La Superintendencia de Sociedades expidió la Circular Externa 100-000020 del 2 de julio de 2026, mediante la cual modificó integralmente la Circular Básica Jurídica. La circular rige a partir de su publicación y uno de sus cambios más relevantes se encuentra en el Capítulo IX, denominado Sistema de Autocontrol y Gestión de Riesgos LA/FT/FP y C/ST.

Con esta actualización, la Superintendencia modificó integralmente los antiguos capítulos sobre SAGRILAFT y PTEE, y los integró en un solo cuerpo normativo. El cambio busca que la gestión de riesgos de lavado de activos, financiación del terrorismo, financiación de la proliferación de armas de destrucción masiva, corrupción y soborno transnacional deje de operar como un conjunto de obligaciones aisladas y pase a estructurarse bajo una lógica común de cumplimiento empresarial.

 

¿Qué cambia?

El cambio no es únicamente de numeración. La nueva circular concentra en un mismo capítulo la gestión de los riesgos LA/FT/FP y C/ST, de manera que las empresas obligadas deberán revisar sus políticas, manuales, matrices, procedimientos de debida diligencia, controles, reportes y capacitaciones bajo un enfoque más articulado.

En la práctica, estos riesgos suelen coincidir en los mismos puntos críticos de la operación empresarial: conocimiento de contrapartes, beneficiarios finales, contratistas, proveedores, clientes, intermediarios, agentes comerciales, operaciones internacionales, pagos a terceros, donaciones, patrocinios, contratación estatal, conflictos de interés y operaciones con jurisdicciones de mayor riesgo.

Por ello, una compañía no debería mantener un manual de SAGRILAFT desconectado de su PTEE, ni matrices que evalúen a las mismas contrapartes con criterios diferentes o contradictorios. La actualización apunta a que el sistema sea coherente, proporcional, verificable y ajustado a la realidad de cada empresa.

 

Sistema vivo y eliminación del paper compliance

La circular exige que el sistema responda a los riesgos reales del sujeto obligado. Para su diseño deben analizarse, entre otros elementos, la materialidad del riesgo, el sector económico, la actividad desarrollada, la jurisdicción, las zonas geográficas de operación, los terceros asociados, contratistas, intermediarios, canales de distribución, asesores, consultores y contratos estatales nacionales o extranjeros.

 

Un punto relevante es la advertencia frente al paper compliance. La Superintendencia busca evitar sistemas copiados, genéricos o meramente documentales que no se ajusten a las características de la compañía. En adelante, el sistema debe materializarse en los procesos propios de la empresa como un sistema vivo, capaz de prever, detectar, gestionar y corregir vulnerabilidades asociadas a LA/FT/FP y C/ST.

 

Enfoque basado en riesgo

La nueva regulación refuerza el enfoque basado en riesgo. Esto significa que las medidas de prevención, identificación, segmentación, debida diligencia, monitoreo, reporte y control deben corresponder al nivel real de exposición de cada empresa.

Así, una sociedad con operaciones internacionales, contratación estatal, intermediarios, agentes comerciales, pagos a terceros, contrapartes en jurisdicciones de mayor riesgo, estructuras societarias complejas o relacionamiento frecuente con funcionarios públicos deberá contar con controles más robustos.

Cuando el riesgo sea menor, podrán adoptarse medidas proporcionales, pero esa conclusión debe estar soportada en una evaluación objetiva y documentada. La simplificación de controles no puede obedecer a una decisión informal o intuitiva.

 

Ética empresarial y políticas internas

La actualización integra el componente de ética empresarial dentro del sistema de gestión de riesgos. Por ello, las políticas internas deben recoger reglas claras sobre regalos, beneficios, conflictos de interés, relacionamiento con terceros, canales de denuncia, debida diligencia, capacitaciones y cultura de cumplimiento.

El sistema debe contener expectativas de conducta para directivos, administradores, empleados y demás partes interesadas, incluir ejemplos prácticos frente a dilemas éticos, prever mecanismos de consulta o denuncia y establecer espacios periódicos de sensibilización. La ética empresarial deja de ser un anexo separado y pasa a ser parte del sistema de prevención de riesgos LA/FT/FP y C/ST.

 

Debida diligencia y señales de alerta

La actualización fortalece el conocimiento de contrapartes. Los procedimientos de debida diligencia deben permitir identificar riesgos asociados a clientes, proveedores, contratistas, empleados, asociados, administradores, beneficiarios finales, intermediarios, agentes, distribuidores y demás terceros relevantes.

En especial, deberán revisarse estructuras societarias complejas, personas expuestas políticamente, terceros ubicados en jurisdicciones de mayor riesgo, operaciones sin justificación económica aparente, pagos a cuentas de terceros, contratación pública, intermediarios comerciales y cualquier situación que pueda involucrar riesgos de LA/FT/FP, corrupción o soborno transnacional.

La debida diligencia debe dejar de ser un trámite de recolección documental y convertirse en una herramienta real para anticipar, clasificar, gestionar y monitorear riesgos.

 

Régimen de Medidas Mínimas

La nueva circular también regula el Régimen de Medidas Mínimas – RMM. Los sujetos obligados a este régimen deben analizar los riesgos LA/FT/FP y C/ST considerando la materialidad, el tipo de negocio, la operación, el tamaño, las áreas geográficas y países donde operan, las características particulares de su actividad y el perfil de sus contrapartes.

 

A diferencia del Sistema de Autocontrol y Gestión de Riesgos, en el RMM el responsable principal es el representante legal, quien debe ejecutar, verificar y supervisar su implementación, así como atender oportunamente los requerimientos de información de la Superintendencia de Sociedades.

El RMM exige, entre otros aspectos, diseñar y aprobar medidas acordes con la materialidad del riesgo, consultar fuentes y tipologías, documentar la debida diligencia, monitorear operaciones inusuales o sospechosas, realizar reportes cuando corresponda, promover canales de denuncia por soborno transnacional y corrupción, y conservar los soportes de implementación.

 

Oficial de cumplimiento: nuevos requisitos

Uno de los cambios más importantes se encuentra en los requisitos del oficial de cumplimiento principal y suplente. La circular exige que la persona natural designada cuente con título profesional y que acredite y actualice sus conocimientos en gestión de riesgos LA/FT/FP y C/ST como mínimo cada tres años.

 

Adicionalmente, debe acreditar experiencia profesional mínima de un año en cargos relacionados con cumplimiento normativo en actividades de gestión de riesgos LA/FT/FP y C/ST. Este punto modifica el estándar que se venía manejando frente a la experiencia mínima exigida, por lo que las compañías deberán revisar las hojas de vida y soportes de quienes actualmente ejercen esta función.

 

En materia de formación, los conocimientos pueden acreditarse mediante programas de educación formal, como especializaciones o maestrías, o mediante programas de educación informal, como diplomados, siempre que tengan una intensidad mínima de noventa horas, guarden relación directa y específica con la gestión de riesgos LA/FT/FP y C/ST y estén soportados con certificación que indique contenido, intensidad horaria y finalización del programa.

 

Cuando el oficial de cumplimiento no esté vinculado laboralmente al sujeto obligado y se encuentre vinculado a una persona jurídica, esta última deberá acreditar experiencia en gestión de riesgos LA/FT/FP y C/ST. En grupos empresariales o situaciones de control declaradas, el oficial de cumplimiento de la matriz o controlante podrá ser la misma persona para los sujetos obligados del grupo, siempre que cuente con disponibilidad y capacidad suficiente.

 

Prohibiciones e incompatibilidades del oficial de cumplimiento

La circular refuerza las prohibiciones aplicables al oficial de cumplimiento. En general, no podrá fungir como oficial en más de diez sujetos obligados, salvo cuando exista grupo empresarial o situación de control declarada. Además, para actuar en más de un sujeto obligado deberá certificar y poner en conocimiento las circunstancias que puedan generar dudas sobre su independencia, confidencialidad o imparcialidad.

Tampoco podrá ejercer esta función quien pertenezca a los órganos de administración, actúe como representante legal, sea miembro de junta directiva, administrador, asociado, revisor fiscal, auditor interno o externo, o esté vinculado a la firma de revisoría fiscal o auditoría externa. La separación funcional busca preservar la independencia y evitar conflictos de interés.

 

Designación, reporte y reemplazo del oficial de cumplimiento

La designación del oficial principal y suplente debe informarse a la Superintendencia de Sociedades dentro de los quince días hábiles siguientes a la reunión del órgano que lo designó. Para ello, deben allegarse la hoja de vida, certificación de cumplimiento de requisitos, soporte de registro ante el SIREL de la UIAF, acta de designación, soporte de conocimientos en administración de riesgos LA/FT/FP y C/ST y certificación de ausencia de inhabilidades e incompatibilidades.

 

En caso de remoción, renuncia o falta absoluta, la empresa contará con treinta días calendario improrrogables para designar al nuevo oficial de cumplimiento principal o suplente. Mientras exista ausencia total del oficial principal y suplente, el representante legal asumirá temporalmente las funciones y responsabilidades del sistema.

 

Funciones del oficial de cumplimiento

El oficial de cumplimiento principal y suplente debe velar por el cumplimiento efectivo, eficiente y oportuno del sistema. También debe presentar, por lo menos una vez al año, informes a la junta directiva o, en su defecto, al máximo órgano social, con evaluación de actividades desarrolladas, análisis de eficiencia y efectividad, evidencias de gestión y propuestas de mejora.

 

Adicionalmente, debe promover correctivos y actualizaciones cuando las circunstancias lo requieran y, como mínimo, cada dos años; coordinar y ejecutar programas internos de capacitación y divulgación; evaluar informes de auditoría interna, externa y revisoría fiscal; adoptar medidas frente a deficiencias informadas; y certificar ante la Superintendencia el cumplimiento del capítulo cuando sea requerido.

 

Capacitación y cultura de cumplimiento

El sistema y sus políticas deben ser divulgados y capacitados al interior del sujeto obligado y frente a sus contrapartes, en la forma y frecuencia que asegure su adecuado cumplimiento, como mínimo una vez al año. La empresa debe conservar evidencia de los asistentes, la fecha y los asuntos tratados.

La capacitación debe permitir identificar qué es una operación inusual o sospechosa, cómo debe reportarse y cuáles son las señales de alerta relevantes. Además, debe fortalecer la cultura de legalidad, transparencia, ética e integridad en la organización.

 

Período de transición

Las empresas que a la fecha de expedición de la nueva circular ya estaban obligadas bajo los regímenes anteriores de SAGRILAFT, PTEE o instrucciones complementarias deberán ajustar su sistema de cumplimiento para la gestión de riesgos LA/FT/FPADM y C/ST conforme al nuevo Capítulo IX, a más tardar el 31 de mayo del año siguiente al de la expedición de la circular. Durante ese período, los sistemas y programas actualmente implementados se entenderán válidos para efectos del cumplimiento normativo.

 

Riesgos por incumplimiento

El incumplimiento de las obligaciones asociadas al Sistema de Autocontrol y Gestión de Riesgos LA/FT/FP y C/ST, al Régimen de Medidas Mínimas y a las reglas sobre oficial de cumplimiento puede dar lugar a requerimientos, investigaciones administrativas y sanciones por parte de la Superintendencia de Sociedades.

En materia general de supervisión societaria, las multas podrían ascender hasta aproximadamente $350.181.000 por cada incumplimiento sancionable.

 

Cuando se trate de conductas relacionadas con soborno transnacional, el régimen sancionatorio aplicable a las personas jurídicas es sustancialmente más severo. En estos casos, la multa podría ascender hasta aproximadamente $350.181.000.000, sin perjuicio de otras consecuencias como la inhabilidad para contratar con el Estado colombiano hasta por veinte años.

 

Más allá del componente económico, una implementación deficiente puede generar impactos reputacionales, contractuales, financieros y operativos. En operaciones corporativas, contratación pública, financiación, auditorías o negociaciones con compañías multinacionales, la ausencia de un sistema efectivo de cumplimiento puede convertirse en una contingencia relevante.

CUALQUIER INQUIETUD GUSTOSOS LA ATENDEREMOS.

La información contenida en el presente boletín es de carácter estrictamente informativo. Por lo tanto, para la toma de decisiones particulares sobre los temas que se comentan, se deberá contar con el auxilio del asesor experto en el tema pertinente.

 SOMOS MIEMBROS DE GGI

www.ggi.com

Icono Servicios triburarios Hover

Servicios tributarios

Icono servicios de auditoria Hover

Servicios de auditoría

Icono Servicios Legales Hover

Servicios legales

Icono outsourcing hover

Servicios empresariales y outsourcing

Icono Sagrilaft Hover

Sagrilaft y ética

Icono proteccion de datos hover

Servicios de protección de datos personales