El SAGRILAFT es una de las obligaciones de cumplimiento más desconocidas —y más sancionadas— en Colombia. Miles de empresas del sector real están obligadas a implementarlo, pero muchas lo ignoran hasta que llega una visita de inspección de la Superintendencia de Sociedades.
En esta guía le explicamos qué es el SAGRILAFT, quién debe implementarlo, cuáles son sus componentes y qué pasa si su empresa no cumple.
⚠️ Atención
La Superintendencia de Sociedades actualizó los requisitos del SAGRILAFT con la Circular 100-000016 de 2023. Si su empresa implementó el sistema antes de esa fecha, debe verificar que esté actualizado.
1. ¿Qué es el SAGRILAFT?
El Sistema de Autocontrol y Gestión del Riesgo Integral de LA/FT/FPADM (SAGRILAFT) es el conjunto de políticas, procedimientos, controles y mecanismos que deben implementar ciertas empresas colombianas para prevenir que sus operaciones sean utilizadas como vehículo para:
- LA — Lavado de Activos
- FT — Financiación del Terrorismo
- FPADM — Financiación de la Proliferación de Armas de Destrucción Masiva
Lo administra la Superintendencia de Sociedades y aplica a empresas del sector real (no financieras). Las entidades financieras tienen su propio sistema: el SARLAFT, vigilado por la Superintendencia Financiera.
¿En qué se diferencia el SAGRILAFT del SARLAFT?
| Característica | SAGRILAFT | SARLAFT |
|---|---|---|
| Aplica a | Empresas sector real | Entidades financieras |
| Vigila | Supersociedades | Superfinanciera |
| Riesgos cubiertos | LA / FT / FPADM | LA / FT |
| Normativa base | Circular 100-000016 de 2023 | CE 026 de 2008 y actualizaciones |
2. ¿Qué empresas deben implementar SAGRILAFT?
Están obligadas las empresas vigiladas por la Superintendencia de Sociedades que cumplan cualquiera de estas condiciones:
Por umbrales financieros
- Activos totales superiores a 40.000 SMMLV (aprox. $52.000 millones en 2026)
- Ingresos totales superiores a 40.000 SMMLV en el año anterior
Por sector de alto riesgo
Independientemente de sus activos o ingresos, también están obligadas las empresas de estos sectores:
- Construcción e inmobiliario
- Comercio de vehículos automotores
- Joyería, metales y piedras preciosas
- Comercio de obras de arte y antigüedades
- Agentes de viaje y turismo
- Comercio de divisas (no vigilados por Superfinanciera)
- Clubes deportivos profesionales
💡 Cómo saber si usted está obligado
Revise si su empresa aparece en el listado de sociedades vigiladas por Supersociedades y si supera los umbrales. En caso de duda, consulte directamente con la entidad o con un asesor jurídico especializado en cumplimiento.
3. Componentes del SAGRILAFT
El sistema debe contar con los siguientes elementos mínimos:
3.1 Política de prevención
Documento formal aprobado por la junta directiva o el órgano de administración que establece el compromiso de la empresa con la prevención del LA/FT/FPADM. Debe ser conocida por todos los empleados.
3.2 Oficial de Cumplimiento
Persona designada responsable de implementar, coordinar y supervisar el SAGRILAFT. Debe tener acceso directo a la alta dirección y reportar periódicamente al órgano de administración. No puede ser el revisor fiscal.
3.3 Identificación y evaluación de riesgos
La empresa debe identificar los riesgos de LA/FT/FPADM inherentes a su actividad, clientes, productos, canales de distribución y zonas geográficas. Esta evaluación debe documentarse y actualizarse periódicamente.
3.4 Procedimientos de debida diligencia
Conocimiento del cliente (KYC — Know Your Customer): verificar la identidad de clientes, proveedores y contrapartes, identificar beneficiarios finales y detectar personas políticamente expuestas (PEP).
3.5 Monitoreo de operaciones
Seguimiento continuo de las operaciones para detectar transacciones inusuales o sospechosas. Cuando se detecta una operación sospechosa, debe reportarse a la UIAF (Unidad de Información y Análisis Financiero).
3.6 Capacitación
Programa de capacitación anual obligatorio para todos los empleados, con énfasis en las áreas de mayor riesgo. Debe quedar documentada con registros de asistencia.
3.7 Auditoría interna
Evaluación periódica del sistema para verificar su efectividad y detectar brechas. Puede ser realizada por el área de auditoría interna o por un tercero.
3.8 Conservación de documentos
Todos los registros del SAGRILAFT deben conservarse por un mínimo de 5 años.
4. Reporte a la UIAF
Las empresas obligadas deben reportar a la UIAF los siguientes tipos de operaciones:
- Operaciones en efectivo (ROS): transacciones en efectivo que superen el umbral establecido
- Operaciones sospechosas (ROS): cuando hay señales de alerta de lavado de activos o financiación del terrorismo
- Ausencia de operaciones: reporte periódico indicando que no hubo operaciones sospechosas en el período
🚨 Importante
El no reporte de operaciones sospechosas a la UIAF es una infracción grave. La obligación de reportar existe independientemente de que la empresa sea o no responsable del delito subyacente.
5. Plazos y reportes ante Supersociedades
| Obligación | Plazo |
|---|---|
| Informe anual del Oficial de Cumplimiento | Antes del 30 de abril de cada año |
| Autoevaluación del sistema | Anual |
| Actualización de la evaluación de riesgos | Cada vez que haya cambios significativos |
| Reporte de operaciones sospechosas (UIAF) | Dentro de los 2 días hábiles de detectada |
| Capacitación empleados | Mínimo una vez al año |
6. Sanciones por incumplimiento
La Superintendencia de Sociedades tiene amplias facultades sancionatorias frente al incumplimiento del SAGRILAFT:
- Multas: hasta 200 SMMLV por cada infracción (aprox. $260 millones en 2026)
- Inhabilidades: los administradores pueden ser inhabilitados para ejercer el comercio
- Remoción de directivos: en casos graves, Supersociedades puede ordenar la remoción del representante legal o de los administradores
- Medidas de intervención: en situaciones extremas, intervención administrativa de la empresa
- Responsabilidad penal: si se comprueba participación en lavado de activos, los administradores pueden enfrentar cargos penales
⚠️ Las sanciones son acumulables
Supersociedades puede imponer múltiples multas simultáneamente por diferentes incumplimientos dentro del mismo sistema. Una empresa con varios vacíos en su SAGRILAFT puede enfrentar sanciones por cada uno de ellos.
7. ¿Cómo implementar el SAGRILAFT paso a paso?
- Diagnóstico inicial: evalúe si su empresa está obligada y cuál es su perfil de riesgo actual
- Designación del Oficial de Cumplimiento: nombre a la persona responsable con acceso a la alta dirección
- Elaboración de la política: redacte y apruebe la política de prevención en junta directiva
- Matriz de riesgos: identifique y califique los riesgos inherentes a su negocio
- Procedimientos de debida diligencia: establezca procesos de KYC para clientes y proveedores
- Sistema de monitoreo: defina señales de alerta y protocolos de reporte
- Capacitación: realice la primera sesión de formación y documéntela
- Registro en la UIAF: asegúrese de estar registrado en el sistema SISEC de la UIAF
- Auditoría interna: evalúe el sistema al final del primer año
8. SAGRILAFT y NormaCenter
El SAGRILAFT no es un sistema estático: la normatividad cambia. La Superintendencia de Sociedades emite circulares, conceptos y actualizaciones que pueden modificar sus obligaciones. La UIAF también actualiza periódicamente las señales de alerta sectoriales.
NormaCenter monitorea diariamente las publicaciones de Supersociedades y la UIAF, y le alerta automáticamente cuando hay cambios que afectan su obligación de cumplimiento. Así su Oficial de Cumplimiento no tiene que revisar manualmente cada fuente.
¿Su empresa tiene SAGRILAFT al día?
NormaCenter monitorea Supersociedades y UIAF todos los días y le avisa cuando hay cambios que le aplican.
Comenzar monitoreo → desde $150.000/mesPreguntas frecuentes sobre el SAGRILAFT
¿Las empresas pequeñas deben implementar SAGRILAFT?
Depende. Si no superan los umbrales de activos/ingresos y no pertenecen a un sector de alto riesgo, no están obligadas. Sin embargo, algunas empresas lo implementan voluntariamente como buena práctica de gobierno corporativo.
¿El SAGRILAFT es lo mismo que el PTEE?
No. El PTEE (Programa de Transparencia y Ética Empresarial) es otro sistema de cumplimiento requerido por Supersociedades, orientado a la prevención de la corrupción y el soborno. Son sistemas distintos, aunque complementarios, y las empresas de cierto tamaño deben implementar ambos.
¿Una empresa puede usar un sistema externo para cumplir el SAGRILAFT?
Sí, la norma permite contratar proveedores especializados para algunos componentes del sistema, pero la responsabilidad de cumplimiento siempre recae sobre la empresa y su Oficial de Cumplimiento.
¿Con qué frecuencia visita Supersociedades a las empresas?
La Superintendencia de Sociedades realiza visitas de inspección, algunas programadas y otras sorpresivas. La frecuencia varía, pero las empresas de sectores de alto riesgo suelen ser visitadas con mayor regularidad.