Volver
Cumplimiento
5 min read

¿Cómo elaborar una matriz de riesgos Sarlaft o Sagrilaft?

Publicado
May 22, 2025
Autor
Suscríbete a nuestro boletín
Al suscribirte, aceptas nuestra Política de Privacidad y das tu consentimiento para recibir actualizaciones de nuestra empresa.
Gracias, hemos recibido tu información de forma correcta
¡Ups! Algo salió mal al enviar el formulario
Share

¿Qué es gestionar un riesgo?

Toda organización colombiana y extranjera está expuesta a diferentes riesgos (operativos, financieros, legales, de crédito, etc.) por el simple hecho de estar constituida legalmente e iniciar sus operaciones. En esta oportunidad hablaremos de la gestión de los riesgos de lavado de activos, financiación del terrorismo y financiación de la proliferación de armas de destrucción masiva, en adelante LA/FT/FPADM, a los que están expuestas las entidades.

Lo más importante para cualquier organización en relación con sus riesgos es poderlos gestionar de la mejor manera. Para ello las entidades deben contar con políticas, procedimientos, metodologías y herramientas que le permitan identificar, medir, controlar y gestionar de manera integral sus riesgos.

¿La normatividad me obliga a tener una matriz de riesgos?

En la actualidad existen diferentes normatividades para cada sector emitidas por sus respectivos entes de control, tales son los casos del Sector Real vigilado por la Superintendencia de Sociedades (Sagrilaft: Circular Básica Jurídica, Capítulo X), Sector Financiero por la Superintendencia Financiera (Sarlaft: Circular Básica Jurídica, Capítulo IV, Título IV, Parte I) y otras normatividades aplicables por los entes de control que establecen la generación de la matriz de riesgos.

Los diferentes sistemas de gestión de riesgo se instrumentan a través de las etapas (identificación, medición, control y monitoreo) y los elementos (diseño y aprobación, auditoría y cumplimiento, divulgación y capacitación; y asignación de funciones). Ahora, como herramienta fundamental para gestionar los riesgos se estableció la matriz de riesgos.

¿Qué es Matriz de Riesgos Sarlaft o Sagrilaft?

Sector Real: es uno de los instrumentos que le permite a una Empresa identificar, individualizar, segmentar, evaluar y controlar los Riesgos LA/FT/FPADM a los que se podría ver expuesta, conforme a los Factores de Riesgo LA/FT/FPADM identificados.

Sector Financiero: es una herramienta que facilita una evaluación de riesgos holística, que debe cumplir con las siguientes características: identificación del riesgo, causas, probabilidad, impacto, riesgos asociados, controles e indicadores.

Existen muchas definiciones de acuerdo con cada ente de control y con cada entidad nacional e internacional que reglamenta, normatiza o genera buenas prácticas sobre el riesgo de LA/FT/FPADM. A nuestro entender, la matriz de riesgos es una herramienta que permite relacionar los eventos de riesgo por cada factor de riesgo de LA/FT/FPADM; de igual manera, facilita el observar la evolución del riesgo en términos de probabilidad e impacto por cada uno de los riesgos asociados al LA/FT/FPADM, desde el riesgo inherente, hasta su riesgo residual para determinar el nivel de efectividad de los controles.

La matriz de riesgos (también llamada matriz de análisis de riesgos) se estructura mediante filas y columnas en donde cada fila registra los riesgos y cada columna es una característica del riesgo (factor de riesgo, riesgo asociado, causa, consecuencia, probabilidad, impacto, criticidad, control, etc.).

7 pasos para elaborar una Matriz de Riesgos

1. Determinar el contexto interno y externo de la entidad

Es esencial que cada entidad sea consciente de su tamaño, ubicación geográfica, actividad económica, sector en el que se encuentre, cultura organizacional, competencia, condiciones políticas, sociales, culturales y de seguridad con el fin de identificar y medir sus amenazas y vulnerabilidades.

2. Identificar los factores de riesgo

Con base en la determinación del contexto interno y externo de la empresa, se deben identificar los diferentes factores de riesgo que deben ser objeto de administración y control tales como: contrapartes, productos, canales y jurisdicciones.

3. Establecer la metodología de riesgo

Identificado el contexto y los factores de riesgo, llegó la hora de establecer la metodología que utilizará para desarrollar el sistema de gestión de riesgo. Existen varios estándares nacionales e internacionales que podrá utilizar, algunos de ellos son:

  • La Norma Técnica Colombiana NTC – ISO 31000 2018, NTC-IEC/ISO 31010 2020
  • ISO 37301 / 2021
  • Norma Australiana Neozelandesa AS/NZS 4360
  • Modelo de administración del riesgo corporativo COSO
  • Otros estándares internacionales

4. Identificar los riesgos

Teniendo en cuenta las amenazas y sus fuentes de peligro debe identificar los posibles riesgos de LA/FT/FPADM a los que se enfrenta la empresa estableciendo las causas, consecuencias, factores de riesgo y riesgos asociados.

5. Medir los riesgos

De acuerdo con la metodología seleccionada, debe establecer la probabilidad y el impacto de cada uno de los riesgos identificados obteniendo el perfil de riesgo inherente.

6. Calificar los controles

Una vez establecido el perfil de riesgo inherente, se deben calificar los controles de acuerdo con su diseño, calidad y efectividad. Producto de este análisis se obtendrá como resultado el perfil de riesgo residual.

7. Graficar el mapa de calor

Finalizada la matriz de riesgos donde se estableció el perfil de riesgo inherente y el perfil de riesgo residual, se podrá representar los resultados gráficamente en un mapa de calor. Este mapa está conformado por dos variables, la probabilidad (eje “y”) y el impacto (eje “x”), las cuales están calificadas en matrices de diferentes tamaños de acuerdo con sus necesidades (3x3, 5x5 y 10x10), clasificados de menor a mayor. Como resultado de dicha calificación se obtiene el nivel de riesgo de acuerdo con los criterios de riesgo establecidos donde normalmente en la zona roja son los riesgos más peligrosos y en la zona verde son los más bajos o controlados.

Ejemplo matriz de riegos - Tusdatos.co

Para terminar…

Una de las herramientas más poderosas con la que contamos para gestionar los riesgos LA/FT/FPADM es la matriz de riesgos. Esta herramienta brinda información de valor a los administradores de la empresa y al Oficial de Cumplimiento con el fin de tomar mejores decisiones contribuyendo así con la mitigación de los diferentes riesgos de LA/FT/FPADM identificados.

Desde Tusdatos.co podemos asesorarte para elaborar con éxito tu matriz de riesgos. Contáctanos aquí.

Etiquetas

Cumplimiento
Oficial de cumplimiento
SARLAFT
Prevención del Riesgo

Artículos relacionados

Explora más contenido que podría interesarte

Ver todo
Cumplimiento
5 min read

¿Cuáles son las formas más comunes de lavar dinero y cómo evitarlas al interior de tu empresa 2024?

Descubre las técnicas más comunes utilizadas para lavar dinero en empresas y las mejores prácticas para proteger tu organización de estos riesgos.
Leer
Cumplimiento
5 min read

El rol clave de la UIAF en la lucha contra el lavado de activos y la financiación del terrorismo

Descubre cómo la UIAF, en colaboración con el GAFI, previene el lavado de activos y la financiación del terrorismo en Colombia, con mecanismos como el ROS y la identificación de tipologías delictivas.
Leer
Cumplimiento
5 min read

AML: Qué es, cuál es su importancia y cómo implementarlo en tu empresa

Conoce todo sobre el Anti-Money Laundering (AML), su importancia en la prevención del lavado de activos y cómo implementarlo para cumplir con las regulaciones globales y proteger tu empresa.
Leer
Cumplimiento
5 min read

¿Cómo presentar el Informe 75 SAGRILAFT y PTEE?

La Superintendencia de Sociedades en Colombia ha lanzado el Informe 75, que centraliza la información sobre SAGRILAFT y el Programa de Transparencia y Ética Empresarial (PTEE) para los Sujetos Obligados. En este blog, explicamos los detalles esenciales de este nuevo proceso.
Leer
Cumplimiento
5 min read

SAGRILAFT: Supersociedades modificó los plazos

Por medio de una circular expedida el pasado 9 de abril, la Superintendencia de Sociedades indica que los sectores obligados hasta diciembre de 2020, deberán cumplir con el Sagrilaft o el Régimen de Medidas Mínimas a más tardar el 31 de agosto de 2021.
Leer
Cumplimiento
5 min read

¿Cómo realizar tus procesos de contratación de personal de forma efectiva y remota?

Para emprender se necesita una idea, pero una idea que no se ejecuta no vale nada. Los emprendedores tenemos que trabajar muy duro para poder salir adelante y conformar un buen equipo de trabajo es primordial para poder ejecutar nuestra visión.
Leer

¿Quieres modernizar tus procesos de validación de personas y empresas?

Acelera tus procesos de vinculación tomando decisiones rápidas y seguras con tecnología avanzada

Habla con un expertoQuiero comprar