Si su empresa ya cuenta con el canal de denuncias y quiere hacer una denuncia puede hacerla aquí.

Denunciar

Si su empresa ya cuenta con el canal de denuncias y quiere hacer una denuncia puede hacerla aquí.

Denunciar

Using Framer React Export version 2.25.3
Using Framer React Export version 2.25.3

Blog

Compliance

SARLAFT en Colombia: requisitos, implementación y gestión del riesgo LA/FT en el sector financiero

SARLAFT en Colombia: requisitos, implementación y gestión del riesgo LA/FT en el sector financiero

Compliance

5 minutos

-

2026-04-08

Blog

Compliance

SARLAFT en Colombia: requisitos, implementación y gestión del riesgo LA/FT en el sector financiero

SARLAFT en Colombia: requisitos, implementación y gestión del riesgo LA/FT en el sector financiero

Compliance

5 minutos

-

2026-04-08

Blog

Compliance

SARLAFT en Colombia: requisitos, implementación y gestión del riesgo LA/FT en el sector financiero

SARLAFT en Colombia: requisitos, implementación y gestión del riesgo LA/FT en el sector financiero

Compliance

5 minutos

-

2026-04-08

Using Framer React Export version 2.25.3

SARLAFT en Colombia: el estándar de cumplimiento en el sector financiero

En Colombia, el Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo (SARLAFT) constituye el marco central de cumplimiento para las entidades del sector financiero.

Su objetivo no es únicamente cumplir con una exigencia regulatoria, sino prevenir que productos, servicios y canales financieros sean utilizados para la canalización de recursos ilícitos.

En este contexto, el SARLAFT se estructura como un sistema dinámico de gestión de riesgos, basado en la identificación, medición, control y monitoreo continuo de operaciones y contrapartes.

Qué es el SARLAFT y a quién aplica

El SARLAFT es un sistema obligatorio para entidades vigiladas por la Superintendencia Financiera de Colombia (SFC), diseñado para gestionar los riesgos de lavado de activos y financiación del terrorismo (LA/FT).

Entidades obligadas

Aplica a:

  • Bancos
  • Entidades financieras
  • Compañías de seguros
  • Sociedades fiduciarias
  • Comisionistas de bolsa
  • Otras entidades supervisadas por la SFC

A diferencia del SAGRILAFT —orientado al sector real—, el SARLAFT se enfoca en la complejidad transaccional y operativa del sistema financiero.

Marco normativo del SARLAFT en Colombia

El SARLAFT se integra dentro del sistema ALA/CFT nacional, alineado con estándares del GAFI.

Normativa clave

  • Ley 526 de 1999: creación de la UIAF
  • Ley 599 de 2000: tipificación del lavado de activos
  • Ley 1121 de 2006: fortalecimiento del régimen contra financiación del terrorismo
  • Ley 1762 de 2015: medidas contra delitos asociados
  • Decreto 830 de 2021: regulación de PEP
  • Circular Externa 017 de 2018 (SFC): marco específico del SARLAFT

Esta regulación exige a las entidades demostrar un enfoque basado en riesgos y una implementación efectiva del sistema.

Relación entre SARLAFT y SAGRILAFT

El modelo colombiano distingue claramente entre:

  • SARLAFT (sector financiero)
  • SAGRILAFT (sector real)

Mientras ambos comparten principios de gestión de riesgos, el SARLAFT se caracteriza por:

  • Mayor foco en monitoreo transaccional
  • Uso intensivo de tecnología
  • Gestión de grandes volúmenes de operaciones
  • Mayor exposición a riesgos sistémicos

Para un análisis del sistema aplicable al sector real, ver SAGRILAFT en Colombia: requisitos, implementación y gestión del riesgo.

Estructura del SARLAFT: enfoque basado en riesgos

El SARLAFT se implementa a través de un modelo estructurado que abarca todo el ciclo de gestión del riesgo.

1. Identificación del riesgo

Las entidades deben analizar:

  • Clientes (actividad económica, origen de fondos, perfil de riesgo, condición de PEP)
  • Productos (cuentas, créditos, billeteras digitales, CATS)
  • Canales (banca digital, corresponsales, sucursales)
  • Jurisdicciones

Este proceso permite mapear los riesgos inherentes a cada operación.

2. Medición y evaluación

Se utiliza una matriz de riesgos para:

  • Clasificar clientes y operaciones
  • Determinar niveles de exposición
  • Priorizar controles

La evaluación combina variables cuantitativas y cualitativas.

3. Control del riesgo

Incluye:

  • Políticas de conocimiento del cliente (KYC)
  • Validación en listas restrictivas (ONU, OFAC, entre otras)
  • Restricciones según nivel de riesgo
  • Debida diligencia reforzada para clientes de alto riesgo

4. Monitoreo y detección

El SARLAFT exige:

  • Sistemas de monitoreo continuo
  • Generación de alertas
  • Identificación de operaciones inusuales

Estas capacidades son cada vez más dependientes de tecnología avanzada, como se analiza en este enfoque sobre el impacto de la tecnología y la IA en investigaciones internas.

5. Evaluación de operaciones sospechosas

Las alertas deben ser analizadas por el Oficial de Cumplimiento:

  • Se determina si existe justificación económica
  • Se documenta el análisis
  • Se define si corresponde reporte

La trazabilidad de este proceso es un punto crítico en auditorías.

6. Reporte a la UIAF

Las entidades deben reportar:

  • ROS (operaciones sospechosas)
  • AROS (ausencia de operaciones sospechosas)

El cumplimiento de plazos y calidad de la información es clave.

7. Auditoría y mejora continua

El SARLAFT debe ser revisado periódicamente para:

  • Evaluar su efectividad
  • Ajustarse a nuevas tipologías
  • Adaptarse a cambios regulatorios

Controles críticos y errores frecuentes

Controles críticos

  • Oficial de Cumplimiento con independencia real
  • Sistemas de monitoreo transaccional robustos
  • Evidencia documentada de análisis
  • Capacitación continua
  • Canal de denuncias que complemente la detección interna, como se analiza en cómo funciona un canal de denuncias moderno

Errores frecuentes

  • Dependencia excesiva en controles manuales
  • Alertas sin análisis suficiente
  • Falta de documentación
  • Desactualización de perfiles de clientes
  • Subestimación del rol de denuncias internas como fuente de detección

SARLAFT y transformación digital

El crecimiento de productos digitales introduce nuevos desafíos:

  • Identificación remota de clientes
  • Operaciones en tiempo real
  • Uso de billeteras digitales
  • Nuevos patrones de fraude y LA/FT

Esto exige:

  • Incorporar tecnología (IA, analítica avanzada)
  • Adaptar modelos de riesgo
  • Fortalecer controles en canales digitales

El rol del Oficial de Cumplimiento

El Oficial de Cumplimiento es responsable de:

  • Supervisar el sistema
  • Analizar operaciones sospechosas
  • Garantizar reportes a la UIAF
  • Actuar como enlace con reguladores

Su independencia y capacidad técnica son determinantes para la efectividad del SARLAFT.

Qué evalúan los reguladores

La Superintendencia Financiera no evalúa solo la existencia del sistema, sino:

  • Calidad del monitoreo
  • Trazabilidad de alertas
  • Documentación de decisiones
  • Consistencia del modelo de riesgo
  • Capacidad de respuesta ante eventos

Las principales brechas aparecen en la ejecución, no en el diseño.

De la implementación a la efectividad

El SARLAFT requiere una gestión activa y continua.

Las entidades más maduras:

  • Integran tecnología en el monitoreo
  • Articulan prevención y detección
  • Incorporan denuncias como fuente de información
  • Generan evidencia sólida

En este punto, el sistema deja de ser regulatorio y pasa a ser operativo.

Conclusión

En el contexto actual, el desafío ya no es implementar SARLAFT, sino demostrar su efectividad frente a reguladores, auditores y terceros relevantes.

Esto implica ir más allá del diseño documental y avanzar hacia esquemas que integren monitoreo transaccional, canales de denuncia confiables y capacidades consistentes de investigación interna.

En Resguarda acompañamos a organizaciones en la evaluación y fortalecimiento de sus sistemas de cumplimiento, con un enfoque práctico orientado a la evidencia y a la mejora continua.

Si su organización está revisando su SARLAFT o necesita validar su nivel de efectividad, contar con una mirada experta puede marcar la diferencia.