Volver al blog
AML & Cumplimiento

SAGRILAFT vs SARLAFT: diferencias clave para no equivocarte

SAGRILAFT (SuperSociedades, sector real) y SARLAFT (SFC, sector financiero) son sistemas distintos. Compara obligados, alcance, multas y cómo elegir.

Publicado 3 de febrero de 20267 min de lecturaActualizado 27 de jun de 2026

Si tu empresa está revisando obligaciones de cumplimiento AML en Colombia, probablemente te toparás con dos siglas que se parecen pero no son lo mismo: SAGRILAFT y SARLAFT. Confundirlas puede llevarte a implementar un sistema que no te aplica — o peor, omitir el que sí te exige la ley.

La diferencia en una línea

Característica SARLAFT SAGRILAFT
SupervisorSFCSuperSociedades
SectorFinancieroReal (no financiero)
NormaCircular Básica Jurídica, Parte I, Tit IV, Cap IVCircular 100-000016 de 2020
Versión vigenteSARLAFT 4.0 (Circular 027 de 2020)Versión 2020 + modificaciones
Sanción máximaHasta 200.000 SMMLVHasta 200.000 SMMLV + revocatoria

¿Quién debe tener SARLAFT?

SARLAFT es obligatorio para entidades supervisadas por la Superintendencia Financiera de Colombia (SFC): bancos, fiduciarias, comisionistas de bolsa, aseguradoras, SEDPE, AFPs, almacenes generales de depósito, etc.

Para una explicación detallada, ver: ¿Qué es SARLAFT? Guía completa.

¿Quién debe tener SAGRILAFT?

SAGRILAFT (Sistema de Autocontrol y Gestión del Riesgo Integral de LA/FT/FPADM) aplica al sector real: empresas que NO son del sector financiero pero que por su tamaño o actividad están bajo supervisión de la SuperSociedades.

Son obligadas las empresas que cumplen al menos uno de estos umbrales:

  • Ingresos totales o activos superiores a 30.000 SMMLV (~USD 9 millones para 2026)
  • Actividades de alto riesgo: comercio exterior, construcción de obras civiles, comercio de combustibles, minería y energía, productos farmacéuticos, juegos de suerte y azar (con regímenes propios), entre otros listados en la Circular.

Empresas más pequeñas o sin actividades de riesgo deben tener un régimen simplificado.

¿Y PTEE? ¿Es lo mismo?

No. PTEE (Programa de Transparencia y Ética Empresarial) es otro régimen que también supervisa la SuperSociedades, pero apunta al riesgo de soborno y corrupción transnacional, no al lavado de activos. Está regulado por la Circular 100-000011 de 2021.

Muchas empresas grandes deben tener los dos: SAGRILAFT (LA/FT) + PTEE (soborno).

5 diferencias prácticas SARLAFT vs SAGRILAFT

  1. Enfoque del riesgo — SARLAFT es estrictamente AML/CFT financiero (depósitos, créditos, inversiones). SAGRILAFT extiende al riesgo de financiación de proliferación de armas de destrucción masiva (FPADM) y se centra en operaciones comerciales del sector real.
  2. Tipos de contrapartes — SARLAFT trabaja con "clientes financieros" (titulares de productos). SAGRILAFT trabaja con "contrapartes": clientes, proveedores, empleados, accionistas, distribuidores.
  3. KYC vs Conoce a Tu Contraparte (KYCP) — SARLAFT enfatiza KYC del titular del producto financiero. SAGRILAFT exige debida diligencia de toda contraparte material.
  4. Operaciones inusuales y sospechosas — Ambos exigen documentar pero el ROS solo aplica a entidades vigiladas por SFC. En SAGRILAFT el reporte es ROS-SuperSociedades, distinto del ROS-SFC.
  5. Frecuencia de revisión — SARLAFT exige revisión mínima anual de la matriz; SAGRILAFT bianual con autocontrol semestral.

¿Y si mi empresa califica para ambos?

Sí, es posible. Por ejemplo, un conglomerado financiero con subsidiaria no financiera puede tener SARLAFT en la matriz y SAGRILAFT en la subsidiaria. El gobierno corporativo y los flujos de reporte deben coordinarse.

El error caro: implementar el sistema equivocado

Hemos visto empresas del sector real que, asustadas por una visita de control, implementan un SARLAFT "porque suena más serio". Resultado: matrices que no aplican a su riesgo real, controles desproporcionados que paralizan operaciones y, paradoja, incumplimiento del SAGRILAFT que sí les exigía la SuperSociedades.

Cómo decidir cuál te aplica (checklist rápido)

  • ¿Tu actividad principal es captación, intermediación o seguros? → SARLAFT (con SFC)
  • ¿Tu empresa supera 30.000 SMMLV o tiene actividades de riesgo (comex, construcción, etc.)? → SAGRILAFT (con SuperSociedades)
  • ¿Eres contratista del Estado o tienes operaciones internacionales? Suma PTEE.
  • ¿Estás en juegos de suerte y azar? → Régimen propio de Coljuegos.

GRC Software cubre los tres regímenes

La plataforma soporta SARLAFT, SAGRILAFT y PTEE en una sola interfaz, con diccionarios de riesgo precargados para cada uno y matrices de ejemplo aprobadas por reguladores. Si no estás seguro de cuál implementar primero, usá nuestros diagnósticos gratuitos — te decimos en 5 minutos cuál te corresponde y por dónde arrancar.

¿Listo para dejar de luchar con Excel?

Probá GRC Software gratis. Sin tarjeta. Activo en 5 minutos.