywodraethiant, adnoddau, capasiti a gallu) roedd y cyrff dyfarnu hynny wedi eu sefydlu er mwyn datblygu, darparu a dyfarnu cymwysterau yng Nghymru. Meysydd pwysicaf ein harchwiliad oedd; strategaeth a chynlluniau TG, rheoli peryglon, diogelu data a thrin cofnodion a dilyniant busnes a chynllunio gwydnwch. Mae archwiliadau yn ein galluogi i nodi risgiau a meysydd allweddol i'w gwella. Mae canfyddiadau allweddol wedi'u crynhoi isod.

Roedd casgliadau ein pedwar archwiliad yn bositif, ac ni nodwyd achosion o fethu â chydymffurfio ag Amodau Cyffredinol Cydnabod. Rydyn ni’n cydnabod yr ymdrech a wneir gan Gyrff Dyfarnu i sicrhau bod ganddyn nhw systemau TG effeithiol a gwydn. Fodd bynnag, er i ni nodi sawl cryfder daethon ni hefyd o hyd i feysydd allweddol sydd angen eu gwella y dylai Cyrff Dyfarnu fynd i’r afael â nhw er mwyn gwella ansawdd eu darpariaeth ymhellach.

Er mwyn codi safonau’r holl Gyrff Dyfarnu rydyn ni’n eu rheoleiddio, nid dim ond y rhai sydd yn y cylch archwilio, rydyn ni wedi creu crynodeb o’r prif gasgliadau thematig o’r archwiliadau TG.

Prif gasgliadau thematig yn ôl trywydd ymholi

Strategaeth a chynllunio TG

Peryglon: Nid yw’r swyddogaeth TG a’i allu o fewn y corff dyfarnu yn galluogi a chefnogi datblygu, darparu a dyfarnu cymwysterau yn ddigonol.

Amodau Cyffredinol Cydnabod Perthnasol: A5.1 & A5.3

Arfer da a nodwyd: Roedd y Cyrff Dyfarnu a berfformiodd yn dda yn y trywydd ymholi hwn wedi sefydlu cynllun  busnes er mwyn hybu datblygu, darparu a dyfarnu cymwysterau. Roedd y mentrau TG wedi alinio ag amcanion busnes ac roedd y buddsoddiadau TG wedi eu cynllunio a’u cymeradwyo’n ffurfiol. Roedd tystiolaeth o broses sefydledig o gynnig a chymeradwyo prosiectau TG ac roedd strategaethau TG yn cael eu cymeradwyo gan y bwrdd rheoli. Roedd Cyrff Dyfarnu yn cytuno ac yn gosod dangosyddion perfformiad allweddol i fesur darpariaeth yn erbyn amcanion TG strategol, a chaiff systemau TG eu datblygu mewn ffordd ystwyth sy’n galluogi’r Cyrff Dyfarnu i ail-flaenoriaethu gwaith yn rheolaidd er mwyn cefnogi’r busnes.

Prif feysydd i’w gwella: I rai Cyrff Dyfarnu nid oedd gweledigaeth, blaenoriaethau ac egwyddorion busnes sy’n defnyddio TG yn cael eu mynegi yn eu cynllun busnes bob tro, ac nid oedd modelau manwl o fanteision prosiectau TG fel arbedion effeithlonrwydd bob tro’n cael eu cynnal ymlaen llaw. Mewn rhai achosion, roedd diffyg cytundeb ar lefel weithredu neu KPI er mwyn mesur ansawdd  gwasanaeth TG. Os oedd trydydd partïon yn cael eu defnyddio i ddarparu cymorth i’r isadeiledd TG, nid oedd cytundebau ar y lefel o wasanaeth wedi cael eu sefydlu bob tro. Gallai hyn arwain at effeithio ar brydlondeb ac ansawdd y gwasanaeth a ddarperir gan y trydydd parti ac efallai na fyddai anghenion busnes yn cael eu diwallu. Nid oedd gan rai Cyrff Dyfarnu fynediad cyfredol at rai o’r systemau rheoli TG oedd yn cael eu defnyddio gan y darparwr isadeiledd TG a allai arwain at oedi wrth ddatrys problemau.

Rheoli peryglon

Perygl: Gallai diffyg polisïau, arferion a rheoliadau sy’n ymwneud â diogelwch gwybodaeth fygwth cyfrinachedd, hygrededd ac argaeledd data.

Amodau Cyffredinol Cydnabod Perthnasol: A6.1, A6.2, A7.1 & H6.1

Arfer da a nodwyd: Roedd gan y Cyrff Dyfarnu a berfformiodd yn dda yn y trywydd ymholi hwn strwythur llywodraethu oedd yn darparu trosolwg o reoli peryglon gan Gyfarwyddwyr a phwyllgorau perthnasol. Roedd tystiolaeth o fframwaith asesu peryglon safonol oedd yn rhoi diffiniadau clir o sgorio tebygolrwydd ac effaith peryglon. Roedd peryglon wedi eu categoreiddio yn ôl pa fath o effaith fydden nhw’n ei chael ar ddarparu a dyfarnu cymwysterau gan gynnwys perygl diffyg cydymffurfiaeth reoliadol. Roedd Cyrff Dyfarnu yn defnyddio cofrestrau peryglon i ddilyn peryglon ar lefel strategol a gweithredol, caiff peryglon unigol eu pennu i berchnogion a chaiff y gofrestr ei hadolygu’n rheolaidd. Roedd gan Gyrff Dyfarnu gyfres o bolisïau a rheoliadau TG sy’n ymdrin â pheryglon cyffredin, er enghraifft; defnyddio TG mewn ffordd dderbyniol, diogelwch gwybodaeth, cyfrineiriau, monitro rhwydweithiau, atal meddalwedd faleisus a’r cyfryngau cymdeithasol. Caiff rhai o’r polisïau a’r rheolaethau hyn gefnogaeth gan dystysgrifau sicrwydd allanol felCyber Essentials. Roedd rhai Cyrff Dyfarnu yn ceisio cwblhau tystysgrifau Cyber Essentials Plus.

Prif feysydd i’w gwella: Nid oedd rhai o’r Cyrff Dyfarnu wedi diffinio’r awydd peryglon am unrhyw faes rheoli peryglon fel efallai na fydd y lefel liniaru’n alinio â’r amcanion busnes a’r gofynion rheoliadol. Nid oedd peryglon cyffredin fel, colli eiddo TG, caniatâd amhriodol yn cael ei roi i ddefnyddiwr, a methiannau i gysylltu â’r rhwydwaith yn cael eu cofnodi ar gofrestrau peryglon bob tro. Mewn rhai achosion, roedd tystiolaeth nad oedd fframwaith asesu peryglon y Cyrff Dyfarnu yn cynnig ffordd o gyfrifo’r raddfa gyffredinol ar gyfer pob perygl yn seiliedig ar debygolrwydd ac effaith. Gallai hyn arwain at fethu ag adolygu a blaenoriaethu’r peryglon yn effeithlon, a allai achosi oedi wrth gynllunio gweithgareddau i liniaru’r perygl. Roedd tystiolaeth mewn rhai achosion nad oedd effeithlonrwydd rheoliadau unigolion yn cael eu dilyn ar y gofrestr peryglon gweithredol a allai amlygu’r Cyrff Dyfarnu i lefelau annerbyniol o berygl.  

Diogelu data a rheoli cofnodion

Peryglon: Gallai arferion gwael sy’n ymwneud â dynodwyr dysgwyr unigol arwain at ddyfarnu’r cymwysterau anghywir i’r dysgwr anghywir a chynyddu perygl y corff dyfarnu o gael ei dwyllo i gyflwyno cymwysterau. Mae prosesau annigonol rheoli cofnodion sy’n dystiolaeth o wiriad adnabod dysgwyr yn cynyddu’r perygl o ddwyn hunaniaeth neu weithgarwch twyllodrus arall. Gallai data personol nad yw’n cael ei reoli’n iawn arwain at dorri rheolau data a dirwyon gan Swyddfa’r Comisiynydd Gwybodaeth.

Amodau Cyffredinol Cydnabod Perthnasol: A5.2, A6.1, A6.2, A7.1

Arfer da a nodwyd: Gallai Cyrff Dyfarnu sy’n perfformio’n dda ddangos tystiolaeth o ymwybyddiaeth o breifatrwydd sy’n greiddiol i’w harferion a’u hagweddau. Roedd ganddyn nhw gynllun clir ar gyfer y dull GDPR sy’n ffocysu ar TG a strwythur llywodraethol da er mwyn gweithredu gofynion GDPR. Roedd ganddyn nhw hefyd reolaethau effeithiol dros gofnodion a gweithdrefn adolygu eglur. Roedd tystiolaeth o reoli data yn rheoledig gan gynnwys amserlenni cadw a monitro ansawdd trydydd partïon er mwyn sicrhau bod darparwyr gwasanaethau yn cydymffurfio â goblygiadau preifatrwydd.

Prif feysydd i’w gwella: Mewn rhai achosion, ymddengys bod diffyg dealltwriaeth ynghylch goblygiadau Cyrff Dyfarnu o ran GDPR ac o ganlyniad i hyn mae gofynion sylfaenol GDPR wedi cael eu hepgor o’u cynlluniau.

Roedd diffyg dogfennau sy’n amlinellu cyfiawnhad eu rhaglen GDPR a’u penderfyniadau gweithredu. Heb ddogfennu’r rhesymeg y tu ôl i’r penderfyniadau allweddol sy’n angori eu strategaeth gweithredu GDPR, gallai dangos dull GDPR sy’n seiliedig ar beryglon yn rhwydd, ar gais Swyddfa’r Comisiynydd Gwybodaeth, fod yn heriol.

Dilyniant busnes a chynllunio gwydnwch

Peryglon: Gallai diffyg cynllunio dilyniant busnes a chynllunio adfer trychineb TG arwain at y corff dyfarnu yn methu â datblygu, darparu a dyfarnu cymwysterau pe byddai digwyddiad yn tarfu ar ei waith arferol.

Amodau Cyffredinol Cydnabod Perthnasol: A6.1, A6.2, A7.1 & H6.1

Arfer da a nodwyd: Roedd y Cyrff Dyfarnu a berfformiodd yn dda yn y trywydd ymholi hwn yn gallu dangos tystiolaeth bod Dadansoddiad o Effaith Busnes wedi cael ei wneud er mwyn nodi gweithgareddau tyngedfennol a blaenoriaethau’r sefydliad. Roedd hyn yn cynnwys nodi dibyniaethau gyda’r adrannau eraill ac adnoddau sy’n allweddol i weithgareddau, fel amseroedd adfer dymunol a gwirioneddol. Roedd y Cyrff Dyfarnu wedi sefydlu mesurau gwydnwch ar gyfer arholiadau ar-lein er mwyn sicrhau nad yw dysgwyr yn cael eu haflonyddu os oes problem TG. Gallai’r Cyrff Dyfarnu ddangos tystiolaeth bod y cynlluniau dilyniant busnes a’r profion adfer data wedi cael eu cynnal a bod unrhyw broblemau a nodwyd wrth brofi wedi cael eu cofnodi a’u tracio.

Prif feysydd i’w gwella: Nid oedd rhai Cyrff Dyfarnu wedi cynnal Dadansoddiad o Effaith Busnes er mwyn nodi’r gweithgareddau allweddol a’r amseroedd adfer gofynnol felly mae’n bosibl nad yw eu cynlluniau’n gyflawn. Gallai hyn arwain at y Cyrff Dyfarnu yn canolbwyntio ar ymateb i’r digwyddiad a methu â darparu manylion digonol i’r gweithgareddau allu parhau. Roedd hefyd yn amlwg nad oedd ymarferion adfer data wedi cael eu cynnal gan rai Cyrff Dyfarnu, sy’n cynyddu’r perygl nad yw rhai aelodau staff yn ymwybodol o’r disgwyliadau a’u cyfrifoldebau yn ystod digwyddiad. Yn achos y Cyrff Dyfarnu sy’n cyflogi gwasanaethau trydydd parti nid oedd wastad yn eglur sut y byddai’r trydydd parti hwnnw yn adfer trychineb.