SAGRILAFT y PTEE en Colombia | Cumplimiento, Riesgo LA/FT y Anticorrupción

  1. ¿Por qué la ética y el cumplimiento se convirtieron en requisitos legales obligatorios?

En el entorno empresarial actual en Colombia, el éxito no solo se traduce en beneficios monetarios, sino en la honestidad y transparencia. Las compañías ya no solo deben ser rentables; deben demostrar que sus actividades son íntegras, éticas y libres de influencias ilícitas o actos corruptos.

Esta demanda de integridad se refleja en la adopción de dos programas de cumplimiento fundamentales que son establecidos por las diferentes entidades de supervisión y control:

Sistemas de Prevención del Riesgo de Lavado de Activos y Financiación del Terrorismo: Creados para prevenir que su empresa sea utilizada, de manera consciente o no, en el Lavado de Activos (LA), el Financiamiento del Terrorismo (FT) y el Financiamiento a la Proliferación de Armas de Destrucción Masiva (FP)

Programas de Transparencia y Ética Empresarial: Dirigido a evitar y reducir los riesgos de Corrupción y Soborno Transnacional.


Descuidar o implementar superficialmente estos programas de cumplimiento constituye una invitación directa a riesgos de reputación, legales y financieros. En Tributar, nuestro servicio especializado convierte estas obligaciones en un blindaje ético y legal que resguarda el valor y la continuidad de su empresa.

  1. Sistemas para la protección contra el Lavado de Activos y el Financiamiento del Terrorismo (LA/FT)

Un sistema para la protección contra el Lavado de Activos y el Financiamiento del Terrorismo (LA/FT) es, en palabras simples, el “escudo organizacional” de una empresa frente a que la usen para mover dinero sucio o financiar actividades criminales.

No es solo un manual, ni una matriz en Excel, ni un requisito que hay que entregar a la Superintendencia, son un conjunto estructurado de políticas, procedimientos, controles, roles, tecnología y cultura que permiten identificar, medir, controlar y monitorear el riesgo de LA/FT (y hoy también, en muchos casos, el riesgo de financiación de la proliferación de armas de destrucción masiva – FPADM).

De forma práctica, un sistema para la prevención de LA/FT es la forma organizada en que la empresa:

  • Identifica con quién se está relacionando (bien sea cliente, proveedor, trabajador o inclusive, socio o accionista).
  • Analiza qué tan riesgosa es esa relación u operación,
  • Decide qué controles aplicar,
  • Monitorea lo que pasa en el día a día,
  • Y reporta cuando algo genera sospechas.

En Colombia, estos sistemas toman nombres específicos según el sector o el supervisor: SARLAFT, SAGRILAFT, y otros similares. Pero la lógica de fondo es la misma: que la empresa no sea utilizada como puente para delitos.

  1. ¿Quiénes deben implementar un sistema de prevención de LA/FT/FP?

Los sistemas para la prevención de LA/FT/FP se vuelven obligatorios cuando cuando se cumplen con las siguientes características:

  1. La empresa se encuentra bajo la vigilancia de una entidad de supervisión que tiene regulación específica de LA/FT (Superfinanciera, Supersociedades, Supervigilancia, Supersalud, Supersolidaria, Supertransporte, Alcaldía Mayor de Bogotá, etc.), y
  1. La empresa cumple con el ámbito de aplicación (generalmente ciertas condiciones de tamaño, activos, ingresos, sector económico o tipo de actividad), fijados en dicha regulación específica.

Sin embargo, las empresas que implementan estos sistemas se pueden clasificar en 3 grupos:

  1. Los legalmente obligados: aquí están las empresas que cumplen con la definición anterior, es decir, las empresas para las cuales el sistema LA/FT/FP no es una opción sino un requisito normativo.
  1. Los obligados por el contexto: En este grupo se encuentran las empresas que, en estricto sentido jurídico, todavía no encajan en la lista de sujetos obligados de alguna entidad de supervisión, sin embargo, el mercado y específicamente algunas contrapartes (bancos, clientes, proveedores, entre otros) las empieza a tratar como si debieran tener un sistema.
  1. Los que implementan por estrategia: Finalmente, en este grupo encontramos las empresas que dicen “Todavía no estoy obligada, pero tarde o temprano lo estaré… y, además, esto me protege”, las empresas que deciden implementar voluntariamente porque se preparan para crecer y no quieren improvisar controles, o las empresas que ven el sistema como una tarjeta de presentación para la búsqueda de inversionistas, créditos o relaciones internacionales.
  1. Metodología de riesgo: Las cuatro fases clave

Una metodología de gestión de riesgos LA/FT es, en esencia, el diseño técnico que le da coherencia a las cuatro fases:

  • Identificación: Se identifican los riesgos específicos a los que se expone su empresa, analizando sus productos, clientes, canales y jurisdicciones.
  • Medición: Se cuantifica la probabilidad y el impacto de los riesgos de LA/FT identificados.
  • Control: Se diseñan e implementan los controles necesarios, incluyendo políticas de Conocimiento del Cliente (Know Your Customer – KYC), listas restrictivas (ONU, OFAC) y matrices de riesgo.
  • Monitoreo: Se establecen procesos de seguimiento continuo y auditoría interna para garantizar que el sistema se mantenga actualizado y efectivo ante nuevas amenazas o cambios normativos.

Lo primero es asegurar que la metodología sea compatible con tres exigencias: el enfoque basado en riesgo que pide el regulador, la realidad operativa de la empresa y la calidad de la información disponible. Si el modelo es muy sofisticado pero nadie puede aplicarlo ni alimentarlo con datos confiables, fracasa. Si es demasiado simple, no discrimina niveles de riesgo ni justifica decisiones.

Una buena metodología integra las cuatro fases en un ciclo cerrado: lo identificado se mide bajo reglas claras; lo medido se traduce en decisiones de control coherentes con el apetito de riesgo; lo controlado se monitorea con indicadores y revisiones que permiten ajustar nuevamente la identificación, la medición y los controles. La selección adecuada no es elegir la plantilla más compleja o la más bonita, sino el esquema que la organización puede aplicar de forma consistente, trazable y defendible frente al regulador y frente a cualquier revisión independiente.

  1. PTEE: El compromiso de su Empresa contra la corrupción y el soborno transnacional

El PTEE es la manera formal de decir, en lenguaje de cumplimiento: “En esta empresa no compramos contratos, no pagamos favores y no jugamos a la doble contabilidad… y, además, podemos demostrarlo”.

No es solo un documento para mostrar ante alguna Superintendencia o al banco. Es el compromiso organizado que asume la empresa frente a tres riesgos muy concretos:

  • La corrupción: se da cuando alguien abusa de un poder confiado (público o privado) para obtener un beneficio indebido. El soborno es una de sus formas más típicas: ofrecer, prometer, dar o recibir algo de valor para inclinar una decisión.
  • El soborno transnacional: ocurre cuando el pago indebido (o la promesa de ese pago) se dirige a un funcionario público de otro país, o se usa una estructura empresarial que cruza fronteras para canalizar ese soborno. Aquí ya no solo hablamos de riesgo penal local, sino de impacto en tratados internacionales y en la capacidad de la empresa para operar en mercados serios.

El PTEE reconoce que estos no son riesgos “teóricos”, pueden presentarse en licitaciones, permisos, fiscalizaciones, inspecciones, contratos con privados, patrocinios, donaciones, intermediarios, consultores y hasta en pequeños “favores” que se normalizaron en la cultura de negocios.

  1. ¿Quiénes deben implementar un PTEE?

Al igual que los sistemas de prevención de LA/FT/FP, un PTEE es exigible cuando (i) la empresa está bajo una entidad de supervisión que reguló el tema y (ii) esa regulación define un ámbito de aplicación que la empresa cumple (tamaño, activos, ingresos, sector, tipo de actividad).

A partir de ahí, cada supervisor se mueve a su ritmo. Por ahora, los tres frentes más claros son: Supersociedades, las ESAL en ciertos territorios y Supertransporte.

  • Superintendencia de sociedades: Esta entidad fue la pionera. Primero emitió la Circular Externa 100-000003 de 2016 como guía para los PTEE, y luego ajustó el marco mediante el Capítulo XIII de la Circular Básica Jurídica donde se estableció un ámbito de aplicación que determina que no cualquier empresa supervisada se encuentra obligada, sino aquellas que combinan un tamaño económico significativo con un grado de exposición internacional o a negocios con entidades públicas.
  • ESAL en Bogotá y Antioquia: La Alcaldía Mayor de Bogotá y la Gobernación de Antioquia establecieron que todas las ESAL domiciliadas en estas jurisdicciones y sometidas a su inspección, vigilancia y control deben elaborar, presentar e implementar un PTEE.
  • Superintendencia de Transporte: En 2025 y mediante la Resolución 14673 esta entidad adicionó el Capítulo 10 del Título V de la Circular Única de Infraestructura y Transporte, creando la obligación de implementar un PTEE para las compañías del sector transporte bajo su vigilancia.
  1. Componentes Claves de un PTEE Efectivo

Un PTEE efectivo es aquel que no solo existe en papel, o el que cuenta con un Oficial de Cumplimiento, sino que realmente ordena cómo se toman decisiones y cómo se hacen negocios en la empresa. Sus componentes clave, son estos:

  1. Compromiso explícito de la alta dirección: Todo empieza porque la junta y la gerencia asumen, por escrito (mediante políticas) y en la práctica, que no se tolera la corrupción ni el soborno, aunque eso signifique perder oportunidades de negocio.
  1. Evaluación y mapa de riesgos de corrupción y soborno: El PTEE debe partir de un análisis serio de dónde y cómo puede presentarse la corrupción en la empresa: contratos con el Estado, intermediarios, patrocinios, donaciones, compras, ventas, relación con autoridades, etc.
  1. Código de ética y políticas anticorrupción claras: La organización necesita reglas sencillas y entendibles sobre: i) qué es corrupción y soborno, ii) qué está prohibido, y iii) qué está permitido y bajo qué condiciones. Esas reglas deben cubrir regalos, viajes, hospitalidades, comisiones, descuentos, “gestiones” ante funcionarios, uso de intermediarios, donaciones, patrocinios y conflictos de interés. La clave es que cualquiera pueda leerlas y saber qué sí y qué no se puede hacer.
  1. Procedimientos para terceros y operaciones sensibles: Un PTEE efectivo no se queda solo en principios; entra al detalle de cómo se hacen las cosas. Incluye procedimientos para conocer y evaluar a terceros (clientes, proveedores, consultores, agentes comerciales), revisar y aprobar operaciones de mayor riesgo (contratos con el Estado, licitaciones, concesiones, etc.) y fijar pasos mínimos antes de firmar, pagar o ejecutar ciertos negocios. Sin estos procedimientos, las políticas se quedan en declaraciones sin aterrizar.
  1. Canal de denuncias confiable y protección al denunciante: Es indispensable que exista un canal de reporte donde colaboradores, proveedores o terceros puedan informar hechos sospechosos de corrupción, soborno o fraude. Debe garantizar confidencialidad, permitir reportes sin represalias y tener un proceso definido para recibir, analizar y dar trámite a la información. Sin un canal seguro, los casos se quedan en rumores y el PTEE no detecta lo que sí está pasando.
  1. Mecanismos de investigación y régimen disciplinario: Cuando hay una alerta o denuncia, el PTEE debe indicar qué se hace, quién investiga, cómo se protege la evidencia, cómo se garantiza la imparcialidad, cómo se documentan hallazgos. Si se confirma un hecho de corrupción o soborno, debe existir un régimen de consecuencias: sanciones internas proporcionales, medidas correctivas, decisiones frente a terceros involucrados y, cuando corresponda, reporte a autoridades.
  1. Capacitación y comunicación continua: El PTEE solo funciona si la gente lo conoce. Por eso debe haber un plan de formación periódica, adaptado a distintos niveles de la organización (directivos, mandos medios, áreas comerciales, compras, jurídico, etc.), y una comunicación clara y frecuente sobre las reglas, los casos típicos, las consecuencias, los canales de ayuda y reporte.
  1. Cumplimiento integrado y sin pérdidas

Nuestra experiencia nos ha enseñado que los sistemas SAGRILAFT y PTEE no deben considerarse como entidades aisladas. Las deficiencias en la transparencia (PTEE) frecuentemente abren la puerta al Lavado de Activos (SAGRILAFT).

En Tributar, ofrecemos una implementación integral que aprovecha la sinergia entre ambos sistemas, alineando las políticas de riesgo y cumplimiento con el resto de la gestión corporativa (contabilidad, revisoría fiscal y legal).

Un Revisor Fiscal, por ejemplo, tiene la obligación legal de verificar y reportar el cumplimiento de dichos programas. Al contar con la asesoría de Tributar, aseguramos que la documentación, la matriz de riesgo y las políticas implementadas superen la auditoría del Revisor Fiscal y, por ende, de la Supersociedades.

No asuma el riesgo de una posible sanción por incumplimiento, que va desde la imposición de multas hasta la destitución de administradores. Invierta en la cultura de cumplimiento que su empresa necesita para operar con tranquilidad y credibilidad.

  1. Preguntas Frecuentes (FAQs) sobre SAGRILAFT y PTEE
  1. ¿Cuál es el principal riesgo de no implementar un programa de cumplimiento si estoy obligado?

De estar obligado a implementar alguno de los programas de cumplimiento y no hacerlo, te expones a sanciones del supervisor (multas, inhabilidades, órdenes de hacer) y a una mayor responsabilidad personal de administradores y representantes legales si ocurre un caso de LA/FT o corrupción y no puedes demostrar que tenías controles.

  1. ¿El Oficial de Cumplimiento debe ser un empleado interno de la empresa?

Depende de la norma específica y del supervisor: en algunos regímenes se exige vínculo laboral interno y en otros se permite contratarlo externamente. En cualquier caso, debe tener idoneidad técnica, independencia y acceso directo a la alta dirección.

  1. Si estoy obligado a implementar uno de los programas de cumplimiento, automáticamente ¿debo cumplir con ambos?

No necesariamente. SAGRILAFT/LAFT y PTEE tienen obligaciones y umbrales distintos, definidos en normas diferentes. Puedes estar obligado a uno, a otro, a ambos o a ninguno, según tu sector, tamaño y operaciones.

  1. ¿Cuál es la importancia de la debida diligencia en estos programas?

Es el corazón del sistema: la debida diligencia permite conocer y evaluar a clientes (KYC), proveedores, aliados y operaciones, identificar si representan un riesgo inaceptable y documentar por qué aceptas, condicionas o rechazas una relación o negocio. Sin debida diligencia, el programa es solo papel.

Deja un comentario

Contáctenos

Comuníquese con uno de nuestros profesionales en consultoría legal y tributaria.

Logo Footer tributar

Política de Tratamiento de información

Somos una importante firma de asesores contables y tributarios, con más de 35 profesionales de diferentes disciplinas.

Expertos Tributarios Nuestro Portafolio Nuestro Equipo Agende su Cita Blog
Carrera 9 No. 80 - 12 oficina 401 Edif. Torre Escalar 2 PBX. +57 (601) 794 0424 CEL. 3505070707 mercadeo@tributar.com


NUESTRAS REDES SOCIALES