SAGRILAFT ¿Qué es y cómo debe ser Implementado por las empresas?

Abril 30, 2026

El SAGRILAFT (Sistema de Autocontrol y Gestión del Riesgo Integral de Lavado de Activos, Financiación del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva, LA/FT/FPADM) se ha consolidado como el instrumento normativo más exigente para el sector real de la economía colombiana en materia de cumplimiento anticriminal. Desde su creación mediante la Circular Externa 100-000016 del 24 de diciembre de 2020 de la Superintendencia de Sociedades, el sistema ha experimentado una evolución normativa permanente que en 2024 y 2025 ha alcanzado un punto de quiebre: las sanciones son reales, las visitas de supervisión han aumentado un 123% y, por primera vez, los representantes legales y oficiales de cumplimiento enfrentan responsabilidad personal directa.

En un entorno en que la Superintendencia de Sociedades ha impuesto multas que superan los $1.300 millones de pesos en los últimos dos años, comprender en detalle qué es el SAGRILAFT, quiénes están obligados a implementarlo y cuáles son las novedades normativas de 2025 no es una opción: es una necesidad empresarial urgente.

La reciente Circular Externa 100-000002 del 14 de marzo de 2025 introdujo cambios estructurales en la forma de reporte, eliminando el histórico Informe 42 y creando el nuevo Informe 75 que integra SAGRILAFT, el Régimen de Medidas Mínimas (RMM) y el PTEE. Por su parte, la Circular Externa 100-300000 del 6 de diciembre de 2024 estableció un régimen diferencial para Cámaras de Comercio y Entidades Sin Ánimo de Lucro Extranjeras (ESALES), con un plazo de implementación hasta el 31 de mayo de 2025. Esta guía recoge todas estas novedades y ofrece la visión jurídica más actualizada disponible.

Qué es el SAGRILAFT: Definición y Propósito

El SAGRILAFT es el sistema integral de autocontrol y gestión del riesgo que la Superintendencia de Sociedades exige a las empresas del sector real de la economía colombiana para prevenir que sus operaciones sean utilizadas como instrumento para lavar activos, financiar el terrorismo o contribuir a la proliferación de armas de destrucción masiva. A diferencia de una política aislada de cumplimiento, el SAGRILAFT es un sistema vivo: comprende políticas, procedimientos, metodologías de evaluación de riesgos, debida diligencia sobre contrapartes, monitoreo continuo de operaciones y reporte de operaciones sospechosas a la Unidad de Información y Análisis Financiero (UIAF).

Su fundamento jurídico internacional descansa en la Recomendación 28 del Grupo de Acción Financiera Internacional (GAFI), que exige a los Estados establecer controles preventivos en las denominadas Actividades y Profesiones No Financieras Designadas (APNFD), reconociendo que el lavado de activos no se limita al sistema bancario sino que permea sectores tan diversos como el inmobiliario, el jurídico, el contable, la construcción y, más recientemente, el ecosistema de activos virtuales.

A nivel interno, la normativa colombiana ha ido más allá de las exigencias mínimas del GAFI. La regulación vigente, contenida en el Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades y sus sucesivas modificaciones, configura un sistema robusto que reconoce las particularidades de cada sector y permite una implementación proporcional a los riesgos reales de cada organización, al tiempo que mantiene estándares mínimos no negociables.

Desde la perspectiva práctica, el SAGRILAFT le permite a una empresa identificar si sus clientes, proveedores o socios comerciales presentan alertas de lavado de activos; detectar operaciones inusuales que podrían indicar movimientos de fondos ilegales; y establecer controles para bloquear o reportar dichas operaciones antes de que la empresa sea involucrada en un proceso penal o administrativo sancionatorio. La correcta implementación del sistema es, en definitiva, un escudo de protección jurídica para la empresa y para sus administradores.

Marco Normativo Vigente: Actualizaciones 2024 y 2025

El SAGRILAFT tiene un marco normativo en constante evolución. A continuación se presentan las normas vigentes más relevantes, con especial énfasis en las novedades de los últimos meses:

Normativa Base

• Circular Externa 100-000016 del 24 de diciembre de 2020: Norma fundacional del SAGRILAFT para el sector real. Establece los cuatro elementos del sistema, los sujetos obligados, los requisitos del Oficial de Cumplimiento y los procedimientos de debida diligencia.
• Circular Externa 100-000004 del 9 de abril de 2021: Primera modificación de la norma base, ajustando aspectos operativos del sistema.
• Circular Externa 100-000015 del 24 de septiembre de 2021: Ajustes adicionales al sistema e incorporación de disposiciones sobre activos virtuales.
• Circular Básica Jurídica 100-000008 de 2022: Consolida los Capítulos X y XIII que regulan el SAGRILAFT y el PTEE respectivamente.

Novedades Normativas 2024

• Circular Externa 100-000004 del 4 de octubre de 2023: Incluyó por primera vez a las Cámaras de Comercio y a las ESALES extranjeras como sujetos obligados a implementar SAGRILAFT y PTEE.
• Circular Externa 100-000003 del 23 de abril de 2024: Modificó los plazos de implementación para Cámaras de Comercio y ESALES, concediendo un periodo de transición hasta el 31 de mayo de 2025. Durante dicho periodo, Supersociedades se compromete a brindar acompañamiento pedagógico y no exigirá el cumplimiento de las obligaciones propias de los Capítulos X y XIII.
• Circular Externa 100-300000 del 6 de diciembre de 2024: Introduce el régimen diferencial para Cámaras de Comercio (tres niveles según ingresos) y excluye del SAGRILAFT completo a las ESALES extranjeras, que ahora solo deben cumplir el Régimen de Medidas Mínimas si sus ingresos superan los 9.000 SMMLV. Esta circular actualizó los numerales 4.4 y 4.5 de los Capítulos X y XIII de la Circular Básica Jurídica.
• Decreto 1122 del 30 de agosto de 2024: Reglamenta los Programas de Transparencia y Ética Pública, diferenciándolos de los PTEE empresariales y estableciendo criterios de especialidad.

Novedades Normativas 2025

NOVEDAD CLAVE: Circular Externa 100-000002 del 14 de marzo de 2025. Esta circular introduce tres cambios de alto impacto para todas las empresas obligadas:

1. Creación del Informe 75: Unifica los anteriores Informes 50 y 52 en un solo reporte denominado "Informe 75 - SAGRILAFT, RMM y PTEE". A partir de 2025, los sujetos obligados presentan un único informe integrado con corte al 31 de diciembre de cada año.
2. Retiro del Informe 42: Queda derogada la Circular Externa 100-000003 del 11 de septiembre de 2023. El Informe 42 de Prácticas Empresariales deja de existir; su contenido fue absorbido por el Informe 08 de Reporte de Sostenibilidad.
3. Clarificación de responsabilidades: La circular reitera que la responsabilidad del diligenciamiento, contenido y fidelidad del Informe 75 recae directamente sobre los administradores y el Oficial de Cumplimiento del sujeto obligado.

Nota para Cámaras de Comercio y ESALES: Las que se encuentren obligadas conforme a la Circular 100-300000 de 2024 deberán presentar el Informe 75 a partir del año 2026, con corte al 31 de diciembre de 2025.

Sentencia T-113 de 2025 de la Corte Constitucional: Aunque referida al SARLAFT del sector financiero, esta sentencia establece un estándar de debida diligencia proporcional y objetiva que tiene incidencia interpretativa sobre el SAGRILAFT. La Corte enfatiza la necesidad de actualizar la información de contrapartes y de fundamentar las decisiones de exclusión o alerta en criterios objetivos y documentados, evitando tratamientos discriminatorios.

Empresas Obligadas a Implementar SAGRILAFT

La determinación de si una empresa está obligada a implementar el SAGRILAFT depende de tres factores concurrentes: (i) que se encuentre bajo vigilancia o control de la Superintendencia de Sociedades; (ii) que cumpla con los umbrales de ingresos o activos fijados para el criterio general o sectorial; y (iii) que no se encuentre expresamente excluida por la normativa vigente. A continuación se desarrolla cada supuesto:

Criterio General de Aplicación: 40.000 SMMLV

Están obligadas a implementar el SAGRILAFT completo todas las empresas vigiladas o controladas por Supersociedades que, al 31 de diciembre del año inmediatamente anterior, hayan obtenido ingresos totales o tenido activos iguales o superiores a 40.000 salarios mínimos legales mensuales vigentes (SMMLV). Para el año 2024, este umbral equivale aproximadamente a $52.000.000.000 de pesos. Este criterio, que redujo el umbral anterior de 160.000 SMMLV, amplió significativamente el universo de obligados, incorporando empresas medianas que hasta ese momento no habían estado sujetas a este nivel de exigencia.

Sectores con Régimen Especial: Umbrales Reducidos

Independientemente del umbral general, las empresas pertenecientes a los siguientes sectores de alto riesgo están obligadas cuando superen umbrales más bajos, calculados con base en la clasificación CIIU de su actividad principal:

• Agentes inmobiliarios (CIIU 6810): Umbral de ingresos $3.900M (3.000 SMMLV) / Umbral de activos $6.500M (5.000 SMMLV). Obligación: RMM o SAGRILAFT según ingresos.
• Comercialización de metales y piedras preciosas: Umbral de ingresos $3.900M (3.000 SMMLV) / Umbral de activos $6.500M (5.000 SMMLV). Obligación: RMM o SAGRILAFT.
• Servicios jurídicos (CIIU 6910): Umbral de ingresos $3.900M (3.000 SMMLV) / Umbral de activos $6.500M (5.000 SMMLV). Obligación: RMM o SAGRILAFT.
• Servicios contables (CIIU 6920): Umbral de ingresos $3.900M (3.000 SMMLV) / Umbral de activos $6.500M (5.000 SMMLV). Obligación: RMM o SAGRILAFT.
• Construcción de edificios y obras civiles: Umbral sectorial Supersociedades. Obligación: SAGRILAFT completo.
• Empresas de activos virtuales (ops. >= 100 SMMLV): Umbral de ingresos $3.900M (3.000 SMMLV) / Umbral de activos $6.500M (5.000 SMMLV). Obligación: SAGRILAFT + DDI.

Nota: DDI = Debida Diligencia Intensificada. RMM = Régimen de Medidas Mínimas. Cifras en pesos colombianos aproximadas para 2024.

Sectores de Supervisión Especial

Las siguientes tipologías de sociedades están sujetas a obligaciones SAGRILAFT específicas en razón de sus modelos de negocio, que presentan vulnerabilidades particulares para el lavado de activos:

• Sociedades Administradoras de Planes de Autofinanciamiento Comercial (SAPAC): por la captación masiva de recursos del público.
• Sociedades Operadoras de Libranza: por la gestión de descuentos de nómina que involucran flujos de efectivo significativos.
• Empresas de mercadeo multinivel: por la complejidad de sus redes de distribución y captación de recursos.
• Fondos ganaderos: por la participación de múltiples aportantes y la movilidad de activos.
• Empresas de factoring: por la adquisición de carteras y la intermediación en el flujo de recursos.

Régimen Diferencial para Cámaras de Comercio

La Circular Externa 100-300000 del 6 de diciembre de 2024 estableció un esquema de tres niveles para las Cámaras de Comercio, reconociendo que su heterogeneidad en tamaño e ingresos hace inadecuado un trato igualitario:

• Ingresos >= 40.000 SMMLV: SAGRILAFT completo + PTEE (Cap. X y XIII). Requiere Oficial de Cumplimiento designado. Debida diligencia plena.
• Ingresos entre 9.000 y 39.999 SMMLV: Régimen de Medidas Mínimas (RMM) + identificar riesgos de corrupción. No requiere Oficial de Cumplimiento; asume el representante legal.
• Ingresos < 9.000 SMMLV: Excluidas (adopción voluntaria como buena práctica). Pueden implementar SAGRILAFT de forma voluntaria para mejora de gobernanza.

Exención importante para Cámaras de Comercio: Las actividades propias de la administración de registros públicos delegados y las relacionadas con arbitraje y conciliación están EXENTAS de los procedimientos de Debida Diligencia que tratan los Capítulos X y XIII. Esta exención reconoce el carácter delegado de estas funciones estatales. Plazo de transición: Las Cámaras que a 31 de diciembre de cada año cumplan criterios del nivel superior disponen hasta el 31 de mayo del año siguiente para adoptar el SAGRILAFT o RMM correspondiente.

Régimen para ESALES Extranjeras con Negocios en Colombia

La Circular 100-300000 de 2024 introdujo un cambio paradigmático: las Entidades Sin Ánimo de Lucro Extranjeras (ESALES) con negocios permanentes en Colombia quedan excluidas del SAGRILAFT completo. Esta decisión se fundamenta en la actualización de la Recomendación 8 del GAFI de diciembre de 2023, que exige medidas focalizadas, proporcionales y basadas en riesgo para organizaciones sin fines de lucro, evitando cargas excesivas que obstaculicen sus actividades legítimas.

El régimen aplicable a las ESALES extranjeras queda configurado de la siguiente manera:

• ESALES con ingresos >= 9.000 SMMLV: Deben cumplir el Régimen de Medidas Mínimas (numeral 6, Capítulo X) e identificar y evaluar riesgos de corrupción y soborno transnacional. No requieren Oficial de Cumplimiento; el representante legal asume estas funciones.
• ESALES con ingresos < 9.000 SMMLV: Completamente excluidas. La implementación voluntaria se considera buena práctica de gobernanza.
• Particularidad de la Debida Diligencia: Las ESALES no tienen "clientes" sino donantes, por lo que la debida diligencia de conocimiento del cliente no les aplica. En cambio, deben examinar que sus transacciones sean consistentes con el objeto de sus relaciones contractuales.

Diferencias entre SAGRILAFT y SARLAFT

Una confusión frecuente en el mundo empresarial colombiano es la diferencia entre el SAGRILAFT y el SARLAFT. Aunque ambos sistemas comparten el propósito de prevenir el lavado de activos y la financiación del terrorismo, sus ámbitos de aplicación, estructuras y exigencias difieren sustancialmente:

• Entidad reguladora: SAGRILAFT → Superintendencia de Sociedades / SARLAFT → Superintendencia Financiera de Colombia.
• Sujetos obligados: SAGRILAFT → Empresas del sector real (vigiladas Supersociedades) / SARLAFT → Bancos, fiduciarias, cooperativas financieras, sector financiero.
• Norma base: SAGRILAFT → Circular Ext. 100-000016 de 2020 y Circular Básica Jurídica Capítulo X / SARLAFT → Circular Externa 029 de 2014 Superfinanciera y normas concordantes.
• Tipo de operaciones cubiertas: SAGRILAFT → Contratos comerciales, relaciones de negocio, activos virtuales, cadena de valor / SARLAFT → Depósitos, créditos, inversiones, transferencias, operaciones en efectivo.
• Elementos del sistema: SAGRILAFT → 4: diseño/aprobación, supervisión/cumplimiento, divulgación/capacitación, asignación funciones / SARLAFT → 8: políticas, procedimientos, documentación, org. estructura, órganos control, tecnología, divulgación, capacitación.
• Flexibilidad: SAGRILAFT → Mayor flexibilidad según sector y tamaño / SARLAFT → Estandarizado para operaciones financieras.
• Debida diligencia: SAGRILAFT → Adaptada al tipo de contraparte y operación / SARLAFT → Estandarizada por perfil de cliente financiero.

La distinción más relevante para el empresario es que el SAGRILAFT exige adaptar la debida diligencia a la diversidad de relaciones comerciales que tiene una empresa del sector real: desde la compra de materias primas hasta la contratación de servicios, pasando por la distribución de productos y la gestión de socios. El SARLAFT, en cambio, opera sobre transacciones financieras más estandarizadas donde el perfil de riesgo del cliente bancario sigue patrones más predecibles.

Elementos y Etapas del SAGRILAFT

Los Cuatro Elementos del Sistema

El SAGRILAFT, según la Circular Básica Jurídica de la Superintendencia de Sociedades, está conformado por cuatro elementos esenciales que deben estar presentes en toda empresa obligada:

• Diseño y aprobación: El sistema debe ser diseñado por el Oficial de Cumplimiento con base en la evaluación de riesgos específicos de la empresa y aprobado por la junta directiva o máximo órgano social. No basta con adoptar un modelo genérico; el SAGRILAFT debe reflejar la realidad operativa de cada organización.
• Supervisión y cumplimiento: Verificación continua de que las políticas y procedimientos se apliquen efectivamente. El Oficial de Cumplimiento y los órganos de control tienen responsabilidad directa en este elemento.
• Divulgación y capacitación: El sistema debe ser divulgado al menos una vez al año a toda la organización, y el personal en cargos de riesgo debe recibir capacitación específica en la prevención de LA/FT/FPADM.
• Asignación de funciones: Cada área y cargo debe tener claramente definidas sus responsabilidades en el marco del SAGRILAFT, evitando vacíos que puedan ser aprovechados para actividades ilegales.

Las Cuatro Etapas de Gestión del Riesgo

En adición a los elementos estructurales, el SAGRILAFT exige recorrer cuatro etapas de gestión del riesgo de manera cíclica y permanente:

Etapa 1: Identificación de Riesgos

La empresa debe establecer metodologías para identificar los factores de riesgo propios de su operación y segmentarlos según sus características. La normativa define cuatro factores de riesgo:

• Contrapartes: Clientes, proveedores, distribuidores, socios y cualquier persona natural o jurídica con quien la empresa tenga relaciones de negocio. Incluye el conocimiento de sus beneficiarios finales.
• Productos y servicios: La totalidad de la oferta comercial de la empresa, evaluando cuáles presentan mayor vulnerabilidad para ser usados en esquemas de lavado.
• Canales de distribución: Los medios por los que se comercializa y distribuye, incluyendo canales digitales, intermediarios y plataformas de pago.
• Jurisdicciones: Las ubicaciones geográficas donde opera la empresa, con especial atención a territorios de alta presencia de criminalidad organizada o jurisdicciones no cooperantes.

Etapa 2: Medición y Evaluación

Una vez identificados los riesgos, la empresa debe desarrollar matrices que permitan calificar cuantitativamente:

• La probabilidad de ocurrencia de cada riesgo identificado.
• El impacto potencial de cada riesgo si llegara a materializarse.
• El nivel de riesgo inherente (antes de controles) por cada factor y segmento.
• El nivel de riesgo residual (luego de aplicar controles) para determinar la exposición real.
• Los perfiles de riesgo por tipo de contraparte, producto, canal o zona geográfica.

Etapa 3: Control

La etapa de control implica el diseño e implementación de medidas que actúen sobre la probabilidad de ocurrencia del riesgo, sobre su impacto, o sobre ambos. Los controles pueden ser:

• Preventivos: Políticas de vinculación de contrapartes, formularios de conocimiento del cliente, validación en listas vinculantes (OFAC, ONU, OSFL, listas locales), límites de operación en efectivo.
• Detectivos: Sistemas de monitoreo transaccional, alertas automatizadas, revisiones periódicas de operaciones inusuales, reportes internos de sospechas.
• Correctivos: Procedimientos de escalamiento y reporte, bloqueo de transacciones, terminación de relaciones comerciales de alto riesgo, reporte a la UIAF.

Etapa 4: Monitoreo

El monitoreo es el mecanismo que garantiza la vigencia y eficacia del sistema en el tiempo. La Circular Básica Jurídica exige que cada empresa realice un seguimiento continuo de su perfil de riesgo, detecte operaciones inusuales y sospechosas, actualice periódicamente sus matrices de riesgo y presente informes anuales a la junta directiva o máximo órgano social. El Oficial de Cumplimiento tiene la responsabilidad central en esta etapa, debiendo proponer actualizaciones al sistema al menos cada dos años, o cuando se produzcan cambios normativos significativos o modificaciones en la estructura del negocio.

El Oficial de Cumplimiento: Figura Central del SAGRILAFT

El Oficial de Cumplimiento es la figura más crítica del SAGRILAFT. Su designación no es una formalidad: es la persona que, frente a la Superintendencia de Sociedades y eventualmente frente a la justicia penal, asume la responsabilidad técnica del sistema. Desde 2024, Supersociedades ha sancionado directamente a oficiales de cumplimiento y representantes legales, lo que convierte a esta figura en uno de los cargos de mayor responsabilidad en las organizaciones colombianas obligadas.

Requisitos para ser Oficial de Cumplimiento SAGRILAFT

La Circular Básica Jurídica establece los siguientes requisitos de obligatorio cumplimiento:

• Título profesional universitario: No se admiten tecnólogos ni técnicos. El perfil debe ser el de un profesional universitario con capacidad de análisis jurídico y financiero.
• Experiencia mínima de 6 meses: En administración y gestión de riesgos de LA/FT, debidamente acreditada mediante certificaciones laborales.
• Conocimiento demostrable: En administración del riesgo LA/FT/FPADM, acreditable a través de especialización, diplomados, cursos, seminarios o congresos especializados en la materia.
• Registro ante SIREL: Obligatoria inscripción en el Sistema de Reporte en Línea de la UIAF. Sin este registro, el nombramiento no surte efectos ante Supersociedades.
• Independencia funcional: No puede pertenecer a órganos de control o administración de la empresa, y no puede servir simultáneamente como oficial en más de 10 empresas obligadas.
• Verificación de inhabilidades: El representante legal debe certificar formalmente que el oficial no incurre en ninguna causal de incompatibilidad.

Funciones del Oficial de Cumplimiento

Las funciones del Oficial de Cumplimiento abarcan cuatro dimensiones:

• Diseño e implementación: Liderar el diseño del SAGRILAFT adaptado a la empresa, coordinar su implementación efectiva y proponer actualizaciones periódicas.
• Supervisión y control: Verificar el cumplimiento de políticas y procedimientos, coordinar la identificación y evaluación de riesgos y supervisar la aplicación de controles.
• Capacitación y divulgación: Organizar programas de formación para empleados, asegurar la divulgación anual del sistema y mantener actualizados los manuales y procedimientos.
• Reporte y comunicación: Presentar informes anuales a la junta directiva, reportar operaciones sospechosas a la UIAF mediante el SIREL y comunicar deficiencias al máximo órgano social con propuestas de mejora.

El Informe 58 sobre Oficiales de Cumplimiento

Cada vez que exista una novedad en la designación o cambio del Oficial de Cumplimiento, el sujeto obligado debe presentar el Informe 58 - Oficiales de Cumplimiento ante Supersociedades, dentro de los 15 días hábiles siguientes a la respectiva novedad. Este informe debe ir acompañado de los siguientes documentos adicionales, remitidos dentro de los 2 días hábiles siguientes al envío del informe:

• Hoja de vida del Oficial de Cumplimiento SAGRILAFT.
• Certificación del cumplimiento de requisitos, suscrita por el Representante Legal.
• Copia del documento de registro ante el SIREL (UIAF).
• Extracto del acta de la junta directiva o máximo órgano social en que conste la designación.
• Copia del documento que acredite conocimiento especializado en riesgos LA/FT/FPADM.
• Certificado de verificación de inhabilidades e incompatibilidades, suscrito por el Representante Legal.

La Circular Externa 100-000002 de 2025 precisa que, en caso de remoción o renuncia absoluta del oficial, este debe presentar el Informe 58 antes de terminar su vinculación contractual. Si ello no fuere posible, el representante legal asume esta obligación.

Obligaciones de Reporte: El Nuevo Informe 75

A partir de 2025, la estructura de reporte ante Supersociedades cambia sustancialmente con la creación del Informe 75 - SAGRILAFT, RMM y PTEE, que integra en un único instrumento los anteriores Informes 50 y 52. La Circular Externa 100-000002 del 14 de marzo de 2025 establece que el primer Informe 75 tiene corte al 31 de diciembre de 2024 y debe presentarse en el año 2025 de acuerdo con el cronograma del NIT.

Cronograma de Presentación del Informe 75

• NIT 01 a 10: Décimo primer día hábil de julio.
• NIT 11 a 20: Décimo segundo día hábil de julio.
• NIT 21 a 30: Décimo tercer día hábil de julio.
• NIT 31 a 40: Décimo cuarto día hábil de julio.
• NIT 41 a 50: Décimo quinto día hábil de julio.
• NIT 51 a 60: Décimo sexto día hábil de julio.
• NIT 61 a 70: Décimo séptimo día hábil de julio.
• NIT 71 a 80: Décimo octavo día hábil de julio.
• NIT 81 a 90: Décimo noveno día hábil de julio.
• NIT 91 a 00: Vigésimo día hábil de julio.

Fuente: Circular Externa 100-000002 del 14 de marzo de 2025, Superintendencia de Sociedades. Los plazos son improrrogables.

Excepción para Cámaras de Comercio y ESALES: Las Cámaras de Comercio y ESALES extranjeras que se encontraban obligadas a implementar SAGRILAFT/RMM según la Circular 100-300000 de 2024, con plazo hasta el 31 de mayo de 2025, deberán presentar el Informe 75 a partir del año 2026, con corte al 31 de diciembre de 2025. Forma de presentación: El informe se presenta en formato XBRL Express a través del portal SIRFIN de Supersociedades (www.supersociedades.gov.co). El informe se entiende presentado cuando se genera el número de radicado en el aplicativo.

Retiro del Informe 42 de Prácticas Empresariales

Un cambio que toda empresa debe tener en cuenta: a partir de la publicación de la Circular 100-000002 en el Diario Oficial, el Informe 42 de Prácticas Empresariales queda retirado de forma definitiva. Se deroga en su integridad la Circular Externa 100-000003 del 11 de septiembre de 2023 que lo regulaba. El contenido relativo a gobierno corporativo que este informe recogía migra al Informe 08 de Reporte de Sostenibilidad, de presentación voluntaria para las empresas con ingresos o activos superiores a 40.000 SMMLV.

Consecuencias del Incumplimiento: Un Panorama Sancionatorio sin Precedentes

La etapa pedagógica del SAGRILAFT terminó. La Superintendencia de Sociedades ha dado señales inequívocas de que el cumplimiento normativo es exigible, medible y sancionable. Entre agosto de 2023 y lo corrido de 2025, Supersociedades ha impuesto seis multas por incumplimiento del SAGRILAFT con un valor total entre 600 y 650 millones de pesos, y tres multas por incumplimiento del PTEE que suman aproximadamente 1.300 millones de pesos. Las visitas presenciales de verificación han aumentado un 123% respecto a periodos anteriores.

El hito más significativo ocurrió en 2024, cuando por primera vez la Superintendencia sancionó directamente a representantes legales y oficiales de cumplimiento en forma personal, no solo a las empresas. Esta nueva política sancionatoria refleja la comprensión de que el compliance es una responsabilidad personal de quienes dirigen y administran las organizaciones.

Tipos de Sanciones

Para las empresas:

• Multas de hasta 200 SMMLV por cargo formulado, lo que equivale aproximadamente a $260.000.000 de pesos por cada infracción. Considerando que una investigación puede identificar múltiples cargos, el riesgo acumulado puede superar los $1.000 millones.
• Medidas administrativas adicionales: instrucciones de adopción forzosa del sistema, planes de mejoramiento, orden de implementación bajo supervisión directa.
• Impacto reputacional: las sanciones de Supersociedades son de carácter público y pueden afectar la capacidad de la empresa para vincularse con clientes corporativos o participar en licitaciones.

Para administradores y oficiales de cumplimiento:

• Sanciones pecuniarias individuales: multas que pueden imponerse directamente a los representantes legales y oficiales de cumplimiento en forma personal.
• Inhabilitaciones: para ejercer cargos de administración o representación en sociedades supervisadas por Supersociedades.
• Responsabilidad solidaria: en casos de incumplimiento grave o reincidente, los administradores pueden responder solidariamente con la empresa por los perjuicios causados.

Causas Más Frecuentes de Sanción

Según los informes de supervisión de Supersociedades, las principales fallas que han derivado en multas son:

• No actualizar el antiguo sistema SAGRILAFT a las exigencias del nuevo (Circular 100-000016 de 2020 y sus modificaciones).
• Demoras o falta de inscripción del Oficial de Cumplimiento ante el SIREL de la UIAF.
• Entrega extemporánea del Informe 75 (anteriormente Informes 50 y 52).
• Procedimientos de debida diligencia incompletos o formales, sin soporte documental.
• Ausencia o insuficiencia de capacitación al personal en prevención de LA/FT.
• Matrices de riesgo genéricas que no reflejan los riesgos específicos de la empresa.
• Falta de reporte de operaciones inusuales o sospechosas a la UIAF.
• Incumplimiento de la obligación de presentación anual del informe al máximo órgano social.

Guía Práctica de Implementación del SAGRILAFT

Una implementación efectiva del SAGRILAFT no puede realizarse en pocas semanas. Requiere un proceso estructurado que abarque el diagnóstico, el diseño, la puesta en marcha y la mejora continua del sistema. A continuación presentamos la hoja de ruta recomendada:

Fase 1: Diagnóstico Inicial (Meses 1 y 2)

• Verificación de obligatoriedad: Confirmar si la empresa está sujeta al SAGRILAFT completo, al Régimen de Medidas Mínimas o si pertenece a un sector especial.
• Evaluación del estado actual: Si ya tiene un SAGRILAFT, verificar si está actualizado conforme a la Circular 100-000016 de 2020 y sus modificaciones de 2021 en adelante.
• Mapeo de contrapartes y operaciones: Identificar los tipos de clientes, proveedores, socios y canales que maneja la empresa.
• Designación del Oficial de Cumplimiento: Seleccionar o contratar al profesional que cumpla los requisitos normativos.

Fase 2: Diseño del Sistema (Meses 3 a 5)

• Metodología de riesgos: Diseño de la metodología de identificación, medición y evaluación de riesgos adaptada al sector y tamaño de la empresa.
• Políticas y procedimientos: Redacción del manual SAGRILAFT, políticas de debida diligencia, procedimientos de conocimiento del cliente, protocolos de alertas.
• Matrices de riesgo: Elaboración de matrices por contraparte, producto, canal y jurisdicción.
• Sistema de monitoreo: Definición de señales de alerta y mecanismos de reporte interno.

Fase 3: Implementación y Aprobación (Meses 6 y 7)

• Aprobación por el máximo órgano: Presentación del SAGRILAFT a la junta directiva o asamblea para su aprobación formal, con acta respectiva.
• Registro ante SIREL: Inscripción del Oficial de Cumplimiento y presentación del Informe 58 ante Supersociedades.
• Capacitación inicial: Formación del personal en los aspectos generales del SAGRILAFT y en las responsabilidades específicas de cada cargo.
• Implementación de controles: Activación de los controles preventivos y detectivos diseñados.

Fase 4: Operación, Monitoreo y Mejora Continua (Desde Mes 8)

• Monitoreo continuo: Aplicación de los mecanismos de seguimiento de operaciones y contrapartes.
• Informe anual a la junta: Presentación del informe de gestión SAGRILAFT al máximo órgano social.
• Informe 75 ante Supersociedades: Presentación oportuna según el cronograma del NIT.
• Actualización del sistema: Revisión y ajuste al menos cada dos años o ante cambios normativos significativos.

Preguntas Frecuentes sobre el SAGRILAFT

Mi empresa tiene ingresos de $45.000 millones. ¿Está obligada a implementar SAGRILAFT?

Sí, siempre que esté vigilada o controlada por la Superintendencia de Sociedades. El umbral general de obligatoriedad equivale aproximadamente a $52.000 millones para 2024 (40.000 SMMLV). Si sus ingresos se encuentran por debajo de este umbral, debe revisar si su actividad pertenece a un sector especial (inmobiliario, jurídico, contable, metales preciosos, construcción, activos virtuales) con umbrales reducidos de 3.000 SMMLV.

¿Qué diferencia hay entre el SAGRILAFT completo y el Régimen de Medidas Mínimas?

El SAGRILAFT completo implica implementar el sistema integral con Oficial de Cumplimiento designado, metodologías de riesgo, debida diligencia completa, monitoreo y reportes plenos. El Régimen de Medidas Mínimas (RMM) es una versión simplificada, aplicable a sectores o entidades de menor tamaño o riesgo, que permite cumplir obligaciones básicas sin designar un oficial de cumplimiento independiente.

¿Puede una Cámara de Comercio estar excluida del SAGRILAFT?

Sí. Las Cámaras de Comercio con ingresos inferiores a 9.000 SMMLV (aproximadamente $11.700 millones en 2024) quedan completamente excluidas de la obligación de implementar SAGRILAFT y PTEE, aunque pueden adoptarlos voluntariamente como buena práctica de gobernanza.

¿Las ESALES extranjeras con presencia en Colombia deben implementar SAGRILAFT?

Desde la Circular 100-300000 de diciembre 2024, las ESALES extranjeras fueron excluidas del SAGRILAFT completo. Solo están obligadas a cumplir el Régimen de Medidas Mínimas si sus ingresos superan los 9.000 SMMLV. Las que no superen ese umbral solo deben adoptar estas obligaciones voluntariamente.

¿Cuánto tiempo tengo para implementar el SAGRILAFT desde que quedé obligado?

La norma general exige implementar el SAGRILAFT a más tardar el 31 de mayo del año siguiente a aquel en que la empresa queda obligada por primera vez (según los estados financieros de cierre de cada año). Para Cámaras de Comercio y ESALES que quedaron obligadas conforme a las circulares de 2023 y 2024, el plazo de transición fue el 31 de mayo de 2025.

¿Qué es el Informe 75 y cómo reemplaza al Informe 50 y al Informe 52?

El Informe 75 - SAGRILAFT, RMM y PTEE es el nuevo instrumento de reporte creado por la Circular Externa 100-000002 del 14 de marzo de 2025. Integra en un solo documento la información que antes se reportaba por separado en los Informes 50 y 52. Se presenta una vez al año, con corte al 31 de diciembre del año anterior, en el aplicativo SIRFIN de Supersociedades.

¿Qué pasa si no presento el Informe 75 a tiempo?

El incumplimiento en la presentación del Informe 75 puede derivar en una investigación administrativa por parte de Supersociedades. Las multas pueden alcanzar hasta 200 SMMLV por cargo formulado (aproximadamente $260 millones en 2024). Adicionalmente, los administradores y el Oficial de Cumplimiento pueden ser sancionados en forma personal. Los plazos son improrrogables y se cuentan en días hábiles.

¿Cuántas empresas puede atender simultáneamente un Oficial de Cumplimiento?

La Circular Básica Jurídica establece que un mismo profesional no puede ser Oficial de Cumplimiento para más de 10 empresas obligadas simultáneamente. Esta restricción busca garantizar que el oficial pueda dedicar suficiente tiempo y atención a cada sujeto obligado.

¿Qué debe contener el manual SAGRILAFT de una empresa?

El manual SAGRILAFT debe incluir, como mínimo: la política de prevención de LA/FT/FPADM; las metodologías de identificación, medición, control y monitoreo de riesgos; los procedimientos de debida diligencia para clientes, proveedores y contrapartes; la política de conocimiento del cliente (KYC); los procedimientos para detección y reporte de operaciones inusuales y sospechosas; el protocolo de reporte a la UIAF; el plan de capacitación anual; y las funciones del Oficial de Cumplimiento.

¿Cómo se registra el Oficial de Cumplimiento ante la UIAF?

El registro se realiza a través del SIREL (Sistema de Reporte en Línea) administrado por la UIAF. El representante legal debe obtener acceso al sistema y proceder al registro del Oficial de Cumplimiento. Sin este registro previo, el nombramiento del oficial no surte efectos ante Supersociedades y la empresa incurre en un incumplimiento sancionable.

¿El SAGRILAFT cubre los riesgos con proveedores internacionales?

Sí. La debida diligencia del SAGRILAFT debe aplicarse a todas las contrapartes de la empresa, incluyendo proveedores extranjeros. En el caso de contrapartes ubicadas en jurisdicciones de alto riesgo o listadas en listas internacionales de restricción (OFAC, ONU, listas locales de la UIAF), debe aplicarse Debida Diligencia Intensificada, que exige un nivel más profundo de conocimiento y documentación.

¿Qué es la Debida Diligencia Intensificada y cuándo se aplica?

La Debida Diligencia Intensificada (DDI) es un nivel reforzado de conocimiento de contraparte que se aplica cuando la evaluación de riesgos arroja un perfil de riesgo alto. Procede en casos como: Personas Expuestas Políticamente (PEP) y sus familiares, contrapartes de jurisdicciones de alto riesgo, empresas de activos virtuales para operaciones superiores a 100 SMMLV, y cualquier contraparte que active alertas en los sistemas de monitoreo.

¿Qué papel juega la Sentencia T-113 de 2025 en la aplicación del SAGRILAFT?

La Sentencia T-113 de 2025 de la Corte Constitucional, aunque referida al SARLAFT del sector financiero, establece el principio de proporcionalidad y objetividad en la debida diligencia. Las empresas del sector real deben documentar sus decisiones de alerta o exclusión de contrapartes con criterios objetivos y actualizados, evitando tratamientos discriminatorios. Este estándar jurisprudencial tiene incidencia interpretativa sobre la aplicación del SAGRILAFT.

¿Por qué su Empresa Necesita Asesoría Jurídica Especializada en SAGRILAFT?

La complejidad del SAGRILAFT, la velocidad de los cambios normativos y la dureza del régimen sancionatorio hacen imprescindible contar con asesoría jurídica especializada. No basta con descargar un modelo de manual de internet: la Superintendencia de Sociedades exige que el sistema refleje los riesgos reales y específicos de cada empresa, y verifica que así sea a través de visitas presenciales y requerimientos de información.

Un SAGRILAFT mal diseñado o desactualizado no solo no cumple su función preventiva, sino que puede convertirse en evidencia de incumplimiento en una investigación administrativa. La defensa frente a Supersociedades requiere que el sistema sea robusto, coherente con la realidad de la empresa y debidamente documentado en cada etapa.

En Affirma Legal contamos con abogados especializados en derecho corporativo y compliance empresarial, con amplia experiencia en el diseño, implementación, actualización y defensa de sistemas SAGRILAFT ante Supersociedades. Nuestros servicios incluyen:

• Diagnóstico integral de obligatoriedad según sector, ingresos y activos de su empresa.
• Diseño del sistema SAGRILAFT adaptado a su realidad operativa y sector económico.
• Actualización de sistemas existentes a la normativa de 2024 y 2025.
• Acompañamiento en la selección y nombramiento del Oficial de Cumplimiento.
• Capacitación especializada para equipos directivos y áreas operativas.
• Presentación del Informe 75 y del Informe 58 ante Supersociedades.
• Asesoría y representación en investigaciones y procesos sancionatorios.

Escríbanos a nuestro formulario de contacto, agende su cita legal con nuestros abogados a través del siguiente enlace o contáctenos al 3175155125.

Síganos en Facebook como: Affirmalegal, en Instagram como: @Affirmalegal y en Tiktok como: @affirma_legal

Autor: Equipo Jurídico – Affirma Legal.

Cuéntenos su caso