Sagrilaft y Programa de Transparencia y Ética Empresarial: el reloj ya empezó a correr

Karol Méndez
Socia Compliance CONSU-LAB Consultores

Abogada especializada en Derecho Administrativo y en Derecho Ambiental, magíster en Gestión Eficaz de las Administraciones Públicas

El cumplimiento de los sistemas de prevención de riesgos de lavado de activos, financiación del terrorismo y corrupción empresarial ha adquirido una relevancia creciente dentro del marco regulatorio colombiano. En particular, las obligaciones derivadas del Sistema de Autocontrol y Gestión del Riesgo Integral de Lavado de Activos y Financiación del Terrorismo (Sagrilaft) y del Programa de Transparencia y Ética Empresarial (PTEE), bajo la supervisión de la Superintendencia de Sociedades, imponen deberes específicos a las empresas que cumplen determinados criterios financieros, sectoriales u operativos.

Para el año 2026, un número significativo de compañías ingresará por primera vez al ámbito de aplicación de estos regímenes, como consecuencia del análisis de sus cifras y operaciones al cierre del 31 de diciembre de 2025. Este ingreso activa una obligación clara: la adopción e implementación de los sistemas correspondientes a más tardar el 31 de mayo de 2026.

El presente artículo examina quiénes se consideran “nuevos obligados” para el ciclo 2026, cuáles son los principales supuestos regulatorios que activan dichas obligaciones y cuáles son los errores más frecuentes que enfrentan las empresas en sus procesos de implementación.

El criterio temporal de la obligación

La regulación de la Superintendencia de Sociedades establece un criterio temporal preciso para determinar el momento en que surge la obligación de implementar Sagrilaft o PTEE. Si una empresa adquiere la calidad de entidad obligada a partir del corte del 31 de diciembre de cualquier año, deberá adoptar el sistema correspondiente a más tardar el 31 de mayo del año siguiente.

En consecuencia, las empresas que cumplieron por primera vez los criterios normativos al cierre del ejercicio 2025 se consideran nuevos obligados para el ciclo 2026. A partir de ese momento, la implementación deja de ser una recomendación de buenas prácticas y se convierte en una obligación regulatoria exigible por la autoridad de supervisión.

Obligados en materia de Sagrilaft

El Sagrilaft se encuentra regulado en el Capítulo X de la Circular Externa 100-000016 de 2020 de la Superintendencia de Sociedades. En términos generales, la obligación de implementar este sistema surge cuando una empresa se encuentra bajo vigilancia o control de la entidad y, al cierre del ejercicio, registra ingresos o activos iguales o superiores a 40.000 salarios mínimos mensuales legales mensuales vigentes (SMMLV).

Sin embargo, la normativa también prevé supuestos adicionales vinculados a determinados sectores económicos que, por su nivel de exposición al riesgo de lavado de activos o financiación del terrorismo, quedan sujetos a obligaciones específicas aun cuando no alcancen dicho umbral general.

Entre estas actividades se encuentran, por ejemplo, los servicios inmobiliarios, la comercialización de metales o piedras preciosas, los servicios jurídicos clasificados bajo el código CIIU 6910, los servicios contables bajo el código CIIU 6920, las actividades de construcción identificadas con los códigos CIIU 4111, 4112, 4210, 4220 y 4290, así como los servicios relacionados con activos virtuales. En estos casos, la obligación se activa cuando se superan los umbrales particulares definidos por la regulación para cada sector.

La normativa también contempla reglas específicas cuando las empresas reciben aportes en activos virtuales por un valor igual o superior a 100 SMMLV, supuesto que puede generar obligaciones adicionales dentro del mismo régimen.

El Régimen de Medidas Mínimas: una distinción frecuentemente ignorada

Uno de los errores más comunes en la práctica consiste en no diferenciar entre la obligación de implementar el sistema completo de Sagrilaft y la aplicación del denominado Régimen de Medidas Mínimas.

El Capítulo X de la Circular distingue expresamente entre las empresas que deben implementar el sistema integral, conforme a los numerales 4.1 y 4.2, y aquellas que, por pertenecer a determinadas actividades o profesiones no financieras designadas (APNFD), únicamente están obligadas a adoptar un conjunto de medidas mínimas de gestión del riesgo, conforme al numeral 4.3.

En muchos de estos sectores, la obligación se activa cuando la empresa supera umbrales relativamente menores, generalmente fijados en 3.000 SMMLV en ingresos o 5.000 SMMLV en activos. No obstante, ello no significa que el cumplimiento sea opcional o de menor importancia. Implementar un régimen equivocado (por ejemplo, aplicar medidas mínimas cuando corresponde un sistema completo) puede constituir un incumplimiento de una orden administrativa impartida por la autoridad de supervisión.

Obligados en materia de PTEE

El PTEE se encuentra regulado en el Capítulo XIII de la Circular Externa 100-000011 de 2021. Su finalidad principal es prevenir riesgos de corrupción y soborno transnacional dentro de las organizaciones.

Una sociedad vigilada queda obligada a implementar el programa cuando, al cierre del ejercicio, haya realizado negocios o transacciones internacionales por un monto igual o superior a 100 SMMLV y, adicionalmente, registre ingresos o activos iguales o superiores a 30.000 SMMLV.

La obligación también surge cuando la empresa ha celebrado contratos con entidades estatales por un valor igual o superior a 500 SMMLV, directa o indirectamente (incluyendo contratos celebrados a través de consorcios o uniones temporales), y cuenta con ingresos o activos iguales o superiores a 30.000 SMMLV.

Adicionalmente, la circular establece supuestos en los que la obligación es más limitada. Cuando una empresa ha celebrado contratos estatales por 500 SMMLV o más y pertenece a determinados sectores (como el farmacéutico, infraestructura y construcción, manufactura, minero-energético, tecnologías de la información y las comunicaciones, comercio de vehículos o actividades auxiliares de servicios financieros) y supera umbrales menores, fijados en 3.000 SMMLV en ingresos o 5.000 SMMLV en activos, la obligación se limita a identificar y evaluar los riesgos de corrupción.

Otros obligados: cámaras de comercio y Esales

Las modificaciones introducidas por la Circular Externa 100-300000 de 2024 también establecen reglas particulares para ciertas entidades.

En el caso de las cámaras de comercio, si los ingresos al cierre del ejercicio son iguales o superiores a 40.000 SMMLV, deberán implementar tanto Sagrilaft como PTEE. Si los ingresos se sitúan entre 9.000 y 40.000 SMMLV, deberán aplicar el Régimen de Medidas Mínimas en materia de Sagrilaft y, respecto del PTEE, limitarse a identificar y evaluar los riesgos de corrupción. Cuando los ingresos sean inferiores a 9.000 SMMLV, estas entidades quedan excluidas de las obligaciones regulatorias, sin perjuicio de que puedan adoptar estos mecanismos como buenas prácticas de gobierno corporativo.

De manera similar, las entidades sin ánimo de lucro (Esal) extranjeras con negocios permanentes en Colombia quedan obligadas a aplicar el Régimen de Medidas Mínimas cuando sus ingresos del año inmediatamente anterior, medidos al 31 de diciembre, sean iguales o superiores a 9.000 SMMLV. En materia de PTEE, su obligación se limita a la identificación y evaluación de riesgos de corrupción y soborno transnacional, sin que sea necesaria la designación de un oficial de cumplimiento para este deber específico.

Retos prácticos de implementación para los nuevos obligados

Desde una perspectiva práctica, el principal desafío para las empresas que ingresan por primera vez al régimen no radica únicamente en la elaboración de documentos formales, sino en la capacidad de demostrar que el sistema funciona efectivamente dentro de la organización.

Durante los primeros meses del año resulta fundamental realizar un diagnóstico normativo que permita determinar con precisión cuál es el régimen aplicable: Sagrilaft completo, Régimen de Medidas Mínimas, PTEE integral o únicamente la obligación de identificar y evaluar riesgos.

Posteriormente, las empresas deben desarrollar matrices de riesgo alineadas con su operación real, considerando factores como la relación con clientes y proveedores, la participación de intermediarios, los flujos de pago, las jurisdicciones involucradas, las transacciones internacionales y la contratación estatal.

Finalmente, la implementación debe acompañarse de evidencia verificable: adopción formal de políticas, procedimientos operativos, capacitaciones internas, controles en funcionamiento y registros documentales que permitan demostrar la trazabilidad del sistema frente a eventuales requerimientos de la Superintendencia de Sociedades.

En conclusión, el ciclo regulatorio de 2026 representa un punto de entrada relevante para numerosas empresas que, por primera vez, deberán cumplir con las obligaciones derivadas de Sagrilaft y del PTEE y la correcta identificación del régimen aplicable, la comprensión de las diferencias entre sistemas completos y obligaciones limitadas, y la implementación de controles operativos efectivos son factores determinantes para evitar riesgos de incumplimiento.

Más allá del cumplimiento formal, estos sistemas deben integrarse a los procesos críticos de la organización (como compras, gestión de terceros, tesorería, contratación estatal y comercio exterior) para que cumplan su verdadera función de fortalecer la integridad corporativa y reducir la exposición de las empresas a riesgos legales, reputacionales y regulatorios.   

Siga nuestro canal de WhatsApp

Gracias por leernos. Si le gusta estar informado, suscríbase y acceda a todas nuestras noticias, los datos identificadores y los documentos sin límites.