Sagrilaft
Cumplimiento

Sagrilaft

Guía práctica del SAGRILAFT: definición, alcance, etapas, políticas de debida diligencia y pasos para implementarlo con enfoque basado en riesgo.

D
David Santiago Ramos Vargas
19 de enero de 2026
5 min de lectura
Cumplimiento

¿Qué es el SAGRILAFT?

El SAGRILAFT es el Sistema de Autocontrol y Gestión del Riesgo Integral asociado a Lavado de Activos (LA), Financiación del Terrorismo (FT) y Financiamiento de la Proliferación de Armas de Destrucción Masiva (FPADM). Está desarrollado por la Superintendencia de Sociedades en el Capítulo X de la Circular Básica Jurídica, y establece cómo las empresas deben identificar, evaluar y mitigar estos riesgos en sus operaciones.

En términos simples: SAGRILAFT es un marco para gestionar el riesgo de que tu empresa sea utilizada (directa o indirectamente) para mover dinero ilícito, financiar terrorismo o apoyar proliferación.

El corazón del sistema: enfoque basado en riesgo

SAGRILAFT no es “llenar formatos”. Es aplicar un enfoque basado en riesgo: entender dónde estás expuesto (clientes, países, productos, canales, contrapartes) y poner controles proporcionales al nivel de riesgo. Este principio es central también en los estándares internacionales del GAFI/FATF.

¿A quién le aplica?

La obligación depende de los criterios definidos por la regulación y la supervisión de la SuperSociedades en el Capítulo X (y sus modificaciones). Por eso, la forma correcta de confirmarlo es contrastar tu caso con el texto vigente y criterios de aplicación allí descritos.

Nota práctica: muchas organizaciones no fallan por “no tener SAGRILAFT”, sino por tenerlo de papel, sin evidencias de ejecución (debida diligencia real, monitoreo, reportes, capacitación, auditoría).

Etapas típicas del SAGRILAFT (estructura práctica)

Aunque cada empresa lo aterriza a su realidad, el Capítulo X contempla un ciclo de gestión del riesgo (de punta a punta). En la práctica, suele organizarse así:

1) Gobierno y responsabilidades

  • Oficial de cumplimiento (según aplique), roles, comités, reportes a administración.
  • Manual/políticas aprobadas y comunicadas.

2) Identificación y evaluación del riesgo

  • Matriz de riesgo (factores como clientes, jurisdicciones, canales, productos/servicios).
  • Segmentación y metodología (probabilidad/impacto).
  • Enfoque basado en riesgo (controles más fuertes donde el riesgo sea mayor).

3) Controles y debida diligencia

La debida diligencia (conocimiento de contrapartes) es clave: identificación, verificación, beneficiario final cuando aplique, y soportes. Esto está alineado con recomendaciones internacionales (p. ej., Recomendación 10 del GAFI) y guías de la UIAF.

4) Monitoreo y alertas

  • Señales de alerta / tipologías por sector.
  • Seguimiento de operaciones inusuales.
  • Actualización periódica de perfiles y documentación.

5) Reportes, capacitación y mejora continua

  • Capacitación anual y trazabilidad.
  • Auditoría/seguimiento y ajustes.
  • Evidencias: lo que no se puede demostrar, “no existe” en una revisión.

¿Cómo implementar SAGRILAFT en 30–60 días? (checklist ejecutable)

Si lo quieres aterrizado a implementación real:

  1. Diagnóstico inicial: mapa de procesos + dónde entra y sale dinero/valor.
  2. Definir metodología de riesgo: factores, segmentación, scoring, umbrales.
  3. Diseñar debida diligencia: estándar, reforzada, simplificada (según riesgo).
  4. Listas y antecedentes: verificación contra listas relevantes y criterios internos (con evidencia).
  5. Monitoreo: reglas de alertas por montos, frecuencia, países, actividad económica, patrones.
  6. Documentación: políticas, manual, formatos, procedimientos, matriz, actas.
  7. Capacitación: ventas, operaciones, cartera, compras, cumplimiento.
  8. Auditoría interna: prueba de casos (muestra de clientes/proveedores) y plan de mejora.

Errores comunes (y cómo evitarlos)

  • Matriz genérica copiada: no refleja tu negocio → personaliza por sector, canal, geografía.
  • Debida diligencia sin verificación: pedir documentos no es validar.
  • Sin evidencias: si no hay soportes, trazas y actas, el sistema es débil.
  • Monitoreo inexistente: SAGRILAFT no termina en el onboarding; empieza ahí.

¿Cómo te puede ayudar un software (sin convertirlo en “cumplimiento de checklist”)?

Un buen sistema de cumplimiento debe ayudarte a:

  • Centralizar expedientes y soportes (KYC/KYS/KYP).
  • Automatizar consultas y trazabilidad de revisiones.
  • Gestionar alertas y aprobaciones internas.
  • Mantener auditoría y evidencias listas para supervisión.

Preguntas frecuentes (FAQ)

¿SAGRILAFT es lo mismo que SARLAFT?

Son marcos de gestión de riesgo LA/FT, pero aplican en contextos y supervisores distintos. La UIAF lo explica en documentos de preguntas frecuentes y materiales relacionados.

¿Cada cuánto se actualiza?

Buenas prácticas: revisión periódica (al menos anual) y cada vez que cambie tu perfil de riesgo (nuevos países, canales, productos, etc.). El Capítulo X enfatiza el enfoque basado en riesgos y la mejora continua.

¿Qué pasa si no lo implemento estando obligado?

El marco está ligado a supervisión y posibles actuaciones administrativas. Para entender alcance y deberes, la referencia base es el Capítulo X y sus circulares/modificaciones.

Cierre (CTA)

Si estás implementando o actualizando tu SAGRILAFT, lo más importante es que no quede en papel: debe existir una línea clara entre riesgos → controles → evidencias.

¿Listo para mejorar su programa de compliance?

Descubra cómo GlobusScreen puede ayudarle a verificar listas restrictivas de manera eficiente