Qué es Sagrilaft y qué empresas deben implementarlo en Colombia

Si estás al frente de una empresa que ha experimentado un crecimiento notable en los últimos años, es muy probable que el término Sagrilaft haya aterrizado en tu escritorio recientemente. Y si es así, sabemos exactamente cómo te sientes: otra sigla, otra normativa, otro reporte que enviar a la Superintendencia de Sociedades.

Sin embargo, en pleno 2026, la prevención del lavado de activos y la financiación del terrorismo (LA/FT) ya no es un asunto exclusivo de los bancos. Desde nuestra experiencia acompañando a diversas organizaciones desde la Revisoría Fiscal, hemos notado que los empresarios comprometidos con el crecimiento constante de su negocio ya no ven esta norma como una simple carga burocrática, sino como un escudo protector.

En esta guía definitiva, te explicaremos sin enredos legales qué es el Sagrilaft, cuáles son los topes actualizados que obligan a tu empresa a implementarlo este año y cómo convertir este requisito en una ventaja competitiva para el manejo controlado de tus operaciones.

¿Qué es exactamente el Sagrilaft y por qué va más allá de un requisito legal?

El Sistema de Autocontrol y Gestión del Riesgo Integral de Lavado de Activos, Financiación del Terrorismo y Financiación de la Proliferación de Armas de Destrucción Masiva (SAGRILAFT) es, en términos sencillos, un conjunto de políticas, procedimientos y herramientas que la Superintendencia de Sociedades exige a ciertas empresas del sector real en Colombia.

Su objetivo principal es evitar que las empresas legítimas sean utilizadas, directa o indirectamente, como fachada o canal para dar apariencia de legalidad a dineros provenientes de actividades ilícitas. Esto se logra a través de la "debida diligencia": conocer realmente quién es tu cliente, tu proveedor, tu empleado y tu socio.

El impacto real en el manejo controlado de tus operaciones

Es común que la primera reacción ante el Sagrilaft sea de resistencia. No obstante, trabajando codo a codo con gerentes de diversos sectores y tamaños, hemos comprobado que la implementación de este sistema marca un antes y un después en la madurez corporativa.

Cuando una empresa adopta el Sagrilaft con seriedad, no solo está cumpliendo la ley; está implementando un sistema de blindaje reputacional y financiero. El verdadero impacto se traduce en un manejo controlado de las operaciones y los riesgos. Te permite detectar a tiempo si ese "proveedor estrella" con precios insuperables tiene nexos oscuros que podrían terminar congelando las cuentas bancarias de tu empresa o, peor aún, destruyendo la reputación que has tardado años en construir. Es, en esencia, proteger el patrimonio y la continuidad del negocio.

¿Qué empresas están obligadas a implementarlo en 2026?

La normativa de la Supersociedades (Capítulo X de la Circular Básica Jurídica) establece unos criterios muy claros basados en los ingresos totales o activos de la empresa, medidos en Salarios Mínimos Mensuales Legales Vigentes (SMMLV) con corte al 31 de diciembre del año inmediatamente anterior.

Para saber si tu empresa está obligada en 2026, debes revisar los estados financieros con corte a diciembre de 2025.

Regla general: Topes de 40.000 SMMLV

La regla general aplica para la mayoría de las empresas del sector real sujetas a la vigilancia o control de la Superintendencia de Sociedades.

Estás obligado a implementarlo el sistema completo si tu empresa, a 31 de diciembre del año anterior, registró:

• Ingresos totales iguales o superiores a 40.000 SMMLV.

• O Activos totales iguales o superiores a 40.000 SMMLV.

Si cumples con alguna de estas dos condiciones (no tienen que ser ambas), tienes plazo hasta el 31 de mayo de este año para tener tu manual aprobado, tu matriz de riesgos estructurada y tu Oficial de Cumplimiento nombrado y reportado.

Sectores especiales con topes de 30.000 SMMLV

La Supersociedades ha identificado sectores de la economía que, por su naturaleza, presentan un mayor riesgo de ser permeados por dineros ilícitos. Para estos sectores, el umbral es más bajo. Si tu empresa pertenece a alguno de los siguientes rubros, la obligación arranca a partir de los 30.000 SMMLV en ingresos totales:

1. Sector Inmobiliario: Compra, venta, arrendamiento o intermediación de bienes raíces.

2. Sector de Construcción: Construcción de edificios y obras de ingeniería civil.

3. Servicios Jurídicos y Contables: Actividades de asesoría legal, contabilidad, auditoría (que no sean revisoría fiscal) y consultoría fiscal.

4. Comercialización de Metales y Piedras Preciosas: Comercio al por mayor y al por menor.

5. Activos Virtuales: Empresas que ofrezcan servicios de intercambio, transferencia o custodia de criptoactivos (estas tienen regulaciones y topes específicos aún más estrictos dependiendo de su volumen de transacciones fiat).

El Régimen de Medidas Mínimas (RMM): ¿A quién le aplica?

Existe una versión "simplificada" del sistema conocida como el Régimen de Medidas Mínimas (RMM). Este no exige toda la robustez del Sagrilaft (por ejemplo, no requiere el nombramiento de un Oficial de Cumplimiento principal y suplente con las mismas exigencias), pero sí obliga a tener controles documentados.

Este régimen aplica a empresas de los sectores especiales mencionados anteriormente (inmobiliario, contable, construcción, etc.) cuando sus ingresos totales se encuentran entre los 3.000 y los 30.000 SMMLV.

Consecuencias de ignorar la norma: Sanciones de la Supersociedades

El entorno regulatorio en 2026 es altamente digitalizado. A través de cruces de información con la DIAN, las Cámaras de Comercio y plataformas como SIRFIN, la Superintendencia de Sociedades detecta de forma automática qué empresas superaron los topes y no han enviado el Reporte 58 o el Reporte 75.

Ignorar esta obligación o hacer una implementación "de papel" (copiar y pegar un manual de internet) acarrea consecuencias severas:

• Multas económicas: Sanciones que pueden ascender hasta los 200 SMMLV por cada incumplimiento (no tener manual, no nombrar oficial, no enviar reportes a tiempo).

• Sanciones a administradores: Las multas no solo recaen sobre la sociedad, sino que pueden afectar el patrimonio personal de los representantes legales, miembros de junta directiva y el propio Oficial de Cumplimiento.

• Muerte comercial: La inclusión en listas restrictivas por omisión de controles, lo que resulta en el cierre inmediato de cuentas bancarias y cancelación de contratos con clientes corporativos.

El rol del Oficial de Cumplimiento: Tu aliado estratégico

El Oficial de Cumplimiento es la persona natural designada por la junta directiva (o el máximo órgano social) para liderar y administrar el Sagrilaft. No puede ser cualquier empleado; debe cumplir con requisitos de formación, experiencia en gestión de riesgos (mínimo 6 meses) y estar respaldado por un curso de e-learning ante la UIAF.

Lo que vemos constantemente en la práctica es que muchas empresas cometen el error de delegarle esta función al contador o al gerente financiero por salir del paso, creando incompatibilidades graves (el oficial no puede pertenecer a la administración, ni a las áreas operativas o comerciales, ni ser el Revisor Fiscal).

Un buen Oficial de Cumplimiento no es un policía interno que frena los negocios; es un aliado estratégico. Es quien asegura que la empresa pueda operar y expandirse sin pisar minas terrestres legales.

¿Cómo elegir el acompañamiento adecuado para tu empresa?

Implementar el Sagrilaft requiere conocimiento legal, financiero, de procesos y, sobre todo, sentido común empresarial. No se trata de llenar matrices de Excel infinitas que nadie entiende, sino de crear una cultura de prevención.

Por qué una firma boutique marca la diferencia en tu tranquilidad gerencial

Como firma boutique, nuestra filosofía siempre ha sido entender la minucia de cada negocio. Sabemos que el gerente que busca apoyo externo no solo quiere un manual; busca un acompañamiento responsable, un servicio de calidad y el conocimiento en las áreas de nuestra experticia.

El empresario moderno requiere una gestión de alta calidad donde la firma consultora comparta su cultura empresarial. Quien decide delegar este proceso crítico debe tener la oportunidad de sentirse atendido, comprendido y acompañado. Esa es la diferencia entre simplemente "gastar" en cumplimiento normativo y "retornar la inversión" en forma de tranquilidad gerencial absoluta, sabiendo que la Revisoría Fiscal y el control de riesgos operan como un reloj suizo.

Preguntas Frecuentes sobre el Sagrilaft en Colombia

A continuación, resolvemos las dudas más comunes que surgen en las juntas directivas:

¿Cuál es la fecha límite para implementar el Sagrilaft si superé los topes en 2025?

Tienes hasta el 31 de mayo de 2026 para aprobar el manual en el máximo órgano social, nombrar al Oficial de Cumplimiento y reportarlo a la Supersociedades.

¿Necesito un Oficial de Cumplimiento Suplente?

Sí, la norma exige la designación de un principal y un suplente, ambos con las mismas calidades y requisitos, salvo excepciones muy específicas aprobadas por la Super.

¿Qué son el Reporte 58 y el Reporte 75?

El Reporte 58 es el documento mediante el cual le informas a la Supersociedades quién es tu Oficial de Cumplimiento. El Reporte 75 es el informe anual sobre el estado y evolución de tu sistema Sagrilaft que se presenta a través del sistema SIRFIN.

¿Puedo tercerizar (outsourcing) la función del Oficial de Cumplimiento?

Sí, la normativa permite que el Oficial de Cumplimiento sea externo, siempre y cuando cumpla con todos los requisitos y no preste este servicio a más de diez (10) empresas simultáneamente.

¿El Revisor Fiscal tiene responsabilidades en el Sagrilaft?

Sí. Aunque el Revisor Fiscal no puede ser el Oficial de Cumplimiento, tiene la obligación legal de reportar a la UIAF cualquier operación sospechosa que detecte en el ejercicio de sus funciones (ROS), actuando como una línea de defensa fundamental.

El cumplimiento normativo no tiene que ser un dolor de cabeza. Con el acompañamiento adecuado, el Sagrilaft se convierte en una herramienta de valor incalculable para el crecimiento seguro de tu compañía.