SAGRILAFT: qué es, quién debe aplicarlo y diferencias con SARLAFT

Si tu empresa en Colombia está vigilada por la Superintendencia de Sociedades, seguramente ya has oído hablar del SAGRILAFT, un sistema de autocontrol y gestión de riesgos contra el lavado de activos, la financiación del terrorismo y la proliferación de armas de destrucción masiva que es obligatorio para muchas sociedades comerciales. Aquí te explicamos qué es, quién debe implementarlo, sus cuatro etapas y las diferencias clave con el SARLAFT, todo respaldado por fuentes oficiales.

Definición: Sistema de Autocontrol y Gestión de Riesgos LA/FT ·
Etapas: 4 ·
Supervisado por: Superintendencia de Sociedades ·
Riesgos que administra: Lavado de Activos, Financiación del Terrorismo y FPADM ·
Marco legal: Ley 2155 de 2021

Resumen rápido

1Hechos confirmados

El SAGRILAFT es obligatorio para sociedades sujetas a control de la Supersociedades (Affirma Legal (firma especializada en derecho corporativo))
Se compone de cuatro etapas (Risk Global Consulting (consultora de cumplimiento normativo))
La Supersociedades es la entidad encargada de su supervisión (Universidad Catalunya (institución académica))

2Qué no está claro

Plazo exacto de implementación para nuevos obligados según sector (Affirma Legal)
Actualización de umbrales de ingresos/activos para determinar obligatoriedad (Affirma Legal)

3Señal cronológica

Plazo general para implementar SAGRILAFT: a más tardar 31 de mayo del año siguiente al que se cumple el umbral (Affirma Legal)

4Qué sigue

Designar oficial de cumplimiento y capacitar al personal (Seven Asesorías (consultora empresarial colombiana))
Elaborar matriz de riesgo y presentar informe de gestión anual (Seven Asesorías (consultora empresarial colombiana))

El SAGRILAFT descansa sobre pilares normativos y procedimientos definidos. A continuación, los datos clave en una tabla de referencia rápida:

Atributo	Valor
Entidad supervisora	Superintendencia de Sociedades (regulador del sector real colombiano)
Marco legal	Ley 2155 de 2021 y Circular Externa 100-000016 de 2020
Riesgos cubiertos	LA/FT/FPADM (Universidad Catalunya)
Número de etapas	4 (Risk Global Consulting)
Umbral mínimo de ingresos (régimen general)	≥ 40.000 SMMLV al 31 de diciembre del año anterior (Affirma Legal)
Umbral mínimo de ingresos (medidas mínimas)	3.000 – 29.999 SMMLV (Universidad Catalunya)
Plazo de implementación	Hasta el 31 de mayo del año siguiente al cumplimiento del umbral (Affirma Legal)
Responsable	Oficial de cumplimiento designado (Seven Asesorías)

¿Qué es sagrilaft y para qué sirve?

¿Cuál es el objetivo del SAGRILAFT?

El SAGRILAFT (Sistema de Autocontrol y Gestión de Riesgos Integrales contra el Lavado de Activos, Financiación del Terrorismo y FPADM) es un modelo de gestión de riesgos diseñado para que las sociedades comerciales vigiladas por la Supersociedades identifiquen, midan, controlen y monitoreen los riesgos de LA/FT/FPADM en sus operaciones. Según Risk Global Consulting (consultora de cumplimiento normativo), su objetivo central es prevenir que estas empresas sean utilizadas para el lavado de activos o el financiamiento del terrorismo.

El meollo

El SAGRILAFT no es solo un requisito legal: es la herramienta que separa a una empresa que gestiona sus riesgos de manera proactiva de una que los ignora, con consecuencias que pueden incluir multas millonarias.

¿Qué empresas deben implementarlo?

Están obligadas todas las sociedades comerciales sujetas a control de la Superintendencia de Sociedades que cumplan con los umbrales de ingresos o activos definidos por la normativa. Affirma Legal (firma especializada en derecho corporativo) indica que el régimen general aplica a empresas con ingresos brutos iguales o superiores a 40.000 SMMLV al 31 de diciembre del año anterior. Existen también medidas mínimas para empresas con ingresos entre 3.000 y 29.999 SMMLV, señala la Universidad Catalunya (institución académica). Además, sectores como la construcción deben implementarlo independientemente de los umbrales, según Affirma Legal.

La implicación: si tu empresa supera esos límites, no implementar el SAGRILAFT es un riesgo que puede traducirse en sanciones administrativas y reputacionales.

En resumen: Las empresas obligadas que no implementen el SAGRILAFT antes del 31 de mayo se exponen a multas y a ser utilizadas como canales de lavado de activos. Conocer los umbrales y sectores obligados es el primer paso para evitar sanciones.

¿Quién está obligado a implementar el SAGRILAFT?

¿Cómo saber si mi empresa está obligada?

La obligación recae sobre las sociedades vigiladas por la Supersociedades que alcanzan los umbrales de ingresos o activos. Universidad Catalunya detalla dos regímenes: general (≥30.000 SMMLV ingresos/activos) y medidas mínimas (3.000-29.999 SMMLV ingresos o ≥5.000 SMMLV activos). Adicionalmente, Seven Asesorías (consultora empresarial colombiana) menciona que los sectores inmobiliario, constructor, metales preciosos, servicios contables/legales/financieros, factoring y fintech son considerados vulnerables y están obligados.

Empresas del sector construcción: obligadas sin importar umbral (Affirma Legal)
Sociedades comerciales con ingresos ≥ umbral: régimen general o medidas mínimas
Personas naturales: no aplica (SAGRILAFT es para sociedades)

¿Quién es el responsable de Sagrilaft?

El responsable es el representante legal o el oficial de cumplimiento designado, quien debe ser aprobado por la junta directiva o máximo órgano social, explica Risk Global Consulting.

¿Qué sanciones aplican por no implementarlo?

Las sanciones pueden incluir multas económicas y medidas administrativas por parte de la Supersociedades. Aunque no se especifica un monto fijo en las fuentes, el incumplimiento puede acarrear desde llamados de atención hasta la imposición de sanciones pecuniarias que afectan el flujo de caja de la empresa.

Por qué esto importa

Las empresas que ignoran la obligación del SAGRILAFT no solo enfrentan multas: quedan expuestas a ser utilizadas como canales de lavado de activos, lo que puede llevar a procesos penales contra sus directivos.

El incumplimiento de estas obligaciones deja a la empresa expuesta a sanciones y a la posibilidad de ser utilizada para lavado de activos.

En resumen: Identificar si tu empresa está obligada y designar al oficial de cumplimiento a tiempo evita sanciones administrativas y protege la reputación corporativa.

¿Cuál es la diferencia entre SARLAFT y SAGRILAFT?

Siete diferencias clave, una conclusión clara: ambos sistemas comparten metodología, pero su alcance y supervisión son diametralmente opuestos.

Característica	SARLAFT	SAGRILAFT
Supervisor	Superintendencia Financiera	Superintendencia de Sociedades
Sujetos obligados	Entidades financieras (bancos, aseguradoras, etc.)	Sociedades comerciales del sector real
Riesgos cubiertos	LA/FT	LA/FT/FPADM
Frecuencia de evaluación	Trimestral	Anual (funcionamiento y eficacia)
Número de etapas	Generalmente 4-5	4 etapas
Base normativa	Circular Externa 029 de 2014 y normas SFC	Ley 2155 de 2021 y Circular 100-000016 de 2020
Revisión externa	Revisoría fiscal y auditoría externa	Revisoría fiscal

La diferencia clave: mientras que el SARLAFT vigila el dinero en el sistema financiero, el SAGRILAFT protege al sector real – desde constructoras hasta empresas de factoring – de ser infiltradas por dineros ilícitos. Como lo resume Universidad Catalunya, ambos son herramientas complementarias, pero cada una opera bajo un regulador distinto.

¿Cuáles son las 4 etapas del SAGRILAFT?

¿Cómo implementar el SAGRILAFT paso a paso?

Identificación de riesgos: Detectar los factores de riesgo LA/FT/FPADM propios de la actividad de la empresa. Risk Global Consulting sugiere elaborar una matriz de riesgo considerando materialidad, características y actividad.
Medición y evaluación de riesgos: Asignar probabilidad e impacto a cada riesgo identificado para priorizar los más críticos.
Control y mitigación: Diseñar políticas, procedimientos y controles (ej. debida diligencia en contratación, monitoreo de transacciones) para reducir la exposición.
Monitoreo y seguimiento continuo: Supervisar periódicamente la efectividad de los controles y actualizar la matriz cuando cambien las condiciones de la empresa o el entorno.

Según Risk Global Consulting, la junta directiva o máximo órgano social aprueba el SAGRILAFT, presentado por el representante legal y el oficial de cumplimiento. La evaluación anual de funcionamiento y eficacia es obligatoria, a diferencia del SARLAFT que es trimestral (Universidad Catalunya).

En resumen: Las empresas obligadas que no implementen el SAGRILAFT antes del 31 de mayo se exponen a multas y a ser utilizadas como canales de lavado de activos. Para las que ya están en régimen general, la actualización anual es la regla.

Las empresas que siguen estas etapas cumplen con la normativa y reducen su exposición a riesgos financieros y reputacionales.

¿Qué riesgos administra el SAGRILAFT y su relación con el PTEE?

¿Qué es el PTEE y cómo se relaciona con el SAGRILAFT?

El PTEE (Programa de Transparencia y Ética Empresarial) es un complemento del SAGRILAFT que se enfoca en la gestión de riesgos de corrupción y soborno. Mientras el SAGRILAFT cubre lavado de activos, financiación del terrorismo y FPADM, el PTEE ataca la corrupción empresarial. Risk Global Consulting señala que ambos instrumentos forman parte del sistema de gestión de riesgos empresariales y deben implementarse de forma coordinada.

¿Qué riesgos adicionales cubre el SAGRILAFT?

El SAGRILAFT integra tres tipos de riesgo: lavado de activos (LA), financiación del terrorismo (FT) y financiamiento de la proliferación de armas de destrucción masiva (FPADM). El SARLAFT, en cambio, solo cubre LA/FT, aclara la Universidad Catalunya. La inclusión de FPADM hace que el SAGRILAFT sea más amplio y exigente en ciertos sectores como el de metales preciosos y químicos de doble uso.

La consecuencia para las empresas del sector real es que deben tener una visión integral de sus riesgos de cumplimiento, no solo los financieros. Quienes ya implementan PTEE encontrarán sinergias con el SAGRILAFT en áreas como debida diligencia de terceros y capacitación del personal.

En resumen: El SAGRILAFT y el PTEE son complementos obligatorios para un control de riesgos integral. Las empresas que los implementan de forma coordinada reducen su exposición a sanciones y fortalecen su gobierno corporativo.

Hechos confirmados

El SAGRILAFT es obligatorio para sociedades sujetas a control de la Supersociedades que cumplen umbrales de ingresos/activos. (Affirma Legal)
Se compone de cuatro etapas: identificación, medición, control y monitoreo. (Risk Global Consulting)
La Supersociedades es la entidad encargada de su supervisión. (Universidad Catalunya)
El plazo máximo de implementación es el 31 de mayo del año siguiente al que se cumple el umbral. (Affirma Legal)
El SARLAFT aplica al sector financiero, el SAGRILAFT al sector real. (Universidad Catalunya)

Qué no está claro

Plazo exacto de implementación para nuevos obligados dependiendo del sector.
Actualización de umbrales de ingresos/activos para determinar obligatoriedad.
Montos exactos de sanciones económicas por incumplimiento.
Procedimiento detallado de presentación ante la Supersociedades para empresas que no son del sector construcción.
Actualización de umbrales de ingresos/activos para determinar obligatoriedad.

Lo que dicen los expertos

“SAGRILAFT es un sistema de autocontrol y gestión de riesgos integrales contra el lavado de activos, financiación del terrorismo y FPADM”
— Superintendencia de Sociedades (regulador colombiano del sector real)

“El SAGRILAFT está conformado por cuatro etapas que sirven como hoja de ruta para una correcta prevención del lavado de activos y financiación del terrorismo”
— Infolaft (portal especializado en prevención de LA/FT)

Para las empresas colombianas, la decisión es clara: implementar el SAGRILAFT a tiempo evita multas, protege la reputación y fortalece la gestión de riesgos. Quienes aún no han iniciado el proceso enfrentan una cuenta regresiva que termina el 31 de mayo del año siguiente al cumplimiento del umbral.

Fuentes adicionales

kriteriaconsultoria.com, secretariajuridica.gov.co, tusdatos.co, infolaft.com

Preguntas frecuentes

¿Qué significa la sigla SAGRILAFT?

Sistema de Autocontrol y Gestión de Riesgos Integrales contra el Lavado de Activos, Financiación del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva.

¿Cuándo se debe actualizar el SAGRILAFT?

La evaluación de funcionamiento y eficacia es anual, según lo establece la normativa de la Supersociedades. Se recomienda actualizar la matriz de riesgo cada vez que cambien las condiciones del negocio o del entorno.

¿Cómo se presenta el SAGRILAFT ante la Supersociedades?

La presentación se realiza a través del informe de gestión anual, que debe incluir la evaluación del sistema. El oficial de cumplimiento es el encargado de preparar y presentar este informe.

¿El SAGRILAFT aplica a personas naturales?

No, el SAGRILAFT está diseñado para sociedades comerciales vigiladas por la Supersociedades. Las personas naturales no están sujetas a esta obligación.

¿Qué es el oficial de cumplimiento y cuáles son sus funciones?

Es la persona designada por la empresa para liderar la implementación y monitoreo del SAGRILAFT. Sus funciones incluyen elaborar la matriz de riesgo, capacitar al personal y reportar a la junta directiva.

¿Cuál es la diferencia entre SAGRILAFT y sistema de gestión de riesgos operativos?

El SAGRILAFT se enfoca exclusivamente en riesgos LA/FT/FPADM, mientras que un sistema de gestión de riesgos operativos abarca todos los riesgos del negocio (operacionales, financieros, estratégicos).

¿Se puede implementar el SAGRILAFT junto con el PTEE?

Sí, ambos instrumentos son complementarios y se recomienda implementarlos de forma coordinada, ya que comparten herramientas como la debida diligencia de terceros y la capacitación del personal.