Guía completa del SAGRILAFT: quién está obligado, cómo implementarlo y qué sanciones arriesga tu empresa

Actualizado: 2026-07-05 · 9 min de lectura

El Capítulo X no se cumple con un manual archivado: se cumple con un sistema operando. Esta guía es el mapa completo para implementar el SAGRILAFT — quién está obligado, qué régimen te aplica, los 8 pasos y qué arriesgas si no lo haces. Pensada para oficiales de cumplimiento, abogados, revisores fiscales y empresarios de empresas obligadas en Colombia.

Si llegaste buscando la definición básica, empieza por qué es el SAGRILAFT. Esta guía asume que ya la conoces y responde lo que sigue: cómo saber si tu empresa está obligada, qué régimen le corresponde, cómo dejar el sistema operando en 8 pasos verificables y cuánto cuesta no hacerlo.

¿Cómo saber si tu empresa está obligada al SAGRILAFT?

El SAGRILAFT es el Sistema de Autocontrol y Gestión del Riesgo Integral de LA/FT/FPADM que la Superintendencia de Sociedades exige a las empresas del sector real en el Capítulo X de la Circular Básica Jurídica (Circular Externa 100-000016 de 2020). La obligación no depende de tu apetito de riesgo: depende de tus cifras de ingresos o activos al 31 de diciembre del año anterior.

  • Régimen Pleno general: ingresos totales o activos iguales o superiores a 40.000 SMLMV. Con el SMLMV 2026 ($1.750.905, Decretos 1469 y 1470 de diciembre de 2025), equivale a unos $70.036 millones — y como esa cifra del salario mínimo está en controversia ante el Consejo de Estado, confirma el valor vigente antes de liquidar el umbral.
  • Sectores designados: el umbral baja a 30.000 SMLMV para agentes inmobiliarios, comercio de metales y piedras preciosas, servicios jurídicos (CIIU 6910), servicios contables (CIIU 6920) y construcción de edificios y obras civiles.
  • Activos virtuales (VASP): ingresos desde 3.000 o activos desde 5.000 SMLMV activan el Régimen Pleno.
  • APNFD: los sectores designados con ingresos desde 3.000 o activos desde 5.000 SMLMV entran al Régimen de Medidas Mínimas.

Además, la Supersociedades puede ordenar en cualquier tiempo a cualquier empresa supervisada que implemente el sistema (Cap. X, numerales 4, 6 y 7). El detalle de umbrales, sectores y casos de frontera está en quién está obligado al SAGRILAFT, y puedes clasificar tu empresa en minutos con el clasificador de régimen gratuito.

Nota de actualidad: el 2 de julio de 2026 la Supersociedades expidió la Circular Externa 100-000020 de 2026, una nueva Circular Básica Jurídica que unificaría SAGRILAFT y PTEE en un sistema integral. Al cierre de esta guía, su texto oficial y sus plazos de transición aún no estaban publicados en el sitio de la entidad: hoy sigue aplicando el Capítulo X, y actualizaremos esta página cuando la transición sea oficial.

¿Qué diferencia hay entre el Régimen Pleno y el de Medidas Mínimas?

El Capítulo X no exige lo mismo a todos: el Régimen Pleno pide un sistema completo con oficial de cumplimiento, mientras el Régimen de Medidas Mínimas concentra la carga en verificar contrapartes bajo responsabilidad del representante legal.

ElementoRégimen PlenoMedidas Mínimas
Quién respondeOficial de cumplimiento (persona natural designada por la junta)El representante legal (no se exige oficial)
Política LA/FT/FPADM aprobada por el máximo órgano socialNo exigida expresamente
Matriz de riesgo por 4 factoresNo exigida expresamente
Debida diligencia + beneficiario final (umbral 5%)
Consulta de listas ONUPermanenteAntes de vincular y periódicamente
Reportes a la UIAF (SIREL)ROS inmediato + AROS trimestralROS ante operación sospechosa
Capacitación anualNo exigida expresamente
DocumentaciónExpediente auditable completoDocumentar las verificaciones

La comparación a fondo, con lo que cada régimen te exige en la práctica, está en Régimen Pleno vs. Medidas Mínimas.

¿Cómo implementar el SAGRILAFT paso a paso?

Implementar SAGRILAFT no es redactar un documento: es dejar operando ocho piezas que se alimentan entre sí. Este es el orden que funciona:

  • Paso 1 — Aprueba la política LA/FT/FPADM en junta: el máximo órgano social debe aprobar la política del sistema; sin ese acto formal, el resto no tiene soporte de gobierno corporativo.
  • Paso 2 — Designa al oficial de cumplimiento: persona natural designada por la junta, e informa la designación a la Supersociedades dentro de los 15 días hábiles siguientes.
  • Paso 3 — Construye la matriz de riesgo: califica el riesgo LA/FT por los cuatro factores del Capítulo X — contraparte, producto o servicio, canal y jurisdicción.
  • Paso 4 — Aplica debida diligencia a tus contrapartes: conoce a cada una y llega hasta su beneficiario final con el umbral del 5%; si hay un PEP, aplica debida diligencia intensificada aprobada por el oficial.
  • Paso 5 — Consulta las listas restrictivas de forma permanente: la lista consolidada de la ONU es vinculante en Colombia (Ley 1121 de 2006) y una coincidencia obliga a reporte inmediato a la UIAF y a la Fiscalía; el mercado consulta además la lista Clinton (OFAC), la de la Unión Europea, el Banco Mundial y el BID.
  • Paso 6 — Reporta a la UIAF vía SIREL: ROS inmediato ante operación sospechosa y AROS trimestral dentro de los 10 días calendario siguientes al corte.
  • Paso 7 — Capacita a tu equipo cada año: todos deben saber detectar y escalar señales de alerta, con constancia de cada jornada.
  • Paso 8 — Arma el expediente auditable: actas, matriz, soportes de diligencia, constancias de consulta en listas y reportes — la evidencia de que el sistema opera de verdad.

Consulta gratis las listas restrictivas

Verifica un nombre o un número de identificación contra ONU, OFAC, Unión Europea, Banco Mundial y BID con la herramienta gratuita de Capitolio Legal.

Consultar listas ahora

¿Quién debe ser el oficial de cumplimiento del SAGRILAFT?

En el Régimen Pleno, el oficial de cumplimiento es una persona natural designada por la junta directiva o el máximo órgano social, y la designación se informa a la Supersociedades dentro de los 15 días hábiles siguientes. Es quien aprueba la debida diligencia intensificada de los PEP y quien responde por que el sistema funcione — las multas del Capítulo X también pueden recaer sobre él personalmente. En Medidas Mínimas no se exige oficial: responde el representante legal. La doctrina de la Supersociedades admite, además, que una misma persona sea oficial de cumplimiento del SAGRILAFT y del PTEE, siempre que cumpla los requisitos de cada régimen. Los requisitos, funciones y riesgos personales del cargo están en oficial de cumplimiento SAGRILAFT.

¿Cómo se construye la matriz de riesgo LA/FT?

La matriz es el corazón técnico del sistema: el Capítulo X exige medir el riesgo por cuatro factores — contraparte, producto o servicio, canal y jurisdicción — y usar ese resultado para graduar la debida diligencia de cada tercero. Un PEP, por ejemplo, fuerza debida diligencia intensificada sin importar cómo puntúen los demás factores. La metodología completa, factor por factor, está en la matriz de riesgo LA/FT.

¿Qué sanciones arriesga tu empresa por incumplir el SAGRILAFT?

La base sancionatoria es el numeral 3 del artículo 86 de la Ley 222 de 1995: multas de hasta 200 SMLMV, sucesivas o no, contra la empresa obligada, sus administradores, su revisor fiscal o su oficial de cumplimiento. Y hay un detalle que multiplica el riesgo: en la práctica, la Supersociedades aplica ese tope por cada cargo formulado, no por expediente.

  • Real S.A.S. (Resolución 2024-01-576436): cuatro multas de $50 millones cada una — $200 millones en total — por operar sin los elementos y etapas del SAGRILAFT, sin debida diligencia sistemática y sin reportes ROS/AROS a la UIAF.
  • Promotora Equilátero S.A.S. (Resolución 2024-01-111863): $112 millones en cuatro multas, con atenuante por aceptar los cargos antes del decreto de pruebas.
  • La Supersociedades mantiene un repositorio oficial con más de 50 resoluciones sancionatorias SAGRILAFT y PTEE entre 2023 y 2025 — el incumplimiento se está sancionando de verdad.

Desde el 1 de enero de 2024 las multas se liquidan en pesos con equivalencia en UVB (Ley 2294 de 2023, art. 313). A la multa se suman órdenes accesorias incómodas: el representante legal debe leer la resolución sancionatoria ante la junta o el máximo órgano social, con constancia en acta. El análisis completo de la práctica sancionatoria está en sanciones del SAGRILAFT.

¿Cuáles son los errores más comunes al implementar el SAGRILAFT?

  • Comprar un manual genérico y archivarlo. Real S.A.S. fue multada por operar sin las etapas del sistema: para la Supersociedades, un documento sin operación es incumplimiento. Antes de redactar, revisa qué debe tener el manual.
  • Consultar las listas una sola vez. El Capítulo X exige consulta permanente: las listas cambian, y una contraparte limpia hoy puede aparecer sancionada mañana.
  • Omitir el AROS. El reporte de ausencia de operaciones sospechosas es trimestral, y su omisión fue uno de los cargos sancionados en los casos de 2024.
  • Quedarse en la persona jurídica. La debida diligencia llega hasta el beneficiario final con el umbral del 5%; sin ese paso, el conocimiento del tercero queda incompleto.
  • Copiar formatos del sector financiero. El SARLAFT de la Superfinanciera es otro régimen (SARLAFT vs. SAGRILAFT): adapta tu formulario de conocimiento a la realidad de tu empresa.
  • No dejar evidencia. Sin expediente auditable no puedes demostrar ante una visita de la Supersociedades que el sistema opera.

Preguntas frecuentes

¿Qué norma regula el SAGRILAFT en Colombia?

El Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades, adoptado por la Circular Externa 100-000016 de 2020.

¿Desde qué monto está obligada una empresa al SAGRILAFT?

Desde ingresos o activos iguales o superiores a 40.000 SMLMV al 31 de diciembre del año anterior (30.000 SMLMV en sectores designados).

¿Cuál es la multa por incumplir el SAGRILAFT?

Hasta 200 SMLMV por cada cargo formulado (art. 86, num. 3, Ley 222 de 1995), aplicable a la empresa, sus administradores, el revisor fiscal y el oficial de cumplimiento.

¿Qué pasa si una contraparte aparece en la lista ONU?

La coincidencia con la lista consolidada de la ONU — vinculante en Colombia por la Ley 1121 de 2006 — exige reporte inmediato a la UIAF y a la Fiscalía.

¿SAGRILAFT y SARLAFT son lo mismo?

No: el SARLAFT lo exige la Superintendencia Financiera al sector financiero y el SAGRILAFT lo exige la Supersociedades a las empresas del sector real.

Opera esto en la plataforma, no en Excel

Prueba gratis: régimen, matriz, screening en 5 listas y concepto auditable.

Crear cuenta gratis

Este contenido es informativo y no constituye asesoría legal. Verifica siempre contra las fuentes oficiales y consulta a tu oficial de cumplimiento.