Evaluación de riesgos tributarios guía práctica México 2026

Evaluación de riesgos tributarios: guía práctica México 2026

PorGabriel Aranda Zamacona

¿Cuándo es demasiado tarde para evaluar un riesgo tributario? Cuando la autoridad ya lo identificó primero. Eso, en la práctica, tiene consecuencias patrimoniales directas. La evaluación de riesgos tributarios no es una actividad de cierre de ejercicio. Tampoco es una revisión reactiva después de un requerimiento del SAT. Es anterior al problema. Es el proceso mediante el cual la organización anticipa, analiza y prioriza las contingencias fiscales antes de que se materialicen. La norma UNE 19602:2019 lo establece en su apartado 6.2.1 con precisión: la organización debe desarrollar un proceso de evaluación. Es decir: identificación, análisis y valoración de los riesgos tributarios. Tres etapas. Ninguna opcional. Todas anteriores al problema.

La fiscalización en México opera sobre información que el propio contribuyente reportó —CFDI, declaraciones, estados financieros, datos de nómina—. El SAT, por ello, construye su hipótesis de riesgo con los mismos documentos que la organización generó. Quien no ha hecho su propia evaluación de riesgos tributarios antes de una revisión llega al procedimiento sin mapa de su propia exposición. Sin sistema. Eso no es déficit técnico. Es ausencia de sistema. Este artículo describe, en particular, cómo construir ese mapa. Qué categorías de riesgo reconoce la norma. Y qué exige el CFF respecto de la información contemporánea que lo sustenta.

La evaluación de riesgos tributarios: fundamento normativo y estructura

Qué es la evaluación de riesgos tributarios según la UNE 19602

Si bien la evaluación de riesgos tributarios suele confundirse con la revisión de declaraciones o conciliaciones fiscales, la norma UNE 19602:2019 le asigna un contenido técnico más preciso. El apartado 6.2.1, en definitiva, establece que el proceso de evaluación comprende tres fases ordenadas: identificación, análisis y valoración. La identificación responde a qué puede ocurrir. El análisis responde a con qué probabilidad y con qué consecuencias. La valoración responde a si ese nivel de riesgo es aceptable para la organización o exige controles adicionales. Sin esa secuencia, en definitiva, no hay evaluación —hay lista de pendientes.

UNE 19602:2019

Apartado 6.2.1

“La organización debe desarrollar un proceso de evaluación que comprende la identificación, el análisis y valoración de los riesgos tributarios para: a) Identificar los riesgos tributarios que la organización pueda, razonablemente, anticipar, considerando los factores relacionados en el apartado 4.1 de esta norma UNE. b) Analizar, valorar y priorizar los riesgos tributarios identificados.”

La norma, asimismo, define el riesgo tributario en su apartado 3.32 con una clasificación que la mayoría de las organizaciones pasan por alto: no es un concepto unitario. Se configura en dos tipos según su causa. El riesgo de procedimiento —derivado de un inadecuado proceso de gestión y control de las obligaciones tributarias—. Y el riesgo de interpretación —derivado de que la posición normativa seguida por la organización no sea compartida, en última instancia, por los tribunales—. Esa distinción no es, en absoluto, académica: determina qué tipo de control mitiga cada riesgo y qué evidencia lo desvirtúa.

Los dos tipos de riesgo tributario y sus implicaciones operativas

De ahí que el primer paso de cualquier evaluación sea clasificar correctamente. Un riesgo de procedimiento —no emitir el CFDI con los atributos del artículo 29-A del CFF, o no presentar la declaración informativa en plazo— se mitiga con controles operativos. Listas de verificación, automatización, recordatorios de vencimiento, revisión periódica del área fiscal. La evidencia que lo desvirtúa es, además, documental e inmediata: el comprobante, el acuse de recibo, el registro contable.

Un riesgo de interpretación, por el contrario, opera de manera distinta. La organización tomó una posición: dedujo ciertos gastos como estrictamente indispensables, aplicó determinado tratamiento a operaciones entre partes relacionadas, interpretó el alcance de una exención. Una posición discutible. Esa posición podría no ser compartida por la autoridad o, en última instancia, por el tribunal. El control aquí no es, en cambio, operativo. Es documental-jurídico: dictámenes internos, criterios previos de la PRODECON, consultas formales, trazabilidad de la decisión en el momento en que se tomó. No después. Mezclar ambas categorías en un procedimiento genérico de “revisión fiscal” es la falla estructural más común. Ocurre, principalmente, en los sistemas de cumplimiento que carecen de evaluación formal.

El marco del artículo 5-A del CFF: riesgo de interpretación con consecuencias directas

Ahora bien, el riesgo de interpretación adquirió en México una dimensión específica con la incorporación del artículo 5-A al Código Fiscal de la Federación. Ese precepto establece consecuencias concretas. Los actos jurídicos que carezcan de razón de negocios y generen beneficio fiscal tendrán los efectos que corresponderían a los actos realizados para obtener el beneficio económico razonablemente esperado. La autoridad fiscal puede presumir la ausencia de razón de negocios cuando el beneficio económico cuantificablemente esperado sea menor al beneficio fiscal.

CÓDIGO FISCAL DE LA FEDERACIÓN

Artículo 5-A, párrafos primero y cuarto (DOF 09-04-2026)

“Los actos jurídicos que carezcan de una razón de negocios y que generen un beneficio fiscal directo o indirecto, tendrán los efectos fiscales que correspondan a los que se habrían realizado para la obtención del beneficio económico razonablemente esperado por el contribuyente. […] La autoridad fiscal podrá presumir, salvo prueba en contrario, que no existe una razón de negocios, cuando el beneficio económico cuantificable razonablemente esperado, sea menor al beneficio fiscal.”

La conexión con la evaluación de riesgos tributarios es, por ello, directa. Para cuantificar ese beneficio económico razonablemente esperado, el mismo artículo establece que se considerará la información contemporánea relacionada a la operación. Incluyendo el beneficio económico proyectado. En la medida en que dicha información esté soportada y sea razonable. Eso es, precisamente, lo que produce una evaluación de riesgos bien documentada: información contemporánea, soportada y razonable sobre cada operación relevante. Sin evaluación formal, esa información no existe. O existe de manera dispersa e inaccesible cuando la autoridad la requiere.

Cómo se construye el mapa de riesgos tributarios

Identificación: relacionar obligaciones con actividades reales

Por ello, la identificación de riesgos —primera etapa del apartado 6.2.2— no parte de una lista genérica de impuestos. La norma establece que la organización debe identificar los riesgos tributarios relacionando sus requisitos de compliance con sus actividades, productos y servicios. El objetivo: identificar situaciones en las que pueden ocurrir incumplimientos. La pregunta, en definitiva, no es “¿qué impuestos pagamos?”. Sino: ¿en qué operaciones específicas puede materializarse un riesgo y por qué causa?

En la práctica, asimismo, eso exige recorrer el ciclo completo de operaciones con consecuencias fiscales. Compras a proveedores, facturación a clientes, nómina y retenciones, operaciones con partes relacionadas. Operaciones en moneda extranjera, deducción de gastos, acreditamiento de IVA, tratamiento de ingresos por servicios en distintas modalidades. Cada nodo de ese ciclo puede generar un riesgo de procedimiento. O un riesgo de interpretación. El primero: si la operación no está documentada según lo que exige la ley. El segundo: si la posición adoptada sobre su tratamiento fiscal es discutible. Identificarlos por separado es, por ello, el único modo de asignarles el control correcto.

Análisis y valoración: probabilidad, consecuencias y umbral de aceptación

Pese a que muchas organizaciones identifican riesgos, pocas los analizan con metodología formal. El apartado 6.2.3 exige analizar y priorizar considerando las causas y las fuentes de incumplimientos, así como la probabilidad de que ocurran y la gravedad de sus consecuencias. La nota del mismo apartado precisa, también, que las consecuencias pueden incluir pérdidas económicas y responsabilidades administrativas y penales. No es, en modo alguno, nota decorativa. La responsabilidad penal de administradores vinculada a incumplimientos fiscales existe en el CFF y forma parte del universo de consecuencias que la evaluación debe contemplar.

La valoración —apartado 6.2.4— requiere, además, que la organización establezca criterios para determinar qué nivel de riesgo es aceptable. La nota 1 del mismo apartado señala que la valoración debería incluir el umbral de riesgo que la organización está dispuesta a aceptar. Si el riesgo resultante del análisis supera ese umbral, la organización debe implementar controles adicionales para reducirlo. Sin umbral definido, pues, no hay criterio para priorizar ni para decidir dónde concentrar los controles. Y sin criterio de priorización, la organización trata igual un riesgo de consecuencia menor con uno que puede derivar en crédito fiscal relevante o en responsabilidad solidaria del administrador.

Revisión periódica: los cinco eventos que la activan

Aunado a lo anterior, la evaluación de riesgos tributarios no es un ejercicio estático. El apartado 6.2.5 establece cinco supuestos de revisión. De manera regular, con la frecuencia que defina la organización. Y de manera extraordinaria ante cinco supuestos: cambios significativos en la estructura o actividades; cambios en los requisitos de compliance; incumplimientos detectados; y modificaciones relevantes de la normativa o de la doctrina consolidada de los tribunales.

Este último supuesto tiene, en particular, consecuencias prácticas inmediatas en México. Una tesis de jurisprudencia que modifica el alcance de una deducción. Una regla de la Resolución Miscelánea que cambia los atributos del CFDI. Un criterio normativo del SAT que delimita el tratamiento de una operación. Todos son eventos que activan la revisión extraordinaria de la evaluación. No al cierre del ejercicio, sino de manera inmediata. En el momento en que se publican. La organización que no tiene ese mecanismo formalizado no cumple, por ende, el apartado 6.2.5 —aunque tenga política aprobada, órgano de compliance designado y procedimientos documentados.

Evaluación de riesgos tributarios y socios de negocio

El riesgo que viene de afuera: apartado 8.5 y terceros vinculados

Más aún, la evaluación de riesgos tributarios no se limita a las operaciones propias de la organización. El apartado 8.5 de la norma exige que la organización evalúe el riesgo tributario de sus socios de negocio. Y que establezca controles razonables para prevenirlo, detectarlo y gestionarlo de manera temprana. La definición de socio de negocio del apartado 3.35 es deliberadamente amplia. Cualquier parte con quien la organización tiene, o prevé establecer, algún tipo de relación de negocios relevante. Clientes, proveedores, asesores, contratistas, representantes, intermediarios, socios de joint ventures.

En México, ese riesgo tiene, además, nombre específico en el CFF. El artículo 69-B establece el procedimiento para presumir operaciones inexistentes de emisores de CFDI. Quien dedujo o acreditó esos comprobantes debe entonces desvirtuar la presunción de que las operaciones no se realizaron. Un mapa de riesgos que no incluye la situación fiscal de los proveedores relevantes no identifica uno de los riesgos más frecuentes en fiscalizaciones recientes. La verificación en el portal del SAT, el análisis de sus CFDI emitidos y la revisión ante el IMSS son controles mínimos. La evaluación de riesgos tributarios que cubre únicamente las operaciones propias está incompleta.

Información documentada de la evaluación: el Anexo B y el apartado 6.2.6

En definitiva, la evaluación de riesgos tributarios produce información documentada que debe conservarse. El apartado 6.2.6 lo establece con claridad: la organización debe mantener información documentada de la identificación, análisis y evaluación de riesgos tributarios, así como de la metodología y criterios utilizados. El Anexo B de la norma —de carácter normativo— lo incluye entre los diecinueve ítems de información mínima obligatoria. Esa documentación no es evidencia de que la organización no cometió errores. Es evidencia de algo más valioso, sin embargo. Es evidencia de que los buscó sistemáticamente antes de que la autoridad los encontrara. Eso, ante el TFJA, tiene peso procesal diferente.

¿Cuántas veces al año debe realizarse la evaluación de riesgos tributarios?

La norma UNE 19602:2019 establece revisión regular con la frecuencia que defina la organización, más revisión extraordinaria ante cualquiera de los cinco eventos del apartado 6.2.5. En la práctica, la mayoría de las organizaciones realizan la revisión regular de manera anual y activan la extraordinaria ante cambios normativos relevantes o incumplimientos detectados.

¿La evaluación de riesgos tributarios debe realizarla el área fiscal interna?

No necesariamente. La norma no asigna la función a un área específica. Sí exige que quien la realice tenga la competencia necesaria —apartado 7.3— y que el resultado se informe al órgano de compliance tributario y, cuando corresponda, al órgano de gobierno. En organizaciones medianas, suele participar el área fiscal con el apoyo del órgano de compliance o de un externo especializado.

¿Qué diferencia la evaluación de riesgos tributarios de una revisión fiscal interna?

La revisión fiscal interna verifica si las obligaciones se cumplieron. La evaluación de riesgos tributarios identifica dónde pueden ocurrir incumplimientos futuros y con qué probabilidad y consecuencias. Una es retrospectiva; la otra, prospectiva. Ambas son necesarias y ninguna sustituye a la otra.

¿La evaluación de riesgos tributarios tiene valor probatorio ante el SAT?

Sí. El apartado 6.1, numeral 3 de la norma exige, precisamente, que la evidencia de cumplimiento se genere de forma inalterable e íntegra en el momento de realizar los controles. Una evaluación de riesgos fechada, documentada y anterior al requerimiento es información contemporánea en los términos del artículo 5-A del CFF. Soportada, razonable y generada antes de que la autoridad formulara su hipótesis.

¿Qué ocurre si la evaluación identifica un riesgo que ya se materializó?

El apartado 6.2.5, inciso d), establece, además, que la detección de incumplimientos es uno de los eventos que activan la revisión extraordinaria. La organización debe, en consecuencia, reclasificar el riesgo, reforzar los controles y documentar las acciones correctivas conforme al apartado 10.1. La evaluación, en ese caso, cumple igualmente una función de gestión del daño. Es decir: delimita el alcance del incumplimiento y construye la evidencia de que se corrigió.

¿Puede una PyME implementar la evaluación de riesgos tributarios de la UNE 19602?

Sí. La norma, asimismo, es aplicable a cualquier organización con independencia de su tamaño —apartado 1— y exige que los requisitos se apliquen de manera proporcional. Una PyME con actividad comercial limitada necesita un mapa de riesgos más sencillo que un grupo corporativo con operaciones internacionales, pero ambos necesitan uno. La proporcionalidad no elimina, pues, la obligación del proceso; ajusta su complejidad.

¿Cómo se vincula la evaluación de riesgos tributarios con la política de compliance?

El apartado 6.3 establece que los objetivos de compliance tributario deben ser coherentes con los resultados de la evaluación de riesgos. Y, a su vez, coherentes con la política. La evaluación de riesgos es, por lo tanto, el insumo técnico que alimenta tanto los objetivos como los controles. Sin evaluación, en definitiva, la política es declaración de intenciones. Sin respaldo operativo.

Publicaciones Similares