Supersociedades
Norma
Oficio 220-132963 del 29 de septiembre de 2025
Descripción
Cuando una sociedad o sus bienes son objeto de medidas cautelares en un proceso de extinción de dominio, todos los activos tanto tangibles como intangibles, incluyendo criptomonedas y obras de arte quedan bajo la administración de la (SAE) o del depositario provisional. Durante el proceso, los propietarios no pueden disponer ni administrar los bienes hasta que haya una decisión judicial definitiva.
Fecha Expedición
29/09/2025
Oficio 220-130398 del 25 de septiembre de 2025
Cuando los miembros de la junta directiva tienen vínculos familiares con el representante legal, puede existir conflicto de interés. En esos casos, no basta con que los implicados se abstengan de votar; deben informar la situación y solicitar autorización al máximo órgano social para que decida si pueden participar en las decisiones relacionadas.
25/09/2025
Oficio 220-089050 del 20 de agosto de 2025
Explica que cada empresa debe diseñar su propio sistema de prevención del riesgo de (LA/FT/FPADM) según sus características y nivel de riesgo.También aclara que la debida diligencia hacia los clientes depende del tipo de operación, monto y riesgo identificado.
20/08/2025
Oficio 220-064856 del 11 de julio de 2025
Cada empresa debe evaluar de forma independiente sus riesgos de LA/FT, aplicando la debida diligencia según el tipo de cliente, operación y nivel de riesgo. Reafirma que el SAGRILAFT debe diseñarse a la medida de cada entidad.
11/07/2025
Indica que en una unión temporal cada empresa debe evaluar si cumple los requisitos para implementar el SAGRILAFT o el PTEE, según el Capítulo X y XIII de la Circular Básica Jurídica. Las sucursales extranjeras también deben aplicarlos, siendo la casa matriz la encargada de aprobar el sistema y designar al Oficial de Cumplimiento.
30/05/2025
Oficio 220-013814 del 3 de abril de 2025
Aclara que el revisor fiscal no tiene la obligación de emitir informes escritos sobre el SAGRILAFT, pero sí debe reportar operaciones sospechosas a la UIAF y denunciar posibles delitos relacionados con LA/FT/FPADM.
03/04/2025
Oficio 241-338451 del 13 de febrero de 2025
Asesora Jurídica de esta Entidad, señalo: “(…) configuro libremente la obligación de revelación del beneficiario final de la operación, sin que con ello se entienda levantada la reserva del libro de accionistas (…)”
Excepción: únicamente sociedades que cotizan en bolsa ya que se presume que dicha información es pública para la determinación de los beneficiarios finales
13/02/2025
Concepto 047945 de enero del 2025
Supersociedades establece que los sujetos obligados al SAGRILAFT deben revelar la información de sus beneficiarios finales, sin que puedan negarse a ello, para cumplir con la debida diligencia y prevenir riesgos de LA/FT/FPADM, la única excepcion son las sociedades que cotizan en bolsa ya que se presume que dicha información es pública para la determinación de los beneficiarios finales.
01/2025
Oficio 220-312321 del 27 de noviembre de 2024
Aclara que en el SAGRILAFT la debida diligencia debe aplicarse a todas las contrapartes (clientes, usuarios, consumidores, proveedores, etc.) para prevenir riesgos de LA/FT/FPADM, según las recomendaciones del GAFI por otro lado no regula relaciones de consumo, sino que busca conocer a quienes intervienen en las operaciones.
27/11/2024
Señala que si un beneficiario final está desaparecido, la empresa debe agotar las medidas de identificación y verificación dentro del SAGRILAFT. Mientras no exista una declaración judicial o sucesión, la titularidad no cambia, y la empresa debe mantener controles de riesgo y documentar las gestiones realizadas.
01/10/2024
Oficio 220-057577 del 14 de marzo de 2024
El oficio aclara la diferencia entre países no cooperantes y jurisdicciones de alto riesgo según el GAFI, y confirma que la debida diligencia intensificada debe aplicarse conforme a los listados vigentes del GAFI, sin que la Superintendencia establezca países adicionales.
14/03/2024
Oficio 220-042087 del 4 de marzo de 2024
Establece que la designación del Oficial de Cumplimiento del SAGRILAFT corresponde a la junta directiva o, si no existe, al máximo órgano social.
El representante legal no puede nombrarlo, solo proponerlo. En sociedades con accionista único, este debe realizar formalmente el nombramiento según los estatutos.
04/03/2024
Aclara que la Circular 003 de 2005 sigue vigente y que presidente, secretario o comisionado no pueden delegar la firma de actas a terceros. Si no pueden firmar, puede hacerlo el revisor fiscal (si asistió) o se realiza una nueva reunión.
Además, las sociedades vigiladas por la Superintendencia de Transporte no están obligadas a implementar el SAGRILAFT, el PTEE ni los reportes a la UIAF.
22/02/2024
Oficio 220-032169 del 28 de diciembre de 2023
Señala que el SAGRILAFT debe adaptarse a los riesgos y características de cada empresa. Solo deben implementarlo las que cumplan los requisitos del Capítulo X de la Circular 100-000016 de 2020, aunque se recomienda su adopción voluntaria. El sistema debe permitir identificar, medir, controlar y monitorear riesgos de LA/FT/FPADM.
28/12/2023
Oficio 220-021530 del 16 de diciembre de 2023
Indicó que las empresas de servicios de activos virtuales deben implementar el SAGRILAFT y reportar a la UIAF si superan 3.000 SMLMV en ingresos o 5.000 SMLMV en activos, aplicando debida diligencia intensificada para prevenir LA/FT/FPADM.
16/12/2023
Oficio 220-014469 del 11 de diciembre de 2023
Se considera beneficiario final a la persona natural que posea o controle, directa o indirectamente, el 5% o más del capital, derechos de voto, activos o utilidades de una sociedad, o que ejerza control por cualquier otro medio.
Si no hay una persona que cumpla esos criterios, se identifica como beneficiario final al representante legal.
11/12/2023
Oficio 220-328532 del 5 de diciembre de 2023
Aclara que la debida diligencia y su monitoreo no son actividades únicas, sino procesos continuos dentro del SAGRILAFT. La empresa debe definir cada cuánto realiza la debida diligencia y el monitoreo según su propio perfil de riesgo, con un mínimo de actualización cada dos años o cuando cambien las condiciones legales, reputacionales u operativas de la contraparte. Además, resalta que el enfoque debe ser basado en riesgo, dejando evidencia de las medidas adoptadas y manteniendo la información actualizada.
05/12/2023
Indica que una casa matriz puede modificar la resolución de incorporación de su sucursal en Colombia y crear un comité directivo local, el cual puede asumir funciones delegadas, sin embargo, la aprobación del SAGRILAFT y del PTEE, así como la designación del Oficial de Cumplimiento, corresponden exclusivamente a la junta directiva o al máximo órgano social de la casa matriz, no al comité local.
10/11/2023
Oficio 220-271768 del 3 de noviembre de 2023
Aunque las empresas de un mismo grupo pueden compartir información o procesos de debida diligencia, cada empresa es responsable de evaluar y gestionar su propio riesgo LA/FT/FPADM. Por ello, cada sociedad debe asegurar que la debida diligencia aplicada a sus contrapartes responda a sus riesgos particulares, conserve evidencia propia y cumpla de manera independiente con los requisitos del SAGRILAFT, aun cuando se utilicen formatos o procedimientos similares dentro del grupo.
03/11/2023
Oficio 220-264258 del 25 de octubre de 2023
Precisa que la obligación de implementar el SAGRILAFT depende del sector, los ingresos, los activos y la vigilancia de la empresa, y que cada sociedad debe evaluar si le aplica el sistema completo o el régimen de medidas mínimas
25/10/2023
Oficio 220-101154 del 17 de mayo de 2023
Aclara que las empresas obligadas al SAGRILAFT deben identificar y verificar al beneficiario final de sus contrapartes como parte del proceso de debida diligencia. La Superintendencia señala que las contrapartes, incluidas operadoras de libranzas y cooperativas, están obligadas a suministrar la información del beneficiario final, y que dicha obligación no vulnera la reserva del libro de accionistas ni entra en conflicto con otras normas laborales o comerciales. Asimismo, indica que cada empresa debe definir, según su perfil de riesgo, el alcance y profundidad de la debida diligencia, dejando evidencia de las medidas adoptadas.
17/05/2023
Oficio 220-090221 del 2 de mayo de 2023
Establece que la implementación del SAGRILAFT debe realizarse respetando la confidencialidad y el adecuado tratamiento de la información obtenida en la debida diligencia, en cumplimiento de las Leyes 1266 de 2008 y 1581 de 2012 sobre protección de datos personales, y que cada empresa debe definir sus propios controles y mecanismos de gestión de la información conforme a su enfoque de riesgo.
02/05/2023
Oficio 220-042722 del 24 de febrero de 2023
Aclara que debe diseñarse según los riesgos de cada empresa, implementarse a más tardar el 31 de mayo del año siguiente a la obligación, que los ingresos totales incluyen todos los registrados en el estado de resultados, que el Oficial de Cumplimiento debe tener experiencia o formación en gestión del riesgo LA/FT/FPADM y que su designación corresponde a la junta directiva o al máximo órgano social, no a la Superintendencia.
24/02/2023
Oficio 220-0186009 del 31 de enero de 2023
Señala que las empresas deben identificar y verificar de forma razonable al beneficiario final, y que las contrapartes están obligadas a suministrar esta información cuando sea requerida, sin que ello implique levantar la reserva del libro de accionistas ni genere conflicto legal.
31/01/2023
Oficio 220-213829 del 26 de septiembre de 2022
Aclara que cada empresa obligada debe definir de manera autónoma y según su enfoque basado en riesgo la periodicidad con la que consulta las listas vinculantes, ya que el término “permanente” no implica una frecuencia fija; además, señala que no existe un monto o cifra estándar que permita excluir contrapartes del conocimiento del beneficiario final o del representante legal, por lo que la debida diligencia debe ajustarse siempre a los riesgos propios y a la materialidad de cada empresa.
26/09/2022
Oficio 220-208492 del 19 de septiembre de 2022
Aclara que la estructura de titularidad y estructura de propiedad deben entenderse como sinónimos, ya que ambos buscan identificar a las personas naturales o jurídicas que poseen o controlan una empresa hasta llegar al beneficiario final; señala que las empresas obligadas deben solicitar información sobre la composición accionaria y los porcentajes de participación, pero que corresponde a cada entidad definir, según su enfoque basado en riesgo, la información y documentación necesaria para conocer adecuadamente a su contraparte y verificar la identidad del beneficiario final.
19/09/2022
Oficio 220-207472 del 15 de septiembre de 2022
Establece que todas las personas con las que se relaciona la empresa son contrapartes sujetas a debida diligencia, incluso en contratos de colaboración; aclara que no se puede usar intermediarios para evitar el conocimiento del cliente o del beneficiario final, y que las políticas LA/FT/FPADM deben ser divulgadas internamente como parte del control del riesgo.
15/09/2022
Oficio 220-239921 del 15 de diciembre de 2021
Establece que la debida diligencia intensificada es obligatoria cuando una contraparte es un PEP o un asociado cercano de esta, entendiendo por asociados cercanos a las personas jurídicas que tengan vínculos directos con una PEP; en estos casos, no basta con la verificación en listas restrictivas, sino que se requiere un conocimiento avanzado de la contraparte, del beneficiario final y del origen de los recursos, la aprobación de instancias de mayor jerarquía, y un monitoreo continuo e intensificado de la relación comercial, sin perjuicio de que las empresas adopten medidas adicionales dentro de su SAGRILAFT, conforme a un enfoque basado en riesgo.
15/12/2021
Oficio 220-177775 del 18 de noviembre de 2021
En operaciones de factoring, las empresas obligadas al SAGRILAFT deben aplicar la debida diligencia de conocimiento de la contraparte, sin importar si el factor está o no vinculado como proveedor, siempre que se encuentren dentro del ámbito de aplicación del Capítulo X; además, aclara que la libre circulación de las facturas prevista en la Ley 1231 de 2008 no prevalece sobre las obligaciones de prevención de LA/FT/FPADM, por lo que, si en el análisis se identifican operaciones inusuales o sospechosas, estas deben ser soportadas y reportadas oportunamente a la UIAF, sin que ello implique restringir de forma general la negociación de las facturas.
18/11/2021
Oficio 220-174559 del 11 de noviembre de 2021
Aclara que ni las sociedades obligadas ni las no obligadas al SAGRILAFT tienen el deber legal de revelar a sus contrapartes su listado de beneficiarios finales o accionistas, pues dicha información puede estar amparada por la reserva legal; no obstante, las empresas obligadas al SAGRILAFT sí deben adelantar medidas razonables y proporcionales para identificar el beneficiario final de sus contrapartes, utilizando diversos mecanismos de debida diligencia y dejando evidencia del esfuerzo realizado, y deberán evaluar el riesgo de continuar una relación comercial cuando no logren identificarlo.
11/11/2021
Oficio 220-168740 del 3 de noviembre de 2021
Precisa que el reconocimiento público de una contraparte no exonera a las empresas obligadas del SAGRILAFT de identificar plenamente al beneficiario final, por lo que no es suficiente conocer solo su nombre y se deben aplicar medidas razonables para verificar su identidad, incluido el número de identificación; asimismo, aclara que las entidades listadas en bolsas de valores tampoco están exceptuadas de la identificación de beneficiarios finales, aunque puedan considerarse de menor riesgo.
03/11/2021
Oficio 220-158852 del 26 de octubre de 2021
Aclara que la implementación del SAGRILAFT no vulnera el derecho al trabajo, la presunción de inocencia ni el habeas data, ya que la solicitud de información financiera, de activos, pasivos y antecedentes de empleados, clientes y proveedores responde a la obligación legal de gestionar el riesgo LA/FT/FPADM; señala que el tratamiento de estos datos está permitido para fines de prevención.
26/10/2021
Oficio 220-158899 del 26 de octubre de 2021
Aclara que la SuperSociedades no es competente para pronunciarse sobre proyectos del GAFI ni sobre alianzas interinstitucionales para recaudar información del beneficiario final, pero reitera que las empresas obligadas deben identificar y verificar al beneficiario final aplicando medidas razonables de debida diligencia, incluso frente a SAS con accionista único, estructuras fiduciarias o vehículos corporativos complejos; precisa que la reserva del libro de accionistas no exonera a la empresa de agotar mecanismos alternos para aproximarse al conocimiento del mismo, dejando evidencia del esfuerzo realizado.
26/10/2021
Oficio 220-158057 del 22 de octubre de 2021
Aclara que las empresas obligadas deben aplicar debida diligencia intensificada tanto a las PEP extranjeras como a las de organizaciones internacionales, ya que estas están expresamente incluidas en la definición normativa de PEP; señala que el alcance de dicha debida diligencia debe ser definido por cada empresa según su perfil de riesgo, materialidad y características de la contraparte.
22/10/2021
Oficio 220-156893 del 20 de octubre de 2021
Señala que las contrapartes pueden negarse a revelar su composición accionaria amparadas en la reserva legal; sin embargo, la empresa obligada debe aplicar medidas razonables y proporcionales para aproximarse al conocimiento del beneficiario final mediante diversos mecanismos, dejando evidencia; aclara que la sola solicitud de información no siempre es suficiente para cumplir la debida diligencia y que corresponde a cada empresa, según su riesgo y materialidad, decidir si continúa o no la relación comercial cuando no logra identificar al beneficiario final, asumiendo los riesgos asociados a dicha decisión.
20/10/2021
Oficio 220-129937 del 9 de septiembre de 2021
Aclara que el Oficial de Cumplimiento sí puede y debe tener acceso a información confidencial, sensible y de reserva, incluida aquella derivada de la verificación en listas vinculantes, cuando sea necesaria para el cumplimiento de sus funciones. Señala que limitar dicho acceso impediría el adecuado desarrollo de la debida diligencia y el control del riesgo LA/FT/FPADM. En consecuencia, el acceso a información individual y no solo a reportes consolidados es válido y necesario para el ejercicio efectivo del cargo.
09/09/2021
Oficio 220-126570 del 8 de septiembre de 2021
Indica que las empresas obligadas deben aplicar debida diligencia intensificada cuando establecen relaciones con una PEP, la cual se extiende a su cónyuge o compañero permanente, familiares cercanos y asociados. Esta obligación se mantiene aunque la obtención de la información resulte difícil. Asimismo, cuando la relación se da con un familiar o asociado de una PEP, la empresa debe evaluar el riesgo y definir el alcance de la diligencia conforme a su sistema y enfoque basado en riesgo.
08/09/2021
Oficio 220-120607 del 29 de agosto de 2021
Señala que las empresas obligadas debieron implementar el sistema a más tardar el 31 de agosto de 2021, sin que exista la obligación de notificar dicha implementación, aunque puede ser requerida en labores de supervisión. Indica además que el OC puede pertenecer a un área específica, siempre que tenga independencia, capacidad de decisión y reporte directo a la junta directiva o máximo órgano social. Finalmente, aclara que en los contratos con entidades públicas también deben aplicarse medidas de debida diligencia, al menos en su nivel mínimo y bajo un enfoque basado en riesgo.
29/08/2021
Oficio 220-119415 del 25 de agosto de 2021
Aclara que no existe excepción para aplicar debida diligencia a entidades públicas, por lo que las empresas obligadas al SAGRILAFT deben realizar al menos las verificaciones mínimas. Señala que las operaciones en efectivo son un factor de riesgo y deben ser controladas. En las ventas masivas o retail, cuando no es posible una debida diligencia completa, los controles deben enfocarse en la identificación de operaciones inusuales, bajo un enfoque basado en riesgo.
25/08/2021
Oficio 220-115918 del 13 de agosto de 2021
Señala que la actualización de datos de las contrapartes hace parte del proceso continuo de debida diligencia dentro del SAGRILAFT. Esta actualización debe realizarse como mínimo cada dos (2) años, o antes si se presentan cambios relevantes en las condiciones jurídicas, reputacionales o de riesgo de la contraparte. La normativa no fija un plazo diferenciado, por lo que cada empresa debe definir la periodicidad según su enfoque basado en riesgo, dejando evidencia de los controles aplicados.
13/08/2021
El Oficio Indica la obligación de empresas vigiladas de aplicar el SAGRILAFT aunque no conozcan directamente a sus contrapartes. Aclara que la obligación depende del cumplimiento de montos mínimos en ingresos o activos según la Circular 100-000016 de 2020, no del conocimiento directo de la contraparte. Establece los sectores obligados, medidas mínimas de debida diligencia para mitigar riesgos y pautas para evaluar y reportar operaciones sospechosas.
24/03/2021
El Oficio trata la aplicación del salario mínimo legal mensual vigente para determinar la obligación de implementar el SAGRILAFT, estableciendo cómo se calcula ese tope y los plazos para su adopción.
05/03/2021
Las empresas deben identificar y organizar los riesgos de lavado de activos en el SAGRILAFT. Aclara que la segmentación (separar los riesgos según con quién se hace negocio, qué productos se manejan, dónde se opera, etc.) puede estar en la misma matriz de riesgos o en documentos aparte. Lo importante es que ambos usen la misma información, es decir, los mismos factores de riesgo y su análisis. También señala que la matriz debe mostrar cómo la empresa identifica, clasifica, evalúa y controla esos riesgos según su realidad y actividad económica.
03/02/2021
El oficio aclara desde cuándo las sucursales de empresas extranjeras deben ser vigiladas por la Superintendencia y cuándo deben pagar la contribución. Explica que, según las nuevas reglas, la mayoría empezarán a ser vigiladas desde abril de 2009, momento en que comienza la obligación de pago.
12/09/2008