Diligencia debida fiscal en negocios en México
La diligencia debida fiscal en negocios no es un protocolo de revisión de proveedores ni una práctica recomendable de gestión. Es un estándar normativo de conducta: una figura con estructura lógica definida, fundamento en instrumentos internacionales recibidos en el ordenamiento mexicano y consecuencias jurídicas precisas cuando se omite. Comprenderla como figura dogmática —y no solo como herramienta operativa— cambia la manera en que un Compliance Officer, un director fiscal o un administrador responde ante la autoridad. Quien acredita que la ejerció, además, traslada la carga de la prueba. Quien no puede acreditarlo, por el contrario, enfrenta el procedimiento sin expediente.
La norma UNE 19602:2019 define la diligencia debida en su apartado 3.12 como el proceso operativo que pretende obtener y evaluar la información para contribuir a la evaluación del riesgo tributario. Su objeto es preciso: no es la evaluación del riesgo en sí misma. Es el proceso previo que la alimenta y la hace verificable. Esa precisión técnica es, por ello, relevante: determina dónde empieza y dónde termina la obligación. En el contexto del Código Fiscal de la Federación —en particular de los artículos 5-A y 69-B—, asimismo, esa obligación tiene consecuencias patrimoniales y penales concretas para quien no la cumple.
Diligencia debida fiscal en negocios: concepto dogmático
Qué es la diligencia debida fiscal como figura jurídica
Es el proceso corporativo de gestión de riesgos que la doctrina de compliance y la LGRA —artículo 25, fracciones III y IV— reconocen como atenuante de responsabilidad para las personas morales. Si bien el término “diligencia debida” aparece en múltiples contextos —derechos humanos, responsabilidad patrimonial, fusiones y adquisiciones, cumplimiento transnacional—, el corpus dogmático mexicano identifica cinco estándares normativos distintos. Comparten el nombre. Exigen, en cambio, cosas distintas a sujetos distintos.
Naturaleza jurídica: principio de orden público corporativo
Su naturaleza jurídica no es la de una recomendación de buenas prácticas. La SCJN ha establecido que la debida diligencia opera como principio de orden público. Impone una conducta activa, eficiente, eficaz y profesional a las organizaciones privadas, por extensión del mismo deber de cuidado razonable que rige a las autoridades estatales. Ese principio, en definitiva, funciona como puente entre la obligación corporativa de prevenir y la obligación del Estado de investigar. Dos caras del mismo deber de cuidado que el sistema no puede hacer ilusorio. En materia fiscal, ese puente se traduce en algo muy concreto. La organización que documenta que actuó con diligencia antes del requerimiento puede, por ende, invocar esa evidencia en su defensa. Quien no documentó, no puede invocarlo.
UNE 19602:2019
Apartado 3.12
“Proceso operativo que pretende obtener y evaluar la información para contribuir a la evaluación del riesgo tributario.”
Estructura constitutiva: las cuatro fases encadenadas
De ahí que la diligencia debida fiscal en negocios no sea un acto único sino un proceso con estructura. Adoptada desde los lineamientos de la OCDE y las normas ISO —cuya arquitectura de alto nivel comparte la norma UNE 19602:2019—, se articula en cuatro fases encadenadas que los documentos dogmáticos del corpus reconocen de manera consistente.
Identificación. Mapeo de los socios de negocio que representan riesgo tributario mayor que bajo para la organización. El apartado 3.35 de la UNE 19602:2019 define “socio de negocio” de manera deliberadamente amplia: clientes, proveedores, contratistas, comisionistas, consultores, asesores, agentes, distribuidores, representantes, intermediarios e inversores. La fase de identificación no se limita a la estructura interna. Incluye a terceros que se relacionan de manera estable con la organización.
Evaluación. Ponderación de la naturaleza y el alcance de cada riesgo identificado. El Anexo A de la norma UNE 19602:2019 establece que esta fase es analítica y no puede reducirse a la revisión de documentos: exige indagaciones razonables y proporcionadas al nivel de riesgo. Un proveedor con perfil de riesgo alto requiere mayor profundidad de análisis que uno con perfil bajo, independientemente del monto del contrato.
Mitigación. Adopción de medidas proporcionales: verificación en el portal del SAT, cláusulas contractuales, suspensión de pagos ante aparición en listados del artículo 69-B del CFF. El artículo 8.6 de la norma UNE 19602:2019 establece la obligación expresa de requerir cláusulas contractuales orientadas a reducir el riesgo tributario con socios de negocio que supongan un riesgo mayor que bajo.
Monitoreo y actualización: la permanencia que diferencia el estándar
Monitoreo y actualización. La permanencia del proceso es lo que distingue a la diligencia debida de una auditoría episódica. El apartado 8.2 de la norma exige que los procedimientos se actualicen convenientemente. En el contexto del artículo 69-B del CFF, eso significa verificar no solo al momento de contratar. También al momento de cada pago relevante. El estatus fiscal de un proveedor puede cambiar entre ambos momentos.
El principio de inversión de la carga probatoria en materia fiscal
Más aún, el efecto jurídico más relevante de la diligencia debida fiscal en negocios no es preventivo. Es probatorio. La SCJN estableció en la Tesis 1a. CXXXII/2012 (10a.), Registro digital 2001476, que la carga de la prueba de la debida diligencia recae en quien controla los medios de prueba. Cuando ese sujeto demuestra que cumplió con la normatividad aplicable y con el deber de diligencia exigido para su función, la carga procesal se revierte, en consecuencia, al reclamante.
Ese principio —confirmado en materia de responsabilidad patrimonial del Estado por prestación deficiente del servicio de salud— es estructuralmente aplicable a la empresa en materia fiscal. La organización que controla la información sobre sus propios procedimientos de verificación de socios de negocio controla también los medios de prueba con los que puede acreditar diligencia. Si esos procedimientos existen, están documentados y son anteriores al requerimiento de la autoridad, la carga de probar el incumplimiento específico recae en el SAT o en el TFJA. No en la organización. Si no existen, por ende, la organización no tiene nada que presentar. Son escenarios procesales distintos con consecuencias patrimoniales distintas.
Fundamento normativo en el CFF: los artículos que materializan la obligación
El artículo 69-B: riesgo de procedimiento y el plazo de treinta días
Ahora bien, ningún precepto del CFF vincula más directamente la diligencia debida fiscal con sus consecuencias que el artículo 69-B. Establece la presunción de inexistencia de operaciones cuando la autoridad detecta que un contribuyente emitió comprobantes sin contar con los activos, personal, infraestructura o capacidad material para prestar los servicios o producir los bienes que amparan. Quienes dieron efecto fiscal a esos comprobantes contarán con treinta días para acreditar la materialidad o corregir su situación fiscal.
CÓDIGO FISCAL DE LA FEDERACIÓN
Artículo 69-B, primer párrafo y octavo párrafo (DOF 09-04-2026)
“Cuando la autoridad fiscal detecte que un contribuyente ha estado emitiendo comprobantes sin contar con los activos, personal, infraestructura o capacidad material, directa o indirectamente, para prestar los servicios o producir, comercializar o entregar los bienes que amparan tales comprobantes, o bien, que dichos contribuyentes se encuentren no localizados, se presumirá la inexistencia de las operaciones amparadas en tales comprobantes. Las personas físicas o morales que hayan dado cualquier efecto fiscal a los comprobantes fiscales expedidos por un contribuyente incluido en el listado a que se refiere el párrafo cuarto de este artículo, contarán con treinta días siguientes al de la citada publicación para acreditar ante la propia autoridad, que efectivamente adquirieron los bienes o recibieron los servicios que amparan los citados comprobantes fiscales, o bien procederán en el mismo plazo a corregir su situación fiscal.”
El plazo de treinta días y la evidencia contemporánea
Treinta días no son suficientes para construir el expediente de diligencia debida que no existía. Solo pueden presentarse los documentos que ya existían antes de la notificación. Esa es, precisamente, la consecuencia procesal concreta del principio de inversión de la carga probatoria. Quien ejerció la diligencia debida fiscal en negocios y conservó la evidencia contemporánea puede presentarla dentro del plazo. Quien no la ejerció, llega con las manos vacías. Las operaciones calificadas como inexistentes pueden considerarse, asimismo, actos o contratos simulados para efectos de los delitos previstos en el CFF. Esa calificación penal convierte, en definitiva, la diligencia debida de un control preventivo en una necesidad de gestión de riesgo existencial.
El artículo 5-A y la diligencia debida fiscal: documentación de razón de negocios
Pese a que el artículo 69-B regula el riesgo de procedimiento —el que deriva de operar con un proveedor sin capacidad material—, la norma UNE 19602:2019 reconoce en su apartado 3.32 un segundo tipo de riesgo: el riesgo de interpretación. El artículo 5-A del CFF lo materializa. Establece que los actos jurídicos que carezcan de razón de negocios y generen un beneficio fiscal directo o indirecto tendrán los efectos fiscales que correspondan a los que se habrían realizado para obtener el beneficio económico razonablemente esperado.
CÓDIGO FISCAL DE LA FEDERACIÓN
Artículo 5-A, primer y cuarto párrafos (DOF 09-04-2026)
“Los actos jurídicos que carezcan de una razón de negocios y que generen un beneficio fiscal directo o indirecto, tendrán los efectos fiscales que correspondan a los que se habrían realizado para la obtención del beneficio económico razonablemente esperado por el contribuyente. La autoridad fiscal podrá presumir, salvo prueba en contrario, que no existe una razón de negocios, cuando el beneficio económico cuantificable razonablemente esperado, sea menor al beneficio fiscal.”
El mismo artículo establece, también, que para cuantificar el beneficio económico razonablemente esperado se considerará la información contemporánea relacionada a la operación, en la medida en que esté soportada y sea razonable. La diligencia debida fiscal en negocios produce exactamente esa información: documentación soportada, razonable y generada en el momento en que se decidió la operación —no reconstruida para responder a la hipótesis de la autoridad. Quien ejerce la diligencia debida fiscal antes de la operación tiene, por ende, esa documentación. Quien no la ejerce, tampoco tiene con qué desvirtuar la presunción.
La diligencia debida fiscal en negocios y la LGRA: el atenuante que la ley reconoce
LGRA artículo 25: la diligencia debida fiscal en negocios como atenuante
Aunado a lo anterior, el Estándar III del corpus dogmático confirma que la LGRA —artículo 25, fracciones III y IV— valora expresamente como atenuante de responsabilidad de las personas morales contar con sistemas adecuados y eficaces de control, vigilancia y auditoría que examinen de manera constante y periódica el cumplimiento de los estándares de integridad. Y con sistemas de denuncia interna y hacia autoridades competentes. No tenerlos agrava la sanción. El artículo 22 de la misma ley —reformado DOF 02-01-2025— exige, además, que el diseño de esos mecanismos considere las mejores prácticas internacionales sobre controles, ética e integridad en los negocios. La norma UNE 19602:2019, con su arquitectura de alto nivel ISO, es exactamente ese tipo de referencia internacional.
La consecuencia jurídica de esa valoración es, en definitiva, directa y bidireccional. La organización que puede acreditar que tenía un sistema de diligencia debida operando —con los procedimientos del apartado 8.2 de la norma UNE 19602:2019 implementados y documentados— tiene un atenuante real ante la autoridad administrativa. En el otro sentido: la organización que no puede acreditarlo enfrenta, igualmente, una agravación de la sanción. El sistema, en definitiva, no es neutral frente a quien actúa y quien no actúa.
Diligencia debida fiscal y la LFPIORPI: convergencia de estándares
Para los sujetos obligados conforme a la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita, la Unidad de Inteligencia Financiera exige procedimientos de conocimiento del cliente. En sus elementos esenciales —verificación de identidad, análisis de actividad económica, monitoreo de la relación—, asimismo, coinciden con los procedimientos de diligencia debida fiscal sobre socios de negocio. La convergencia responde a que ambos regímenes comparten, en efecto, el mismo fundamento dogmático. Son versiones del Estándar III —el proceso corporativo de gestión de riesgos de cumplimiento— aplicado a objetos distintos. La organización que ya implementa procedimientos de conocimiento del cliente puede incorporar, por ello, la dimensión fiscal de la diligencia debida en esa misma arquitectura. La integración es posible. La norma UNE 19602:2019 lo facilita precisamente porque adopta la estructura de alto nivel ISO: no requiere construir desde cero.
Controles contractuales y conservación de la evidencia
Controles contractuales de diligencia debida fiscal en negocios
En definitiva, la diligencia debida fiscal en negocios no se agota en la verificación previa. El Anexo D de la norma UNE 19602:2019 establece que determinadas cláusulas deben requerirse en los contratos con socios de negocio de riesgo mayor que bajo. Entre ellas: la obligación del proveedor de acreditar estar al corriente de sus obligaciones tributarias con carácter previo a la relación, y la valoración de que cuente con un sistema de gestión de compliance tributario o equivalente. El artículo 8.6 del cuerpo normativo lo convierte, asimismo, en obligación directa. Esas cláusulas tienen, en definitiva, una función dogmática precisa: son parte de la fase de mitigación de la estructura constitutiva de la diligencia debida.
Como hemos desarrollado en nuestra entrada sobre compliance tributario UNE 19602, la evidencia generada en el momento de realizar los controles o revisiones —inalterable e íntegra, en los términos del apartado 6.1, numeral 3 de la norma— es la que puede, en definitiva, presentarse en futuros procedimientos administrativos y judiciales.
El Anexo B y el inciso j): la información documentada mínima
El Anexo B normativo de la norma UNE 19602:2019 incluye entre los diecinueve ítems de información documentada mínima del sistema el inciso j): los procedimientos de diligencia debida realizados. No es suficiente haber realizado el proceso. Debe conservarse la evidencia de que se realizó, con alcance, fecha y resultado documentados. Esa evidencia es el expediente que, en los treinta días del artículo 69-B del CFF o ante una revisión electrónica del artículo 42, fracción IX, permite a la organización demostrar que actuó con el estándar de diligencia que el sistema jurídico exige. Constancias de verificación en el portal del SAT, registros de análisis de riesgo, contratos con las cláusulas correspondientes. Como hemos analizado en nuestra sección de sistemas de gestión de cumplimiento tributario, construir ese expediente retroactivamente no produce el mismo efecto procesal. Nunca lo ha producido.
¿Qué es la diligencia debida fiscal en México?
Es el estándar normativo de conducta que exige a toda organización identificar, evaluar, mitigar y documentar los riesgos tributarios derivados de sus relaciones con terceros. Antes de que esos riesgos se materialicen. Su fundamento simultáneo descansa en la norma UNE 19602:2019 (apartado 8.2 y Anexo A), en la LGRA (artículo 25, fracciones III y IV) y en el CFF (artículos 5-A y 69-B). Su incumplimiento no solo genera consecuencias patrimoniales: puede derivar en calificación penal de las operaciones involucradas.
¿Por qué tiene estructura de cuatro fases y no es simplemente una verificación?
Porque la permanencia del proceso es lo que lo distingue jurídicamente de una auditoría episódica. La diligencia debida fiscal en negocios exige identificación, evaluación, mitigación y monitoreo continuo. Una verificación puntual al momento de contratar sin actualización posterior no cumple, tampoco, el apartado 8.2 de la norma UNE 19602:2019. Tampoco cumple el principio de cuidado razonable que la SCJN ha establecido como contenido mínimo del estándar. El monitoreo continuo es lo que permite a la organización demostrar diligencia no solo en el momento del contrato sino también en el momento del pago, la deducción y el acreditamiento.
¿Cuál es el efecto procesal concreto de ejercer la diligencia debida fiscal en negocios?
La inversión de la carga probatoria. La organización que acredita que cumplió con la normatividad aplicable traslada al SAT o al TFJA la carga de probar el incumplimiento específico. No la mera discrepancia formal. Ese principio, confirmado por la Primera Sala de la SCJN en la Tesis 1a. CXXXII/2012 (10a.), es estructuralmente aplicable en materia fiscal porque la organización controla los medios de prueba sobre sus propios procedimientos de verificación. Si esos procedimientos existen y están documentados, la inversión opera. Si no existen, la organización no puede invocar lo que no tiene.
¿Qué diferencia hay entre el riesgo de procedimiento y el riesgo de interpretación en la diligencia debida fiscal?
El apartado 3.32 de la norma UNE 19602:2019 clasifica el riesgo tributario en dos tipos. El riesgo de procedimiento deriva de un inadecuado proceso de gestión y control de las obligaciones —opera con un proveedor sin capacidad material (artículo 69-B del CFF). El riesgo de interpretación deriva de una posición normativa que la autoridad o los tribunales pueden no compartir —posición sobre la razón de negocios de una operación (artículo 5-A del CFF). La diligencia debida fiscal en negocios debe cubrir los dos. Los controles que mitigan cada riesgo son distintos, y la evidencia que los desvirtúa también lo es.
¿La diligencia debida fiscal en negocios aplica a toda organización, independientemente de su tamaño?
Sí. La LGRA, artículo 25, no exige un mínimo de ingresos ni de empleados para aplicar el estándar de integridad. La norma UNE 19602:2019 establece que sus requisitos se aplican de manera proporcional al tamaño y perfil de riesgo de la organización. La proporcionalidad calibra la intensidad del proceso, no elimina la obligación. Una organización pequeña con un proveedor de riesgo tributario alto tiene el mismo deber de ejercer la diligencia debida que una corporación grande, aunque con menor sofisticación técnica.
¿Qué ocurre si un proveedor aparece en el listado del artículo 69-B después de haberse contratado?
El apartado 8.2 de la norma UNE 19602:2019 exige que los procedimientos de diligencia debida se actualicen convenientemente. La organización que verificó periódicamente el estatus fiscal de sus proveedores —al momento de cada pago relevante— puede acreditar que actuó con diligencia durante toda la vigencia de la relación. Si la última verificación documentada es anterior a la publicación del listado, la organización tiene bases para invocar buena fe dentro del plazo del octavo párrafo del artículo 69-B del CFF. La actualización periódica no es una opción: es la condición que hace continuo el proceso y, por ende, verificable la diligencia.
¿Qué cláusulas contractuales son parte de la mitigación documentada?
El Anexo D de la norma UNE 19602:2019 identifica, en particular, dos cláusulas esenciales. La obligación del proveedor de acreditar estar al corriente de obligaciones tributarias con carácter previo a la relación. Y la valoración de que cuente con un sistema de gestión de compliance tributario. En la práctica mexicana, bajo el artículo 69-B del CFF, se añade una tercera: la facultad de suspender pagos mientras el proveedor aparezca en los listados del SAT. Esas tres cláusulas no son solo instrumentos contractuales. Son, en términos dogmáticos, la fase de mitigación documentada de la estructura constitutiva de la diligencia debida fiscal en negocios.
