La auditoría de tecnologías de la información (auditoría de TI) comenzó como auditoría de procesos electrónicos de datos (EDP) y se desarrolló en gran medida como resultado del aumento de la tecnología en los sistemas contables , la necesidad de control de TI y el impacto de las computadoras en la capacidad de realizar servicios de certificación. Los últimos años han sido una época emocionante en el mundo de la auditoría de TI como resultado de los escándalos contables y el aumento de la regulación. La auditoría de TI ha tenido una historia relativamente corta pero rica en comparación con la auditoría en su conjunto y sigue siendo un campo en constante cambio.
La introducción de la tecnología informática en los sistemas de contabilidad cambió la forma en que se almacenaban, recuperaban y controlaban los datos . Se cree que el primer uso de un sistema de contabilidad informatizado fue en General Electric en 1954. Durante el período de tiempo de 1954 a mediados de la década de 1960, la profesión de auditoría todavía auditaba en torno a la computadora. En ese momento, solo se usaban computadoras mainframe y pocas personas tenían las habilidades y capacidades para programar computadoras . Esto comenzó a cambiar a mediados de la década de 1960 con la introducción de máquinas nuevas, más pequeñas y menos costosas. Esto aumentó el uso de computadoras en las empresas y con él vino la necesidad de que los auditores se familiarizaran con los conceptos de EDP en las empresas . Junto con el aumento en el uso de la computadora, vino el surgimiento de diferentes tipos de sistemas de contabilidad. La industria pronto se dio cuenta de que necesitaba desarrollar su propio software y se desarrolló el primero de los software de auditoría generalizados (GAS). En 1968, el Instituto Americano de Contadores Públicos Certificados (AICPA) hizo que las Ocho Grandes (ahora las Cuatro Grandes ) firmas de contabilidad participaran en el desarrollo de la auditoría EDP. El resultado de esto fue la publicación de Auditoría y EDP , que incluía cómo documentar auditorías de EDP y ejemplos de cómo procesar revisiones de control interno.
En esa época, los auditores de procesamiento electrónico de datos formaron la Asociación de Auditores de Procesamiento Electrónico de Datos (EDPAA, por sus siglas en inglés). El objetivo de la asociación era elaborar directrices, procedimientos y normas para las auditorías de procesamiento electrónico de datos. En 1977 se publicó la primera edición de los Objetivos de Control . Esta publicación se conoce ahora como Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT, por sus siglas en inglés). COBIT es el conjunto de objetivos de control de TI generalmente aceptados para los auditores de TI. En 1994, la EDPAA cambió su nombre a Asociación de Auditoría y Control de Sistemas de Información ( ISACA , por sus siglas en inglés). El período que va desde finales de la década de 1960 hasta la actualidad ha sido testigo de rápidos cambios en la tecnología, desde los microordenadores y las redes hasta Internet , y con estos cambios se produjeron algunos acontecimientos importantes que cambiaron la auditoría de TI para siempre.
La creación y el aumento de la popularidad de Internet y el comercio electrónico han tenido una influencia significativa en el crecimiento de la auditoría de TI. Internet influye en la vida de la mayor parte del mundo y es un lugar en el que aumentan los negocios, el entretenimiento y la delincuencia. La auditoría de TI ayuda a las organizaciones y a las personas a encontrar seguridad en Internet y, al mismo tiempo, contribuye a que el comercio y las comunicaciones prosperen.
Hay cinco acontecimientos importantes en la historia de Estados Unidos que han tenido un impacto significativo en el crecimiento de la auditoría de TI: el escándalo de Equity Funding, el desarrollo de Internet y el comercio electrónico, el fallo informático de 1998 en AT&T Corporation , el escándalo de Enron y Arthur Andersen LLP y los atentados del 11 de septiembre de 2001 .
Estos acontecimientos no sólo han aumentado la necesidad de contar con sistemas más fiables, precisos y seguros, sino que han puesto de relieve la importancia de la profesión contable. Los contables certifican la exactitud de los estados financieros de las empresas públicas y aportan confianza a los mercados financieros . El mayor enfoque en la industria ha mejorado el control y ha aumentado los estándares para todos los que trabajan en contabilidad, especialmente aquellos que participan en la auditoría de TI.
El primer caso conocido de uso indebido de la tecnología de la información ocurrió en Equity Funding Corporation of America . A partir de 1964 y hasta 1973, los directivos de la empresa contrataron pólizas de seguro falsas para mostrar mayores beneficios , lo que aumentó el precio del capital social de la empresa. Si no hubiera sido por un delator , es posible que el fraude nunca se hubiera descubierto. Después de que se descubriera el fraude , la empresa de auditoría Touche Ross tardó dos años en confirmar que las pólizas de seguro no eran reales. Este fue uno de los primeros casos en los que los auditores tuvieron que auditar a través de la computadora en lugar de alrededor de ella.
En 1998, AT&T sufrió una falla informática que afectó al comercio y las comunicaciones a nivel mundial . Un importante conmutador falló debido a errores de software y de procedimiento y dejó a muchos usuarios de tarjetas de crédito sin poder acceder a fondos durante más de un año. Esto puso de relieve nuestra dependencia de los servicios informáticos y nos recuerda la necesidad de contar con seguridad en nuestros sistemas informáticos.
El escándalo de Enron y Arthur Andersen LLP provocó la desaparición de una importante firma de contabilidad, una pérdida para los inversores de más de 60.000 millones de dólares y la mayor quiebra de la historia de Estados Unidos. Aunque Arthur Andersen fue declarado culpable de obstrucción de la justicia por su papel en el colapso del gigante energético en el Tribunal de Distrito de Estados Unidos para el Distrito Sur de Texas (y confirmado por el Quinto Circuito en 2004), la condena fue revocada por la Corte Suprema de Estados Unidos en el caso Arthur Andersen LLP v. United States . Este escándalo tuvo un impacto significativo en la Ley Sarbanes-Oxley y fue una importante violación de la autorregulación.