Matriz de riesgo LA/FT: los 4 factores y cómo construirla

Actualizado el 5 de julio de 2026 · 6 min de lectura

Sin matriz de riesgo no hay SAGRILAFT: es la pieza que la Superintendencia de Sociedades espera encontrar cuando pregunta cómo gestionas el riesgo de lavado de activos. Esta guía práctica — para oficiales de cumplimiento, abogados y empresarios de empresas obligadas — explica los 4 factores, cómo calificarlos y cuándo recalificar.

¿Qué es la matriz de riesgo LA/FT?

La matriz de riesgo LA/FT es la herramienta con la que una empresa identifica, mide y califica su exposición al lavado de activos, la financiación del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva, cruzando cuatro factores de riesgo: contraparte, producto o servicio, canal y jurisdicción. En Colombia la exige el Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades a las empresas del régimen PLENO del SAGRILAFT, como base de las etapas del sistema: identificar, medir, controlar y monitorear el riesgo. Si todavía estás ubicando el marco general, empieza por la guía de qué es el SAGRILAFT y a quién obliga.

No es un formalismo. La Superintendencia ha sancionado a empresas justamente por operar sin los elementos y las etapas del sistema: a Real S.A.S. le impuso cuatro multas de $50 millones — $200 millones en total — por operar sin los elementos del SAGRILAFT, sin procesos sistemáticos de debida diligencia y sin reportar a la UIAF (Resolución 2024-01-576436 de Supersociedades), con base en la facultad de multar hasta 200 SMLMV por cada cargo (numeral 3 del artículo 86 de la Ley 222 de 1995).

¿Cuáles son los 4 factores de riesgo de lavado de activos?

El Capítulo X ordena construir la matriz sobre cuatro factores. La lógica: el riesgo LA/FT no vive solo en quién es tu contraparte, sino también en qué le vendes o compras, cómo operan juntos y dónde ocurre la relación.

FactorQué evaluarEjemplos de señales de mayor riesgo
ContraparteTipo de persona (natural o jurídica), actividad económica, beneficiario final (umbral del 5%), calidad de PEP y resultado del screening en listas restrictivasEstructura societaria opaca, beneficiario final difícil de identificar, PEP o familiar de PEP, coincidencia en listas ONU u OFAC, actividad intensiva en efectivo
Producto / servicioQué se vende o compra, montos, forma de pago y si el bien permite mover o almacenar valorPagos en efectivo de alto monto, bienes de fácil reventa como metales y piedras preciosas, servicios de difícil valoración, pagos hechos por terceros distintos de la contraparte
CanalCómo se vincula y opera la contraparte: presencial, remoto, con o sin intermediariosVinculación totalmente no presencial sin verificación de identidad, intermediarios o mandatarios sin justificación de negocio, instrucciones desde cuentas de terceros
JurisdicciónDónde está constituida y opera la contraparte y por dónde fluyen los pagosJurisdicciones no cooperantes o de alto riesgo, países con sanciones de la ONU o de OFAC, triangulación de pagos por países sin relación con el negocio

¿Cómo se construye la matriz de riesgo SAGRILAFT paso a paso?

La metodología práctica cabe en cinco pasos. El insumo principal es la información que recoges al vincular a cada tercero — por eso el formulario de conocimiento del cliente y la matriz son inseparables.

  • Segmenta cada factor. Agrupa contrapartes por tipo y actividad, productos por características, canales por forma de operación y jurisdicciones por nivel de exposición: la segmentación evita calificar todo con el mismo rasero.
  • Califica el riesgo inherente. Para cada segmento asigna probabilidad e impacto en una escala simple (por ejemplo, bajo / medio / alto), antes de considerar cualquier control.
  • Asocia controles a cada riesgo. Debida diligencia de terceros, verificación en listas restrictivas, identificación del beneficiario final (umbral del 5%), aprobaciones internas y soportes del origen de los fondos.
  • Obtén el riesgo residual y define el tratamiento. Con los controles aplicados, el nivel resultante manda: un riesgo alto exige debida diligencia intensificada y pasa por el oficial de cumplimiento.
  • Documenta cada calificación. Registra quién calificó, cuándo y con qué datos: el Capítulo X exige un expediente auditable, y una matriz sin trazabilidad no defiende a nadie en una visita de Supersociedades.

Verifica tus contrapartes en listas restrictivas — gratis

Antes de calificar el factor contraparte, consulta a la persona o empresa contra las listas de la ONU, OFAC, la Unión Europea, el Banco Mundial y el BID.

Consultar listas gratis

¿Qué pasa si la contraparte es un PEP?

Una persona expuesta políticamente (PEP) fuerza el resultado de la matriz: el SAGRILAFT ordena aplicarle debida diligencia intensificada, y su vinculación la aprueba el oficial de cumplimiento. No importa que los otros tres factores den bajo — el factor contraparte no se promedia a la baja cuando hay un PEP.

La cobertura es más amplia de lo que parece: bajo el Capítulo X, la debida diligencia intensificada se extiende al cónyuge o compañero permanente del PEP, a sus familiares hasta el segundo grado de consanguinidad, segundo de afinidad y primero civil, y a las personas jurídicas donde el PEP tenga una participación superior al 5%. Y la calidad de PEP no termina con el cargo: se conserva mientras se ejerce y por dos años más desde la desvinculación (Decreto 830 de 2021).

¿Cada cuánto se revisa la matriz de riesgo y cuándo recalificar una contraparte?

La práctica estándar es una revisión integral de la matriz al menos una vez al año, con recalificación inmediata de la contraparte cuando ocurre un evento que cambia su perfil. Los disparadores típicos:

  • Cambio de actividad económica u objeto social de la contraparte.
  • Coincidencia en listas restrictivas. La consulta de listas debe ser permanente, no un chequeo único al vincular; una coincidencia con la lista consolidada de la ONU — vinculante en Colombia por la Ley 1121 de 2006 — exige reporte inmediato a la UIAF y a la Fiscalía, y un hallazgo en la lista OFAC o «lista Clinton» merece la misma seriedad.
  • Cambios en la composición accionaria o en el beneficiario final (recuerda el umbral del 5%).
  • La contraparte — o su beneficiario final — adquiere la calidad de PEP.
  • Operaciones inusuales o intentadas que terminen en un reporte ROS a la UIAF.

La matriz no es un anexo del manual: es el mecanismo que conecta el conocimiento del tercero con los controles y con los reportes. Si está viva — segmentada, calificada, documentada y recalificada a tiempo — el resto del SAGRILAFT se sostiene sobre ella.

Preguntas frecuentes

¿Cuáles son los 4 factores de riesgo LA/FT?

Contraparte, producto o servicio, canal y jurisdicción, según el Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades (SAGRILAFT).

¿Quién está obligado a tener matriz de riesgo LA/FT en Colombia?

Las empresas del régimen PLENO del SAGRILAFT — en general, las supervisadas por Supersociedades con ingresos o activos desde 40.000 SMLMV, o 30.000 en sectores designados, medidos a 31 de diciembre del año anterior —, aunque cualquier empresa puede adoptarla como buena práctica.

¿Qué diferencia hay entre riesgo inherente y riesgo residual?

El inherente es el riesgo del segmento antes de aplicar controles y el residual es el que queda después de aplicarlos; el tratamiento de la contraparte se define con el residual.

¿Un PEP siempre exige debida diligencia intensificada?

Sí: bajo el SAGRILAFT los PEP quedan sujetos a debida diligencia intensificada y su vinculación la aprueba el oficial de cumplimiento.

¿Cada cuánto se actualiza la matriz de riesgo?

Revísala integralmente al menos una vez al año y recalifica de inmediato ante eventos como un cambio de actividad, una coincidencia en listas o la aparición de un PEP.

Deja de administrar esto en Excel

Régimen, matriz, screening en 5 listas y concepto auditable — en una prueba gratis.

Crear cuenta gratis

Este contenido es informativo y no constituye asesoría legal. Verifica siempre contra las fuentes oficiales y consulta a tu oficial de cumplimiento.