Identificación de riesgos legales en México
- GPF Asesoría de Negocios
- 15 jul
- 7 Min. de lectura
Identificación de riesgos legales en México en materia fiscal, ambiental, laboral, protección de datos personales y prevención de lavado de dinero (PLD).
I. Introducción
Las acciones legales pueden clasificarse de acuerdo a su finalidad, en acciones legales correctivas y acciones legales preventivas, la finalidad de una acción legal correctiva es reaccionar a una contingencia vigente que puede derivar en consecuencias desfavorables –en ocasiones de imposible reparación- mientras que la finalidad de una acción legal preventiva implica prevenir contingencias futuras que pueden ocurrir o no.

En el contexto de la globalización y la creciente complejidad regulatoria, la identificación de riesgos legales se ha convertido en una exigencia esencial para las organizaciones en México. Este deber no solo obedece a criterios de cumplimiento normativo, sino también a principios de responsabilidad social, sostenibilidad y continuidad operativa. En este escenario, los estándares internacionales como las normas ISO, así como las Normas Oficiales Mexicanas (NOM), se erigen como herramientas técnicas complementarias a las disposiciones legales, facilitando la implementación de sistemas preventivos eficaces en los ámbitos fiscal, ambiental, laboral y protección de datos personales. En algunos casos las regulaciones obligatorias implican sanciones económicas severas y el desconocimiento de dichas regulaciones no exime de su cumplimiento, por tanto, la creciente regulación implica su estudio y actualización constante que permita en primera instancia identificar el riesgo, para posteriormente evaluar el riesgo considerando su frecuencia y severidad para finalmente otorgarle el tratamiento adecuado, trasladándolo (mediante contratos de seguro) o mitigándolo reduciendo las probabilidades de incurrir en incumplimientos normativos.
Coloquialmente hablando es correcto afirmar que no es conveniente esperar del porvenir “haber que pasa” ya que en tal circunstancia puede haber consecuencias de difícil o imposible reparación. Cada vez es más común, que se atienda al cumplimiento normativo entendiéndose como un conjunto de procesos, políticas y prácticas que una organización implementa para asegurar que se adhiera a las leyes, regulaciones y estándares éticos aplicables a su sector y actividad, también llamado en países anglosajones “Compliance”. Su objetivo es crear un ambiente de confianza y responsabilidad, gestionando los riesgos de incumplimiento y evitando consecuencias legales y reputaciones negativas.
También es importante el término “Due diligence”, traducida al español como diligencia debida, es un proceso de investigación y análisis riguroso que se realiza antes de una transacción significativa, como la compra o fusión de una empresa, la concesión de un crédito, o la inversión en un proyecto. Este proceso tiene como objetivo evaluar detalladamente la situación de la empresa o el proyecto, identificar posibles riesgos y oportunidades, y proporcionar una base sólida para la toma de decisiones.
II. Marco normativo general
En México, la identificación de riesgos legales se articula sobre un marco mixto compuesto por legislación positiva, reglamentos, normas técnicas y estándares internacionales voluntarios. El artículo 16 constitucional consagra el principio de legalidad que rige toda actuación administrativa, lo cual exige a los particulares cumplir estrictamente con las disposiciones fiscales, ambientales y laborales. Por su parte, la Ley Federal sobre Metrología y Normalización (vigente hasta el 30 de agosto de 2020 y sustituida por la Ley de Infraestructura de la Calidad) establecía que las Normas Oficiales Mexicanas tienen carácter obligatorio cuando son emitidas para proteger intereses públicos, tales como la salud, el medio ambiente o la seguridad de los trabajadores. Actualmente las NOM siguen siendo obligatorias, de acuerdo a la nueva Ley de Infraestructura de la Calidad.
III. Identificación de riesgos legales fiscales
La Ley del Impuesto sobre la Renta (LISR), la Ley del Impuesto al Valor Agregado (LIVA) y el Código Fiscal de la Federación (CFF) constituyen los pilares del régimen fiscal mexicano. La omisión de obligaciones formales o sustantivas, como la contabilidad electrónica, la correcta emisión de comprobantes fiscales digitales (CFDI) o el entero oportuno de contribuciones, puede derivar en créditos fiscales, sanciones económicas e incluso responsabilidades penales, conforme al artículo 108 del CFF.
La ISO 31000:2018, versa sobre gestión de riesgos, ofrece un marco para identificar, evaluar y mitigar riesgos fiscales mediante controles internos, auditorías periódicas y políticas antifraude.
Aunque la ISO referida (a diferencia de una NOM), no tiene carácter obligatorio, su aplicación se alinea con lo previsto por el artículo 42 del CFF respecto a facultades de comprobación, lo cual permite anticipar contingencias mediante un enfoque preventivo y representa una oportunidad para toda organización en su fortalecimiento y desarrollo.
IV. Identificación de riesgos legales ambientales
El marco jurídico ambiental mexicano se rige por la Ley General del Equilibrio Ecológico y la Protección al Ambiente (LGEEPA), así como por normas específicas emitidas por la Secretaría de Medio Ambiente y Recursos Naturales (SEMARNAT) y la Procuraduría Federal de Protección al Ambiente (PROFEPA). El incumplimiento en materia de emisiones, residuos peligrosos, impacto ambiental o cambio de uso de suelo puede derivar en sanciones administrativas, clausuras y responsabilidades penales (artículos 171 y 414 del Código Penal Federal). De igual manera, en algunos estados se encuentran reguladas contribuciones por el daño ambiental que pueda ocasionar la actividad económica del contribuyente, estos impuestos se identifican por su característica Extra fiscal, ya que además de lograr recabar contribuciones, buscan inhibir la conducta que ocasiona un daño al medio ambiente.
La ISO 14001:2015, relativa a sistemas de gestión ambiental, constituye un estándar internacional voluntario que permite a las empresas establecer un marco de cumplimiento ambiental continuo. En México, su implementación se vincula a la observancia de NOMs como la NOM-052-SEMARNAT-2005 (clasificación de residuos peligrosos), la NOM-001-SEMARNAT-2021 (descargas de aguas residuales) y la NOM-138-SEMARNAT/SSA1-2012 (control de calidad del aire).
V. Identificación de riesgos legales laborales
La Ley Federal del Trabajo (LFT) establece obligaciones patronales en materia de condiciones generales de trabajo, seguridad e higiene, así como de previsión social. El incumplimiento de tales deberes puede conllevar inspecciones, sanciones administrativas (arts. 992 a 1002 de la LFT) y, en casos graves, responsabilidades penales por omisión dolosa de medidas de seguridad.
La ISO 45001:2018, sobre sistemas de gestión de seguridad y salud en el trabajo, promueve un enfoque sistemático para identificar peligros, evaluar riesgos laborales y establecer mecanismos de control. En México, su implementación complementa las NOM laborales obligatorias como la NOM-019-STPS-2011 (constitución de comisiones de seguridad e higiene), la NOM-030-STPS-2009 (servicios preventivos de seguridad y salud) y la NOM-035-STPS-2018 (factores de riesgo psicosocial).
De igual modo, la Ley Federal Del Trabajo, recientemente ha sido reformada para combatir el outsourcing que operaba con el suministro de personal por una empresa tercera que pagaba la nómina y seguridad social a empleados de quien contrataba sus servicios, para regularlo la prestación de servicios y ejecución de obras que impliquen trasladar a los empleados al domicilio de los clientes se limitó a únicamente servicios y obras especializadas, es decir aquellos servicios u obras que los empleados propios de la empresa contratante no pudieran realizar en atención a la especialización del servicio u obra que se pretenda ejecutar. También se creó el Registro de Prestadoras de Servicios u Obras Especializadas, a cargo de la Secretaría del Trabajo y Previsión Social, estableciendo una serie de obligaciones tales como obtener el registro a contratistas que pretendan ofrecer servicios u obras especializadas, presentación de informes en plataformas del Instituto Mexicano del Seguro Social y del Instituto del Fondo Nacional de la Vivienda para los Trabajadores, así como responsabilidad solidaria para contratante y contratista.
VI. Identificación de Riesgos legales de Protección de Datos Personales.
El derecho de los ciudadanos de acceder a la información pública y de protección de sus datos personales, hasta antes de reformarse se encontraba regulado por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), el instituto se extinguió por decreto publicado en el Diario Oficial de la Federación el 20 de marzo de 2025, en ese mismo día se publicaron la Ley General de Transparencia y Acceso a la Información Pública, Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y la Ley Federal de Protección de Datos Personales en Posesión de Particulares, de igual manera las funciones del INAI se transfirieron en su mayoría a la nueva Secretaria Anticorrupción y Buen Gobierno. Estas nuevas leyes continúan protegiendo los datos personales mediante el aviso de privacidad y el ejercicio de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
En el contexto de acceso a información pública y protección de datos personales, las normas ISO que son relevantes son principalmente la ISO 27001 (Sistema de Gestión de la Seguridad de la Información) y la ISO/IEC 27701 (Gestión de la privacidad de la información). La ISO 27001 proporciona un marco general para la seguridad de la información, mientras que la ISO/IEC 27701 se enfoca específicamente en la privacidad de los datos personales.
Si bien las normas ISO no son legalmente obligatorias, pueden ser una herramienta eficaz para evitar las sanciones establecidas en las nuevas leyes de la materia, sanciones económicas que pueden ir desde los $11,314 pesos hasta $36,204,800 pesos, asimismo sanciones privativas de libertad de 3 meses hasta 10 años, por conclusión es un tema que necesariamente requiere atención.
VII. Identificación de Riesgos legales de Prevención de Lavado de Dinero.
La Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita determina las actividades consideradas vulnerables para los efectos de la misma ley, obligando a quienes realicen dichas actividades a identificar y conocer sus clientes y proveedores, a través de perfiles transaccionales que identifiquen las operaciones y se obligan a presentar los avisos en los tiempos y bajo la forma que la misma ley señala.
Un debido cumplimiento normativo en Prevención de Lavado de Dinero, implica establecer un sistema de control de los riesgos, para evitar incumplimientos que pueden sancionarse desde $22,628 pesos hasta $735,410,000 pesos, y en algunos casos también implica sanciones penales.
VIII. Análisis de convergencia normativa
Si bien las normas ISO no son obligatorias en el orden jurídico mexicano, su adopción opera como mecanismo de cumplimiento normativo anticipado (Compliance) y de reducción de contingencias legales. Esta convergencia normativa permite a las organizaciones demostrar diligencia debida frente a autoridades fiscales, ambientales y laborales. En términos del principio de proporcionalidad, reconocido por la Suprema Corte de Justicia de la Nación en diversas tesis aisladas y jurisprudencias, la aplicación voluntaria de estándares técnicos puede ponderarse como elemento atenuante en la imposición de sanciones administrativas.
IX. Conclusión
La identificación de riesgos legales conforme a normas ISO y NOM representa una herramienta estratégica de cumplimiento normativo, indispensable en el contexto empresarial mexicano actual. En los ámbitos fiscal, ambiental y laboral, el entrelazamiento entre legislación obligatoria y estándares técnicos voluntarios permite anticipar contingencias, reducir la exposición a riesgos jurídicos y preservar la integridad operativa de las organizaciones. En un entorno donde el riesgo legal puede significar la diferencia entre la continuidad y enfrentar la sanción (económica en la mayoría de los casos), el cumplimiento preventivo deja de ser una opción para convertirse en un imperativo técnico y jurídico. No existe empresa u organización que tenga todos los riesgos legales controlados, aunque se aspira a ello, es común que la mayoría no cuente con sistemas de control de riesgos legales, o en casos más graves todavía no han sido identificados los riegos legales, como siempre los invitamos a acercarse al grupo de expertos que conformamos GPF Asesoría de Negocios S.C. para revisar de manera conjunta el debido cumplimiento normativo de sus empresas y/o negocios, o bien acompañarlos en los trámites necesarios para que puedan identificar y controlar los riesgos legales que se traducen en sanciones económicas para su empresa o negocio y en algunos casos pueden constituir delitos.
Autor: Lic. Luis Garcia.
Comentarios