SARLAFT y SAGRILAFT: guía práctica para el cumplimiento en Colombia

Dos sistemas, una misma lógica de riesgo

Colombia cuenta con dos sistemas obligatorios de gestión del riesgo de lavado de activos y financiación del terrorismo (LA/FT): el SARLAFT y el SAGRILAFT. Aunque comparten una misma filosofía regulatoria —gestionar el riesgo LA/FT antes de que materialice— están diseñados para universos de empresas distintos y tienen exigencias de implementación muy diferentes.

Confundirlos o aplicar el sistema equivocado tiene consecuencias regulatorias directas.

SARLAFT: el sistema del sector financiero

El Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo (SARLAFT) está regulado por la Superintendencia Financiera de Colombia (SFC) y aplica a las entidades que conforman el sistema financiero: bancos, aseguradoras, fiduciarias, fondos de pensiones, comisionistas de bolsa y entidades similares.

La normativa vigente (Circular Básica Jurídica, Parte I, Título IV) exige que estas entidades implementen un sistema integral que contemple:

Etapas del SARLAFT:

• Identificación de factores de riesgo (clientes, productos, canales, jurisdicciones)
• Medición y evaluación del riesgo LA/FT
• Control de los riesgos identificados
• Monitoreo continuo de operaciones y contrapartes
• Reporte de operaciones sospechosas (ROS) a la UIAF

El KYC en el SARLAFT: El conocimiento del cliente es la columna vertebral del SARLAFT. Las entidades financieras deben segmentar a sus clientes por perfil de riesgo y aplicar medidas de debida diligencia proporcionadas: básica para clientes de bajo riesgo, reforzada para PEPs (Personas Expuestas Políticamente) y clientes de alto riesgo.

SAGRILAFT: el sistema para el sector real

El Sistema de Autocontrol y Gestión del Riesgo Integral de LA/FT (SAGRILAFT) fue creado por la Superintendencia de Sociedades para las empresas del sector real (no financiero) que superen los umbrales de activos o ingresos establecidos en la Circular 100-000016 de 2020 y sus actualizaciones.

A diferencia del SARLAFT, el SAGRILAFT tiene una concepción más flexible pero no menos exigente. Sus pilares son:

• Autocontrol: La empresa es responsable de diseñar, implementar y verificar su propio sistema.
• Gestión integral: No solo LA/FT, sino también cohecho transnacional y financiación de la proliferación de armas.
• Apropiación: Los órganos de dirección (junta directiva, representante legal) tienen responsabilidad explícita.

¿Qué empresas deben implementar SAGRILAFT?

La obligación aplica a las sociedades supervisadas por la Supersociedades que superen los cuarenta mil (40.000) SMMLV de activos o ingresos brutos. Las empresas catalogadas en sectores de alto riesgo (construcción, inmobiliario, comercio exterior, entre otros) pueden tener umbrales diferentes.

Las cuatro fases comunes

Independientemente del sistema aplicable, el proceso de implementación sigue una lógica común:

1. Identificación y conocimiento de contrapartes Recolección y verificación de información de clientes, proveedores, socios y terceros relevantes. Este es el momento donde el KYC automatizado genera mayor valor: reduce tiempos y garantiza consistencia en la aplicación de criterios.

2. Evaluación de riesgo Clasificación de contrapartes según factores como actividad económica, ubicación geográfica, naturaleza de la relación comercial y señales de alerta específicas. El perfilamiento de riesgo debe ser documentado y reproducible.

3. Implementación de controles Definición de controles proporcionales al nivel de riesgo: validación en listas restrictivas, aprobación por parte de la gerencia para clientes de alto riesgo, monitoreo de transacciones, entre otros.

4. Monitoreo y mejora continua Revisión periódica de los perfiles de riesgo, actualización de información de contrapartes y ajuste de los controles ante nuevas tipologías.

El rol de la tecnología en el cumplimiento

Los programas de cumplimiento basados en procesos manuales tienen un problema estructural: no escalan. A medida que crece el volumen de contrapartes, el tiempo de revisión y el riesgo de inconsistencia aumentan linealmente.

Las organizaciones que han migrado a flujos automatizados reportan tres mejoras consistentes:

• Reducción del tiempo de onboarding de proveedores y clientes: de días a horas
• Cobertura completa de contrapartes en listas de vigilancia sin dependencia de verificaciones manuales
• Trazabilidad documental que resiste auditorías de la SFC o la Supersociedades sin esfuerzo adicional

La automatización no reemplaza el criterio del oficial de cumplimiento. Lo libera para concentrarse en los casos que realmente requieren análisis.

El error más común de implementación

El error más frecuente en programas de SARLAFT/SAGRILAFT no es técnico: es confundir el cumplimiento formal (tener documentos aprobados) con el cumplimiento efectivo (tener controles que operan).

Una política de KYC aprobada por la junta directiva que no se aplica consistentemente en la operación es, desde el punto de vista regulatorio, tan deficiente como no tenerla. Los supervisores colombianos han intensificado las revisiones de efectividad operativa de los programas, no solo de su existencia documental.

El siguiente paso es siempre el mismo: auditar la brecha entre lo que dice la política y lo que ocurre en la práctica.