SARLAFT en Colombia: guía completa para entidades de crédito
Introducción
El Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo (SARLAFT) es el marco regulatorio que toda entidad financiera en Colombia debe implementar para prevenir que el sistema sea utilizado con fines ilícitos. Para las entidades de crédito, el cumplimiento de SARLAFT no es opcional: es una obligación legal cuyo incumplimiento puede resultar en sanciones severas, incluyendo multas millonarias y la revocación de la licencia de operación. En esta guía completa explicamos las cuatro etapas del sistema, las obligaciones de reporte y cómo la tecnología facilita el cumplimiento.
Marco regulatorio
SARLAFT está regulado principalmente por:
- Circular Externa 026 de 2008 de la Superfinanciera (y sus modificaciones posteriores)
- Ley 526 de 1999: crea la UIAF (Unidad de Información y Análisis Financiero)
- Ley 1121 de 2006: sobre financiación del terrorismo
- Decreto 1023 de 2012: sobre PEPs (Personas Expuestas Políticamente)
- Recomendaciones del GAFI: estándares internacionales contra el lavado de activos
Las 4 etapas de SARLAFT
1. Identificación
La primera etapa consiste en conocer al cliente y los factores de riesgo asociados. Incluye:
- Debida diligencia del cliente (KYC): recopilación de datos de identidad, actividad económica, origen de fondos y propósito de la relación comercial
- Identificación de factores de riesgo: análisis de los elementos que pueden hacer que un cliente o una operación sea más riesgosa
- Segmentación de riesgo: clasificación de clientes por nivel de riesgo (bajo, medio, alto) según una matriz que cruza variables como tipo de cliente, producto, canal y ubicación geográfica
La identificación debe realizarse al momento de la vinculación y actualizarse periódicamente durante la relación comercial.
2. Medición
La segunda etapa cuantifica el nivel de riesgo identificado:
- Matriz de riesgo LA/FT: herramienta que combina la probabilidad y el impacto de los factores de riesgo identificados
- Modelos de scoring de riesgo: asignan un puntaje numérico a cada cliente basado en sus factores de riesgo
- Perfiles transaccionales: establecen patrones esperados de comportamiento financiero para cada segmento de cliente
La medición permite priorizar los esfuerzos de control y monitoreo en los clientes y operaciones de mayor riesgo.
3. Control
La tercera etapa implementa las políticas y procedimientos para mitigar los riesgos identificados:
- Políticas de vinculación diferenciadas: niveles de aprobación más exigentes para clientes de alto riesgo
- Límites transaccionales: montos máximos de operación según el perfil del cliente
- Debida diligencia reforzada: para PEPs, clientes extranjeros y operaciones inusuales se requiere información adicional y aprobación de niveles jerárquicos superiores
- Listas restrictivas: consulta automática contra listas OFAC, ONU, PEP, Clinton y listas nacionales
- Controles en productos: restricciones específicas por tipo de producto y canal
4. Monitoreo
La cuarta etapa asegura la detección continua de operaciones sospechosas:
- Monitoreo transaccional: sistema que compara las operaciones de cada cliente contra su perfil esperado y genera alertas cuando detecta desviaciones
- Alertas automáticas: el sistema genera señales cuando identifica patrones inusuales como fraccionamiento de operaciones, transacciones con jurisdicciones de alto riesgo o cambios abruptos en el volumen transaccional
- Investigación de alertas: un equipo de analistas revisa las alertas generadas y determina si representan operaciones sospechosas
- Actualización de perfiles: los perfiles de riesgo se actualizan continuamente con base en el comportamiento observado
Entidades obligadas
En Colombia, las entidades obligadas a implementar SARLAFT incluyen:
- Bancos y corporaciones financieras
- Compañías de financiamiento
- Cooperativas financieras y de ahorro y crédito
- Sociedades de capitalización
- Aseguradoras y reaseguradoras
- Sociedades comisionistas de bolsa
- Fintechs vigiladas por la Superfinanciera
- Cualquier entidad que capte o coloque recursos del público
Reportes a la UIAF
Las entidades obligadas deben enviar los siguientes reportes a la UIAF:
- Reporte de Operaciones Sospechosas (ROS): cuando se detecta una operación que no tiene justificación económica o legal aparente. No tiene umbral de monto — cualquier operación sospechosa debe reportarse.
- Reporte de Transacciones en Efectivo: operaciones individuales o acumuladas en efectivo iguales o superiores a $10.000.000 COP en el mes.
- Reporte de clientes exonerados: lista de clientes exonerados del control de operaciones en efectivo.
- Reporte de productos: información periódica sobre productos financieros ofrecidos.
Los reportes se envían a través del SIREL (Sistema de Reportes en Línea) de la UIAF.
Matriz de riesgo: ejemplo práctico
Una matriz de riesgo SARLAFT cruza cuatro dimensiones:
| Factor | Bajo riesgo | Medio riesgo | Alto riesgo |
|---|---|---|---|
| Cliente | Asalariado con empleo estable | Independiente con ingresos variables | PEP, extranjero, actividad de alto riesgo |
| Producto | Crédito de nómina | Crédito libre inversión | Crédito a empresas en sectores sensibles |
| Canal | Presencial en sucursal | Digital con biometría | Terceros, corresponsales |
| Geografía | Ciudades principales | Ciudades intermedias | Zonas fronterizas, municipios PDET |
La calificación total resulta de la combinación ponderada de las cuatro dimensiones.
Sanciones por incumplimiento
El incumplimiento de SARLAFT puede resultar en:
- Multas de hasta $1.653.000.000 COP (200 SMMLV) para la entidad
- Multas personales para representantes legales y oficiales de cumplimiento
- Revocación de la licencia de operación en casos graves
- Responsabilidad penal por complicidad en lavado de activos si se demuestra negligencia grave
Conclusión
SARLAFT es mucho más que un requisito regulatorio: es un pilar de la integridad del sistema financiero colombiano. Para las entidades de crédito, la implementación efectiva de las cuatro etapas —identificación, medición, control y monitoreo— requiere una combinación de políticas claras, personal capacitado y tecnología que automatice las validaciones y el monitoreo continuo. Un core de crédito que integre nativamente las consultas de listas restrictivas, la generación de alertas y la trazabilidad de las decisiones de cumplimiento permite a las entidades cumplir con SARLAFT de manera eficiente y demostrable ante los entes de control.
Related posts
UVR: qué es, cómo se actualiza y su impacto en créditos de vivienda
Entiende qué es la UVR, cómo la calcula el Banco de la República, su impacto en los créditos de vivienda y cómo consultar su valor diario.
Superfinanciera: normativa de provisiones para cartera de crédito
Entiende la Circular Básica Contable 100 de la Superfinanciera: provisiones individuales, generales y contracíclicas para cartera de crédito.