2017年第6号(总第177号)

根据《中华人民共和国审计法》的规定，南通市审计局完成了南通市住房公积金管理信息系统审计。现将审计结果公告如下：

一、基本情况

南通市住房公积金管理信息系统于2014年7月正式上线试运行，2015年12月通过验收。系统采用B/S架构，服务器运行环境为Linux/WinServer操作系统和Oracle数据库，子模块主要包括：客户管理、缴存提取、贷款管理、财务管理、档案管理、绩效考核、系统管理、报表与决策分析等。系统分别连接省住房公积金监管办、市本级、市区各办事处和县区管理部以及承办住房公积金业务的相关银行，由南通市住房公积金管理中心（以下简称“公积金中心”）政策信息科运行维护。

二、审计结果

近年来，公积金中心先后制定了《南通市住房公积金管理中心业务系统数据变更管理办法》《南通市住房公积金管理信息系统操作员授权管理暂行规定》等信息系统管理制度。公积金管理系统通过了信息系统等级保护二级测评。系统以会计核算为核心、以服务对象为中心，以内部控制为主线，初步实现了全市住房公积金“统一决策、统一管理、统一制度、统一核算”的管理目标。

三、审计发现的问题及整改情况

（一）系统未建立关键信息录入验证控制。公积金管理系统中部分汇缴、贷款人员的身份证号码错误。2015年度，汇缴流水表中共有正常汇缴的身份证号585983个，其中不符合身份证号编码规则的3056个；贷款流水表中共有公积金贷款的身份证号15779个，其中不符合身份证号编码规则的30个。审计期间，公积金中心在系统中新增了身份证扫描录入和身份证号码校验功能，限制了不符合校验规则数据的录入。对系统中已有的错误数据，公积金中心正组织人力进行核对修正。

（二）系统对职工开户未作比对审核，部分人员重复开户缴存。审计抽查发现，少数汇缴人员有两个住房公积金账号，同时汇缴住房公积金，违反了《住房公积金管理条例》第十三条“每个职工只能有一个住房公积金账户”的规定。审计后，公积金中心在系统中开发了重复开户控制程序，堵住了重复开户漏洞。

（三）系统业务参数设置未形成有效控制。公积金管理系统中设置了缴存工资基数和月缴额上限，但审计仍然发现了少数超限上缴的职工。针对上述问题，市住房公积金管理中心已对相关单位和职工的汇缴额度进行了调整，正常汇缴人员已无超标情况。

（四）系统用户账号存在安全隐患。公积金管理系统未对用户账号口令的复杂度进行控制，部分用户的口令过于简单，易被盗号。审计后，公积金中心在“操作用户管理”模块中增加了用户账号口令必须以字母与数字混合编制，并定期更改的设置，加强了用户账号安全控制。

目前，公积金中心正按照审计建议完善住房公积金信息系统相关功能，对招标书中的功能模块全面上线。并准备增加数据库审计、运维审计，进行网络安全加固，统一安全管理平台，引入专业的安全运行维护团队，进一步提升信息安全，争取达到三级等保要求，确保公积金系统安全。

南通市审计局

2017年5月9日