SAGRILAFT en compras: lo que un Director Financiero necesita saber

SAGRILAFT no es un trámite más de cumplimiento. Es el marco regulatorio que obliga a las empresas colombianas a tener controles activos contra el lavado de activos y la financiación del terrorismo —y los proveedores son uno de los frentes más sensibles de aplicación.

Para un Director Financiero de empresa mediana, hay tres preguntas operativas que necesita responder bien:

• ¿Mi empresa está obligada a SAGRILAFT? ¿Bajo qué régimen?
• ¿Qué controles específicos debo aplicar a mis proveedores?
• ¿Qué pasa si tengo brechas (que casi seguro tengo)?

Este artículo es la guía operativa para responder esas tres preguntas, sin entrar en complejidad legal innecesaria pero con el detalle suficiente para tomar decisiones.

Qué es SAGRILAFT y por qué importa

SAGRILAFT (Sistema de Autocontrol y Gestión del Riesgo Integral de Lavado de Activos, Financiación del Terrorismo y Financiación de la Proliferación de Armas de Destrucción Masiva) es el marco regulatorio establecido por la Superintendencia de Sociedades a través de la Circular Externa 100-000016 de 2020, modificada por circulares posteriores.

Su objetivo es obligar a las empresas a identificar, gestionar y reportar los riesgos de que sus operaciones —incluidas las compras— sean utilizadas para canalizar dinero de origen ilícito. Aplica a los clientes de la empresa pero también, y críticamente, a los proveedores.

La consecuencia operativa: cualquier empresa obligada a SAGRILAFT debe poder demostrar que verifica a sus contrapartes antes de hacer negocios con ellas. Y eso incluye a cada proveedor que entra a la base.

¿Quién está obligado?

La obligación SAGRILAFT no aplica a todas las empresas. Está estructurada por niveles según el tamaño y características de la sociedad:

Régimen

Cuándo aplica

Tipo de empresa típico

SAGRILAFT (régimen completo)

Sociedades vigiladas por SuperSociedades que cumplen al menos 1 de 3 criterios: ingresos brutos ≥ 40.000 SMMLV, activos ≥ 30.000 SMMLV, o sectores específicos

Empresas medianas y grandes ya formalizadas

Régimen de medidas mínimas

Sociedades vigiladas con ingresos o activos por debajo de los umbrales de SAGRILAFT pleno, pero igual obligadas a controles básicos

Empresas pequeñas y medianas en crecimiento

PTEE (programa de transparencia y ética empresarial)

Sociedades obligadas a SAGRILAFT que también deben implementar mecanismos contra el soborno transnacional

Empresas con operaciones internacionales

Una empresa puede estar en cualquiera de los tres regímenes —o, en algunos casos, en ninguno. Pero la tendencia regulatoria es clara: cada año, los umbrales bajan y más empresas entran al perímetro. Si hoy tu empresa no está obligada, es probable que lo esté en 2-3 años.

Importante: incluso para empresas no obligadas formalmente, aplicar los controles SAGRILAFT es buena práctica de gobernanza. Los clientes grandes —y especialmente los que sí están obligados— cada vez exigen más a sus proveedores tener estos controles.

Los 5 componentes de SAGRILAFT que tocan compras

SAGRILAFT establece un sistema completo, pero desde la perspectiva de compras, lo que importa son cinco componentes que se aplican a cada proveedor que entra a la base:

1. Identificación de la contraparte

Cuando una empresa entra como proveedor, lo primero es capturar y verificar los datos básicos:

• Razón social y NIT (con dígito de verificación validado).
• Tipo de sociedad y vigencia.
• Representante legal y su identificación.
• Domicilio principal y sucursales relevantes.
• Beneficiario final (para empresas medianas y grandes).

Esta información parece básica pero es donde más errores ocurren. Un NIT mal capturado, un dígito de verificación equivocado, un representante legal desactualizado —y todos los controles posteriores se basan en datos incorrectos.

2. Verificación documental

Con la identificación clara, se procede a verificar documentos. Lo mínimo:

• RUT actualizado (no más de 30 días).
• Certificado de Cámara de Comercio (vigencia menor a 30 días).
• Estados financieros del último cierre (anual o semestral).
• Certificación bancaria (no más de 30 días).
• Cédula del representante legal (legible).

La verificación no es “recibir los documentos”. Es validar contra fuentes oficiales: NIT en DIAN, vigencia en RUES, antigüedad en Cámara, capacidad financiera en EEFF. Los documentos pueden ser falsos; las fuentes oficiales son la verdad.

3. Listas restrictivas

Verificar que la empresa, su representante legal y los beneficiarios finales no aparezcan en listas restrictivas. Las principales:

• OFAC (Office of Foreign Assets Control — EE.UU.): listas SDN y sectoriales.
• ONU: listas vinculantes del Consejo de Seguridad.
• Listas locales colombianas: Fiscalía, Policía, autoridades migratorias.
• Listas adicionales sectoriales según aplique (UE, UK, etc.).

La verificación debe documentarse: fecha de la consulta, fuente, resultado. Sin documentación, ante una auditoría no hay forma de probar que se hizo. Una verificación verbal no cuenta.

4. Análisis de riesgo (segmentación GAFI)

Con los datos verificados, se asigna un nivel de riesgo al proveedor: bajo, medio o alto. Los criterios típicos:

• Riesgo bajo: proveedor establecido (más de 5 años), sector sin alertas (consumo masivo, servicios estándar), sin operaciones internacionales relevantes, sin exposición en listas.
• Riesgo medio: proveedor más reciente (2-5 años), sector sensible (construcción, transporte, manejo de efectivo), operaciones transfronterizas, beneficiario final no claro al 100%.
• Riesgo alto: PEP (Persona Expuesta Políticamente) en la estructura, sector de muy alto riesgo (juego, casinos, minería sin título minero, comercio de metales preciosos), exposición en listas restrictivas o noticias adversas.

La segmentación define qué tan profundo va el análisis y qué tan frecuente es la re-verificación posterior. No es opcional: SAGRILAFT exige documentar el criterio de segmentación de cada contraparte.

5. Decisión y monitoreo continuo

Con el riesgo definido, se toma la decisión de dar de alta al proveedor. Las opciones:

• Aprobación estándar (riesgo bajo).
• Aprobación con condiciones (riesgo medio): documentación adicional, anticipos limitados, revisión semestral.
• Aprobación con debida diligencia reforzada (riesgo alto): aprobación del oficial de cumplimiento, monitoreo continuo, revisiones trimestrales.
• Rechazo (cuando el riesgo es claramente inaceptable o aparece en listas vinculantes).

Después del alta, el monitoreo es continuo. Las listas restrictivas se actualizan; lo que no estaba ayer puede aparecer hoy. Sin re-verificación periódica, el cumplimiento del primer día se evapora.

Las brechas más comunes en empresas medianas

De cada 10 empresas medianas colombianas que llegan a operar con un BPO de compras, las brechas SAGRILAFT más recurrentes son:

• Documentación desactualizada. RUTs de hace 2 años, certificados de Cámara de hace 1 año, EEFF de 2 cierres atrás. Toda esta documentación pierde validez como evidencia de cumplimiento si no se refresca.
• Sin verificación de listas. Los proveedores se crean en el ERP sin pasar por consulta en OFAC, ONU o listas locales. Es la brecha más grave porque puede tener consecuencias legales directas.
• Sin segmentación de riesgo. Todos los proveedores se tratan igual. Eso significa subexposición a algunos (rieso alto sin debida diligencia reforzada) y sobreexposición a otros (proveedores triviales con burocracia innecesaria).
• Sin re-verificación periódica. Los proveedores se verifican una vez al alta y nunca más. Cinco años después, la empresa sigue trabajando con el proveedor sin saber si su situación cambió.
• Sin documentación auditable. El equipo dice que verifica todo pero no hay registro. Cuando llega la auditoría, no hay manera de probar que los controles se ejecutaron.
• Sin oficial de cumplimiento real. El oficial de cumplimiento existe formalmente pero no participa en las decisiones de proveedores de riesgo alto. Su función queda como sello, no como control efectivo.

Qué hacer si descubres brechas

La regla práctica: si tu empresa está obligada a SAGRILAFT y no estás al día, lo peor que puedes hacer es ignorarlo y esperar a que la auditoría lo descubra. Los pasos para cerrar brechas de manera ordenada:

• 1. Diagnóstico honesto. Inventariar el universo de proveedores activos. Para cada uno, determinar qué controles están al día y cuáles no. El resultado típico: 30-60% de la base con brechas significativas.
• 2. Priorización por riesgo y volumen. No se puede cerrar todo a la vez. Atacar primero los proveedores de alto riesgo y los de mayor volumen de gasto. El resto se programa por fases.
• 3. Plan de remediación con cronograma. Plazos específicos: 30 días para los críticos, 90 días para los importantes, 6 meses para el resto. Documentado y aprobado por el oficial de cumplimiento.
• 4. Cambio de proceso de alta. En paralelo a cerrar brechas existentes, cambiar el proceso para que ningún proveedor nuevo entre sin pasar los controles. Sin esto, mientras cierras brechas viejas, abres nuevas.
• 5. Reporte trimestral al comité o a la junta. Avance de remediación, brechas remanentes, decisiones tomadas. El reporte mismo es evidencia de gestión y reduce riesgo en caso de auditoría.

Por qué SAGRILAFT en compras suele caer en el equipo equivocado

Una observación operativa: en muchas empresas medianas, SAGRILAFT en compras queda como responsabilidad del oficial de cumplimiento, que ni tiene visibilidad transaccional ni recursos para verificar cada alta de proveedor.

La distribución de responsabilidades que funciona:

• Compras: ejecuta los controles operativos en cada alta (identificación, verificación documental, consulta de listas).
• Cumplimiento: define la política, segmenta el riesgo, aprueba los proveedores de riesgo alto, audita el cumplimiento del proceso.
• Auditoría interna: revisa periódicamente que los controles se estén ejecutando como se diseñaron.
• Oficial de cumplimiento: responsable formal del SAGRILAFT, reporta a junta directiva.

Cuando esta distribución se respeta, el cumplimiento es operativo y sostenible. Cuando todo se carga al oficial de cumplimiento, se vuelve cuello de botella y los controles se relajan.

Cómo un BPO de compras absorbe la complejidad SAGRILAFT

Para empresas medianas que no tienen capacidad interna para sostener todos los controles, una vía práctica es trabajar con un BPO de compras que incluya SAGRILAFT como parte estándar del servicio:

• Cada proveedor que entra al BPO pasa automáticamente por los 5 controles.
• La documentación queda centralizada y auditable.
• Las re-verificaciones periódicas se programan y ejecutan sistemáticamente.
• El cliente recibe reportes consolidados sobre el estado SAGRILAFT de la base.

Esto no transfiere la responsabilidad legal —esa siempre queda en la empresa cliente y en su oficial de cumplimiento— pero sí transfiere la ejecución operativa, que es donde más fallan las empresas medianas. Es una de las razones por las que tercerizar compras tiene un componente de mitigación de riesgo que no siempre se cuantifica.

Conclusión

SAGRILAFT no es opcional para las empresas obligadas, y la tendencia regulatoria es expandir el universo de obligados, no reducirlo.

Desde la perspectiva del Director Financiero, los puntos clave son:

• Saber con certeza si tu empresa está obligada y bajo qué régimen.
• Tener controles documentados sobre cada proveedor activo, no solo sobre los nuevos.
• Asegurar que los controles se ejecuten en el equipo operativo (compras), no solo en cumplimiento.
• Hacer re-verificaciones periódicas, no solo verificación al alta.
• Tener documentación auditable que pueda presentarse en una inspección.

Las empresas que llevan SAGRILAFT con disciplina convierten un costo regulatorio en una ventaja: tienen una base de proveedores más limpia, menos riesgo reputacional, y un argumento de mitigación de riesgo cuando hablan con clientes grandes que también están obligados.

Las que lo llevan mal acumulan riesgo silencioso que aparece, tarde o temprano, en una auditoría o en una operación que sale mal.

¿Tu base de proveedores está al día con SAGRILAFT?

En Procure incluimos los controles SAGRILAFT como parte estándar de cualquier operación de BPO de compras o triangulación. Sin esfuerzo adicional para tu equipo, todos los proveedores que pasan por nosotros llegan al alta con verificación documental, listas restrictivas y análisis de riesgo completos.

→ Solicita el diagnóstico SAGRILAFT de tu base

Notas metodológicas y fuentes

Este artículo presenta una visión operativa de SAGRILAFT desde la perspectiva de un Director Financiero o de Compras. No reemplaza la asesoría legal especializada. Para decisiones específicas sobre obligaciones, alcance y cumplimiento, consulta a tu oficial de cumplimiento o asesor legal.

• Marco regulatorio principal: Circular Externa 100-000016 de 2020 de la Superintendencia de Sociedades, que establece el SAGRILAFT. Modificada y complementada por circulares posteriores.
• Régimen de medidas mínimas: introducido por circulares de la SuperSociedades para sociedades vigiladas que no alcanzan los umbrales de SAGRILAFT pleno pero igual deben implementar controles básicos.
• Programa de Transparencia y Ética Empresarial (PTEE): Circular 100-000011 de 2021 de la SuperSociedades. Aplica complementariamente a empresas con operaciones internacionales.
• Listas restrictivas referenciadas: OFAC (Office of Foreign Assets Control, Departamento del Tesoro de EE.UU.), Consejo de Seguridad de la ONU (listas vinculantes según resoluciones), listas locales colombianas (Fiscalía General de la Nación, autoridades migratorias).
• Recomendaciones GAFI (Grupo de Acción Financiera): marco internacional sobre prevención de lavado de activos, integrado en SAGRILAFT.
• Persona Expuesta Políticamente (PEP): definición conforme a Decreto 1674 de 2016 y normas complementarias.
• Este artículo presenta una visión operativa de SAGRILAFT y no reemplaza asesoría legal especializada. Para decisiones específicas sobre obligaciones, alcance y cumplimiento, debe consultarse al oficial de cumplimiento o asesor legal de la empresa.