Estudio

integral de
la función
de Auditoría
Interna en
México

1 Administración
deMéxico
KPMG en Riesgos
Contenido
04
Prólogo
Metodología

Estructura, posicionamiento
y gestión de talento

08 09 Estructura

14 Posicionamiento

17 Gestión de talento

20 Plan de auditoría

Ejecución, reporteo
y tercerización
26 27 Ejecución y reporteo

30 Tercerización

34 Evaluación del desempeño

38 Tendencias y expectativas
a futuro

43 Conclusiones
 Estudio integral de la función de Auditoría Interna en México

Dadas las expectativas de crecimiento, el ambiente

económico y político incierto, y ante un entorno altamente
regulado, las organizaciones están buscando formas
eficientes de gestionar riesgos y mejorar la eficiencia de
sus operaciones. Por lo anterior, tanto en México como
en el resto del mundo, las empresas han hecho esfuerzos
por robustecer sus funciones de Auditoría Interna para que
estas funjan como un catalizador del cambio y auxilien en el
logro de sus objetivos.

Sin embargo, las organizaciones han adquirido una

complejidad cada vez mayor, impulsadas por los avances en
tecnologías disruptivas, la globalización y nuevos modelos
de negocio, lo que requiere una mayor especialización y
profesionalización de las funciones de Auditoría Interna para
seguir aportando valor.

Conscientes de estos retos y oportunidades, KPMG en

México contribuye con las empresas del país mediante la
elaboración del primer Estudio integral de la función de
Auditoría Interna en México. El objetivo de este estudio
es analizar la situación actual de las funciones de Auditoría
Interna nacionales en cuanto a su estructura, enfoque,
prácticas y tendencias hacia el futuro.

KPMG en México consideró importante llevar a cabo

una encuesta de esta naturaleza, ya que los principales
referentes que existen para Auditoría Interna han sido
desarrollados con un enfoque global; sin embargo, dadas las
particularidades de nuestra economía, situación geográfica y
entorno cultural, dichos referentes pueden no ser útiles para
nuestras circunstancias actuales.

Sabemos que los directivos mexicanos toman decisiones

con base en información oportuna y confiable, por lo que
esperamos que este estudio les provea datos relevantes
para orientar mejor sus esfuerzos de Auditoría Interna,
buscando que dicha función se convierta en un verdadero
socio estratégico de la organización.

Quedamos a sus órdenes para profundizar en cualquiera

de los temas expuestos en el estudio, o bien, responder
cualquier inquietud o tema relacionado.

3
Metodología
 Estudio integral de la función de Auditoría Interna en México

La información del presente estudio está basada en la

encuesta aplicada a 102 líderes de funciones de Auditoría
Interna en México.

Se les preguntó sobre dicha función en sus empresas en

cuanto a su estructura, costos asociados, posicionamiento,
grado de especialización, capacitación, así como sus planes,
los riesgos que vislumbran, las horas invertidas en la auditoría
en sus diversas fases, la información presentada, la tendencia
hacia la tercerización parcial o total, el análisis masivo de
datos, conocido como data & analytics, entre otros temas.

Nivel del entrevistado

35%
Gerente

34% Director
7%
Miembro del Consejo
o Comité

6%
Subdirector
3%
Propietario
2%
Presidente
13%
Otro
5
Ubicación de su organización o empresa

Colima
Guanajuato
Hidalgo
Jalisco
2% Puebla
Veracruz
6% Yucatán

1% Sin localidad 2%
1%
23%
Ciudad de México
Nuevo León
Baja California
2%
Estado de México
Quintana Roo
Querétaro
1% 2% 1% 1%
San Luis Potosí 1% 5% 46%
Sonora
3%
Chihuahua 1%
Coahuila 1% 1%

¿Cuál fue el rango de ingresos obtenido

por su compañía el año anterior?

62% 13% 19% 6%

Mayores a De 10,001 a De 2,001 a Menores a
30,001 mdp 30,000 mdp 10,000 mdp 2,000 mdp

6
 Estudio integral de la función de Auditoría Interna en México

Industria o sector al que pertenece

17%
Manufactura / industrial Salud
Servicios financieros Química / farmacéutica
Consumo / retail Entidades no lucrativas
Construcción / infraestructura Hotelería y turismo 13%
12% Energía y recursos naturales Telecomunicaciones
11% Alimentos y bebidas Comunicaciones
Automotriz Electrónicos / software
9% 9% Inmobiliaria / real estate Medios de comunicación
8% Transporte Otra

6%

3%
2% 2% 2% 2% 2%
1% 1%
0% 0%

¿Cuál es el rango de empleados de su compañía?

Menos de 500 empleados 16%

De 501 a 2,000 empleados 24%

De 2,001 a 5,000 empleados 17%

De 5,001 a 15,000 empleados 21%

Más de 15,000 empleados 22%

7
Estructura,
posicionamiento y
gestión de talento
 Estudio integral de la función de Auditoría Interna en México

Estructura
De acuerdo con el Instituto de Auditores Internos, la Auditoría
Interna “es una actividad independiente y objetiva de
aseguramiento y consultoría, concebida para agregar valor
y mejorar las operaciones de una organización. Ayuda a una
organización a cumplir sus objetivos aportando un enfoque
sistemático y disciplinado para evaluar y mejorar la eficacia
de los procesos de gestión de riesgos, control y gobierno”.
Su misión es “mejorar y proteger el valor de la organización
proporcionando aseguramiento, asesoría y análisis con base
en riesgos”.
Una de las principales inquietudes de los comités de Auditoría
y líderes en cuanto a la función de Auditoría Interna, es definir
una estructura adecuada a las necesidades específicas de la
organización. Naturalmente la estructura se determinará en
función del tamaño de la empresa; sin embargo, hay otros
factores que son igualmente relevantes, tales como el giro de
la empresa, el nivel de centralización de las operaciones, el
nivel de automatización de sus procesos y los antecedentes
relacionados con fallas del control interno.

Los resultados arrojan que 72% de los encuestados cuentan con menos de nueve auditores para auditorías generales o de
cumplimiento.

Por área de especialidad o principal actividad desarrollada, ¿cómo se encuentra integrada la función de
Auditoría Interna de su compañía? (Auditores internos en general/cumplimiento)

Compañías con ingresos

menores a 2,000 mdp 20% 20% 20% 20% 20%

Compañías con ingresos

de 2,001 a 10,000 mdp 8% 15% 31% 23% 8% 15%

Compañías con ingresos

17% 17% 25% 8% 8% 25%
de 10,001 a 30,000 mdp

Compañías con ingresos

16% 13% 9% 4% 7% 7% 4% 4% 4% 32%
mayores a 30,001 mdp

Total de encuestados 1% 12% 15% 15% 11% 7% 5% 3%3%3% 25%

0 1 2 3 4 5 6 7 8 9 10 o más

Asimismo, 72% de los directivos manifestaron que el costo estimado de su función de Auditoría Interna es menor a 9 millones
de pesos (mdp) anuales.

Costo estimado de la función de Auditoría Interna vs. ingresos de las compañías encuestadas
Ingresos de las compañías

Menores a 2,000 mdp 40% 60%

De 2,001 a 10,000 mdp 50% 20% 20% 10%

De 10,001 a 30,000 mdp 20% 30% 10% 20% 20%

Más de 30,001 mdp 24% 18% 16% 8% 11% 24%

Total de encuestados 29% 24% 13% 6% 11% 17%

Costos de la función de Auditoría Interna

Menor a 2 millones Entre 2 y 4 millones Entre 4 y 6 millones
Entre 6 y 9 millones Entre 9 y 12 millones Más de 12 millones
9

Los resultados muestran que 83% de
los departamentos de Auditoría Interna
destinan menos de 20% de sus costos
a gastos de viaje
De acuerdo con los encuestados, 81% de las áreas de Auditoría
Interna cuentan con la figura de Director, de las cuales 10% tienen
dos o más; 81% cuenta con la figura de Gerente y 34% tiene al
menos dos de ellos dentro de su estructura.
Directores de Auditoría Interna

Porcentaje incurrido en gastos de viaje,

del costo anual total de la función
de Auditoría Interna 19% No cuenta con directores

71%
34%

Un director

5%
22%

Dos directores
14%

10% 10% 10%

5% Tres o más directores
Gerentes de Auditoría Interna

Menor a 5%

19%
6% - 10%
11% - 15%
16% - 20%
21% - 25%
No cuenta con gerentes
Más de 25%

Además del tamaño de la función de Auditoría Interna, un

reto igual de trascendental es determinar la estructura ideal,
47% Un gerente
considerando la experiencia de los miembros, las áreas de
especialidad y las funciones que desempeñarán.

La estructura debe ser establecida partiendo de un análisis

detallado de las características de la empresa y las expectativas
8% Dos gerentes
de la función. Por ejemplo, una organización con diversos
puntos de venta y centros de distribución, posiblemente tendrá

26%Tres gerentes o más

una estructura con menos gerentes por auditor; a diferencia
de una del sector financiero donde el nivel de especialización
requerido es mayor.

10
 Estudio integral de la función de Auditoría Interna en México

La jerarquía de los integrantes va ligada a su experiencia, siendo los directores los de mayor experiencia, ya que 31% de ellos
cuentan con más de 20 años en la práctica, mientras que solo 12% de los gerentes alcanzan dicho nivel.

¿Cuál es la experiencia promedio de los miembros del equipo de Auditoría Interna?

Analistas / Asistentes 86% 9% 3% 2%

Encargados / Coordinadores 54% 38% 6% 2%

Jefes / Supervisores 40% 38% 19% 2% 1%

Gerentes Senior / Gerentes 25% 19% 27% 17% 12%

Directores 23% 8% 22% 16% 31%

0 a 5 años 6 a 10 años 11 a 15 años 16 a 20 años Más de 20 años

11
Los sistemas de información son fundamentales en la
operación de una organización y han llevado a modificar los
modelos de negocio; sin embargo, el uso de la tecnología
también conlleva riesgos.

Contar con auditores especializados en tecnologías de la

información es fundamental en un área de Auditoría Interna,
no obstante, 43% de las funciones no cuentan con uno.

La función cuenta con auditores

de tecnologías de la información

43% No cuenta

35% Un auditor

9% Dos auditores

13% Tres auditores o más

El estudio revela que 62% de los directivos identifican
el fraude como uno de los principales riesgos para su
compañía (ver página 21); sin embargo, solo 36% cuentan
con al menos un auditor forense.

Es importante que la atención al fraude incluya esfuerzos

alineados hacia su prevención, identificación y respuesta,
dando un tratamiento adecuado a cualquier caso de fraude,
para así mantener una cultura ética y comunicar que los
actos contrarios al código respectivo no serán tolerados.

12
Estudio integral de la función de Auditoría Interna en México

13
La función cuenta con auditores forenses ¿A quién reporta organizacionalmente la función
de Auditoría Interna en su compañía?

64% No cuenta

19% Un auditor 66%

Comité de Auditoría
7% Dos auditores

10% Tres auditores o más

16%
Director General
El no contar con habilidades adecuadas en la función

13%
de Auditoría Interna cuando esta es responsable del
seguimiento, investigación y conclusión de denuncias
anónimas en la empresa, podría erosionar la confianza
del personal con relación a este mecanismo, al no
percatarse de las acciones concretas derivadas de las
denuncias interpuestas. Consejo
de Administración
Posicionamiento
Además de la estructura y composición de la función de Auditoría
Interna, un aspecto relevante que afecta la influencia e impacto
3%
que tiene en la organización, es el posicionamiento de la misma.
El primer paso para establecer un posicionamiento efectivo
de la función es reportar a un órgano de gobierno corporativo
Accionistas
independiente y que ejerza influencia importante en la empresa.

Este órgano de gobierno debe involucrarse permanentemente con

Auditoría Interna y transmitir el mensaje al resto de la compañía de 2%
que sus actividades son prioritarias para el buen funcionamiento y
gestión de riesgos. Administrativamente puede esta reportar a una
dirección del negocio; sin embargo, funcionalmente es importante
Director de Finanzas
que le reporte a un órgano de gobierno para asegurar que su
trabajo sea independiente y objetivo.
0%
Según los resultados de nuestro estudio, 82% de las funciones
de Auditoría Interna en México son independientes, reportando
a un órgano que no opera las actividades diarias del negocio 0% Contralor
(accionistas, Consejo de Administración o Comité de Auditoría).
Otro
14
 Estudio integral de la función de Auditoría Interna en México

¿Cuál considera que es el grado de

impacto o influencia que tiene la función
de Auditoría Interna en la organización?
50%

43%

El 55% del total de encuestados,

consideran que la función
de Auditoría Interna tiene un impacto
o influencia moderado o menor en
la organización
5%
2%

Desconozco el impacto o influencia

Poco o nulo impacto o influencia
Moderado impacto o influencia
Alto impacto o influencia

15
16
 Estudio integral de la función de Auditoría Interna en México

Gestión de talento conocimientos y adquirir nuevas habilidades de manera que

la Auditoría Interna evolucione a la par de la organización.

A medida que las organizaciones se han vuelto más complejas
y especializadas, las funciones de Auditoría Interna han tenido
que evolucionar para contar con la capacidad de evaluar las
distintas operaciones de la empresa; por eso es necesario que
Auditoría Interna posea todos los conocimientos y habilidades
requeridas para aportar valor a las distintas áreas evaluadas. Para
lograrlo, es indispensable contar con planes de actualización y
desarrollo de talento que permitan a los auditores fortalecer sus
Es relevante que al desarrollar un plan de capacitación
y desarrollo se consideren tanto habilidades técnicas
(por ejemplo: data & analytics, tendencias de la industria
y normas contables), como soft skills, ya que ambas son
fundamentales para la operación eficiente de la función; como
lo muestra el estudio, las dos habilidades más mencionadas
de un auditor interno se relacionan con pensamiento crítico
(75%) y comunicación (61%).

¿Cuáles son las cinco principales habilidades que debe tener un profesional de Auditoría Interna?

Pensamiento crítico / juicio 75%

Comunicación 61%

Comprensión / uso de análisis de datos 55%

Experiencia en varias áreas de negocio 55%

Mejora de procesos 48%

Manejo de conflictos 47%

Sugerencia de soluciones 41%

Tecnológicas 28%

Proactividad 23%

Técnico-financieras / contables 22%

Gestión de proyectos 20%

Conocimiento de tecnologías emergentes (data & analytics,

20%
robotic process automation, entre otras)

Pensamiento creativo 20%

Eficiencia 16%

Técnico-operativas 5%

*La suma de las variables no es igual a 100% debido a que era posible seleccionar más de una opción.

17
Aunque los líderes de negocio reconocen la necesidad de ¿Posee un plan formal de capacitación para el
fortalecer los conocimientos y habilidades de los auditores personal de la función de Auditoría Interna?
internos, no todas las organizaciones proveen la capacitación
necesaria para su desarrollo. Lo anterior dificulta que la función de
Auditoría Interna funja como un semillero que provea de recursos a
distintas áreas de la empresa, aprovechando el conocimiento que
adquieren en Auditoría Interna respecto a distintas funciones de

66%
negocio. De acuerdo con este estudio, 29% de los encuestados
afirman que en sus organizaciones los auditores internos no
reciben capacitación o reciben menos de 16 horas al año, y 34%
no cuenta con un plan formal de capacitación.

Sí
No 34%

18
 Estudio integral de la función de Auditoría Interna en México

En promedio, ¿cuántas horas de capacitación recibe anualmente

cada miembro de la función de Auditoría Interna?

Entre

46%
17 y 40 horas

Menos
de 16 horas
25%
Más de
40 horas No recibe

25%
capacitación

4%
19
Plan de
auditoría
 Estudio integral de la función de Auditoría Interna en México

El primer paso en el proceso de una auditoría interna es el
determinar un plan que atienda los principales riesgos estratégicos
de una organización, de lo contrario el impacto que tendrán los
resultados de los proyectos será muy limitado. De acuerdo con
Perspectivas de la Alta Dirección en México 2019 de KPMG, los
dos objetivos de la administración de riesgos más mencionados por
los directivos son el cumplimiento regulatorio (70%) y aumentar la
rentabilidad (60%).
Al final del día, los esfuerzos de Auditoría Interna deben ir dirigidos a
los aspectos que pueden tener un mayor impacto en la organización
y atender las inquietudes de los accionistas y líderes de la misma.
Conocer las preocupaciones y estrategias de la Alta Dirección es
fundamental para desarrollar un plan de auditoría que cumpla con
sus expectativas y aporte valor, y que los alcances del plan vayan
más allá del cumplimiento de políticas y procedimientos internos,
asegurándoles a los stakeholders que los principales riesgos
estratégicos de la organización están siendo atendidos.
Los líderes de Auditoría Interna identifican entre los principales
riesgos estratégicos para sus compañías la ciberseguridad (74%),
la adopción de nuevos modelos de negocio y tecnologías (66%),
el fraude (62%) y las faltas a la ética y a la integridad en las
organizaciones (60%).

¿Qué riesgos considera relevantes en su compañía actualmente?

Ciberseguridad 74%

Adopción de nuevos modelos

de negocio o tecnologías 66%

Fraude 62%

Ética e integridad en la organización 60%

Cultura / ambiente de control 59%

Gestión de relaciones con terceros (clientes,

proveedores) y acceso a información de la compañía 59%

Nuevas regulaciones de mi industria 50%

Gestión adecuada del talento 48%

Reputacionales 45%

Regulaciones de protección de datos personales 45%

Iniciativas o proyectos a gran escala o que inciden

transversalmente en la organización 43%

Nueva normatividad contable 41%

Nuevas regulaciones fiscales 33%

Adopción de tecnologías emergentes

31%
(robotics, inteligencia artificial, entre otros)

Regulaciones ambientales 31%

Expansión orgánica 31%

Expansión inorgánica 21%

*La suma de las variables no es igual a 100% debido a que era posible seleccionar más de una opción.
21
Los proyectos de Auditoría Interna para incluir en el plan
anual deben definirse a partir del proceso de identificación
y evaluación de riesgos; sin embargo, una inquietud frecuente
de los Comités de Auditoría es el nivel de precisión sobre el
cual definir los proyectos.

Algunas compañías tienden a definir proyectos de auditoría

a riesgos muy puntuales, los cuales pueden ser concluidos
en poco tiempo y les permite ejecutar una alta cantidad de
proyectos en el año. Lo anterior implica un mayor esfuerzo de
gestión y control de la función para organizar los proyectos
internamente y con las áreas auditadas. En cambio, otras
organizaciones definen pocos proyectos en su plan, pero con
alcances muy amplios, lo que resulta en auditorías de mayor
duración. Los resultados muestran que en México 72% de las
funciones definen menos de 25 proyectos al año, y solo 17%
incluyen más de 50 proyectos.

Cantidad de proyectos de Auditoría

Interna en promedio por año

29%

24%

19%
17%

9%

2%
Los proyectos de Auditoría Interna para
incluir en el plan anual deben definirse a
partir del proceso de identificación
Menos de seis y evaluación de riesgos; sin embargo, una
6 a 15
16 a 25
inquietud frecuente de los Comités de
26 a 40 Auditoría es el nivel de precisión sobre el
41 a 50
Más de 50
cual definir los proyectos
Por otra parte, se observó que los planes de Auditoría Interna
en el país están distribuidos en distintos tipos de proyectos,
predominando las auditorías relacionadas a reporte financiero
y operativas. Sobresale que 15% de los encuestados
mencionaron no llevar a cabo auditorías de tecnologías de
la información; 45%, revisiones de ciberseguridad; 19%,
auditorías de seguimiento y cierre de brechas; 10%, actividades
relacionadas a fraude y 36%, proyectos de consultoría.

22
 Estudio integral de la función de Auditoría Interna en México

De acuerdo con el tipo de proyectos de Auditoría Interna,

¿cómo se encuentra distribuido el plan de esta función?

Revisiones de ciberseguridad 45% 45% 9% 1%

Proyectos de consultoría 36% 48% 12% 2% 2%

Cumplimiento Sarbanes-Oxley 74% 17% 5% 4%

Auditorías operativas 3% 14% 12% 40% 21% 10%

Auditorías de TI 15% 54% 21% 5% 5%

Auditorías de seguimiento
y cierre de brechas 19% 48% 19% 9% 2% 3%

Auditorías de reporte financiero 7% 43% 28% 17% 5%

Auditorías de cumplimiento
(leyes y regulaciones) 12% 57% 14% 9% 5% 3%

Auditorías al programa de
automatización de procesos (RPA) 69% 21% 7% 2% 1%

Auditoría de riesgos estratégicos 15% 45% 12% 15% 9% 4%

Atención a temas de fraude 10% 50% 28% 9% 3%

0% 1%-15% 16%-25% 26%-50% 51%-75% Más de 75%

23
Horas requeridas en promedio para cumplir
con el plan anual de Auditoría Interna

22%
21%

18%

15%
14%
Como lo mencionamos anteriormente, los recursos de
Auditoría Interna son limitados y es imposible que el plan
10% cubra todos los riesgos de la organización, es por ello que el
proceso de planeación y definición del plan es sumamente
relevante para asegurar que los recursos estén asignados
adecuadamente. Para cubrir el plan de auditoría, 72% de los
directivos afirmaron que dedican menos de 18,000 horas a los
proyectos de Auditoría Interna; y 18%, más de 25,000.

Menos de 4,000 horas

4,000 a 8,000 horas
8,001 a 12,000 horas
12,001 a 18,000 horas
18,001 a 25,000 horas
Más de 25,000 horas

24
 Estudio integral de la función de Auditoría Interna en México

Horas requeridas en promedio para cumplir con el

plan anual de Auditoría Interna, que las compañías
con ingresos menores a 30,000 mdp invierten

36%

28%

El 64% de las compañías con ingresos

menores a 30,000 millones de pesos
16%
invierten menos de 8,000 horas en
12% proyectos de Auditoría Interna.
8%

Menos de 4,000 horas

4,000 a 8,000 horas
8,001 a 12,000 horas
12,001 a 18,000 horas
18,001 a 25,000 horas

25
 Ejecución,
reporteo y
tercerización
26
 Estudio integral de la función de Auditoría Interna en México

Ejecución y reporteo
Es altamente recomendable que el líder de Auditoría Interna
establezca un calendario para la ejecución de los proyectos, que
considere los planes a realizar, los recursos disponibles y los
esfuerzos estimados para completar cada una de las revisiones. Es
natural que el calendario se ajuste durante el año para adaptarse
a las circunstancias y necesidades que surjan; sin embargo, es
importante contar con dicho calendario para tener un punto de
partida sobre el cual monitorear la ejecución de los proyectos.

Los tiempos considerados para cada proyecto del calendario

deben incluir todos los pasos del proceso de auditoría, desde la
planeación hasta la emisión y presentación del reporte final. No
obstante, es común que los auditores internos se cuestionen
cuánto tiempo es razonable para llevar a cabo la planeación de una
auditoría, emitir el borrador de informe o generar un reporte final.

Según los resultados de nuestro estudio, 72% de las funciones

dedican siete o menos días en promedio para llevar a cabo el
proceso de planeación de las revisiones; 76% dedica en promedio
menos de siete días para generar un borrador del informe una vez
que se concluye con el trabajo de campo, y 57% toma menos de
tres días para emitir un informe final a partir de dicho borrador.

Planeación de la auditoría

38%
34%

12% 12%

4%

1 a 3 días
4 a 7 días
8 a 14 días
15 a 20 días
21 a 30 días

27
Trabajo de campo Borrador del informe de auditoría*

27% 43%
26%

21% 33%

12%
17%
9%

5% 7%

1 a 3 días 15 a 20 días 1 a 3 días 8 a 14 días

4 a 7 días 21 a 30 días 4 a 7 días 15 a 20 días
8 a 14 días Más de 30 días

* Días transcurridos entre la finalización del trabajo de campo y la emisión del borrador del informe
de resultados para ser validado con los auditados.

Informe final de auditoría

(borrador del informe al informe final)*

57%

Llevar el control de los proyectos, así como de los recursos,

papeles de trabajo, entregables, estatus de planes de acción,
entre otros elementos, puede llegar a ser complejo, sobre
21% todo en funciones robustas. Un sistema especializado de
17% gestión de Auditoría Interna puede ayudar a optimizar y
controlar puntualmente las actividades del área. De acuerdo
con los líderes de negocio, 52% de ellos cuentan con una
herramienta de este tipo, de los cuales 28% cuenta con una
5%
desarrollada internamente y 24%, con una comercial.

El ejecutar un proyecto de Auditoría Interna es un trabajo arduo

1 a 3 días que conlleva actividades de planeación, entendimiento, análisis,
4 a 7 días evaluación y validación de información, lo cual debe quedar
8 a 14 días documentado en papeles de trabajo. No obstante, la información
15 a 20 días que se comparte a una organización como producto final de
* Días transcurridos entre la emisión del borrador del informe a la emisión del reporte final una vez
todo este esfuerzo, es el informe de auditoría, el cual plasma los
validado con los auditados. resultados de la revisión.

28
 Estudio integral de la función de Auditoría Interna en México

¿Cuenta con alguna herramienta tecnológica

para administrar y documentar el trabajo de
la función de Auditoría Interna?

Para que un informe de auditoría sea efectivo, debe ser ejecutado

para captar la atención de los lectores; además, debe incluir
toda la información necesaria de forma priorizada a fin de que
los lectores tengan el contexto necesario para comprender y
24% dimensionar las áreas de oportunidad, los planes de acción y
demás información relevante sobre la auditoría.

Los elementos incluidos en los informes pueden ser diversos;

sin embargo, tal como lo indican los resultados de la siguiente
48% gráfica, un elemento que casi siempre está presente es la
inclusión de un resumen ejecutivo de los principales hallazgos.
El estudio señala que 76% de los encuestados incluyen los
planes de acción provistos por los auditados, así como su
fecha compromiso.

28% Consideramos que este es un elemento esencial de un

reporte de auditoría, ya que sin un compromiso concreto de la
administración en respuesta al hallazgo, no se estaría alcanzando
uno de los objetivos fundamentales de Auditoría Interna.

No se utiliza alguna herramienta

Se cuenta con un desarrollo interno
Se cuenta con una herramienta comercial

¿Cuáles de los siguientes elementos son comunicados en el informe de auditoría?

Resumen ejecutivo de los principales hallazgos 95%

Recomendaciones de mejora 93%

Clasificación de las observaciones

(importancia o impacto) 90%

Se hace énfasis cuando existen

observaciones recurrentes 83%

Descripción detallada de las observaciones 79%

Planes remediales provistos por el
auditado y fechas compromiso 76%

Calificación cualitativa general de la auditoría 72%

Calificación cuantitativa general de la auditoría 60%

Hallazgos positivos / buenas prácticas identificadas 36%

*La suma de las variables no es igual a 100% debido a que era posible seleccionar más de una opción.

29
Si bien mencionamos que el informe de auditoría es el
principal mecanismo de comunicación del trabajo ejecutado
por el área de Auditoría Interna, existe otra información que
debe ser comunicada al órgano que supervisa la función
de Auditoría (tales como Consejo de Administración,
Comité de Auditoría) con el objetivo de revisar la función,
monitorear sus avances y evaluar su desempeño. La
siguiente gráfica presenta los elementos más comunes
que los líderes de las funciones de Auditoría reportan a los
órganos que las supervisan.

¿Qué información se presenta al órgano o posición que supervisa a la función de Auditoría Interna
(Consejo de Administración, Comité de Auditoría, Dirección General, Dirección de Finanzas)?

Plan de Auditoría Interna

93%

Detalle de hallazgos significativos de auditoría 88%

Estatus de observaciones de
Auditoría Interna abiertas 84%
Estatus del plan de auditoría (procesos finalizados, con
retraso, no iniciados, entre otros) 78%
Resultados del seguimiento
al buzón de denuncias 60%

Presupuesto del área (horas y económico) 59%

Evaluación / perfil de riesgos de la organización 55%

Estructura del área y características 53%

Información sobre riesgos de fraude 48%

Indicadores de productividad del área 41%

Cobertura de los riesgos organizacionales clave 40%

Comparativo de variaciones en relación

con el presupuesto clave 26%

*La suma de las variables no es igual a 100% debido a que era posible seleccionar más de una opción.

Tercerización
La función de Auditoría Interna requiere cada vez más de
especialización para aportar valor a una empresa, lo que en
ocasiones puede ser complejo y costoso. Una forma de contar
con conocimientos específicos, sin tener que incurrir en altos
costos para la contratación de especialistas y su entrenamiento,
es la tercerización parcial o total de la función de Auditoría Interna.
Existen distintos modelos de tercerización como lo son:
Préstamo de recursos: un proveedor de servicios proporciona
capital humano con las habilidades y experiencias requeridas por
la compañía, la cual es responsable de supervisar el trabajo del
personal asignado.

30
 Estudio integral de la función de Auditoría Interna en México

Co-sourcing: una compañía externa apoya a la función ¿Qué porcentaje de las horas totales de
de Auditoría Interna con proyectos específicos y brindando la función de Auditoría Interna del año
asesoría a los líderes dentro de esta. anterior fueron provistas por un tercero?

Outsourcing: la función entera de Auditoría Interna es

llevada a cabo por un proveedor de servicios.

A medida que se acerca una tercerización al modelo de 3% 3%

outsourcing, los costos de la función se convierten en
variables, lo que permite adaptar la estructura, tamaño y
especialización de forma ágil conforme se requiera.
15%
De las organizaciones encuestadas, 57% recibieron en alguna
medida apoyo por parte de externos durante el ejercicio
inmediato anterior, invirtiendo en su mayoría (79%) menos
de 25% del total de horas que se tenían presupuestadas
para esta función.

El apoyo recibido por parte del proveedor fue principalmente

en proyectos de aseguramiento, relacionados con tecnologías
de información, consultorías especializadas y seguimiento
a fraudes.
79%

Durante el año anterior, ¿se contrataron

terceros (externos) para apoyar a la función
de Auditoría Interna? Menor a 25%
26% a 50%
Más de 51%
La función se encuentra totalmente tercerizada

57% Algunas ventajas que brinda la tercerización a las

organizaciones son: la independencia del proveedor
del servicio, la dotación de personal capacitado y gestión
del mismo, la disponibilidad inmediata de recursos adicionales
en caso de requerimientos especiales o urgentes, el acceso
a mejores prácticas, la cobertura en otras locaciones o
áreas geográficas en donde el proveedor tenga recursos,

37%
entre otras.

Una forma de contar con conocimientos

específicos, sin tener que incurrir en
6% altos costos para la contratación de
especialistas y su entrenamiento,
es la tercerización parcial o total de la
Sí
función de Auditoría Interna
No
No sabe

31
¿Cómo buscar una tercerización Si su empresa está evaluando

parcial o total de la función de

tercerizar en alguna medida
su función de Auditoría Interna,
KPMG en México recomienda
seguir los siguientes pasos

Auditoría Interna? para una transición ordenada

y efectiva.

Planeación y evaluación Selección del proveedor

Una organización debe evaluar su función de Al seleccionar un proveedor de servicio para la
Auditoría Interna e identificar su intención tercerización de la función de Auditoría Interna,
de solicitar servicios de un tercero mediante: la organización debe verificar lo siguiente:

Determinación de la alineación al modelo de negocio Los requisitos comerciales y el alcance están

claramente definidos
Revisión de consideraciones clave para la tercerización
El caso de negocio ya ha sido revisado
Realizar una evaluación del estado actual de la función,
incluidos los recursos actuales y las habilidades en Compatibilidad cultural
su conjunto
Experiencia en Auditoría Interna con empresas
Desarrollar un caso de negocio para la tercerización de la industria
de la función de Auditoría Interna
Uso de un enfoque de auditoría interna flexible
Desarrollar una estrategia de modelo de prestación y eficaz basado en riesgos
de servicios
Acceso a recursos con habilidades especializadas
Identificación de proveedores que se incluirán en el
proceso de evaluación Alcance geográfico

32
 Estudio integral de la función de Auditoría Interna en México

Implementación Monitoreo y reporteo

Para asegurar una transición sin Reuniones frecuentes: el contacto por parte de
problemas, considere: la compañía y el proveedor de servicios deben
abordar los siguientes temas:

Programar protocolos y procesos de gestión Estatus del plan de Auditoría Interna

Prepararse para la transición: establecer un cronograma Resultados de auditorías

y un plan de trabajo para el cambio e implementación
de lineamientos, estándares y protocolos
Establecimiento del gobierno corporativo: definir las
responsabilidades y expectativas de los informes
relacionados con la administración, la Dirección General
y el Comité de Auditoría, los procedimientos de
escalamiento, el seguimiento de problemas
y su resolución
recientemente completadas
Planificación, alcance y presupuesto de los
proyectos de Auditoría Interna
Actualizaciones periódicas y discusión de los
problemas y riesgos emergentes de la industria
Seguimiento y resolución de problemas

El proveedor debe dedicar tiempo a aprender sobre la Satisfacción y cooperación de los auditados
compañía, su cultura, su enfoque actual de Auditoría
Interna y sus recursos

Evaluar e identificar oportunidades para mejorar el

proceso de gestión de riesgos y la metodología de
Auditoría Interna

Entender las prácticas existentes de la empresa, incluido

el proceso de planificación de Auditoría Interna, los
protocolos de comunicación, las relaciones con los
auditores externos y el Comité de Auditoría, las
normativas de los papeles de trabajo y sus requisitos
de informes

33
 Evaluación
del desempeño
34
 Estudio integral de la función de Auditoría Interna en México

Lo que se mide se puede mejorar, y la función de Auditoría
Interna es un ejemplo de ello. El monitorear y evaluar los
resultados de Auditoría Interna debe ser un ingrediente
fundamental en los procesos de la práctica, los cuales le permitirán
identificar oportunamente áreas de mejora en sus metodologías,
enfoque y entregables.
Así como es esencial que los auditados establezcan planes de
acción para las áreas de oportunidad, los líderes de la función
también deben desarrollar actividades específicas para atacar
estas áreas identificadas en sus evaluaciones de desempeño; de
lo contrario, las evaluaciones no cumplirán con su objetivo principal
que es la mejora continua.
El método más común que las funciones de Auditoría Interna en
México emplean para monitorear su desempeño, según
58% de los encuestados, es el utilizar indicadores de
desempeño: de productividad tales como horas incurridas
contra estimadas; proyectos completados contra los incluidos
en el plan anual; gastos reales versus presupuestados,
uso de personal, entre otros. Igualmente, 58% obtiene
retroalimentación formal del órgano que supervisa a la función
por ejemplo, Consejo de Administración, Comité de Auditoría,
Dirección General. Cabe mencionar que 57% aplican
encuestas de satisfacción a los auditados al concluir las
revisiones, lo cual es un mecanismo muy efectivo para identificar
áreas de oportunidad sobre el valor que perciben los usuarios
de la función. Asimismo, solo 13% implementa algún tipo
de evaluación de calidad por parte de un miembro externo
a la función de Auditoría Interna.

¿Cuál de los siguientes medios o métodos se utilizan para

evaluar el desempeño de la función de Auditoría Interna?

58%
Retroalimentación del órgano
o posición que supervisa
a la función de Auditoría

58%
Interna (Consejo de Indicadores de desempeño -
Administración, Comité de productividad (horas incurridas
Auditoría, Dirección General) vs. estimadas, proyectos
completados, gastos reales vs.
presupuesto, uso de personal)

38% Tendencias sobre hallazgos de

57%
Encuesta de auditoría e implementación de
satisfacción de los acciones correctivas
auditados al finalizar
cada proyecto de
Auditoría Interna
Indicadores de desempeño

26%
- efectividad (cobertura de
riesgos, deficiencias SOX,
utilización del trabajo por
auditoría externa, ahorros o
recuperación obtenida)

19% No se cuenta con un medio

o método formal para evaluar
internamente la función de
Auditoría Interna
13%
Resultados de revisiones
externas de calidad

19%
Indicadores de desempeño
- innovación (incorporación
de tecnología, auditoría /
monitoreo continuo)

*La suma de las variables no es igual a 100% debido a que era posible seleccionar más de una opción.

35
De acuerdo al estándar 1312 de las Normas Internacionales para
el Ejercicio Profesional de la Auditoría Interna publicadas por el
Instituto de Auditores Internos, las organizaciones deben llevar
a cabo, al menos cada cinco años, una evaluación de calidad por
parte de un evaluador externo, ajeno a la organización, que esté
cualificado para ello.

Se sugiere que dicha evaluación se realice de manera integral,

incluyendo comentarios tanto estratégicos como operativos,
que ayuden a la función a identificar incumplimientos con las
normas y elementos, que le permitan mejorar su eficiencia y valor
dentro de la organización. Es importante que los resultados sean
comunicados al órgano supervisor, de manera que se puedan
definir acciones correctivas sobre las conclusiones del evaluador.

Considerando el estándar antes mencionado, identificamos

que 59% de las organizaciones en México cumplen con la
periodicidad establecida en la norma, y 39% nunca ha llevado
a cabo un ejercicio de evaluación mediante la utilización de un
especialista externo.

¿Con qué frecuencia la función de Auditoría

Interna es evaluada por un revisor externo
calificado e independiente a la organización?

43%
39%

16%

2%

De 1 a 3 años
De 4 a 5 años
6 años o más
Nunca

Implementar una evaluación de calidad por un tercero permitirá,

además de eliminar una posible “ceguera de taller”, identificar
incumplimientos a las normas internacionales, áreas de
oportunidad en cuanto al posicionamiento, enfoque, procesos,
talento y gestión del área, al llevar a cabo un benchmark contra
prácticas líderes de Auditoría Interna.

36
Estudio integral de la función de Auditoría Interna en México

37
 Tendencias
y expectativas
38
a futuro
 Estudio integral de la función de Auditoría Interna en México

En los últimos años a nivel global, el uso de herramientas de

análisis masivo de datos (data & analytics) ha sido una de las
principales iniciativas de las funciones de Auditoría Interna
para evolucionar, ser más eficientes y aportar mayor valor a
sus empresas. Asimismo, el uso de estas herramientas no
es exclusiva de estas funciones. De acuerdo con el estudio
Perspectivas de la Alta Dirección en México 2019, el análisis
masivo de datos es la principal iniciativa que 84% de los
directivos planean implementar para mejorar la competitividad
de sus organizaciones.

Esta tendencia aún no se ha visto reflejada del todo en las

funciones de Auditoría Interna en México, ya que solo 51%
de los encuestados afirman contar con una herramienta
de análisis masivo de datos. Lo anterior también contrasta
con las tendencias en cuanto al incremento en el uso de
tecnologías de la información y digitalización de la información.
Mediante el uso de estas herramientas, Auditoría Interna
tendrá la habilidad de aportar valor agregado en las revisiones
y profundizar en sus alcances y hallazgos, llegando más allá de
los simples incumplimientos identificados.

¿Utiliza alguna herramienta de análisis masivo

de datos (data & analytics) en sus proyectos de
Auditoría Interna?

51%
47%
2%
Sí
No
No sabe

39
Los análisis masivos de datos pueden ser utilizados
a lo largo de todo el proceso de auditoría y no solo
en la ejecución de las revisiones, en las cuales son
principalmente implementados por las funciones:
ejecución de proyectos - durante el trabajo de
campo (74%).

Data & analytics puede ser utilizado desde la elaboración

del plan anual para identificar y cuantificar los aspectos
más relevantes de la organización; para llevar a cabo
pruebas analíticas y así enfocar mejor los procesos de
muestreo; para evaluación de resultados y para los análisis
de la implementación de planes de acción.

De 51% de los encuestados que actualmente utilizan

alguna herramienta para el análisis de datos de forma
masiva en Auditoría Interna, únicamente 22% de ellos
lo aplican en el proceso de planeación anual, y 37%
en la cuantificación de resultados y el proceso de
evaluación de riesgos.

¿En qué etapas del proceso de Auditoría

Interna utiliza análisis masivo de datos
(data & analytics?)

74%

59% 59%

37% 37%

22%

Planeación anual
Evaluación de riesgos
Alcances y planeación de auditorías
Ejecución - antes del trabajo de campo
Ejecución - durante el trabajo de campo
Cuantificación de resultados
*La suma de las variables no es igual a 100% debido a que era
posible seleccionar más de una opción.

40
 Estudio integral de la función de Auditoría Interna en México

Es alentador que 64% de los líderes de negocio identifican el análisis masivo de datos como una de las iniciativas que buscan
desarrollar en los próximos años, solo superada por las iniciativas de mejorar el proceso de identificación y evaluación de riesgos
para el plan de Auditoría Interna (81%) y por mejorar el posicionamiento de la función (66%).

¿Qué conceptos planea desarrollar en su función de Auditoría

Interna en los próximos tres años?

Mejorar el proceso de identificación y evaluación de

riesgos para la Auditoría Interna
81%

Mejorar el posicionamiento de la función 66%

Incrementar el uso de data & analytics 64%

Estabilizar procesos actuales

de la función de Auditoría Interna 57%

Automatizar procesos y actividades

de Auditoría Interna (robotics)
51%

Proveer a la función de Auditoría Interna con

herramientas para su gestión 51%

Mayor especialización en temas

de ciberseguridad y TI 49%

Adoptar un enfoque de aseguramiento integrado 42%

Incrementar los proyectos de asesoría / consultoría 40%

Incrementar la contratación de servicios

de terceros especializados
17%

Incrementar la externalización / tercerización de

procesos de Auditoría Interna
11%

Disminuir el grado de procesos de Auditoría Interna

externalizados / tercerizados 8%

No estoy seguro 0%

*La suma de las variables no es igual a 100% debido a que era posible seleccionar más de una opción.

Llama la atención el énfasis que los líderes de Auditoría
Interna le dan a mejorar el posicionamiento de la función
(66%), ya que 82% de los encuestados mencionaron que
reportan a un órgano de gobierno (tales como accionistas,
Consejo de Administración o Comité de Auditoría). Lo anterior,
pone en evidencia que no por el hecho de que Auditoría
Interna sea independiente y reporte directamente a un órgano
de gobierno, adquiere un posicionamiento relevante en la
organización. Para lograrlo, el área tiene que tener el apoyo de
la Alta Dirección y órganos de gobierno corporativo
de la empresa, trabajando estrechamente con ellos para
lograr posicionarla como un socio estratégico a lo largo de
toda la compañía.
Aunado a lo anterior, 46% de los encuestados planean
incrementar en alguna medida el tamaño de sus funciones,
mientras que 43% prevé mantener estable su tamaño en los
próximos tres años.

41
¿Cuál es la expectativa de crecimiento
de su función de Auditoría Interna en los
próximos tres años?

2%

9%

13%

43%

33%

Permanecerá estable
Tendrá un incremento menor
Tendrá un incremento significativo
No estoy seguro
Tendrá un decremento significativo
Tendrá un decremento menor (0%)

Incorporar nuevas habilidades y

conocimientos, así como buenas
prácticas y tecnología a la función de
Auditoría Interna, debe estar siempre en
la agenda de la Alta Dirección

42
 Estudio integral de la función de Auditoría Interna en México

Conclusiones
Las funciones de Auditoría Interna no son solo aplicables a las grandes empresas
transnacionales, sino que es una buena práctica que las pequeñas y medianas
empresas de todos los sectores deben pensar en implementar, considerando el valor
agregado que puede aportar. Por valor se entiende una función que no solo magnifica
lo que la compañía ya conoce, sino que presenta nuevos hallazgos, ofrece perspectivas
de vanguardia y provee recomendaciones innovadoras encaminadas a mejorar la
eficiencia de las operaciones y gestión de riesgos.

Asimismo, Auditoría Interna debe ser un órgano independiente que proporcione

certeza a los accionistas o Consejo de Administración de que los riesgos estratégicos
de la organización son atendidos apropiadamente y que la información obtenida por los
líderes para la toma de decisiones es razonable.

Cada empresa tiene características propias que la hace única y, en consecuencia,

sus funciones de Auditoría Interna deben adaptarse a sus condiciones, momento
y estrategia. Lo anterior, implica que cada función de Auditoría Interna debe ser
estructurada y enfocada con base en sus propias necesidades. Sin embargo, el
presente estudio puede ayudar a identificar lo que otras funciones están haciendo y así
servir como punto de partida para afinar su propia función.

Los resultados de nuestro estudio indican que las funciones de Auditoría Interna en
México tienen en general un buen posicionamiento debido a que 82% reporta a un
órgano independiente de la operación y 81% cuenta con al menos un director, lo que
les permite interactuar de forma más transparente con los líderes de otras áreas.
Sin embargo, deben seguir trabajando para incorporar buenas prácticas a la función
como la utilización de herramientas de análisis masivo de datos, considerando que
solo 51% utiliza alguna herramienta actualmente, o la incorporación de auditores con
conocimientos de tecnologías de la información.

Hay que recordar que la naturaleza de los servicios de Auditoría Interna pueden ser de
aseguramiento y consultoría. Muchas funciones de Auditoría Interna siguen enfocadas
en proveer exclusivamente servicios de aseguramiento; sin embargo, con más
frecuencia las partes interesadas (stakeholders) de la función, buscan que la misma
aporte valor agregado a la organización mediante recomendaciones que contribuyan
a mejorar la rentabilidad, a incrementar la eficiencia de las operaciones y ayuden a
monitorear que los riesgos estratégicos del negocio son gestionados adecuadamente.
La capacitación es un medio esencial para incrementar el valor que aporta la función,
no obstante, 29% de los encuestados afirman que sus funciones no reciben
capacitación o reciben menos de 16 horas al año, y 34% de las funciones no cuentan
con un plan formal de capacitación.

Incorporar nuevas habilidades y conocimientos, así como buenas prácticas y tecnología

a la función de Auditoría Interna, debe estar siempre en la agenda de la Alta Dirección.
Una forma de agilizar la incorporación de este tipo de iniciativas es el asesorarse de un
tercero que tenga la experiencia, credenciales y acceso a buenas prácticas.

43
kpmg.com.mx
01 800 292 KPMG (5764)
asesoria@kpmg.com.mx

Contacto
Jesús Luna
Socio Líder de Asesoría
en Auditoría Interna, Riesgo
y Cumplimiento
KPMG en México

Alberto Dosal
Socio de Asesoría en Auditoría
Interna, Riesgo y Cumplimiento
KPMG en México

Juan Carlos Reséndiz

Socio de Asesoría en Auditoría
Interna, Riesgo y Cumplimiento
KPMG en México

La información aquí contenida es de naturaleza general y no tiene el propósito de abordar las circunstancias de ningún individuo o entidad en particular. Aunque procuramos proveer información
correcta y oportuna, no puede haber garantía de que dicha información sea correcta en la fecha que se reciba o que continuará siendo correcta en el futuro. Nadie debe tomar medidas basado en
dicha información sin la debida asesoría profesional después de un estudio detallado de la situación en particular.

“D.R.” © 2019 KPMG Cárdenas Dosal, S.C., la firma mexicana miembro de la red de firmas miembro de KPMG afiliadas a KPMG International Cooperative (“KPMG International”), una entidad
suiza. Blvd. Manuel Ávila Camacho 176 P1, Reforma Social, Miguel Hidalgo, C.P. 11650, Ciudad de México. Impreso en México. Todos los derechos reservados.