Saber que existe una diferencia entre SARLAFT y SAGRILAFT es el primer paso, pero lo verdaderamente relevante para una empresa es identificar cuál de los dos sistemas le aplica, qué obligaciones concretas genera y cómo debe implementarse conforme a la normativa vigente. En pocas palabras, ambos son sistemas de administración de riesgos de lavado de activos, financiación del terrorismo y proliferación de armas de destrucción masiva, pero están dirigidos a tipos de entidades distintas y son supervisados por reguladores diferentes.
¿Por qué es importante conocer la diferencia entre SARLAFT y SAGRILAFT?
Entender la diferencia entre SARLAFT y SAGRILAFT no solo es útil para cumplir con la normatividad colombiana, sino también para evitar sanciones y gestionar el riesgo que podría poner en peligro la reputación, la sostenibilidad legal y la credibilidad de la organización ante las exigencias de la Superintendencia. Aunque ambos sistemas buscan prevenir el lavado de activos y la financiación del terrorismo, se aplican en contextos diferentes y aplicar el sistema equivocado, o implementarlo de forma incompleta, puede derivar en hallazgos durante visitas de inspección y en sanciones administrativas por parte del ente supervisor.
¿Qué es SARLAFT y qué es SAGRILAFT?
Primero, para entender las diferencias entre SARLAFT y SAGRILAFT, debes saber que los oficiales de cumplimiento tienen la obligación de verificar información de sus contrapartes en la debida diligencia; entre estos datos se encuentran el nombre, número de identificación y fecha de expedición de documentos de sus contrapartes. Veamos de qué se trata cada uno:
¿Qué es SARLAFT?
El SARLAFT es el Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo. Fue creado por la Superintendencia Financiera de Colombia (SFC) en 2008 y aplica a las entidades vigiladas por esa superintendencia: bancos, aseguradoras, sociedades fiduciarias, fondos de pensiones, comisionistas de bolsa y demás integrantes del sector financiero. Su enfoque está orientado a la gestión del riesgo LAFT desde una perspectiva transaccional y financiera, con un alto nivel de rigurosidad técnica y reporte periódico al regulador.
¿Qué es SAGRILAFT?
El sistema SAGRILAFT es el Sistema de Autocontrol y Gestión del Riesgo Integral de LA/FT/FPADM, es decir, del Lavado de Activos, la Financiación del Terrorismo y la Proliferación de Armas de Destrucción Masiva. Este sistema fue creado por la Superintendencia de Sociedades y aplica a empresas del sector real: sociedades comerciales, asociaciones, fundaciones y otras organizaciones que cumplan ciertos criterios de ingresos o actividad económica.
A diferencia del SARLAFT, el SAGRILAFT tiene como objetivo que las propias empresas diseñen, implementen y gestionen sus controles internos para la prevención del riesgo, promoviendo una cultura de cumplimiento dentro de la organización. Contar con un sistema integral de compliance que articule el SAGRILAFT con otros sistemas regulatorios es hoy una decisión estratégica para cualquier empresa del sector real.
Principal diferencia SARLAFT y SAGRILAFT
La diferencia más relevante radica en el tipo de entidad al que aplica cada sistema y en el ente que ejerce su supervisión. El SARLAFT aplica exclusivamente al sector financiero, está supervisado por la Superintendencia Financiera de Colombia y exige un nivel de sofisticación técnica mayor, dado el volumen y la naturaleza de las operaciones que regula. El SAGRILAFT, en cambio, está dirigido a empresas del sector real vigiladas por la Superintendencia de Sociedades, que deben implementarlo como parte de su sistema de gobierno corporativo y autocontrol. En términos prácticos, si tu empresa no pertenece al sector financiero pero está vigilada por la Superintendencia de Sociedades o desarrolla una actividad económica señalada en la normativa, lo más probable es que la obligación que recae sobre ti sea el SAGRILAFT
Otras diferencias existentes entre SARLAFT y SAGRILAFT:
A diferencia del SARLAFT, el SAGRILAFT:
- Como está dirigido al sector real, incluye algunos conceptos distintos.
- Se refiere de manera más completa y formal a la proliferación de armas de destrucción masiva como parte del sistema.
- Abarca más especificaciones relacionadas con la debida diligencia.
- Tiene dos categorizaciones para las obligaciones: las completas que deben cumplir las empresas obligadas y las mínimas para las que no tengan la obligación total.
¿Qué Empresas Están Obligadas A Implementar El SAGRILAFT?
La obligación de implementar el SAGRILAFT fue ampliada de forma significativa a partir de la Circular Externa 100-000004 de 2023 de la Superintendencia de Sociedades. Con esta actualización, el universo de sujetos obligados se extendió para incluir no solo a las grandes empresas del sector real, sino también a nuevas categorías de entidades. Están obligadas a implementar el SAGRILAFT, entre otras, las siguientes empresas:
- Sociedades controladas por la Superintendencia de Sociedades que superen ingresos anuales de 40,000 SMMLV.
- Aguas inmobiliarias.
- Profesionales del derecho en el ejercicio de actividades notariales, de compraventa de inmuebles y similares.
- Proveedores de servicios legales.
- Comercializadores de metales y piedras preciosas.
- Empresas en el sector de la construcción.
- Prestadores de servicios de archivo de valores.
- Empresas dedicadas a la enajenación de bienes de origen estatal.
- Sociedades anónimas de fomento.
- Entidades que se dedican a la actividad de factoring.
- Cámaras de Comercio: a partir de la actualización normativa, las cámaras de comercio en Colombia fueron incluidas en la lista de sujetos obligados, lo que refleja la importancia de que estas entidades también adopten mecanismos de prevención del riesgo LAFT En cada sector pueden existir criterios particulares que determinen si una empresa está o no obligada, como el volumen de ingresos, su naturaleza jurídica o el tipo de operaciones que realiza. Por eso, la evaluación debe hacerse caso por caso.
¿A quién le aplica el SARLAFT?
El SARLAFT (Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo) es obligatorio para las entidades vigiladas por la Superintendencia Financiera de Colombia, como bancos, cooperativas financieras, aseguradoras, sociedades comisionistas de bolsa, fiduciarias, entre otras. Este modelo tiene un enfoque más riguroso y técnico, ya que estas entidades están altamente expuestas al riesgo financiero.
¿Cómo saber cuál corresponde a tu empresa?
La clave está en identificar qué entidad regula tu actividad. Si tu empresa está bajo la vigilancia de la Superintendencia Financiera, deberás aplicar el SARLAFT. Si en cambio estás regulado por la Supersociedades y cumples con los parámetros exigidos (por ingresos, tipo de actividad o tamaño), estarás obligado a implementar el SAGRILAFT.
En algunos casos, las organizaciones pueden quedar exentas o sujetas a modelos simplificados, por lo que es recomendable hacer una revisión normativa o solicitar asesoría legal para evitar sanciones.
Plazos Y Cambios Normativos Recientes
La Superintendencia de Sociedades ha realizado cambios normativos con el objetivo de mantenerse alineada con los estándares internacionales en materia de prevención del riesgo LAFT, en especial con las recomendaciones del GAFI. Estos ajustes reflejan la importancia de mantener una cultura de integridad, ética y cumplimiento en las organizaciones del sector real de Colombia. Las empresas nuevamente obligadas o que tengan actualizaciones pendientes en su sistema deben verificar los plazos establecidos por la Superintendencia de Sociedades conforme a los términos señalados en los Capítulos 10 y 15 de la Circular Básica Jurídica. Si tu empresa aún no ha iniciado la implementación, te recomendamos contáctanos para una evaluación inicial.
Las Etapas del SAGRILAFT
Un sistema SAGRILAFT bien implementado no es una lista de documentos, sino un proceso estructurado de gestión del riesgo que opera de forma continua dentro de la organización. Las etapas que lo componen son cuatro:
Etapa 1: Identificación Del Riesgo LAFT/FPADM
Esta es la etapa inicial. La empresa debe reconocer los factores de riesgo LAFT/FPADM y cuáles son los negocios, actividades, productos, canales y zonas geográficas que generan mayor exposición. Las actividades clave en esta etapa incluyen la clasificación de los factores de riesgo según la actividad económica, la definición de una metodología para identificar los riesgos asociados al SAGRILAFT, el establecimiento de las condiciones con que se van a resistir las medidas de identificación, y la implementación de los mecanismos para un adecuado reconocimiento e individualización de los factores de riesgo.
Etapa 2: Medición Y Evaluación Del Riesgo LAFT/FPADM
Una vez identificados los factores de riesgo, la empresa debe medir la probabilidad de ocurrencia del riesgo inherente y el impacto que este tendría en caso de materializarse. Esta medición permite establecer el perfil de riesgo inherente de la organización, a partir del cual se definen indicadores de frecuencia y consecuencia frente a los factores LAFT/FPADM identificados.
Etapa 3: Control Del Riesgo LAFT/FPADM
En esta etapa la empresa toma medidas para controlar el riesgo inherente al que está expuesta, lo que permite establecer el perfil de riesgo residual. Comprende la determinación de metodologías para implementar medidas de control, la aplicación de dichas metodologías a cada factor de riesgo y la definición de herramientas de detección de operaciones inusuales y sospechosas con base en la matriz de riesgos.
Etapa 4: Monitoreo Del Riesgo LAFT/FPADM
El monitoreo permite a las empresas vigilar el perfil de riesgo y detectar operaciones inusuales de manera oportuna. Implica hacer seguimiento riguroso y comparativo del riesgo inherente y residual, garantizar que los controles sean integrales y efectivos, y verificar si los niveles de aceptación del riesgo están dentro de los parámetros establecidos por la organización.
Conocimiento De La Contraparte Y Debida Diligencia
Uno de los pilares del SAGRILAFT es el conocimiento de la contraparte. Las empresas obligadas deben establecer procedimientos que les permitan identificar a todos sus clientes, proveedores, empleados, socios y accionistas, verificando información que permita establecer el nivel de riesgo de cada vínculo comercial. Existen dos niveles de diligencia:
- Debida diligencia: Es el proceso estándar de identificación de contrapartes. Implica verificar la información básica de identificación, actividad económica, origen de los recursos y naturaleza de la relación comercial.
- Debida diligencia intensificada: Aplica cuando una contraparte representa un mayor riesgo, personas expuestas políticamente (PEP), clientes ubicados en países no cooperantes o jurisdicciones de alto riesgo, o personas que realizan actividades con activos virtuales. En estos casos, el proceso requiere un nivel más profundo de análisis y documentación.
El Oficial De Cumplimiento En El SAGRILAFT
El oficial de cumplimiento es la persona designada por la empresa para liderar la implementación y el seguimiento del sistema. Sus funciones principales incluyen la supervisión de la correcta implementación de políticas y procedimientos, la evaluación constante de los riesgos de LAFT a los que está expuesta la empresa, y el reporte oportuno de operaciones sospechosas ante la Unidad de Información y Análisis Financiero (UIAF).
El oficial de cumplimiento debe actuar de forma independiente dentro de la organización, con acceso directo a la alta dirección y con capacidad de tomar decisiones que no influyan intereses que puedan comprometer su labor. Dependiendo del tamaño y nivel de riesgo de la empresa, la normativa puede exigir que este rol sea ejercido por una persona a tiempo completo o que cuente con un equipo de apoyo.
¿Cuál Sistema Aplica A Mi Empresa?
La clave está en identificar qué entidad regula tu actividad. Si tu empresa está bajo la vigilancia de la Superintendencia Financiera, el sistema que debes implementar es el SARLAFT. Si está vigilada por la Superintendencia de Sociedades o pertenece a un sector señalado en la normativa, la obligación corresponde al SAGRILAFT. En algunos casos, las organizaciones pueden quedar sujetas a modelos más simplificados, por lo que es recomendable hacer una revisión normativa antes de diseñar cualquier solución. Si tienes dudas sobre cuál sistema aplica a tu empresa, en M.Abogados te ofrecemos una consultoría especializada en SAGRILAFT que parte del diagnóstico jurídico y evaluación inicial del riesgo de tu organización.
¿Necesita Fortalecer El Sistema De Compliance De Su Empresa?
Implementar el SAGRILAFT de forma correcta requiere conocimiento técnico, experiencia sectorial y una metodología clara. En MAbogados acompañamos a empresas del sector real en el diseño, implementación y seguimiento de su sistema, articulándolo dentro de un modelo de cumplimiento corporativo que responde a la realidad operativa de cada organización.
Si tu empresa está obligada a implementar el SAGRILAFT o necesita actualizar su sistema conforme a los últimos cambios normativos, escríbenos y con gusto te orientamos.
