Opinión

Una revisión de las nuevas reglas antilavado

La matriz CRR como brújula, el nuevo ADN del control interno

La reforma al Código Fiscal de la Federación, publicada en noviembre de 2025 y vigente desde enero de 2026, ha redefinido las reglas del juego para el compliance en México. Ya no se trata solo de pagar lo que corresponde, sino de demostrar, con evidencia sólida y en tiempo real, que cada operación tiene una sustancia económica real y que el control interno no es un departamento más, sino el sistema nervioso central de la organización. La frase “yo no sabía” ha quedado sepultada por un entorno fiscalizador que opera con algoritmos y cruces de datos masivos, donde cualquier discrepancia entre la facturación electrónica y la contabilidad es visible para la autoridad de forma casi inmediata. Por eso, la matriz de riesgos se ha convertido en la brújula que guía cada decisión, pero no como un ejercicio administrativo, sino como una necesidad estratégica que debe anclarse en los nuevos estándares normativos que exigen una gestión proactiva y documentada de cada una de las obligaciones fiscales y financieras de la empresa.

El primer gran desafío que impone la reforma es la definición de CFDI falso como aquel que no ampara una operación existente, verdadera o un acto jurídico real. Un solo comprobante cuestionado puede desencadenar la presunción de falsedad sobre toda la facturación del contribuyente y la restricción de su Certificado de Sello Digital casi de inmediato. Esto obliga a las empresas a revisar no solo a sus proveedores y clientes por su RFC, sino a escudriñar su capacidad operativa y material para realizar la transacción, porque la autoridad ya no se conforma con papeles, exige sustancia. La matriz de control interno debe entonces categorizar a cada contraparte con un nivel de riesgo que considere su historial fiscal, su plantilla laboral, sus activos y hasta su domicilio real, porque el SAT está facultado para presumir la inexistencia de operaciones cuando no se acredite físicamente la entrega del bien o la prestación del servicio. Esta presunción tiene efectos devastadores, porque no solo anula las deducciones, sino que arrastra a toda la cadena de valor del contribuyente, generando un efecto dominó que puede terminar con la restricción del CSD y la imposibilidad de seguir facturando, lo que en la práctica equivale a una muerte comercial anticipada.

Pero el cambio más disruptivo llega con el nuevo artículo 30-B del CFF, que obliga a las plataformas digitales a dar acceso en línea y en tiempo real al SAT a sus bases de datos operativas a partir del 30 de abril de 2026. La fiscalización deja de ser un evento periódico para convertirse en un proceso constante, donde la autoridad tiene visibilidad inmediata de las operaciones. Esto exige una arquitectura tecnológica que garantice la integridad y disponibilidad de la información, así como protocolos de seguridad para gestionar el acceso de la autoridad sin vulnerar datos sensibles de los contribuyentes. La matriz de riesgos debe incluir ahora variables dinámicas, como la consistencia del coeficiente de utilidad, porque una caída drástica sin una explicación operativa sólida activará los protocolos de revisión automatizada. Y aquí es donde el compliance financiero se entrelaza con el fiscal, porque no basta con declarar, hay que documentar la trazabilidad de cada gasto, cada inversión y cada deducción, especialmente en los rubros sensibles como servicios profesionales, viáticos o arrendamientos. El SAT ya no espera la declaración anual para cruzar información, lo hace diariamente, y cualquier señal de alerta, por mínima que sea, puede desencadenar una auditoría electrónica que revise los últimos cinco años de operaciones con una precisión que antes solo era posible en revisiones presenciales que duraban meses.

El endurecimiento de las sanciones es otro componente que no puede ignorarse. La reforma tipifica nuevas infracciones y delitos, con penas de prisión de 3 a 9 años por emisión o uso de CFDI falsos, y los receptores de comprobantes declarados falsos tienen un plazo de 30 días para revertir su efecto fiscal mediante declaraciones complementarias. Si no lo hacen, enfrentarán la restricción de su propio CSD, lo que en la práctica paraliza la operación de cualquier negocio. Por eso, la matriz debe incluir un protocolo de alerta temprana para monitorear las publicaciones del SAT, como los listados 69-B, y actuar de inmediato para subsanar cualquier riesgo, manteniendo así la opinión de cumplimiento favorable que tanto valoran los inversionistas y las instituciones financieras. La gobernanza es clave aquí: el programa de compliance debe tener un dueño claro, reportar al consejo y estar integrado con las áreas de finanzas, legal y operaciones, porque la formación continua del personal y los canales de denuncia robustos son los cimientos de una cultura de cumplimiento que permea toda la organización. No se trata de un departamento aislado, sino de una filosofía que debe ser adoptada desde la alta dirección hasta el último de los colaboradores, porque cualquier error en la base puede escalar hasta convertirse en un riesgo sistémico para la compañía.

En este escenario, la tecnología deja de ser un apoyo para convertirse en el único aliado posible. Automatizar el registro fiscal, implementar sistemas de facturación con validación en tiempo real y contar con plataformas de gestión documental no es una opción, es la única manera de mantener la coherencia entre los CFDI emitidos, los registros contables y lo declarado. La matriz de control interno debe ser una herramienta viva, que se actualice con cada cambio normativo y con cada nuevo patrón de riesgo identificado por la autoridad. Porque el SAT ya no avisa, simplemente cruza datos, y cuando el algoritmo encuentra una inconsistencia, la notificación llega sin previo aviso, y el contribuyente se encuentra en una situación de desventaja absoluta si no ha preparado con antelación toda la documentación que acredite la realidad de sus operaciones. La experiencia internacional muestra que los países que han implementado modelos similares de fiscalización en tiempo real han logrado reducir significativamente la evasión fiscal, pero también han elevado el costo de cumplimiento para las empresas que operan en la formalidad, por lo que la eficiencia en la gestión del compliance se convierte en un factor diferenciador de competitividad.

La diferencia entre una empresa que prospera y otra que sobrevive estará en la calidad de su control interno, en su capacidad para demostrar, de manera proactiva, la realidad y trazabilidad de sus operaciones. El compliance, en sus vertientes financiera y fiscal, es el nuevo idioma de la confianza: la confianza de las autoridades, la confianza de los inversionistas y, en última instancia, la confianza que sostiene el valor de la empresa en el mercado. La matriz de riesgos no es solo un documento, es la herramienta que nos permite ver el iceberg antes de que el barco choque, y en el México de 2026, esa visión anticipada es lo único que separa el éxito del fracaso. Las empresas que ya están implementando estos controles no lo ven como un gasto, sino como una inversión en estabilidad y continuidad, porque saben que una auditoría adversa no solo impacta las finanzas, sino la reputación y la capacidad de acceder a financiamiento en condiciones favorables. La reforma ha llegado para quedarse, y el único camino viable es adelantarse a ella, construyendo una matriz de control que no solo cumpla con la norma, sino que supere las expectativas de la autoridad, demostrando que la transparencia y la ética fiscal son los pilares sobre los que se construye un negocio sostenible en el largo plazo.

Especialista en Prevención de Lavado de dinero y FT

Tendencias