Године 1996. амерички Конгрес усвојио је Закон о преносивости и одговорности за здравствено осигурање - ХИПАА - како би регулисао како здравствене установе откривају медицинске информације о пацијентима. Одељење за здравство и људске службе прати како се медицинске организације придржавају закона. Ревизори користе контролну листу приликом тестирања процеса регистровања медицинских података у компанијама.
Анализа и процена ризика
ХИПАА захтијева да све медицинске организације - посебно институције које су укључене у прикупљање, чување и пријенос медицинских информација - проводе периодичне анализе ризика и процјене. Ревизор који разматра ХИПАА усклађеност осигурава да све пословне јединице надзиру ризике који могу узроковати губитак предузећа због повреде података. Анализа ризика идентификује корпоративне области које представљају главне оперативне претње за поштовање безбедности ХИПАА. Процена ризика одређује степен губитака које нека институција може да претрпи у случају напада инсајдера или аутсајдера.
Гап Аналисис
У ХИПАА терминологији, анализа празнина се односи на процедуре потребне за мапирање сигурносних захтјева на постојећу сигурносну инфраструктуру медицинске организације. Другим ријечима, ревизори анализирају регулаторне смјернице и успоређују их са корпоративним сигурносним системима, провјеравајући да ли се ти сустави придржавају закона. Анализа недостатака прати четири корака: идентификацију јаза, утврђивање активности ремедијације, одређивање приоритета пројеката и расподјелу ресурса. Након утврђивања сигурносних слабости, ревизори осигуравају да шефови одјела имају рјешења за ублажавање. Тада рецензенти осигуравају да шефови сектора додијеле довољно средстава пројектима ублажавања.
Ремедијација
Санација је важна ставка на ревизијској контролној листи за ХИПАА. Ревизори се ослањају на директиве ХХС-а како би осигурали да организација има адекватне ресурсе за отклањање потенцијалних повреда сигурности. Врхунски технолошки алати су саставни дио процедура ремедијације. Ови алати укључују софтвер за управљање односима са клијентима, апликације за планирање ресурса предузећа, софтвер за ре-инжењеринг процеса и софтвер за праћење дефеката. Други алати који се користе за отклањање потенцијалних безбедносних претњи укључују софтвер за категоризацију или класификацију, софтвер за календар и распоређивање, програме за управљање односима са пацијентима и софтвер за управљање пројектима.
Планирање за непредвиђене ситуације
Компаније се упуштају у планирање ванредних ситуација како би се осигурало да корпоративне активности не буду заустављене у хитним случајевима, несрећама или другим оперативним поремећајима. Да би се спријечили значајни губици који могу настати због оперативних застоја, фирме израђују планове за непредвиђене ситуације, познате и као планове континуитета пословања. ХИПАА ревизори провјеравају планове континуитета пословања медицинске организације како би се осигурало да планови рјешавају важна оперативна питања која се могу појавити у хитним случајевима. Конкретно, ревизори провјеравају како компаније могу обновити операције на алтернативној локацији и обновити операције користећи алтернативну опрему, у случају катастрофе.
Персоннел Полициес
Ревизори ХИПАА проучавају корпоративне политике људских ресурса како би осигурали да особље које чува медицинску документацију посједује техничко знање и одговарајуће вјештине за тај посао. Ово особље укључује техничаре здравствене документације, медицинске документе и здравствене информационе стручњаке, службенике за медицинске информације и кодере, према О * Нет Онлине-у, одјелу за истраживање занимања америчког Одјела за рад.
