Volver al blog
AML & Cumplimiento

¿Qué es SARLAFT? Guía completa para Colombia (2026)

SARLAFT es el sistema obligatorio que la SFC exige a entidades financieras colombianas para prevenir lavado de activos. Aprende qué es, cómo implementarlo y errores que evitar.

Publicado 15 de enero de 20269 min de lecturaActualizado 27 de jun de 2026

Si trabajas en el sector financiero colombiano, seguro has oído la sigla SARLAFT. Aquí te explicamos en lenguaje claro qué es, por qué es obligatorio y cómo implementarlo sin morir en el intento.

SARLAFT en una frase

SARLAFT son las siglas de Sistema de Administración del Riesgo de Lavado de Activos y de la Financiación del Terrorismo. Es el conjunto obligatorio de políticas, procedimientos, controles y herramientas que toda entidad supervisada por la Superintendencia Financiera de Colombia (SFC) debe implementar para prevenir y detectar el lavado de activos (LA) y la financiación del terrorismo (FT).

¿Quiénes están obligados a tener SARLAFT?

Toda entidad vigilada por la SFC, lo que incluye:

  • Bancos comerciales, hipotecarios y de inversión
  • Compañías de financiamiento
  • Sociedades fiduciarias
  • Comisionistas de bolsa
  • Aseguradoras y corredores
  • Sociedades Especializadas en Depósitos y Pagos Electrónicos (SEDPE)
  • Administradoras de fondos de pensiones
  • Almacenes generales de depósito

Importante: SARLAFT no aplica al sector real — para ese sector existe SAGRILAFT, supervisado por la Superintendencia de Sociedades. Si confundes ambos, revisa nuestra guía SAGRILAFT vs SARLAFT.

Marco normativo: ¿de dónde sale SARLAFT?

El SARLAFT está regulado por la Circular Básica Jurídica de la SFC, Parte I, Título IV, Capítulo IV. La versión más reciente, conocida como SARLAFT 4.0 (Circular Externa 027 de 2020 y modificaciones posteriores), incorporó las 40 Recomendaciones del GAFI y un enfoque basado en riesgo más exigente que el modelo anterior.

Los 5 elementos clave de SARLAFT

  1. Políticas — Documento firmado por Junta Directiva con los principios de gestión del riesgo LA/FT.
  2. Procedimientos — Cómo se identifica al cliente (KYC), cómo se segmenta, cómo se monitorea, cómo se reporta a la UIAF.
  3. Documentación — Evidencia auditable de cada actividad: matriz de riesgos, segmentación, alertas, reportes.
  4. Estructura organizacional — Oficial de Cumplimiento principal y suplente, Junta Directiva como instancia decisora, áreas de control interno y auditoría como verificadoras.
  5. Capacitación — Programa anual para todos los empleados, con evaluación documentada.

El ciclo de gestión del riesgo SARLAFT

SARLAFT exige un ciclo continuo de cuatro etapas:

1. Identificación. Mapeo de factores de riesgo: clientes, productos, canales, jurisdicciones. ¿Qué tipos de operaciones, segmentos de cliente o productos exponen más a la entidad?

2. Medición. Cuantificar probabilidad × impacto para cada riesgo identificado. Aquí entra la matriz de riesgos.

3. Control. Implementar controles preventivos (KYC robusto, listas restrictivas, debida diligencia ampliada para PEPs) y detectivos (monitoreo transaccional, señales de alerta).

4. Monitoreo. Revisar continuamente que los controles funcionen, ajustar la matriz, reportar a Junta y a la UIAF.

Reportes obligatorios a la UIAF

Como parte del SARLAFT, la entidad debe reportar a la UIAF (Unidad de Información y Análisis Financiero):

  • ROS — Reporte de Operación Sospechosa, cuando se detecta una operación inusual no justificada.
  • Transacciones en efectivo superiores a USD 10.000 o equivalente.
  • Productos ofrecidos y otros reportes según tipología.

Sanciones por incumplimiento

La SFC puede imponer multas de hasta 200.000 SMMLV (~USD 60 millones para 2026), suspender operaciones e incluso ordenar la disolución. Pero el riesgo no es solo financiero: una sanción pública por SARLAFT deficiente destruye reputación y bloquea relaciones con bancos corresponsales internacionales.

Errores comunes al implementar SARLAFT

  • Matrices en Excel sin trazabilidad ni control de versiones — la SFC exige evidencia auditable.
  • KYC formal, no efectivo — pedir documentos sin verificar identidad beneficiaria real (UBO).
  • Listas restrictivas consultadas manualmente — OFAC, ONU, UE cambian diariamente; sin automatización, la entidad queda expuesta.
  • Capacitación de mero check — sin evaluación ni segmentación por rol.
  • Falta de evidencia documental en operaciones inusuales descartadas — el OC debe documentar el "por qué no es ROS".

¿Cómo te ayuda GRC Software con SARLAFT?

GRC Software (grcias.com) automatiza el ciclo SARLAFT completo:

  • Matriz de riesgos con mapa de calor interactivo, aprobación por Junta y exportación a PDF para la SFC.
  • KYC público con autorización Habeas Data y verificación instantánea contra OFAC, ONU, UE y PEPs.
  • Monitoreo transaccional con detección de operaciones inusuales asistida por IA.
  • Flujo ROS integrado: el OC documenta, la entidad reporta a la UIAF y queda audit trail.
  • Capacitaciones digitales con evaluación + certificado por empleado.

Si quieres ver dónde está hoy tu SARLAFT, hacé el diagnóstico gratuito de 5 minutos — recibís un informe con tu nivel de madurez y un plan de acción priorizado.

Próximos pasos

Si tu entidad aún tiene el SARLAFT en Excel o si vas a una visita SFC en los próximos meses, dos recomendaciones:

  1. Hacé el diagnóstico SARLAFT 4.0 para identificar brechas.
  2. Agendá una demo: cal.com/grcsoftware — vemos juntos cómo cumplir sin sobrecargar al equipo.

¿Listo para dejar de luchar con Excel?

Probá GRC Software gratis. Sin tarjeta. Activo en 5 minutos.