Sagrilaft y Programa de Transparencia y Ética Empresarial 2.0: ¿listo para el cambio?

Karol Méndez
Máster en Gestión Eficaz de las Administraciones Públicas
Especialista en Derecho Administrativo y en Derecho Ambiental
Docente de la Universidad Javeriana

En el entorno empresarial colombiano, el cumplimiento normativo ya no es solo un requisito legal; se ha convertido en un factor clave para la sostenibilidad, la reputación y el crecimiento de las empresas. Aun así, muchas organizaciones siguen creyendo que tener más formatos, manuales y documentos equivale a tener un mejor control. En la práctica, esto no siempre es cierto. Es por ello que el proyecto de modificación de la Circular Básica Jurídica, presentado por la Superintendencia de Sociedades, propone un giro conceptual frente a esta idea, al privilegiar sistemas de gestión que resulten efectivos en la identificación de riesgos, la toma de decisiones y la generación de evidencia útil.

Este enfoque se materializa en la reorganización, dentro de un único capítulo, de las disposiciones relativas a la gestión de riesgos de LA/FT/FPADM[1] y de corrupción y soborno transnacional. No obstante, dicha integración normativa no debe interpretarse como una homogeneización de los riesgos ni de los mecanismos de control. La propia superintendencia ha precisado que cada sujeto obligado debe estructurar su sistema conforme a los riesgos que efectivamente le resulten aplicables.

Integración normativa y diferenciación funcional

El proyecto incorpora estas materias en el capítulo IX, bajo la lógica de un sistema de autocontrol y gestión de riesgos. Sin embargo, conserva una diferenciación relevante entre los sujetos obligados, al prever un estándar más exigente para quienes deben implementar el sistema completo y un Régimen de Medidas Mínimas para aquellos con menor nivel de exposición.

Esta arquitectura normativa sugiere una intención de racionalizar la supervisión sin desconocer la heterogeneidad empresarial. En este contexto, no resulta adecuado concebir el Sagrilaft[2] y el PTEE[3] como estructuras completamente independientes, pero tampoco subsumirlos en un modelo uniforme que desconozca las particularidades operativas de cada entidad. El énfasis del proyecto radica, más bien, en una articulación coherente de los sistemas de gestión.

Reconfiguración del rol de la alta dirección y del oficial de cumplimiento

El proyecto introduce un fortalecimiento significativo de las responsabilidades de la alta dirección. La junta directiva –o el máximo órgano social– no solo debe aprobar formalmente el sistema, sino también participar activamente en su seguimiento, evaluar su funcionamiento, adoptar correctivos y garantizar la asignación de recursos suficientes para su implementación efectiva.

De manera correlativa, se redefine el perfil del oficial de cumplimiento, elevando los estándares de idoneidad. Entre los requisitos previstos se encuentran la experiencia mínima en gestión de riesgos y cumplimiento normativo, la formación especializada acreditable, la autonomía en el ejercicio de sus funciones y el domicilio en Colombia. Asimismo, se establece la obligatoriedad de designar un suplente, con el propósito de asegurar la continuidad operativa del sistema.

Estas exigencias implican un tránsito desde un enfoque meramente formal hacia uno sustancial, en el que la capacidad técnica y la independencia adquieren un papel central.

Debida diligencia: hacia un enfoque sustantivo basado en riesgo

El proyecto reafirma que la debida diligencia debe estructurarse a partir de un enfoque basado en riesgo, evitando su aplicación estandarizada o meramente formal. En esta línea, introduce precisiones relevantes, como la incorporación de un umbral del 5 % para la identificación del beneficiario final en relación con capital, derechos de voto, activos, rendimientos o utilidades.

Adicionalmente, se prevé la aplicación de medidas de debida diligencia intensificada en supuestos específicos, tales como la vinculación con personas expuestas políticamente (PEP), contrapartes de mayor riesgo, operaciones inusuales o complejas, jurisdicciones de alto riesgo y actividades relacionadas con activos virtuales.

En estos casos, el estándar exigido trasciende la mera recolección de información, al requerir la aprobación de la alta gerencia, la adopción de medidas razonables para determinar el origen de los recursos y la implementación de mecanismos de monitoreo reforzado. Se trata, en suma, de un tránsito hacia un conocimiento efectivo de la contraparte.

Incorporación de herramientas tecnológicas: alcance y límites

El proyecto establece la obligación de implementar herramientas tecnológicas que permitan la identificación de operaciones inusuales o sospechosas, así como la generación de alertas e indicadores de riesgo. Esta disposición refuerza la necesidad de sistemas dinámicos y basados en datos.

No obstante, la referencia a tecnologías como la inteligencia artificial no configura un mandato general de adopción, sino que se plantea como una posibilidad para optimizar los procesos de análisis. En cualquier caso, el uso de herramientas tecnológicas no desplaza la responsabilidad de valoración, que continúa radicada en el juicio humano.

Fortalecimiento de los canales de denuncia y reglas de transición

El proyecto también profundiza en la regulación de los canales de denuncia, al exigir que sean confidenciales (e incluso anónimos) y accesibles a un espectro amplio de actores, incluidos empleados, administradores, asociados, contratistas y terceros. Asimismo, impone la adopción de procedimientos estructurados para la gestión de los reportes y la implementación de medidas de protección frente a represalias.

En materia de transición, se establece que los sujetos obligados deberán ajustar sus sistemas a más tardar el 31 de mayo del año siguiente a la expedición de la nueva circular. De igual forma, se introduce una regla de permanencia según la cual las entidades que dejen de cumplir los criterios de obligatoriedad deberán continuar sujetas al sistema durante un periodo adicional, con el fin de preservar la estabilidad del modelo de supervisión.

En conclusión, este proyecto de modificación de la Circular Básica Jurídica no propone una transformación disruptiva en términos formales, sino una reorientación hacia la efectividad de los sistemas de cumplimiento. En tal sentido, el análisis pertinente no radica en determinar la necesidad de rediseñar completamente los modelos existentes, sino en evaluar su funcionamiento real, el grado de involucramiento de la alta dirección, la pertinencia de la debida diligencia, la eficacia de los canales de denuncia y la idoneidad del oficial de cumplimiento.

Siga nuestro canal de WhatsApp

Gracias por leernos. Si le gusta estar informado, suscríbase y acceda a todas nuestras noticias, los datos identificadores y los documentos sin límites.