Compliance tributario UNE 19602
¿Qué protege un sistema de compliance tributario, en realidad? No el resultado —la propia norma UNE 19602 lo advierte desde su introducción: que una organización cumpla con sus requisitos no asegura, completamente, que no se produzcan riesgos tributarios en su seno—. Lo que protege es la diligencia. Y esa distinción, ante el SAT o ante el TFJA, es la que determina si una sanción se reduce, se elimina o se sostiene. El compliance tributario UNE 19602 establece los requisitos y facilita las directrices para adoptar, implementar, mantener y mejorar continuamente políticas de compliance tributario —así lo define su apartado 1—. Y, también, el resto de los elementos del sistema de gestión en las organizaciones. No es un certificado. Es un proceso operativo con evidencia verificable. Eso es el compliance tributario UNE 19602.
El Código Fiscal de la Federación —última reforma DOF 09-04-2026— amplió las facultades de comprobación hasta incluir la revisión electrónica del artículo 42, fracción IX. Con ello, en consecuencia, el momento en que se construye el expediente de defensa cambió de lugar. Ya no se construye, pues, después del requerimiento. Debe existir antes. Debe existir antes. El compliance tributario UNE 19602 responde a esa exigencia directamente. El apartado 6.1, numeral 3, ordena que la organización genere evidencias de cumplimiento en el momento de realizar los controles o revisiones. De forma inalterable e íntegra. Para su posible presentación en futuros procedimientos, administrativos y judiciales. Quienes no tienen ese expediente cuando llega la revisión electrónica no pueden construirlo en veinte días.
Compliance tributario UNE 19602: naturaleza y campo de aplicación
Qué dice la norma y qué no dice
Si bien la UNE 19602 nació en España —la elaboró el Subcomité Técnico CTN 165 SC4 Compliance tributario, según su prólogo—, su campo de aplicación no tiene restricción sectorial ni dimensional. Es aplicable a cualquier organización. Con independencia, por ende, de su tipo, tamaño, naturaleza o actividad. Sector privado, sector público, con o sin ánimo de lucro: todos incluidos. El prólogo de la norma establece además que sus requisitos deben aplicarse de manera proporcional a cada supuesto. No todas las organizaciones necesitan el mismo nivel de sofisticación. Lo que la norma, en definitiva, exige es proporcionalidad, no uniformidad.
UNE 19602:2019
Apartado 1 — Objeto y campo de aplicación
“Esta norma UNE establece los requisitos y facilita las directrices para adoptar, implementar, mantener y mejorar continuamente, políticas de compliance tributario y el resto de los elementos de un sistema de gestión de compliance tributario en las organizaciones.”
Importa señalar lo que la norma no promete. Su introducción es explícita: que una organización cumpla con sus requisitos no asegura, completamente, que no se produzcan riesgos tributarios, ni que no vayan a producirse en el futuro. Esta aclaración no es, en modo alguno, menor. Quien vende sistemas UNE 19602 como blindaje total vende algo que la norma no ofrece. En términos de la propia norma, lo que el sistema genera son cuatro cosas: prevención, detección, gestión y mitigación del riesgo tributario —cuatro verbos distintos, cada uno con contenido operativo propio, conviene subrayarlo—.
Los dos tipos de riesgo tributario en el compliance tributario UNE 19602
El apartado 3.32 de la norma define el riesgo tributario con una precisión que la mayoría de los sistemas de compliance omiten. No es uno solo. Son dos tipos, según la causa que los genera:
UNE 19602:2019
Apartado 3.32, nota 1
“En función de la causa generadora de esta contingencia se configuran riesgos de dos tipos: a) Riesgo de procedimiento: riesgo de existencia de una contingencia tributaria como consecuencia de un inadecuado procedimiento de gestión y control de las obligaciones tributarias de la organización. b) Riesgo de interpretación: riesgo de existencia de una interpretación de la norma, seguida por la organización, que no sea compartida, en última instancia, por los Tribunales de Justicia.”
La distinción, en el marco del compliance tributario UNE 19602, no es, en definitiva, académica. Un riesgo de procedimiento —no emitir el CFDI con los requisitos del artículo 29-A del CFF, por ejemplo— se mitiga con controles operativos: listas de verificación, automatización, revisión periódica. Un riesgo de interpretación —la posición de la organización sobre si cierta operación es deducible— se mitiga con documentación jurídica contemporánea: dictámenes internos, consultas a la autoridad, trazabilidad de la decisión. Mezclarlos en un solo procedimiento genérico es la falla más frecuente que he encontrado en revisión de sistemas de cumplimiento. Una falla de diseño, no de ejecución.
La estructura de alto nivel ISO: integración, no duplicación
Puesto que la norma incorpora la estructura de alto nivel ISO, puede utilizarse de manera conjunta con otras normas. Con la UNE 19601 en materia de compliance penal, con la UNE-ISO 37001 en antisoborno y con la UNE-ISO 31000 en gestión del riesgo. La propia norma, asimismo, lo señala en su introducción. Eso tiene, además, una consecuencia práctica inmediata para las organizaciones mexicanas que ya cuentan con alguno de esos sistemas: no construyen desde cero. Adaptan la arquitectura existente al ámbito tributario, aplicando la legislación fiscal mexicana —CFF, LISR, LIVA, reglamentos— como el marco normativo de referencia.
Riesgos fiscales en México bajo el estándar UNE 19602
Evaluación de riesgos tributarios: identificación, análisis y valoración
Ahora bien, el corazón operativo del sistema no está en la política aprobada por el consejo. Está en la evaluación de riesgos del apartado 6.2. La norma exige un proceso que comprende tres etapas: identificación, análisis y valoración. No basta, en definitiva, listar riesgos posibles. El apartado 6.2.3 exige analizar y priorizar, considerando las causas y las fuentes de incumplimientos, así como la probabilidad de que ocurran y la gravedad de sus consecuencias. Las consecuencias, según la nota del mismo apartado, pueden incluir pérdidas económicas y responsabilidades administrativas y penales.
En el contexto mexicano, el artículo 5-A del CFF —norma antielusión vigente desde su incorporación al código— activa la responsabilidad del sistema de manera directa. La autoridad fiscal puede presumir que los actos jurídicos carecen de razón de negocios cuando el beneficio económico cuantificablemente esperado sea menor al beneficio fiscal. La norma también presume, salvo prueba en contrario, que una serie de actos carece de razón de negocios cuando el resultado económico pudo alcanzarse con menos actos y menor costo fiscal.
CÓDIGO FISCAL DE LA FEDERACIÓN
Artículo 5-A, primer párrafo (DOF 09-04-2026)
“Los actos jurídicos que carezcan de una razón de negocios y que generen un beneficio fiscal directo o indirecto, tendrán los efectos fiscales que correspondan a los que se habrían realizado para la obtención del beneficio económico razonablemente esperado por el contribuyente.”
Para cuantificar ese beneficio económico razonablemente esperado, el mismo artículo establece que se considerará la información contemporánea relacionada a la operación. Incluyendo el beneficio económico proyectado. En la medida en que dicha información esté soportada y sea razonable. Eso es, precisamente, lo que genera un sistema UNE 19602 bien operado: información contemporánea, soportada, razonable. No la reconstrucción posterior de un expediente que se levanta cuando la autoridad ya formuló su presunción.
Revisión periódica y los eventos que la activan
La evaluación de riesgos no es estática. El apartado 6.2.5 de la norma establece cinco supuestos de revisión. En primer lugar: de manera regular, con la frecuencia que defina la organización. En segundo lugar, los cuatro restantes activan la revisión extraordinaria: cambios significativos en la estructura o actividades. Cambios en los requisitos de compliance tributario. Incumplimientos detectados. Modificaciones relevantes de la normativa o de la doctrina consolidada de los tribunales.
Este último supuesto merece, en particular, atención especial en México. Una tesis de jurisprudencia que modifica el alcance de una deducción o el tratamiento de una operación es, para efectos del sistema UNE 19602, un evento que activa la revisión extraordinaria de la evaluación de riesgos. No al año siguiente. En el momento en que la tesis queda firme, la revisión se activa. Un sistema que no tiene ese mecanismo de alerta formalizado no cumple el apartado 6.2.5, aunque tenga política aprobada y órgano de compliance designado.
Socios de negocio: riesgo tributario y compliance UNE 19602
De ahí que el apartado 8.5 —controles sobre otras entidades— tenga relevancia particular en el entorno fiscal mexicano. La norma exige evaluar el riesgo tributario de los socios de negocio. El apartado 3.35 define “socio de negocio” de manera deliberadamente amplia. Cualquier parte con quien la organización tiene, o prevé establecer, algún tipo de relación de negocios relevante. Clientes, joint ventures, contratistas, proveedores, agentes, representantes, intermediarios.
La conexión con los artículos 69-B y 69-B Bis del CFF es, por ello, directa. El artículo 69-B establece el procedimiento para presumir que emisores de CFDI realizaron operaciones inexistentes. El 69-B Bis presume transmisión indebida de pérdidas fiscales. Aplica tras reestructuración, escisión, fusión o cambio de accionistas. En todos esos casos, el contribuyente deja de pertenecer al grupo que contaba con el derecho. En ambos casos, las consecuencias se extienden a quienes celebraron operaciones con esos contribuyentes. Eso es relevante para cualquier organización con proveedores sin validación fiscal. Un sistema que cumple el apartado 8.5 de la UNE 19602 genera, precisamente, la evidencia que permite desvirtuar esas presunciones. Ello incluye verificación documentada de la situación fiscal de proveedores y socios, integrada al proceso de contratación.
Compliance tributario UNE 19602: liderazgo y estructura orgánica
El órgano de gobierno y las obligaciones no delegables
Aunque muchos sistemas de compliance se construyen como función del área fiscal, la UNE 19602 sitúa la responsabilidad primaria en el órgano de gobierno. El apartado 5.1.1 establece que, cuando la organización cuente con ese órgano, debe demostrar su liderazgo y compromiso mediante un catálogo de obligaciones específicas. Entre ellas: aprobar la política de compliance tributario. Establecer e implementar el sistema de gestión idóneo para prevenir, detectar, gestionar y mitigar riesgos. Establecer el órgano de compliance tributario al que se encomienda la supervisión, otorgándole poderes autónomos de iniciativa y control.
UNE 19602:2019
Apartado 5.1.1, incisos b), d) y f)
“Cuando la organización cuente con un órgano de gobierno este debe demostrar su liderazgo y compromiso en relación con el sistema de gestión de compliance tributario. A tal fin, debe: b) Aprobar la política de compliance tributario de la organización. d) Establecer, implementar, mantener y mejorar continuamente, un sistema de gestión de compliance tributario idóneo para prevenir, detectar, gestionar y mitigar riesgos tributarios. f) Establecer un órgano de compliance tributario al que se encomienda la supervisión del funcionamiento y la eficacia de su sistema de gestión tributaria, otorgándole poderes autónomos de iniciativa y control a fin de que pueda desarrollar eficazmente su labor.”
Responsabilidad solidaria: el compliance tributario UNE 19602 y el artículo 26 del CFF
La razón de esta arquitectura no es formal. En México, donde el compliance tributario UNE 19602 se implementa sobre la legislación del CFF, el artículo 26 del CFF establece quiénes son responsables solidarios con los contribuyentes. La fracción III señala que los liquidadores y síndicos responden por las contribuciones que debieron pagar a cargo de la sociedad durante su gestión. El párrafo siguiente —aplicable a directores generales, gerentes generales y administradores únicos— es el que más importa al litigante. Los hace responsables solidarios por las contribuciones causadas o no retenidas durante su gestión. Aplica cuando la persona moral incurra en cualquiera de los supuestos de la fracción X. La responsabilidad alcanza la parte del interés fiscal que no se garantice con los bienes de la empresa.
CÓDIGO FISCAL DE LA FEDERACIÓN
Artículo 26, fracción III y párrafo siguiente (DOF 09-04-2026)
“Son responsables solidarios con los contribuyentes: III. Los liquidadores y síndicos por las contribuciones que debieron pagar a cargo de la sociedad en liquidación o quiebra, así como de aquellas que se causaron durante su gestión. La persona o personas cualquiera que sea el nombre con que se les designe, que tengan conferida la dirección general, la gerencia general, o la administración única de las personas morales, serán responsables solidarios por las contribuciones causadas o no retenidas por dichas personas morales durante su gestión, así como por las que debieron pagarse o enterarse durante la misma, en la parte del interés fiscal que no alcance a ser garantizada con los bienes de la persona moral que dirigen, cuando dicha persona moral incurra en cualquiera de los supuestos a que se refieren los incisos a), b), c), d), e), f), g), h) e i) de la fracción X de este artículo.”
El expediente de la diligencia debida: uso en juicio
Un sistema de compliance tributario documentado construye el expediente de la diligencia debida ejercida. Las actas que acreditan que el órgano de gobierno aprobó la política, designó al órgano de compliance y revisó periódicamente el sistema: asimismo, esas actas son ese expediente. Ese expediente, sin embargo, no garantiza ausencia de error. Acredita, en cambio, que quien dirigía la organización tomó medidas razonables y proporcionales. Para los efectos de la responsabilidad solidaria del artículo 26, esa diferencia es sustancial.
Órgano de compliance tributario UNE 19602: independencia y acceso directo
Pese a que en organizaciones medianas suele asignarse la función de compliance al director fiscal, la norma exige algo estructuralmente distinto. El apartado 5.3 establece que el órgano de compliance tributario debe personificar la posición de máximo garante de la supervisión, vigilancia y control de los requisitos en esta materia. Debe disponer de suficientes recursos y personal con las competencias, estatus, autoridad e independencia adecuadas. Debe tener acceso directo e inmediato al órgano de gobierno cuando sea preciso elevar hechos o conductas sospechosas.
La independencia no es un adorno en el compliance tributario UNE 19602. El propio apartado 5.3 lo establece: al asignar responsabilidades debe considerarse la forma de asegurar que el órgano de compliance tributario no tiene conflictos de intereses. Además, quien determina la posición fiscal —quién decide si una deducción procede, cómo se estructura una operación— no puede, simultáneamente, supervisar con independencia el cumplimiento de las normas que regulan esas mismas decisiones. El conflicto de interés, en esos casos, es estructuralmente inevitable. No porque la norma lo prohíba expresamente con esas palabras, sino porque la exigencia de ausencia de conflictos de interés la hace imposible.
Consecuencias del incumplimiento y valor probatorio del sistema
El compliance tributario UNE 19602 como evidencia procesal
Más aún, el valor del sistema no reside únicamente en la prevención. Reside en lo que produce como evidencia. El apartado 6.1 de la norma es preciso al respecto:
UNE 19602:2019
Apartado 6.1, numeral 3
“La organización debe determinar la manera de: 3) Generar evidencias de cumplimiento en el momento de realizar los controles o revisiones y su gestión, propia o por terceros, de forma inalterable e íntegra, para su posible presentación en futuros procedimientos, administrativos y judiciales, que afecten a la organización.”
“En el momento de realizar los controles.” Esa frase tiene peso procesal. La evidencia construida contemporáneamente al hecho —antes de cualquier requerimiento— es técnicamente superior ante un tribunal administrativo. Superior a la evidencia reconstruida ex post. No es que la ley lo ordene con esas palabras exactas. Sino porque, en la práctica, el magistrado instructor que recibe ambos expedientes los valora de manera distinta. El primero no tiene el vicio de haber sido diseñado para responder a la hipótesis de la autoridad. El segundo, necesariamente, sí.
El Anexo B de la norma —de carácter normativo, no informativo— establece la información documentada mínima. Son diecinueve ítems que incluyen, entre otros, el alcance del sistema y la evaluación de riesgos (inciso a y b) hasta las no conformidades y acciones correctivas (inciso s). Esa lista no es sugerida. Es obligatoria para quien declare conformidad con la norma.
La revisión electrónica del artículo 42 fracción IX y el sistema UNE 19602
A pesar de que el juicio de nulidad ante el TFJA admite prácticamente cualquier medio de prueba, la revisión electrónica plantea un problema anterior al litigio. Un problema procesal. La autoridad, en efecto, practica revisiones basándose en el análisis de la información y documentación que obra en su poder, sobre uno o más rubros o conceptos específicos de una o varias contribuciones. El contribuyente recibe una resolución provisional —artículo 53-B del CFF— y tiene un plazo acotado para desvirtuar los hechos presumidos.
Ese plazo no es suficiente para construir el expediente de defensa desde cero. Lo es para presentar el que ya existía. Un sistema que cumple la UNE 19602 genera ese expediente de manera continua. Por ejemplo: matrices de riesgo actualizadas. Controles documentados. Registros de aprobación de operaciones. Evidencia de revisión de socios de negocio. Reportes al órgano de gobierno. Cuando llega la notificación, la organización extrae documentos. No los fabrica. Eso distingue al compliance tributario UNE 19602 de la improvisación defensiva.
Auditoría interna y mejora continua del sistema
Auditoría interna del compliance tributario UNE 19602: periodicidad e independencia
Pese a que la mayoría de las organizaciones entienden la auditoría interna como un evento anual de cierre, la UNE 19602 establece un programa con alcance más preciso. El apartado 9.2 establece que la organización debe, por ello, llevar a cabo auditorías a intervalos planificados. Su objeto, concretamente: verificar si el sistema es conforme con los requisitos de la política y de la norma. Y detectar debilidades antes de que la autoridad las encuentre también. Y también si se implementa y mantiene eficazmente. El programa debe considerar la importancia de los procesos involucrados y los resultados de auditorías previas.
UNE 19602:2019
Apartado 9.2, párrafos de independencia
“Para asegurar la objetividad y la imparcialidad de estos programas de auditoría, la organización debe asegurar que las auditorías se llevan a cabo por: una función independiente o una persona en la organización específicamente designada para realizar este proceso; el órgano de compliance tributario, excepto si el alcance de la auditoría incluye procedimientos o controles de cuya ejecución directa se ocupe el primero; una persona apropiada de un departamento o función distinta del que está siendo auditado; una tercera parte apropiada. El proceso debe asegurar que ningún auditor está auditando su propio área de trabajo o el trabajo desarrollado por él previamente.”
La independencia del auditor es requisito expreso. No recomendación. Quien diseñó e implementó los controles no puede auditarlos sin comprometer la objetividad que la norma exige. En organizaciones donde el responsable del compliance tributario es también quien implementó los procedimientos, la restricción obliga a designar a otra persona o a un externo para la función auditora.
No conformidades y mejora continua del sistema UNE 19602
Aunado a lo anterior, el apartado 10.1 establece el tratamiento de no conformidades. Cuando se detecta una, la organización debe reaccionar de manera transparente y diligente. Adoptar acciones para tomar el control de la situación. Valorar la necesidad de acciones correctivas. Implementarlas. Hacer seguimiento de su eficacia. Realizar los cambios precisos en la política o el sistema. La información documentada que acredita todo ese ciclo debe conservarse.
El compliance tributario UNE 19602, en su versión completa y operando, no es un documento en un cajón. Es un proceso con evidencia de su funcionamiento. En definitiva, la diferencia entre los dos —entre tener la política aprobada y tener el ciclo documentado— es determinante. Ante el SAT o el TFJA, la organización o demuestra que actuó con diligencia o solo demuestra que tenía intención de hacerlo. Son resultados distintos. El compliance tributario UNE 19602 apunta al primero.
¿Qué distingue el compliance tributario UNE 19602 de un manual de procedimientos fiscales?
Un manual de procedimientos describe qué debe hacerse. El compliance tributario UNE 19602 añade: quién verifica que se hizo, con qué evidencia, bajo qué ciclo de revisión, y ante qué órgano se reporta. El sistema, además, genera la información documentada mínima que exige el Anexo B normativo —diecinueve ítems—. Un manual no está diseñado para producir eso.
¿La norma UNE 19602 es obligatoria para empresas en México?
No tiene rango de ley. Su adopción es voluntaria. El valor jurídico que genera, sin embargo, no lo produce la certificación formal sino la operación efectiva del sistema. En particular, la generación de evidencias de cumplimiento de forma inalterable e íntegra, en los términos del apartado 6.1, numeral 3, de la norma.
¿A qué organizaciones aplica el compliance tributario UNE 19602?
A cualquiera, con independencia de su tipo, tamaño, naturaleza o actividad —así lo establece el apartado 1—. Los requisitos se aplican de manera proporcional. El factor determinante no es el tamaño. Es la exposición al riesgo tributario. Organizaciones con operaciones entre partes relacionadas, posiciones interpretativas controvertidas, o socios de negocio que puedan ubicarse en supuestos de los artículos 69-B o 69-B Bis del CFF tienen mayor urgencia de implementación.
¿Qué relación tiene con el artículo 5-A del CFF?
El artículo 5-A del CFF exige documentación contemporánea para acreditar la razón de negocios. Un sistema UNE 19602 bien operado produce exactamente eso: información soportada, razonable, generada en el momento en que se decidió la operación. El sistema, conviene aclararlo, no garantiza que la autoridad acepte la posición, pero sí construye el expediente desde el cual puede defenderse.
¿Con qué frecuencia debe revisarse la evaluación de riesgos?
El apartado 6.2.5 establece revisión regular y revisión extraordinaria. Esta última se activa, entre otros supuestos, ante modificaciones relevantes de la normativa aplicable o de la doctrina consolidada de los tribunales. Una tesis de jurisprudencia en materia fiscal es, para efectos del sistema, un evento de revisión extraordinaria. No esperar al ejercicio siguiente.
¿Qué documentación mínima exige el sistema?
El Anexo B de la norma —de carácter normativo— establece diecinueve ítems de información documentada mínima. Entre los más operativamente relevantes para México: la evaluación de riesgos tributarios y su metodología (inciso b). Los procedimientos de diligencia debida (inciso j). La evidencia de resultados de seguimiento y medición (inciso n). Y la evidencia de resultados de auditorías (inciso o). Esa lista es el piso, no el techo.
¿Qué consecuencias tiene para la responsabilidad solidaria de administradores?
El artículo 26 del CFF establece responsabilidad solidaria de directores generales, gerentes generales y administradores únicos respecto de las contribuciones causadas o no retenidas durante su gestión, cuando la persona moral incurra en los supuestos de la fracción X. Un sistema de compliance tributario documentado —con actas que acreditan supervisión del órgano de gobierno, designación del órgano de compliance y revisiones periódicas— es el expediente de la diligencia debida ejercida. Ese expediente es, por lo tanto, el argumento central frente a cualquier extensión de responsabilidad solidaria.
