Informe 75 - Imagen editada por Infolaft
Más de 35.000 sociedades vigiladas por la Superintendencia de Sociedades deben presentar el Informe 75, entre el 15 y el 29 de julio de 2026.
¿Qué es el Informe 75 Supersociedades?
Se trata de un reporte anual mediante el cual la autoridad de supervisión verifica el cumplimiento de los Sistemas de Autocontrol y Gestión del Riesgo del LA/FT/FPADM (SAGRILAFT) —tanto en su versión plena como en el Régimen de Medidas Mínimas— y los Programas de Transparencia y Ética Empresarial (PTEE) para la vigencia 2025.
Una vez recibida, la Delegatura de Asuntos Económicos y Societarios de la Superintendencia es responsable de revisar los datos declarados frente a lo dispuesto en la Circular Externa 100-000016 del 24 de diciembre de 2020 —marco normativo del SAGRILAFT y el RMM— y en la Circular Externa 100-000011 del 9 de agosto de 2021, aplicable al PTEE.
El diligenciamiento, además, debe tener en cuenta las condiciones específicas introducidas por la Circular Externa 100-000002 del 14 de marzo de 2025.
Informe 75: aspectos generales
Más allá del cumplimiento formal del plazo, que puede generar multas y sanciones que superan los $350 millones, el Informe 75 representa para los oficiales de cumplimiento del sector real no solo el reporte anual para cumplir con una obligación legal, sino la oportunidad de hacer un balance riguroso de la gestión adelantada a lo largo del año 2025.
El formulario está compuesto por varias secciones, pero es mucho más que eso: es una forma de supervisión muy avanzada y efectiva que tiene la Superintendencia de Sociedades, y puede terminar en solicitudes puntuales, planes de acción y, en algunos casos, en sanciones.
Hemos visto cómo las entidades públicas adoptan cada día la IA para mejorar procesos y analizar volúmenes importantes de información. Este no es un caso aislado para nuestro sector. En 2025, la Superintendencia Financiera incorporó una herramienta de inteligencia artificial que automatiza la calificación del diseño del programa de prevención del riesgo de LA/FT en las entidades vigiladas.
¿Será este también el caso para la Superintendencia de Sociedades en el 2026? Lo sabremos después del 29 de julio, cuando empiecen a formularse solicitudes puntuales a las entidades vigiladas.
A continuación, en Infolaft presentamos un resumen de la información que debe reportarse en cada una de las secciones del formulario 75. Información útil tanto para quienes lo diligencian por primera vez como para quienes ya están familiarizados con este ejercicio.
Secciones clave del Informe 75
La sección 7510 recoge los datos de identificación de la sociedad obligada, mientras que la 7520 concentra la información sobre la designación del oficial de cumplimiento y las condiciones de su nombramiento.
La 7530 es, quizás, la más sustancial, pues no se limita a recoger información general sobre el sistema implementado. Requiere la descripción precisa de la matriz de riesgo del sujeto obligado, a través de la cual la Superintendencia verifica las prácticas adoptadas para dar cumplimiento al SAGRILAFT y/o al PTEE, y evalúa la solidez metodológica del sistema.
Por su parte, la sección 7540 está dedicada al proceso de divulgación y capacitación interna: qué se comunicó, a quiénes y con qué alcance.
La 7550 registra el cumplimiento de la obligación de reporte a la UIAF, ya sea que se hayan presentado reportes de operaciones sospechosas durante la vigencia o que no haya habido situaciones que ameritaran hacerlo.
A su vez, la 7560 identifica las transacciones con activos virtuales del sujeto obligado que pueden elevar el nivel de exposición al riesgo LA/FT/FPADM.
Por su parte, la 7570 da cuenta del cumplimiento del Régimen de Medidas Mínimas establecido en la normativa vigente, con lo cual, si su entidad está cobijada exclusivamente por este conjunto de medidas, no estará obligada a diligenciar las demás secciones.
Finalmente, la sección 7580 está dedicada exclusivamente a los PTEE e incluye una pregunta descriptiva sobre los mecanismos de protección a denunciantes adoptados por el sujeto obligado.
La matriz de riesgo:
punto clave del Informe 75
Uno de los elementos más importantes del Informe 75 es el reporte que se debe hacer sobre la matriz de riesgo, que en el formulario se encuentra en la sección 7530, específicamente desde la pregunta 33.
No se trata de un requisito formal: la matriz es el eje central de todo sistema de cumplimiento. Es la herramienta que permite identificar, segmentar, medir y controlar los riesgos a los que está expuesta la empresa. Por lo que es muy importante que cada sujeto obligado escoja con detenimiento la herramienta que se utiliza para construir y desarrollar la matriz de riesgo. El informe no solo verifica su existencia, sino que evalúa su efectividad y el rigor metodológico con el que fue construida.
Para el SAGRILAFT y el RMM, la matriz que componen estos sistemas debe cubrir, por lo menos, cuatro factores de riesgo mencionados en la norma: contrapartes, productos y/o servicios, canales de distribución y jurisdicciones.
En el caso del PTEE, la norma contempla como factores de riesgo a los terceros, el riesgo país, la actividad económica, entre otros elementos relevantes según la exposición particular de la empresa obligada.
En todo caso, las áreas de cumplimiento deben demostrar que la identificación de riesgos se realizó de manera rigurosa, pues sobre aquella etapa se construye todo el sistema de gestión del riesgo.
Es importante resaltar que esta sección evalúa si la empresa es capaz de segmentar y medir esos riesgos, incluido el riesgo inherente y el riesgo residual, como se muestra a continuación, y si cuenta con evidencia documental que soporte todo el proceso.

Ejemplo de matriz de riesgo inherente y residual. Fuente: KYR – Infolaft
Una matriz de riesgo que terminó en sanción
Las sanciones a las matrices de riesgo no son un tema nuevo ni menor. En el año 2023 la Superintendencia de Sociedades a través de la Resolución 2023-01-471894 sancionó a una empresa por su matriz de riesgo.
La empresa no contaba con una matriz de riesgos propia para su operación en Colombia; utilizaba la matriz de riesgo de la empresa principal.
La matriz que se presentó posteriormente tampoco corrigió el problema. La Superintendencia constató que solo se cambió el nombre del formato por la razón social local y se agregaron 7 riesgos que no estaban individualizados ni clasificados. La mayoría de esos riesgos agregados correspondían a soborno y corrupción, riesgos que no trata el Capítulo X.
Este cargo, junto con otros dos —no aprobar el SAGRILAFT dentro del plazo y no contar con un sistema ajustado a la normativa vigente—, llevó a una sanción de $30.403.200 (716,85 UVT, equivalentes a 26,21 SMLMV). La empresa apeló y la Superintendencia confirmó la sanción ratificando que la matriz de riesgos presentada no cumplía con lo exigido en el Capítulo X.
El Informe 75 y la gestión del riesgo de corrupción y soborno transnacional
Teniendo en cuenta la relevancia que ha adquirido la lucha contra la corrupción en el contexto actual, merece especial atención el nuevo bloque de la sección 7530 enfocado en evaluar la exposición de las empresas al riesgo de corrupción y soborno transnacional (C/ST), complementario a las preguntas de la sección 7580 sobre canales de denuncia del PTEE, en concordancia con las recomendaciones de la OCDE y los estándares internacionales en materia de cumplimiento corporativo.
El bloque indaga, entre otros aspectos, si el sujeto obligado incorpora cláusulas contractuales con compromisos expresos de terceros para prevenir riesgos de C/ST y LA/FT/FPADM, y si el PTEE está traducido a los idiomas oficiales de los países donde la sociedad celebra negocios en los que no se habla español.
Asimismo, el formulario pregunta por la existencia de contratos con entidades públicas en el exterior: los países con los que están suscritos, el número de contratos y su valor en pesos colombianos.
Este bloque obliga a las empresas con operaciones o vínculos contractuales internacionales a tener claridad sobre su exposición al riesgo de C/ST y a identificar si cuentan con los mecanismos para gestionarla.
Para muchos oficiales de cumplimiento del sector real, estas preguntas pueden representar un recordatorio de que la Superintendencia de Sociedades tiene en su mira el cumplimiento anticorrupción con estándares cada vez más exigentes.
El Informe 75 no es solo un requerimiento que debe cumplirse ante la entidad supervisora. Es un ejercicio serio y riguroso que le permite a cada empresa fortalecer su sistema año tras año, identificando la solidez de su matriz de riesgo, los resultados de sus capacitaciones, los reportes a la UIAF y la profundidad con la que los oficiales de cumplimiento conocen la exposición de su empresa a sus riesgos.
Con un plazo improrrogable y sanciones que superan los $350 millones, la preparación no puede dejarse para último momento. Revise, documente y consolide los resultados ahora.
Infolaft, empresa líder en la región en prevención de LA/FT/FPADM, cuenta con KYR, software empresarial (SaaS) que apoya el cumplimiento de 13 obligaciones del SAGRILAFT. KYR le ayudará a fortalecer el desarrollo de su matriz de riesgo con el respaldo de casi 20 años de experiencia de Infolaft, y a mejorar la presentación de la sección 7530 del Informe 75.
