Política de compliance tributario en México
Política de compliance tributario en México
¿Qué separa a una organización que cumple sus obligaciones fiscales de una que las gestiona? La diferencia, en la mayoría de los casos, no es el tamaño ni el presupuesto. Es la existencia —o ausencia— de una política de compliance tributario formalmente aprobada por el órgano de gobierno. Sin ese documento, el cumplimiento fiscal depende de la iniciativa individual de quien lleva la contabilidad o del criterio cambiante del director financiero. Con él, la organización asume un compromiso institucional que puede acreditarse, auditarse y, cuando es necesario, presentarse como evidencia de diligencia debida ante el SAT o ante un tribunal administrativo. La diferencia entre ambos escenarios no es menor. Es la diferencia entre actuar y poder demostrarlo.
La norma UNE 19602:2019 —referencia internacional del compliance tributario elaborada por la Asociación Española de Normalización— establece en su apartado 5.2 los requisitos específicos. Las organizaciones mexicanas que la adoptan cuentan, en consecuencia, con un marco técnico preciso. No es una declaración de buenas intenciones. La norma define qué debe contener la política, quién debe aprobarla, cómo debe comunicarse y qué consecuencias debe establecer para quien no la cumple. Este artículo desarrolla, en particular, cada uno de esos requisitos y su aplicación en el contexto del CFF vigente. Si te interesa conocer primero el sistema de gestión del que la política forma parte, puedes consultar nuestra entrada sobre sistemas de gestión de cumplimiento tributario.
Política de compliance tributario: qué es y qué no es
Definición normativa y distinción con otros documentos
Si bien muchas organizaciones cuentan con códigos de ética, manuales de procedimientos fiscales o reglamentos internos de contabilidad, la política de compliance tributario tiene un objeto y un nivel de aprobación distintos. El apartado 3.27 de la norma UNE 19602:2019 la define con precisión: es la voluntad de una organización, según la expresa formalmente su órgano de gobierno, en relación con sus objetivos de compliance tributario. Tres palabras concentran su esencia: voluntad, formal, órgano de gobierno. No es, en modo alguno, un documento técnico del área fiscal. Es una declaración institucional aprobada en el nivel más alto de la organización.
La distinción con un código de ética, además, es operativamente relevante. Un código de ética establece valores generales de comportamiento —integridad, transparencia, responsabilidad— sin vincularlos necesariamente a obligaciones tributarias específicas. La política de compliance tributario, en cambio, exige el cumplimiento de la legislación tributaria aplicable. Prohíbe, también, la comisión dolosa de infracciones tributarias. Y minimizar la exposición a riesgos tributarios de forma eficiente y proporcionada. Esos tres mandatos, que la norma establece en los incisos a), c) y d) del apartado 5.2, no pueden cumplirse con una declaración genérica de valores.
UNE 19602:2019
Apartado 5.2, incisos a), c) y d)
“El órgano de gobierno debe impulsar y aprobar una política de compliance tributario que: a) Exija el cumplimiento de la legislación tributaria aplicable a la organización. c) Prohíba la comisión dolosa de infracciones tributarias y tienda a minimizar la comisión culpable o negligente de esas infracciones. d) Minimice la exposición de la organización a los riesgos tributarios de forma eficiente o proporcionada.”
El riesgo de interpretación y la nota del inciso a)
La nota del inciso a) del mismo apartado añade una precisión que conviene conocer. Señala que las normas tributarias presentan rasgos de indefinición derivados de su generalidad. La interpretación dada por una organización puede, asimismo, no coincidir con la adoptada por las administraciones tributarias. Por ello, la política debe reconocer explícitamente que existe un riesgo de interpretación legítimo —distinto del incumplimiento doloso—. Y establecer cómo la organización lo gestiona. Sin esa distinción, la política asimila indebidamente posiciones interpretativas controvertidas con conductas prohibidas.
Los diez contenidos mínimos que exige el apartado 5.2
De ahí que sea útil revisar la lista completa de contenidos mínimos que la norma exige en el apartado 5.2. Son diez incisos, cada uno con un mandato específico. Los tres ya citados —cumplimiento de la ley, prohibición de infracciones dolosas, minimización de riesgos— se complementan con siete mandatos adicionales. Ser congruente con los fines de la organización (inciso b). Proporcionar un marco para los objetivos de compliance tributario (inciso e). Incluir un compromiso con los requisitos del sistema de gestión (inciso f). Establecer canales de comunicación de incumplimientos garantizando que el informante no sufrirá represalias (inciso g). Incluir un compromiso con la mejora continua (inciso h). Explicitar la autoridad e independencia del órgano de compliance tributario (inciso i). Y exponer las consecuencias de no cumplir los requisitos de la política (inciso j).
Política de compliance tributario: alcance documental
La nota final del apartado aclara algo que alivia la carga documental: la política no tiene que desglosar expresamente todos esos puntos en un solo documento. Pueden estar contemplados en otros documentos de la organización. Lo que sí exige la norma es que todos estén cubiertos en algún lugar del sistema de gestión. Y que la política los articule como marco de referencia. Un sistema que tiene procedimientos para la gestión de riesgos, un protocolo de canal de denuncia y una política de mejora continua —pero sin un documento que los vincule como política de compliance tributario aprobada por el órgano de gobierno— no cumple el apartado 5.2. Los elementos existen. El compromiso institucional formal, sin embargo, no. Los elementos existen. El compromiso institucional formal, sin embargo, no.
El órgano de gobierno: quién aprueba y qué implica esa aprobación
Aprobación no delegable: fundamento en el apartado 5.1.1
Ahora bien, la aprobación de la política no es una función que pueda delegarse al director fiscal ni al gerente de auditoría. El apartado 5.1.1 de la norma establece que el órgano de gobierno —en el contexto de sociedades mexicanas, el consejo de administración, la asamblea de socios o su equivalente— debe, entre otras obligaciones, aprobar la política de compliance tributario de la organización. Esta obligación figura en el inciso b) de ese apartado. Junto con otras igualmente no delegables: asegurar que la estrategia y la política estén alineadas, establecer el órgano de compliance tributario y examinar periódicamente la eficacia del sistema.
El acta de aprobación y el artículo 26 del CFF
La razón de esa arquitectura es, precisamente, jurídica en parte. En México —como analizamos en nuestra entrada sobre compliance tributario UNE 19602— el artículo 26 del CFF establece responsabilidad solidaria de quienes tengan conferida la dirección general, la gerencia general o la administración única. La responsabilidad, asimismo, abarca contribuciones causadas o no retenidas durante su gestión. Una política de compliance tributario aprobada por acta del órgano de gobierno —con fecha anterior a cualquier requerimiento de la autoridad— es evidencia de que quienes dirigían la organización tomaron medidas razonables y proporcionales para prevenir el incumplimiento. Sin esa aprobación formal, esa evidencia, pues, simplemente no existe.
UNE 19602:2019
Apartado 5.1.1, incisos b) y c)
“Cuando la organización cuente con un órgano de gobierno este debe demostrar su liderazgo y compromiso en relación con el sistema de gestión de compliance tributario. A tal fin, debe: b) Aprobar la política de compliance tributario de la organización. c) Asegurar que la estrategia de la organización y su política de compliance tributario se encuentren alineadas.”
La alineación entre estrategia y política —inciso c)— tiene consecuencias prácticas que suelen ignorarse. Una organización cuya estrategia incluye operaciones entre partes relacionadas, adquisiciones de empresas o expansión a nuevas actividades económicas debe revisar su política de compliance tributario cada vez que esa estrategia cambia. La política, en definitiva, no es un documento de archivo. Es un instrumento vivo que debe reflejar la realidad operativa de la organización en el momento en que se consulta.
Comunicación de la política de compliance tributario
Pese a que muchas organizaciones aprueban la política pero no la comunican activamente, la norma establece requisitos específicos también en ese ámbito. El apartado 5.2, en su párrafo final, establece que la política debe estar disponible como información documentada. Debe comunicarse con un lenguaje e idioma adecuados a los miembros de la organización y a los socios de negocio que puedan representar riesgos tributarios mayores que bajo. Debe estar disponible, asimismo, para las partes interesadas según proceda.
La mención de los socios de negocio es, además, relevante. La política tampoco es un documento exclusivamente interno. Cuando la organización opera con proveedores, asesores o distribuidores cuya situación fiscal puede generar riesgos tributarios propios —supuesto que regula el artículo 69-B del CFF—, esos socios deben conocer los estándares de compliance exigidos. Es, precisamente, un requerimiento de la norma. Eso no implica publicar la política completa con cada proveedor. Sí implica integrar sus compromisos esenciales en los contratos y en los procedimientos de diligencia debida —práctica que organismos como la Unidad de Inteligencia Financiera promueven en el marco de la prevención de lavado de activos para sujetos obligados.
Política de compliance tributario y los canales de denuncia
El inciso g) y su conexión con el sistema de gestión
Más aún, uno de los contenidos más frecuentemente omitidos en las políticas que he revisado es el del inciso g) del apartado 5.2. El establecimiento de canales de comunicación de incumplimientos —o sospechas fundadas de incumplimientos— garantizando que el informante no sufrirá represalias. Este requisito no es retórico. La norma lo desarrolla en el apartado 8.7, que exige que la organización establezca, implemente y mantenga actualizados procedimientos para que los miembros de la organización puedan reportar incumplimientos reales o potenciales a través de canales apropiados.
La política, en consecuencia, debe nominar esos canales —o remitir al documento donde se describen— y declarar explícitamente la protección del informante. Sin esa declaración en la política, el canal de denuncia existe como procedimiento operativo. Carece, sin embargo, del respaldo institucional que le da el compromiso del órgano de gobierno. En organizaciones que han implementado sistemas de gestión de compliance con base en estándares internacionales, la protección del informante es uno de los elementos que la autoridad y los auditores externos verifican con mayor atención.
Consecuencias del incumplimiento: el inciso j) que la mayoría omite
Aunado a lo anterior, el inciso j) del apartado 5.2 exige que la política exponga las consecuencias de no cumplir sus propios requisitos, así como los del sistema de gestión. Este punto genera resistencia en muchas organizaciones porque implica declarar, en un documento formal aprobado por el consejo, qué ocurre cuando alguien —incluyendo directivos— incumple la política. Sin embargo, su ausencia debilita significativamente el sistema: una política sin consecuencias es una declaración de intenciones, no un instrumento de gestión.
Las consecuencias no tienen que ser exhaustivas. Tampoco necesariamente de naturaleza sancionadora. Pueden referirse a los protocolos de actuación ante incumplimientos —revisión extraordinaria del sistema, acciones correctivas, comunicación al órgano de compliance— o remitir al reglamento disciplinario interno de la organización. Lo que la norma prohíbe, implícitamente, es el silencio. Una política que establece compromisos sin señalar qué ocurre cuando se incumplen no cumple, por ende, el inciso j) del apartado 5.2. Y una política incompleta, igualmente, es casi tan débil como no tenerla ante un procedimiento de responsabilidad solidaria.
Actualización y vigencia de la política
Cuándo revisar y qué actividades la requieren
Vigencia y actualización de la política
En definitiva, la política de compliance tributario no es un documento que se aprueba una vez y se archiva. La norma UNE 19602:2019 no establece una frecuencia específica de revisión en el apartado 5.2. El apartado 5.1.1, inciso g), exige, sin embargo, que el órgano de gobierno examine periódicamente la eficacia del sistema. Y lo modifique cuando se detecten incumplimientos o cambios en la organización, en la estructura de control o en la actividad desarrollada. La política, como componente central del sistema, debe actualizarse en esos mismos supuestos. No es documento de archivo.
En México, además de los cambios internos, existen eventos externos que activan la revisión de la política. Una reforma al Código Fiscal de la Federación que amplíe las facultades de comprobación del SAT. También una tesis de jurisprudencia que modifique el tratamiento de una operación que la organización realiza regularmente. O una resolución miscelánea fiscal que cambie los atributos requeridos en el CFDI. La ISO, organismo que impulsa la estructura de alto nivel que comparte la norma UNE 19602, recomienda en su marco general de sistemas de gestión revisar las políticas ante cualquier cambio significativo del contexto externo o interno. Esa recomendación tiene, también, valor operativo concreto en el entorno fiscal mexicano.
¿La política de compliance tributario es obligatoria para todas las empresas en México?
No existe obligación legal de adoptar una política de compliance tributario en los términos de la UNE 19602. Su adopción es voluntaria. Sin embargo, la ausencia de esta política priva a la organización de uno de los elementos de evidencia más sólidos frente a la autoridad fiscal: la acreditación del compromiso institucional formal con el cumplimiento tributario antes de cualquier requerimiento.
¿Quién debe firmar o aprobar la política?
El órgano de gobierno de la organización: el consejo de administración, la asamblea de socios, el administrador único o su equivalente según el tipo social. No es suficiente la firma del director fiscal ni del director general. El apartado 5.1.1, inciso b) de la norma UNE 19602:2019 asigna esa facultad de manera no delegable al órgano de gobierno.
¿Qué diferencia hay entre la política de compliance tributario y el manual de procedimientos fiscales?
El manual de procedimientos fiscales describe cómo se ejecutan las obligaciones tributarias. La política de compliance tributario establece el marco institucional desde el cual se toman esas decisiones: qué se prohíbe, qué se exige, qué consecuencias tiene el incumplimiento y quién supervisa el sistema. Una existe en el nivel operativo; la otra, en el nivel de gobierno corporativo.
¿La política debe publicarse externamente?
No necesariamente en su totalidad. La norma exige que esté disponible para las partes interesadas según proceda. En la práctica, muchas organizaciones publican una versión resumida de sus compromisos de compliance tributario en su sitio web o en sus informes de gobierno corporativo. La versión completa se conserva, asimismo, como documento interno de acceso controlado.
¿Con qué frecuencia debe actualizarse la política?
La norma no establece una periodicidad fija. La actualización se activa ante cambios significativos en la estructura o actividades. También ante incumplimientos detectados. Y ante modificaciones relevantes de la normativa aplicable o de la doctrina consolidada de los tribunales. En la práctica, la mayoría de las organizaciones la revisan anualmente como mínimo.
¿La política de compliance tributario cubre también las obligaciones de seguridad social?
Depende del alcance que la organización defina para su sistema. La norma UNE 19602:2019 se refiere específicamente al cumplimiento tributario. Las obligaciones de seguridad social —cuotas al IMSS, aportaciones al INFONAVIT— tienen un régimen jurídico distinto. Sin embargo, muchas organizaciones optan por integrarlas en el alcance de la política. La estrecha relación entre la nómina fiscal y las obligaciones de seguridad social lo justifica.
¿Qué pasa si la política existe pero nadie la conoce dentro de la organización?
El apartado 5.2 de la norma es explícito. La política debe comunicarse con un lenguaje e idioma adecuados a los miembros de la organización. Una política aprobada pero no comunicada no cumple ese requisito. En un procedimiento ante el SAT o ante el TFJA, la ausencia de evidencia de comunicación interna debilita el valor probatorio del documento.
