O SAGRILAFT se aplica à minha empresa se eu não for supervisionado pela Supersociedades?

Se sua empresa não é supervisionada pela Supersociedades mas opera em setores específicos (financeiro, seguros, jogos de azar, comércio internacional), aplicam-se outros regimes (como SARLAFT financeiro) com lógica similar mas estruturas próprias. A verificação de obrigatoriedade deve ser feita por seu assessor jurídico ou Oficial de Compliance.

O que acontece se minha empresa ultrapassar o limite mas não implementar SAGRILAFT?

A Superintendência de Sociedades da Colômbia pode impor sanções administrativas significativas. Adicionalmente, os administradores podem enfrentar responsabilidade pessoal. A omissão do sistema também pode ser considerada um agravante caso se materialize um risco de LA/FT.

Quem é o responsável final pelo cumprimento SAGRILAFT na gestão de fornecedores?

A responsabilidade última recai sobre os administradores da sociedade e sobre o Oficial de Compliance. A área de compras é responsável pela execução operacional dos controles que o sistema SAGRILAFT define.

Quando entrará em vigor a nova Circular Básica Jurídica que unifica SAGRILAFT e PTEE?

Na data de publicação deste artigo, o projeto está na fase posterior ao fechamento do período de comentários. A data exata de vigência será conhecida com a publicação oficial da circular final. Recomendamos monitorar as comunicações da Supersociedades.

Um software de gestão de fornecedores substitui o Oficial de Compliance?

Não. O software automatiza tarefas operacionais e deixa evidência, mas as decisões que exigem julgamento (aprovar um fornecedor de alto risco, reportar uma operação suspeita, definir as políticas do sistema) são responsabilidade humana indelegável do Oficial de Compliance.

Com que frequência devo verificar um fornecedor contra listas restritivas?

A frequência é definida na sua matriz de segmentação de risco. Fornecedores de alto risco geralmente requerem monitoramento contínuo (diário ou semanal via APIs); fornecedores de baixo risco, mensal ou trimestral. O importante é que a frequência esteja formalizada na política SAGRILAFT e seja executada consistentemente.

SAGRILAFT 2026 na gestão de fornecedores: o que exige da área de compras e como automatizar

TLDR

O SAGRILAFT (Colômbia) obriga as empresas supervisionadas pela Supersociedades acima do limite a manter um sistema formal de prevenção de LA/FT/FPADM. Como os fornecedores são "contrapartes", a área de compras se torna ator crítico do compliance: onboarding, verificação contra listas restritivas, monitoramento contínuo e rastreabilidade documental. Em março de 2026 a Supersociedades publicou a segunda versão do projeto que unifica SAGRILAFT e PTEE e substitui o SMMLV pela UVB nos limites. Automatizar a due diligence de fornecedores dentro do fluxo de compras reduz o custo de compliance e elimina os erros humanos que geram apontamentos em auditoria.

O que é SAGRILAFT e por que interessa à área de compras

SAGRILAFT (Sistema colombiano de Autocontrole e Gestão Integral do Risco de Lavagem de Dinheiro, Financiamento do Terrorismo e Financiamento da Proliferação de Armas de Destruição em Massa) é o regime que a Superintendência de Sociedades exige das empresas do setor real para evitar que suas operações sejam usadas como veículo de crimes econômicos. Está no Capítulo X da Circular Básica Jurídica.

O que muitos times de compras não internalizam é que SAGRILAFT não é apenas assunto do Oficial de Compliance ou do jurídico. A norma define cinco fatores de risco — contrapartes, produtos, atividades, canais e jurisdições — e os fornecedores são contrapartes por definição. Isso significa que cada novo cadastro de fornecedor, cada renovação contratual e cada pagamento a terceiros passa, na prática, pelo sistema SAGRILAFT.

Se a área de compras não tem processos formais para identificar o beneficiário final do fornecedor, verificá-lo contra listas restritivas e monitorar mudanças no seu perfil de risco, a empresa fica exposta a sanções, apontamentos em auditoria e, em casos graves, à responsabilidade pessoal dos administradores.

Quem está obrigado em 2026

A obrigatoriedade depende do setor e dos limites de receita ou ativos. Em 2026, a regulação diferencia setores de alto risco (regime especial) e demais empresas supervisionadas pela Supersociedades (regime geral). Aproximadamente 8.000 empresas colombianas estão hoje obrigadas a implementar SAGRILAFT.

Setor	Limite aplicável	Ação exigida
Setor real supervisionado pela Supersociedades	Receita total igual ou superior a 40.000 SMMLV	Implementar SAGRILAFT completo
Setores específicos: imobiliário, jurídico, contábil, cobrança, construção de edifícios	Por atividade econômica, com limites próprios	Implementar SAGRILAFT completo
Empresas abaixo do limite	—	Regime de Medidas Mínimas (RMM) se aplicável
Filiais de sociedades estrangeiras, sociedades em recuperação ou liquidação	—	Exceções específicas (consultar regime)

Mudança em curso: projeto da Circular Básica Jurídica (março 2026)

A Supersociedades publicou em 27 de março de 2026 a segunda versão do projeto que reforma estruturalmente o regime. As mudanças mais relevantes para a área de compras são:

Unificação de SAGRILAFT e PTEE em um único sistema integrado: Sistema de Autocontrole e Gestão de Riscos LA/FT/FP e C/ST (Lavagem, Financiamento do Terrorismo, Financiamento da Proliferação e Corrupção Local / Suborno Transnacional).
Substituição do SMMLV pela UVB (Unidade de Valor Básico) como referência para os limites. O novo limite proposto é de aproximadamente 4.929.017 UVB em receita ou ativos.
Obrigatoriedade de Oficial de Compliance Principal e Suplente com requisitos formais de experiência (mínimo 1 ano em gestão de riscos) e formação certificável.
Período mínimo de permanência dos programas de compliance de 2 anos (1 ano para o Regime de Medidas Mínimas).

Nota legal

Este conteúdo é informativo e não constitui assessoria jurídica. A aplicação do SAGRILAFT à sua empresa específica deve ser determinada pelo seu Oficial de Compliance ou assessor jurídico com base na regulação vigente no momento da consulta.

As cinco obrigações SAGRILAFT que recaem sobre a área de compras

Esta é a parte que os guias jurídicos raramente operacionalizam. Aqui está o mapeamento entre a linguagem da norma e as ações concretas que o time de compras deve executar.

1. Identificação e conhecimento do fornecedor (KYS — Know Your Supplier)

Antes de habilitar um fornecedor para emitir pedidos de compra, a área de compras deve:

Coletar e validar documentação legal: certificado da Câmara de Comércio, RUT, demonstrações financeiras, certidões fiscais.
Identificar o beneficiário final do fornecedor — a pessoa física que em última instância é proprietária ou controla a sociedade. Muitas empresas omitem esta obrigação específica.
Documentar o motivo comercial da relação (quais bens ou serviços, em que volume, em que frequência).

2. Verificação contra listas restritivas

Cada fornecedor — e, conforme o nível de risco, também seu beneficiário final e representantes legais — deve ser consultado contra:

Listas OFAC (Escritório de Controle de Ativos Estrangeiros do Tesouro dos EUA)
Listas ONU (resoluções do Conselho de Segurança)
Listas da União Europeia
Listas locais e de organismos especiais (Interpol, PEP, etc.)

Esta verificação não é única. Deve ser repetida periodicamente e reativada diante de qualquer mudança relevante no fornecedor.

3. Segmentação e classificação do risco

Nem todos os fornecedores requerem o mesmo nível de diligência. A norma exige aplicar due diligence simplificada, normal ou intensificada (DDI) conforme o perfil de risco do fornecedor, calculado a partir de variáveis como:

Jurisdição de operação
Atividade econômica
Volume e frequência das transações
Existência de operações em dinheiro
Presença de Pessoas Politicamente Expostas (PEP) na propriedade ou administração

O resultado é uma matriz de segmentação que define, por exemplo, que um fornecedor em jurisdição não cooperante com o GAFI requer monitoramento trimestral, enquanto um fornecedor local de baixo risco requer monitoramento anual.

4. Monitoramento contínuo e reporte de operações incomuns

O monitoramento não termina no onboarding. A área de compras deve:

Detectar mudanças significativas no comportamento transacional do fornecedor (saltos súbitos, mudanças de conta bancária, alterações societárias).
Reportar ao Oficial de Compliance qualquer operação incomum ou suspeita identificada no fluxo de compras.
Manter evidência documentada de todas as revisões realizadas.

5. Rastreabilidade e arquivo para auditoria

A Supersociedades pode solicitar evidência documental de cada passo do processo. Isso significa que cada decisão de habilitar, bloquear ou exigir informação adicional deve ficar registrada com data, responsável e suporte. A regulação estabelece prazos mínimos de retenção.

Adicionalmente, anualmente a empresa deve apresentar o Informe 75 (que integrou os antigos Informes 50 e 52), reportando o funcionamento do sistema. A qualidade da informação reportada depende, em grande parte, da qualidade dos registros que a área de compras manteve durante o ano.

Por que o Excel não basta

Perda de rastreabilidade

Quando um auditor solicita a evidência da verificação contra listas restritivas de um fornecedor em uma data específica, arquivos soltos raramente sobrevivem a rotações de pessoal e mudanças de pasta.

Monitoramento contínuo é impossível

As listas restritivas se atualizam o tempo todo. Uma verificação manual feita no onboarding não garante que o fornecedor continue limpo seis meses depois.

Erros de versão e captura

Documentos vencidos, dados mal digitados e campos faltantes geram apontamentos em auditoria e forçam retrabalho custoso.

Como automatizar o compliance SAGRILAFT no ciclo de fornecedores

A automação efetiva do compliance SAGRILAFT não significa substituir o Oficial de Compliance. Significa dar à área de compras um sistema que execute as verificações de forma consistente, registre tudo e só escale ao humano o que requer julgamento.

Um software de gestão de fornecedores projetado para SAGRILAFT deve, no mínimo, oferecer:

Portal de autogestão de fornecedores onde o fornecedor carrega sua documentação, mantém-na atualizada e assina as declarações SAGRILAFT obrigatórias (origem lícita de fundos, declarações PEP, etc.).
Validação automática de documentos (vencimentos de RUT, Câmara de Comércio, certidões fiscais).
Integração com APIs de listas restritivas que execute a verificação no onboarding e de forma contínua. Robô de Compliance →
Motor de segmentação por risco configurável conforme as políticas do seu Oficial de Compliance.
Fluxos de aprovação condicionados ao perfil de risco: um fornecedor de alto risco escala automaticamente ao Oficial de Compliance antes de ser habilitado.
Registro auditável de todas as ações com timestamp, usuário e suporte documental.
Geração automática de evidência para o Informe 75 anual.
Integração nativa com seu ERP (SAP, Oracle, JDE, Siesa, World Office) para evitar duplicar cadastros de fornecedores.

Onde a Egixia se encaixa

A Egixia é um orquestrador que se conecta ao seu ERP existente e resolve os processos que o ERP não executa bem: a relação com o fornecedor, a captura e validação documental, os fluxos de aprovação e a rastreabilidade para auditoria. Sobre essa base, somar agentes de IA que automatizam a leitura de documentos, a categorização de gasto e a detecção de anomalias reduz substancialmente a carga operacional do compliance.

Uma ressalva importante: nenhum software, sozinho, garante o compliance SAGRILAFT. A responsabilidade segue sendo dos administradores e do Oficial de Compliance. O que um sistema bem desenhado faz é eliminar o custo operacional do compliance, reduzir erros humanos e deixar evidência limpa para a auditoria.

Erros comuns da área de compras frente ao SAGRILAFT

Confundir verificação inicial com monitoramento contínuo. Verificar o fornecedor apenas no onboarding deixa a empresa exposta quando o perfil dele muda meses depois.
Não identificar o beneficiário final. O certificado da Câmara de Comércio não basta; é preciso chegar à pessoa física que controla a sociedade.
Aplicar o mesmo nível de diligência a todos. A segmentação por risco não é opcional, está na norma.
Centralizar todo o compliance no Oficial de Compliance. Se a área de compras não executa os controles do dia a dia, o Oficial vira gargalo impossível.
Não documentar as decisões de bloqueio. Quando se rejeita um fornecedor, é preciso deixar a evidência do porquê. A auditoria vai perguntar.

Perguntas frequentes

Próximo passo

Se sua área de compras hoje executa a due diligence SAGRILAFT com Excel, e-mails e SharePoint, vale dimensionar quanto isso custa em horas-equipe e exposição a apontamentos. Uma conversa de 30 minutos com nosso time pode ajudar a estimar esse custo e avaliar se faz sentido automatizá-lo.

Sua área de compras ainda faz a due diligence SAGRILAFT no Excel?

Uma conversa de 30 minutos com nosso time ajuda você a dimensionar o custo operacional atual e avaliar se faz sentido automatizar sobre o seu ERP existente.

Agendar diagnóstico SAGRILAFT (30 min)

Recursos relacionados a SAGRILAFT

Checklist · PDFChecklist Compliance Fornecedores LATAM 2026SAGRILAFT (CO), REPSE/SAT (MX) e SUNAT (PE) em uma lista acionável.Baixar →Guia · PDFGuia de Avaliação de Fornecedores LATAM 2026Critérios, pesos e matrizes para qualificar e reavaliar fornecedores.Baixar →Excel GratuitoPainel de Controle do CompradorKPIs automáticos para medir o desempenho da sua área de compras.Obter →