Leta 1996 je ameriški kongres sprejel Zakon o prenosljivosti in odgovornosti zdravstvenega zavarovanja - HIPAA -, da bi uredil, kako zdravstvene ustanove razkrivajo zdravstvene informacije bolnikov. Ministrstvo za zdravje in socialne zadeve spremlja, kako so medicinske organizacije v skladu z zakonom. Revizorji uporabljajo kontrolni seznam pri preskušanju postopkov evidentiranja zdravstvenih podatkov podjetij.
Analiza in ocena tveganja
HIPAA zahteva, da vse zdravstvene organizacije, zlasti ustanove, ki sodelujejo pri zbiranju, hrambi in prenosu medicinskih informacij, izvajajo redne analize tveganja in seje za ocenjevanje. Revizor, ki pregleduje skladnost s HIPAA, zagotavlja, da vse poslovne enote spremljajo tveganja, ki lahko povzročijo izgubo podjetja zaradi kršitev podatkov. Analiza tveganja opredeljuje poslovna področja, ki predstavljajo glavne operativne grožnje za skladnost z varnostjo po HIPAA. Ocena tveganja določa obseg izgub, ki jih institucija lahko trpi v primeru notranjih ali zunanjih napadov.
Analiza vrzeli
V terminologiji HIPAA se analiza vrzeli nanaša na postopke, potrebne za preslikavo varnostnih zahtev na obstoječo varnostno infrastrukturo zdravstvene organizacije. Z drugimi besedami, revizorji analizirajo regulativne smernice in jih primerjajo s korporacijskimi varnostnimi sistemi, pri čemer preverijo, ali se ti sistemi držijo zakona. Analiza vrzeli poteka v štirih korakih: identifikacija vrzeli, določanje dejavnosti sanacije, določanje prednostnih nalog in dodeljevanje sredstev. Po opredelitvi varnostnih pomanjkljivosti revizorji zagotovijo, da imajo vodje oddelkov ustrezne blažilne rešitve. Nato pregledovalci poskrbijo, da vodje odseka namenijo dovolj sredstev projektom za ublažitev.
Sanacija
Sanacija je pomembna točka revizijskega kontrolnega seznama za HIPAA. Revizorji se zanašajo na direktive HHS, da bi zagotovili, da ima organizacija ustrezne vire za odpravo morebitnih kršitev varnosti. Najsodobnejša tehnološka orodja so sestavni del sanacijskih postopkov. Ta orodja vključujejo programsko opremo za upravljanje odnosov s strankami, aplikacije za načrtovanje virov podjetij, programsko opremo za preoblikovanje procesov in programsko opremo za sledenje napakam. Druga orodja za odpravo potencialnih varnostnih groženj vključujejo programsko opremo za kategorizacijo ali klasifikacijo, programsko opremo za koledar in načrtovanje, programe za upravljanje odnosov med bolniki in programsko opremo za upravljanje projektov.
Načrtovanje za nepredvidene dogodke
Podjetja se ukvarjajo z načrtovanjem ukrepov ob nepredvidljivih dogodkih, da zagotovijo, da se poslovne dejavnosti ne ustavijo zaradi izrednih razmer, nesreč ali drugih motenj v delovanju. Da bi preprečili precejšnje izgube, ki bi lahko nastale zaradi operativnih zastojev, podjetja pripravijo načrte ukrepov ob nepredvidljivih dogodkih, znanih tudi kot načrti neprekinjenega poslovanja. Revizorji HIPAA preverijo načrte neprekinjenega poslovanja medicinske organizacije, da bi zagotovili, da se načrti lotijo pomembnih operativnih vprašanj, ki se lahko pojavijo v nujnih primerih. Natančneje, revizorji preverijo, kako bi lahko podjetja obnovila operacije na nadomestni lokaciji in obnovila operacije z nadomestno opremo, če bi prišlo do katastrofe.
Kadrovske politike
Revizorji HIPAA preiskujejo korporacijske kadrovske politike, da zagotovijo, da ima osebje, ki vzdržuje zdravstvene evidence, tehnično znanje in ustrezne veščine za delo. To osebje vključuje zdravstvene delavce, zdravstvene dokumente in zdravstvene informacijske strokovnjake, zdravstvene informacijske referente in koderje, v skladu z O * Net Online, Oddelek za poklicne raziskave ameriškega oddelka za delo.