¿SAGRILAFT aplica a mi empresa si no soy vigilada por Supersociedades?

Si su empresa no es vigilada por Supersociedades pero está en sectores específicos (financiero, asegurador, juegos de suerte y azar, comercio internacional), aplican otros regímenes (SARLAFT financiero, por ejemplo) que tienen lógicas similares pero estructuras propias. La verificación de obligados debe hacerla su asesor legal o el Oficial de Cumplimiento.

¿Qué pasa si mi empresa supera el umbral pero no implementa SAGRILAFT?

La Superintendencia de Sociedades puede imponer sanciones administrativas que han llegado a montos significativos. Adicionalmente, los administradores pueden enfrentar responsabilidad personal. La omisión del sistema también puede ser considerada un agravante si se materializa un riesgo de LA/FT.

¿Quién es el responsable final del cumplimiento SAGRILAFT en la gestión de proveedores?

La responsabilidad última recae sobre los administradores de la sociedad y sobre el Oficial de Cumplimiento. El área de compras es responsable de la ejecución operativa de los controles que el sistema SAGRILAFT define.

¿Cuándo entrará en vigencia la nueva Circular Básica Jurídica que unifica SAGRILAFT y PTEE?

A la fecha de publicación de este artículo, el proyecto está en la fase posterior al cierre del periodo de comentarios. La fecha exacta de entrada en vigencia se conocerá con la publicación oficial de la circular final. Recomendamos monitorear las comunicaciones de la Superintendencia de Sociedades.

¿Un software de gestión de proveedores reemplaza al Oficial de Cumplimiento?

No. El software automatiza tareas operativas y deja evidencia, pero las decisiones que requieren juicio (aprobar un proveedor de alto riesgo, reportar una operación sospechosa, definir las políticas del sistema) son responsabilidad humana indelegable del Oficial de Cumplimiento.

¿Cada cuánto debo verificar a un proveedor contra listas restrictivas?

La frecuencia se define en su matriz de segmentación de riesgo. Los proveedores de alto riesgo suelen requerir monitoreo continuo (diario o semanal con APIs automatizadas); los de bajo riesgo, monitoreo mensual o trimestral. Lo importante es que la frecuencia esté formalizada en la política SAGRILAFT y se ejecute consistentemente.

SAGRILAFT 2026 en gestión de proveedores: qué exige al área de compras y cómo automatizarlo

TLDR

SAGRILAFT obliga a las empresas vigiladas por Supersociedades que superen el umbral a tener un sistema formal de prevención de LA/FT/FPADM. Como los proveedores son "contrapartes", el área de compras se vuelve actor crítico del cumplimiento: onboarding, verificación contra listas restrictivas, monitoreo continuo y trazabilidad documental. En marzo de 2026 Supersociedades publicó la segunda versión del proyecto que unifica SAGRILAFT y PTEE y reemplaza el SMMLV por la UVB para los umbrales. Automatizar la debida diligencia dentro del flujo de compras reduce el costo de cumplimiento y elimina los errores humanos que generan hallazgos en auditoría.

Qué es SAGRILAFT y por qué le interesa al área de compras

SAGRILAFT (Sistema de Autocontrol y Gestión del Riesgo Integral de Lavado de Activos, Financiación del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva) es el régimen que la Superintendencia de Sociedades exige a las empresas del sector real para prevenir que sus operaciones se usen como vehículo de delitos económicos. Está contenido en el Capítulo X de la Circular Básica Jurídica.

Lo que muchos equipos de compras no terminan de internalizar es que SAGRILAFT no es solo un asunto del Oficial de Cumplimiento ni del área legal. La norma define cinco factores de riesgo — contrapartes, productos, actividades, canales y jurisdicciones — y los proveedores son contrapartes por definición. Eso significa que cada vinculación nueva de proveedor, cada renovación contractual y cada pago a un tercero atraviesa, en la práctica, el sistema SAGRILAFT.

Si el área de compras no tiene procesos formales para identificar al beneficiario final del proveedor, verificarlo contra listas restrictivas y monitorear cambios en su perfil de riesgo, la empresa queda expuesta a sanciones, hallazgos en auditoría y, en casos graves, a responsabilidad penal de los administradores.

Quiénes están obligados en 2026

La obligatoriedad depende del sector y de los umbrales de ingresos o activos. A 2026, la regulación vigente diferencia entre sectores de alto riesgo por la naturaleza de su actividad (régimen especial) y el resto de empresas vigiladas por Supersociedades (régimen general). Según cifras de la Superintendencia, aproximadamente 8.000 compañías colombianas están hoy obligadas a implementar SAGRILAFT.

Sector	Umbral aplicable	Acción exigida
Sector real vigilado por Supersociedades	Ingresos totales iguales o superiores a 40.000 SMMLV	Implementar SAGRILAFT completo
Sectores específicos: inmobiliario, jurídicos, contables, cobranza, construcción de edificios	Por actividad económica, con umbrales propios	Implementar SAGRILAFT completo
Empresas por debajo del umbral	—	Régimen de Medidas Mínimas (RMM) si corresponde
Sucursales de sociedades extranjeras, sociedades en concordato, reestructuración o liquidación	—	Excepciones específicas (consultar régimen)

Cambio en curso: proyecto de Circular Básica Jurídica (marzo 2026)

La Superintendencia publicó el 27 de marzo de 2026 la segunda versión del proyecto que reforma estructuralmente el régimen. Los cambios más relevantes para el área de compras son:

Unificación de SAGRILAFT y PTEE en un único sistema integrado: Sistema de Autocontrol y Gestión de Riesgos LA/FT/FP y C/ST (Lavado de Activos, Financiación del Terrorismo, Financiación de Proliferación de Armas y Corrupción Local / Soborno Transnacional).
Sustitución de SMMLV por UVB (Unidad de Valor Básico) como referencia para los umbrales. El nuevo umbral propuesto es de aproximadamente 4.929.017 UVB en ingresos o activos.
Obligatoriedad de Oficial de Cumplimiento Principal y Suplente con requisitos formales de experiencia (mínimo 1 año en gestión de riesgos) y formación certificable.
Período mínimo de permanencia de los programas de cumplimiento de 2 años (1 año para el Régimen de Medidas Mínimas).

Nota legal

Este contenido es de carácter informativo y no constituye asesoría legal. La aplicación de SAGRILAFT a su empresa específica debe ser determinada por su Oficial de Cumplimiento o asesor legal con base en la normativa vigente al momento de la consulta.

Las cinco obligaciones SAGRILAFT que recaen sobre el área de compras

Esta es la parte que las guías legales rara vez aterrizan. Acá está el mapeo entre el lenguaje de la norma y las acciones concretas que el equipo de compras debe ejecutar.

1. Identificación y conocimiento del proveedor (KYS — Know Your Supplier)

Antes de habilitar un proveedor para emitir órdenes de compra, el área de compras debe:

Recolectar y validar documentación legal: certificado de Cámara de Comercio, RUT, estados financieros, certificaciones tributarias.
Identificar al beneficiario final del proveedor — la persona natural que en última instancia es propietaria o controla la sociedad. Esta es una obligación específica que muchas empresas omiten.
Documentar el motivo comercial de la relación (qué bienes o servicios va a proveer, en qué volumen, en qué frecuencia).

2. Verificación contra listas restrictivas

Cada proveedor — y, según el nivel de riesgo, también su beneficiario final y representantes legales — debe ser consultado contra:

Listas OFAC (Oficina de Control de Activos Extranjeros del Tesoro de EE.UU.)
Listas ONU (resoluciones del Consejo de Seguridad)
Listas de la Unión Europea
Listas locales y de organismos especiales (Interpol, PEP, etc.)

Esta verificación no es de una sola vez. Debe repetirse periódicamente y reactivarse ante cualquier cambio relevante en el proveedor.

3. Segmentación y calificación del riesgo

No todos los proveedores requieren el mismo nivel de diligencia. La norma exige aplicar debida diligencia simplificada, normal o intensificada (DDI) según el perfil de riesgo del proveedor, calculado a partir de variables como:

Jurisdicción de operación
Actividad económica
Volumen y frecuencia de las transacciones
Existencia de operaciones en efectivo
Presencia de Personas Expuestas Políticamente (PEP) en la propiedad o administración

El resultado es una matriz de segmentación que define, por ejemplo, que un proveedor en jurisdicción no cooperante con la GAFI requiere monitoreo trimestral, mientras que un proveedor local de bajo riesgo requiere monitoreo anual.

4. Monitoreo continuo y reporte de operaciones inusuales

El monitoreo no termina con el onboarding. El área de compras debe:

Detectar cambios significativos en el comportamiento transaccional del proveedor (incrementos súbitos, cambios de cuenta bancaria, modificaciones societarias).
Reportar al Oficial de Cumplimiento cualquier operación inusual o sospechosa identificada en el flujo de compras.
Mantener evidencia documentada de todas las revisiones realizadas.

5. Trazabilidad y archivo para auditoría

La Superintendencia puede solicitar evidencia documental de cada paso del proceso. Eso significa que cada decisión de habilitar, bloquear o requerir información adicional a un proveedor debe quedar registrada con fecha, responsable y soporte. La regulación establece plazos mínimos de conservación documental.

Además, anualmente la empresa debe presentar el Informe 75 (que integró los antiguos Informes 50 y 52), donde reporta el funcionamiento de su sistema. La calidad de la información reportada depende, en gran medida, de la calidad de los registros que el área de compras haya mantenido durante el año.

Por qué Excel no es suficiente

Pérdida de trazabilidad

Cuando un auditor solicita la evidencia de la verificación contra listas restrictivas de un proveedor en una fecha específica, los archivos sueltos rara vez sobreviven a las rotaciones de personal y a los cambios de carpeta.

Imposibilidad de monitoreo continuo

Las listas restrictivas se actualizan permanentemente. Una verificación manual hecha en el onboarding no garantiza que ese proveedor siga limpio seis meses después.

Errores de versión y de captura

Los documentos vencidos, los datos mal digitalizados y los campos faltantes generan hallazgos en auditoría y obligan a re-trabajos costosos.

Cómo automatizar el cumplimiento SAGRILAFT en el ciclo de proveedores

La automatización efectiva del cumplimiento SAGRILAFT no significa reemplazar al Oficial de Cumplimiento. Significa darle a su área de compras un sistema que ejecute las verificaciones de manera consistente, registre todo y solo escale al humano lo que requiere juicio.

Un software de gestión de proveedores diseñado para cumplir SAGRILAFT debe ofrecer, como mínimo:

Portal de autogestión de proveedores donde el proveedor carga su propia documentación, la mantiene actualizada y firma las declaraciones SAGRILAFT obligatorias (origen lícito de fondos, declaraciones PEP, etc.).
Validación automática de documentos (vencimientos de RUT, Cámara de Comercio, certificados tributarios).
Integración con APIs de listas restrictivas que ejecute la verificación en el onboarding y de forma continua. Robot de Cumplimiento →
Motor de segmentación por riesgo configurable según las políticas internas de su Oficial de Cumplimiento.
Flujos de aprobación condicionados al perfil de riesgo: un proveedor de alto riesgo escala automáticamente al Oficial de Cumplimiento antes de su habilitación.
Registro auditable de todas las acciones con timestamp, usuario y soporte documental.
Generación automática de evidencia para el Informe 75 anual.
Integración nativa con su ERP (SAP, Oracle, JDE, Siesa, World Office) para evitar duplicar maestros de proveedores.

Dónde encaja Egixia

Egixia es un orquestador que se conecta a su ERP existente y resuelve los procesos que el ERP no ejecuta bien: la relación con el proveedor, la captura y validación documental, los flujos de aprobación y la trazabilidad para auditoría. Sobre esa base, sumar agentes de IA que automaticen la lectura de documentos, la categorización de gasto y la detección de anomalías reduce sustancialmente la carga operativa del cumplimiento.

Una aclaración importante: ningún software, por sí solo, garantiza el cumplimiento SAGRILAFT. La responsabilidad sigue siendo de los administradores y del Oficial de Cumplimiento. Lo que un sistema bien diseñado hace es eliminar el costo operativo del cumplimiento, reducir errores humanos y dejar evidencia limpia para la auditoría.

Errores comunes del área de compras frente a SAGRILAFT

Confundir verificación inicial con monitoreo continuo. Verificar al proveedor solo en el onboarding deja a la empresa expuesta cuando ese proveedor cambia de perfil meses después.
No identificar al beneficiario final. Recolectar el certificado de Cámara de Comercio no es suficiente; hay que llegar hasta la persona natural que controla la sociedad.
Aplicar el mismo nivel de diligencia a todos. La segmentación por riesgo no es opcional, está en la norma.
Centralizar todo el cumplimiento en el Oficial de Cumplimiento. Si el área de compras no ejecuta los controles del día a día, el Oficial se vuelve un cuello de botella imposible.
No documentar las decisiones de bloqueo. Cuando se rechaza un proveedor, hay que dejar la evidencia del por qué. Auditoría va a preguntar.

Preguntas frecuentes

Próximo paso

Si su área de compras está hoy ejecutando la debida diligencia SAGRILAFT con Excel, correos y SharePoint, vale la pena dimensionar cuánto cuesta esto en horas-equipo y en exposición a hallazgos. Una conversación de 30 minutos con nuestro equipo puede ayudarle a estimar ese costo y a evaluar si tiene sentido automatizarlo.

¿Su área de compras todavía gestiona la debida diligencia SAGRILAFT con Excel?

Una conversación de 30 minutos con nuestro equipo le ayuda a estimar el costo operativo actual y a evaluar si tiene sentido automatizarlo dentro de su ERP existente.

Agendar diagnóstico SAGRILAFT (30 min)

Recursos relacionados con SAGRILAFT

Checklist · PDFChecklist Compliance Proveedores LATAM 2026SAGRILAFT (CO), REPSE/SAT (MX) y SUNAT (PE) en una lista accionable.Descargar →Guía · PDFGuía de Evaluación de Proveedores LATAM 2026Criterios, pesos y matrices para calificar y reevaluar proveedores.Descargar →Excel GratuitoTablero de Control del CompradorKPIs automáticos para medir el desempeño de su área de compras.Obtener →