SAGRILAFT: qué es, a quién aplica y cómo cumplir en Colombia

SAGRILAFT es el Sistema de Autocontrol y Gestión del Riesgo Integral de Lavado de Activos, Financiación del Terrorismo y de la Proliferación de Armas de Destrucción Masiva (LA/FT/FPADM), regulado por la Superintendencia de Sociedades a través del Capítulo X de la Circular Básica Jurídica (Circular Externa 100-000016 del 24 de diciembre de 2020). Aplica a las empresas del sector real vigiladas o controladas por la Supersociedades que superen los topes de ingresos o activos definidos, y se alinea con las 40 recomendaciones del GAFI.

Esta guía explica qué es SAGRILAFT, a quién obliga, sus topes y obligaciones, las sanciones por incumplimiento y la reforma que la Supersociedades propuso a finales de 2025.

¿Qué es SAGRILAFT?

SAGRILAFT es el sistema que obliga a determinadas empresas del sector real en Colombia a autogestionar su riesgo de lavado de activos, financiación del terrorismo y financiación de la proliferación de armas de destrucción masiva. Fue establecido por la Superintendencia de Sociedades en el Capítulo X de su Circular Básica Jurídica, con el fin de que las organizaciones identifiquen, evalúen, controlen y monitoreen este riesgo mediante políticas, procedimientos y una debida diligencia rigurosa de sus contrapartes.

La intención de fondo es que las empresas no financieras también cuenten con herramientas frente al lavado de activos; por ello, la Supersociedades trasladó al sector real una lógica de prevención similar a la del sector financiero. El texto oficial está disponible en el portal de la Superintendencia de Sociedades.

SAGRILAFT vs. SARLAFT: la diferencia clave

Es común evaluar la relación entre ambos sistemas. La diferencia principal radica en la entidad reguladora y en su ámbito de aplicación:

Aspecto SAGRILAFT SARLAFT
Regulador Superintendencia de Sociedades Superintendencia Financiera
A quién aplica Empresas del sector real (no financieras) Entidades financieras vigiladas
Norma base Capítulo X, Circular 100-000016 de 2020 Circular Básica Jurídica de la SFC
Riesgo que gestiona LA/FT/FPADM LA/FT

En síntesis: si tu empresa pertenece al sector real y está bajo la supervisión de la Supersociedades, debes guiarte por SAGRILAFT; si es una entidad financiera bajo el control de la Superfinanciera, le corresponde SARLAFT.

¿A quién aplica? Topes y sujetos obligados

SAGRILAFT aplica a las sociedades comerciales, empresas y sucursales supervisadas o controladas por la Supersociedades que superen los topes establecidos en el numeral 4 del Capítulo X. Los umbrales se miden en salarios mínimos mensuales legales vigentes (SMLMV) y varían según la actividad económica de la organización. Esta tabla detalla los parámetros principales:

Grupo / sector Umbral de obligación Sistema a implementar
Régimen general (cualquier sector) Ingresos totales o activos ≥ 40.000 SMLMV SAGRILAFT completo
Empresas entre 9.000 y 40.000 SMLMV Ingresos ≥ 9.000 y < 40.000 SMLMV Régimen de Medidas Mínimas
Sectores específicos (p. ej. servicios contables, CIIU 6920) Ingresos totales ≥ 30.000 SMLMV SAGRILAFT completo
Contratación con entidades estatales Contratos ≥ 500 SMLMV + condiciones de sector Identificar riesgos (PTEE)
APNFD: agentes inmobiliarios, comerciantes de metales y piedras preciosas, casinos, abogados/contadores Ingresos ≥ 3.000 SMLMV o activos ≥ 5.000 SMLMV Régimen de Medidas Mínimas
Proveedores de servicios de activos virtuales Operaciones ≥ 100 SMLMV + ingresos ≥ 3.000 o activos ≥ 5.000 SMLMV SAGRILAFT
Empresas por debajo de 9.000 SMLMV Sin obligación Voluntario (buena práctica)

Nota: para fines de cálculo, 40.000 SMLMV equivalen aproximadamente a $56.940 millones de pesos con corte al 31 de diciembre de 2025. Como el SMLMV se actualiza anualmente, es oportuno revisar el equivalente según el salario mínimo legal vigente del periodo en curso, recordando que las referencias normativas siempre se formulan en SMLMV.

Es clave precisar dos aspectos: la medición de los topes se realiza con corte al 31 de diciembre del año inmediatamente anterior, y una organización puede encontrarse obligada bajo los criterios del régimen general o por pertenecer a un sector específico supervisado. Contar con un diagnóstico formal te brindará la tranquilidad necesaria para dar los pasos correctos.

Obligaciones principales del SAGRILAFT

Toda empresa sujeta a esta normativa debe estructurar un proceso claro que comprenda:

  1. Designar un oficial de cumplimiento que cuente con la validación de la junta directiva o del máximo órgano social.
  2. Adoptar una política LA/FT/FPADM junto con un manual de procedimientos estructurado para tal fin.
  3. Construir y actualizar la matriz de riesgo donde se listen los factores de riesgo y sus respectivos controles.
  4. Aplicar debida diligencia continuo, intensificando el análisis para PEP, beneficiarios finales y contrapartes identificadas con mayor nivel de exposición.
  5. Reportar operaciones sospechosas (ROS) ante la UIAF por medio de los canales institucionales dispuestos en línea.
  6. Presentar el Informe 75 correspondiente a SAGRILAFT y PTEE ante la Superintendencia de Sociedades dentro del calendario establecido.
  7. Auditar el sistema con regularidad para mantener su vigencia y mejora continua.

El oficial de cumplimiento

El Capítulo X define perfiles específicos para el oficial de cumplimiento: debe poseer autonomía e idoneidad para liderar la gestión del riesgo LA/FT/FPADM, contar con línea de comunicación directa con la junta directiva o máximo órgano social y acreditar conocimientos especializados en la materia. Con el fin de asegurar la objetividad, esta figura no debe pertenecer a la administración operativa, áreas comerciales, de auditoría o de control interno. En función de la estructura organizacional, se contempla la designación de un suplente.

Plazos de implementación

Las organizaciones que pasen a formar parte del grupo de sujetos obligados deben asegurar el despliegue del sistema SAGRILAFT (o del Régimen de Medidas Mínimas, según sea el caso) a más tardar el 31 de mayo del año siguiente a la fecha en que se consolidó dicha condición. Es de suma importancia asegurar un avance oportuno, garantizando que el sistema demuestre operatividad real más allá del respaldo documental.

Sanciones por incumplimiento

La Superintendencia de Sociedades está facultada para aplicar medidas administrativas o de carácter económico ante la ausencia de un sistema SAGRILAFT estructurado de forma adecuada, o por demoras asociadas al Informe 75. Además de los aspectos normativos, estructurar correctamente este ecosistema protege el valor reputacional y resguarda la estabilidad de la empresa y la labor de sus administradores.

La reforma 2025: unificación de SAGRILAFT y PTEE

Un hito clave en la evolución normativa se presentó en diciembre de 2025, periodo en el cual la Superintendencia de Sociedades compartió un proyecto de Circular Básica Jurídica. La iniciativa plantea una articulación integrada de los Capítulos X y XIII para dar paso a un modelo unificado de gestión de riesgos que abarque de forma conjunta LA/FT/FPADM, transparencia y anticorrupción.

Los ajustes proyectados consideran el uso de Unidades de Valor Básico (UVB) en reemplazo del indicador SMLMV para la clasificación de topes, promoviendo metodologías dinámicas de debida diligencia e interoperabilidad de los procesos de control.

Importante: es fundamental precisar que a la fecha de consulta este documento constituye un proyecto técnico bajo revisión. La Circular Externa 100-000016 de 2020 se mantiene como el marco regulatorio oficial y plenamente ejecutable en el territorio nacional.

Cómo implementar SAGRILAFT paso a paso

  1. Diagnóstico institucional: revisar el estado de activos y volumen de facturación para verificar el alcance de la obligación.
  2. Formalizar la designación del oficial de cumplimiento: elevar la postulación ante la junta directiva para obtener su ratificación formal.
  3. Diseño del marco documental: redactar de forma clara las políticas operativas y el manual SAGRILAFT de la empresa.
  4. Construcción de la matriz: identificar los factores de riesgo específicos y estructurar los controles correspondientes.
  5. Despliegue de debida diligencia: habilitar los procesos de validación de identidad y monitoreo de contrapartes.
  6. Canales de reporte: activar los accesos técnicos para los envíos a la UIAF y los cargues documentales de la Supersociedades.
  7. Evaluación periódica: programar auditorías con periodicidad anual para actualizar el sistema ante nuevos escenarios organizacionales.

Cómo ayuda Pirani

La gestión operativa del SAGRILAFT por medio de repositorios estáticos o macros tradicionales suele ralentizar los procesos de verificación. Con Pirani AML impulsamos la automatización de tus flujos de cumplimiento: puedes dar estructura a tu matriz de riesgos LA/FT/FPADM, agilizar la debida diligencia mediante la consulta de listas restrictivas internacionales y organizar la trazabilidad de los reportes informativos de forma centralizada. Te acompañamos a transformar los requerimientos regulatorios en procesos cotidianos, sencillos y permanentemente listos para auditorías.

Conoce cómo Pirani AML automatiza el cumplimiento de SAGRILAFT →

Contenido relacionado: Cumple SAGRILAFT con Pirani y evita sanciones

Preguntas frecuentes

¿Cómo sé si mi empresa está obligada a implementar SAGRILAFT? Tu empresa se encuentra obligada si está sujeta a la supervisión de la Supersociedades y, con fecha de corte al 31 de diciembre del año inmediatamente anterior, registró ingresos totales o activos iguales o superiores a 40.000 SMLMV. Asimismo, aplica si forma parte de los sectores priorizados descritos en la norma (tales como agentes inmobiliarios, activos virtuales o servicios contables) que cuentan con umbrales particulares. Si se ubica en el rango de 9.000 a 40.000 SMLMV, deberá acogerse al Régimen de Medidas Mínimas.

¿Cuál es la diferencia entre SAGRILAFT y SARLAFT? SAGRILAFT rige para las organizaciones del sector real coordinadas por la Superintendencia de Sociedades. En contraposición, SARLAFT opera sobre los entornos de las instituciones financieras bajo la supervisión directa de la Superintendencia Financiera de Colombia. Ambos marcos comparten la meta de mitigar los riesgos de lavado de activos, estructurándose bajo normativas e instancias de control diferenciadas.

¿Qué empresas están obligadas a implementar SAGRILAFT? Principalmente aquellas sociedades comerciales del sector real supervisadas por la Supersociedades cuyos montos institucionales igualen o superen los 40.000 SMLMV, incluyendo subcategorías con topes específicos asociados a actividades de alto impacto o sectores específicos como construcción.

¿Qué pasa si mi empresa no supera los topes del régimen general? Si los indicadores contables se posicionan por encima de los 9.000 SMLMV sin alcanzar el umbral del régimen general, la organización deberá dar apertura al Régimen de Medidas Mínimas, el cual constituye un esquema optimizado de cumplimiento regulatorio.

¿Cuándo debe estar implementado el SAGRILAFT? La fecha límite establecida por la entidad reguladora corresponde al 31 de mayo del año siguiente al periodo de corte financiero en el que la compañía consolidó su estado de sujeto obligado.

¿La reforma de 2025 ya está vigente? No se encuentra vigente. El documento compartido de forma pública a finales de 2025 corresponde a un proyecto en fase de consulta. El marco legal obligatorio actual se encuentra definido por la Circular Externa 100-000016 de 2020.Nueva llamada a la acción

Mantente al día con las últimas publicaciones del blog

3 metodologías para implementar tu auditoría interna
3 metodologías para implementar tu auditoría interna

3 metodologías para implementar tu auditoría interna

julio 08, 2026 9 min read
Novedades de Pirani: las 5 mejoras que llegaron en junio de 2026

Novedades de Pirani: las 5 mejoras que llegaron en junio de 2026

julio 03, 2026 3 min read
Pirani recibe 22 badges en G2 Summer 2026
pirani-badges-g2-summer-2026-gestion-riesgos

Pirani recibe 22 badges en G2 Summer 2026

julio 02, 2026 4 min read