¿Qué es SARLAFT? Guía completa para Colombia (2026)
SARLAFT es el sistema obligatorio que la SFC exige a entidades financieras colombianas para prevenir lavado de activos. Aprende qué es, cómo implementarlo y errores que evitar.
SARLAFT es el sistema obligatorio que la SFC exige a entidades financieras colombianas para prevenir lavado de activos. Aprende qué es, cómo implementarlo y errores que evitar.
Si trabajas en el sector financiero colombiano, seguro has oído la sigla SARLAFT. Aquí te explicamos en lenguaje claro qué es, por qué es obligatorio y cómo implementarlo sin morir en el intento.
SARLAFT son las siglas de Sistema de Administración del Riesgo de Lavado de Activos y de la Financiación del Terrorismo. Es el conjunto obligatorio de políticas, procedimientos, controles y herramientas que toda entidad supervisada por la Superintendencia Financiera de Colombia (SFC) debe implementar para prevenir y detectar el lavado de activos (LA) y la financiación del terrorismo (FT).
Toda entidad vigilada por la SFC, lo que incluye:
Importante: SARLAFT no aplica al sector real — para ese sector existe SAGRILAFT, supervisado por la Superintendencia de Sociedades. Si confundes ambos, revisa nuestra guía SAGRILAFT vs SARLAFT.
El SARLAFT está regulado por la Circular Básica Jurídica de la SFC, Parte I, Título IV, Capítulo IV. La versión más reciente, conocida como SARLAFT 4.0 (Circular Externa 027 de 2020 y modificaciones posteriores), incorporó las 40 Recomendaciones del GAFI y un enfoque basado en riesgo más exigente que el modelo anterior.
SARLAFT exige un ciclo continuo de cuatro etapas:
1. Identificación. Mapeo de factores de riesgo: clientes, productos, canales, jurisdicciones. ¿Qué tipos de operaciones, segmentos de cliente o productos exponen más a la entidad?
2. Medición. Cuantificar probabilidad × impacto para cada riesgo identificado. Aquí entra la matriz de riesgos.
3. Control. Implementar controles preventivos (KYC robusto, listas restrictivas, debida diligencia ampliada para PEPs) y detectivos (monitoreo transaccional, señales de alerta).
4. Monitoreo. Revisar continuamente que los controles funcionen, ajustar la matriz, reportar a Junta y a la UIAF.
Como parte del SARLAFT, la entidad debe reportar a la UIAF (Unidad de Información y Análisis Financiero):
La SFC puede imponer multas de hasta 200.000 SMMLV (~USD 60 millones para 2026), suspender operaciones e incluso ordenar la disolución. Pero el riesgo no es solo financiero: una sanción pública por SARLAFT deficiente destruye reputación y bloquea relaciones con bancos corresponsales internacionales.
GRC Software (grcias.com) automatiza el ciclo SARLAFT completo:
Si quieres ver dónde está hoy tu SARLAFT, hacé el diagnóstico gratuito de 5 minutos — recibís un informe con tu nivel de madurez y un plan de acción priorizado.
Si tu entidad aún tiene el SARLAFT en Excel o si vas a una visita SFC en los próximos meses, dos recomendaciones:
Probá GRC Software gratis. Sin tarjeta. Activo en 5 minutos.
SAGRILAFT vs SARLAFT: diferencias clave para no equivocarte
SAGRILAFT (SuperSociedades, sector real) y SARLAFT (SFC, sector financiero) son sistemas distintos. Compara obligados, alcance, multas y cómo elegir.
PTEE en Colombia: guía completa para Programas de Transparencia y Ética Empresarial
El PTEE es el sistema anti-soborno transnacional que la SuperSociedades exige a empresas con riesgo C&S. Aprende qué es, quién debe implementarlo y multas asociadas.