Under HIPAA, en IT-revisjon oftest er utført i forbindelse med revisjon av regnskaper eller intern revisjon. Bevis er samlet og evaluert om organisasjonens informasjonssystemer, praksis og operasjoner for å fastslå om de systemer posten og opprettholde nøyaktige og pålitelige data. Gitt følsomheten av pasientdata i en medisinsk setting dette er helt klart en passende measure.An det tilsynet fokuserer ikke på interne kontroller i veien finansiell revisjon gjør.
Snarere søker å bestemme risiko som er relevante for informasjon eiendeler, og for å vurdere hva kontrollene er på plass for å eliminere eller redusere disse risikoene. Fokus for en IT-tilsynet er å evaluere et system tilgjengelighet, konfidensialitet og integrity.The Sarbanes-Oxley Act of 2002 opprettet (blant annet tilsynsforskriften) Public Company Accounting Oversight Board (PCAOB), som tar for seg rollen den spiller i et selskaps internkontroll.
PCAOB er "Revisjon Standard 2" heter det: "Naturen og karakteristikker av et selskaps bruk av informasjonsteknologi i sitt informasjonssystem påvirke selskapets interne kontroll over finansiell rapportering», og dens bestemmelser er rettet mot å se at disse kontrollene og rapportering er legitime og korrekt. Klart siste høyprofilerte corporate skandalene forsterke behovet for kontroll og balances.Under denne loven, revisorer revisjon viktige og generelle kontroller, med "nøkkel" kontroller blir de som er nøkkelen til å sikre at tallene som vises på selskapets balanse er autentiske.
(For eksempel kan det være en trigger på en database tabell for å sikre at du legger noen oppføring i kundefordringer bord skaper en oppføring i hovedboken automatisk.) Personen holdt ansvarlig for å se at denne forskriften er oppfylt er selskapets Chief Information Officer (CIO) .Given bredden og kompleksiteten i dagens føderal lov som regulerer lagring og vedlikehold av IT data, vil forsvarlig bedriftseiere ta de nødvendige skritt for å sikre sine IT-systemer og kontroller møt