SAES SUGEF: qué es, cómo funciona y todo lo que debes saber en Costa Rica

En Costa Rica, el cumplimiento regulatorio en materia de auditoría externa vinculada a prevención de legitimación de capitales, financiamiento al terrorismo y financiamiento de la proliferación de armas de destrucción masiva ha evolucionado hacia esquemas más trazables y digitalizados. En ese contexto, el SAES SUGEF —Sistema de Auditorías Externas de la Superintendencia General de Entidades Financieras— es la herramienta tecnológica mediante la cual se gestiona parte relevante del proceso de auditoría externa regulatoria entre sujetos supervisados, sujetos obligados y auditores externos. SUGEF lo presenta como un repositorio y sistema operativo asociado al proceso de auditoría externa establecido en los acuerdos CONASSIF 12-21 y SUGEF 13-19.

¿Qué es SAES SUGEF?

El SAES es una plataforma oficial de SUGEF diseñada para gestionar la asignación del auditor, la ejecución de la auditoría y la remisión del informe dentro de un entorno controlado. La documentación oficial describe expresamente el sistema como una “herramienta automatizada” para esos fines. Además, los manuales de uso indican que los encargos de auditoría sujetos a la regulación correspondiente deben tramitar sus resultados a través del SAES.

Dicho de forma simple, SAES no es solo un portal para subir documentos. Es un sistema de trabajo con flujos, estados, perfiles de usuario, permisos y trazabilidad, orientado a que la gestión de la auditoría externa quede formalmente documentada ante la Superintendencia.

¿Para qué sirve?

SAES sirve para administrar digitalmente etapas clave del proceso de auditoría externa regulatoria. Entre las funcionalidades que la propia SUGEF menciona para usuarios autorizados están la solicitud de prórrogas, la devolución y la aprobación del informe de auditoría externa. En la capacitación de perfil entidad también se indica que la herramienta permite la asignación del auditor, la ejecución de la auditoría y la remisión del informe.

Desde el punto de vista práctico, SAES facilita que exista control sobre quién inicia el proceso, quién participa, qué informe corresponde a qué alcance, en qué estado se encuentra la auditoría y qué observaciones o rechazos se generan durante el trámite. Esa estandarización es especialmente relevante en procesos sensibles de cumplimiento regulatorio.

¿A qué tipo de auditoría está vinculado?

La documentación oficial disponible de SAES y la normativa relacionada lo conectan de forma directa con la auditoría externa sobre prevención y control de LC/FT/FPADM. El manual para perfil auditor indica que está dirigido a auditores externos autorizados por la SUGEVAL para realizar informes de auditoría sobre legitimación de capitales (LC), financiamiento al terrorismo (FT) y financiamiento de la proliferación de armas de destrucción masiva (FPADM). A su vez, el Acuerdo SUGEF 13-19 establece que el sujeto obligado debe someterse periódicamente a una auditoría externa sobre el cumplimiento de medidas para prevenir esos riesgos.

La capacitación oficial también señala que el alcance de esta auditoría busca atestiguar, con certeza razonable, la eficacia y efectividad del proceso de identificación de riesgos de LC/FT/FPADM, así como la eficacia y efectividad de los controles implementados y el cumplimiento de la Ley 7786 y normativa conexa.

¿Quiénes usan el sistema?

En términos generales, intervienen dos grandes perfiles: el perfil entidad o sujeto obligado/supervisado y el perfil auditor. La biblioteca oficial de SUGEF sobre SAES incluye manuales y ayudas separados para ambos perfiles, lo que confirma que el sistema está diseñado para interacción dual entre quien contrata o recibe el informe y quien ejecuta el trabajo de auditoría externa.

Del lado del auditor, la ayuda en línea menciona expresamente al perfil “Auditor consultante de auditoría”, asignado por el sujeto obligado, y explica que ese perfil interactúa con el listado del sistema para gestionar el informe. Del lado de la entidad, el manual establece que los usuarios autorizados deben estar registrados para ejecutar acciones como solicitar prórrogas, devolver y aprobar informes.

¿Quién puede ser auditor en SAES?

No cualquier profesional puede operar como auditor dentro de este proceso. La normativa y la documentación oficial indican que estas auditorías deben ser ejecutadas por firmas de auditoría externa o auditores externos independientes inscritos en el registro correspondiente del mercado de valores, y el manual SAES para perfil auditor señala además que está dirigido a auditores externos autorizados por la SUGEVAL para estos informes. También se ha destacado en presentaciones normativas que el personal que realice los estudios de riesgo LC/FT/FPADM debe poseer conocimientos y experiencia demostrables en esta materia.

Esto es importante porque SAES no sustituye los requisitos profesionales o regulatorios del auditor. El sistema es un vehículo de gestión; la habilitación profesional y regulatoria sigue dependiendo del marco normativo aplicable.

¿Cómo funciona SAES SUGEF?

A nivel general, SAES funciona mediante un flujo estructurado de gestión. Con base en los manuales y presentaciones oficiales, el proceso puede entenderse así:

1) La entidad o sujeto obligado debe tener acceso habilitado

Para utilizar SAES, la entidad debe estar previamente suscrita en SUGEF Directo y contar al menos con un funcionario con el rol de Responsable de Seguridad Total (RST). Ese responsable administra el acceso de los demás funcionarios al sistema. Además, SUGEF dispone del Sistema de Administración de Usuarios Externos, cuyo objetivo es precisamente permitir que los supervisados administren los accesos de sus funcionarios a los distintos sistemas externos de la Superintendencia, según los perfiles definidos.

2) Los usuarios deben tener roles y permisos correctos

Los manuales de SAES indican que el sistema trabaja con perfiles y permisos, habilitando acciones específicas de acuerdo con el perfil asignado. Por eso, no basta con “tener acceso”; el usuario debe tener el rol correcto para aprobar, devolver, consultar o gestionar una auditoría.

3) Se asigna el auditor o el estudio de auditoría

La documentación de capacitación para el perfil auditor menciona pasos como seleccionar el estudio de auditoría, escoger el tipo de rol —por ejemplo, responsable o miembro de equipo— y ejecutar la auditoría. Esto muestra que el sistema permite estructurar la participación del auditor y su equipo dentro del flujo.

4) El auditor ejecuta la auditoría en el sistema

La capacitación oficial explica que, al ejecutar la auditoría, el sistema puede mostrar el período auditado y requerir que el auditor describa la metodología. Después de eso, SAES despliega los procesos o requerimientos que debe evaluar el auditor. Además, otra ayuda señala que existe un módulo de alcance que presenta criterios que el auditor debe analizar, incluyendo área, proceso o requerimiento especial y la superintendencia responsable.

5) Se remite el informe y se gestiona su revisión

Una vez concluido el encargo, el informe se remite a través del sistema. Los materiales oficiales muestran que la entidad puede revisar estados del trámite y que, incluso, cuando la Superintendencia rechaza el informe, el estado cambia a “Devuelto-rechazado por Superintendencia”. En ese caso, la entidad debe consultar el documento de rechazo con los motivos y valorar si corresponde devolver el informe al auditor.

6) El sistema mantiene estados, trazabilidad y control documental

La ayuda del perfil auditor explica que el sistema identifica cada proceso con un código de auditoría, asignado automáticamente al generar un alcance de auditoría externa. Esto fortalece la trazabilidad del expediente y reduce el riesgo de manejo informal del proceso.

Requisitos básicos para usar SAES

Según los manuales oficiales, hay requisitos mínimos que no deberían pasarse por alto. Uno de ellos es que los usuarios cuenten con firma digital. Además, el manual de perfil sujeto indica que deben instalar en sus computadoras la herramienta GAUDI del BCCR, utilizada para autenticarse en el sistema. También se requiere la previa habilitación en SUGEF Directo y la administración de usuarios mediante el esquema de roles correspondiente.

En otras palabras, el acceso a SAES combina elementos de identidad digital, seguridad tecnológica y autorización funcional. No es un sistema de libre ingreso ni de simple usuario y contraseña tradicional.

Base normativa relacionada

El marco regulatorio citado por SUGEF para el proceso SAES incluye, al menos, los acuerdos CONASSIF 12-21 y SUGEF 13-19. El sitio de SUGEF identifica expresamente que la documentación de SAES está asociada al proceso de auditoría externa establecido en esos acuerdos. Además, el Acuerdo CONASSIF 12-21 contiene disposiciones sobre auditoría externa de LC/FT/FPADM e informe del auditor externo, mientras que SUGEF 13-19 regula la obligación del sujeto obligado de someterse periódicamente a auditoría externa en esta materia.

Como referencia adicional, el Reglamento General de Auditores Externos, contenido en CONASSIF 1-10, establece condiciones sobre quiénes pueden prestar servicios de auditoría externa dentro del sistema financiero supervisado.

¿Por qué es importante SAES para las entidades?

La importancia de SAES radica en cuatro elementos. Primero, formaliza el proceso de auditoría externa. Segundo, mejora la trazabilidad, al dejar registro de acciones, estados y responsables. Tercero, fortalece el control interno, porque obliga a definir roles de acceso y segregación de funciones. Y cuarto, contribuye al cumplimiento regulatorio, al canalizar el proceso bajo un formato y una lógica operativa definidos por la Superintendencia. Estas conclusiones se desprenden de la estructura funcional descrita por SUGEF en sus manuales, presentaciones y servicios de administración de usuarios.

Para una firma o sujeto obligado, el riesgo no solo está en la calidad del informe del auditor, sino también en una mala gestión de accesos, plazos, devoluciones, estados del trámite o documentación de respaldo. SAES vuelve visibles esos puntos de control.

Riesgos comunes o errores que conviene evitar

En la práctica, hay varios errores que pueden complicar la gestión en SAES. Uno es no tener actualizado el Responsable de Seguridad Total o los perfiles de acceso. Otro es asumir que cualquier usuario puede aprobar o devolver informes sin contar con el rol correspondiente. También puede haber problemas si la entidad no revisa oportunamente un rechazo de la Superintendencia o si el auditor no documenta correctamente la metodología y el alcance en el sistema. Estos riesgos son inferencias razonables a partir del diseño funcional y de los controles que describen los manuales oficiales.

Buenas prácticas recomendadas

Para usar SAES de forma ordenada, conviene que la entidad mantenga actualizado su mapa de usuarios, que revise periódicamente los permisos otorgados, que documente internamente quién aprueba, quién revisa y quién da seguimiento al informe, y que coordine adecuadamente con la firma auditora desde la etapa de asignación del encargo. También es recomendable que los responsables conozcan la normativa vinculada y no vean SAES como un simple trámite informático, sino como parte del sistema de cumplimiento y gobierno. Estas recomendaciones derivan del funcionamiento del sistema y de la estructura de roles que SUGEF ha publicado.

Conclusión

El SAES SUGEF es una plataforma clave dentro del ecosistema regulatorio costarricense para la gestión de auditorías externas vinculadas al cumplimiento en materia de LC/FT/FPADM. Su valor no está solo en digitalizar un trámite, sino en ordenar el proceso completo mediante roles, permisos, autenticación segura, gestión documental y seguimiento de estados. Para las entidades supervisadas, sujetos obligados y auditores externos, entender cómo funciona SAES es esencial para reducir errores operativos y fortalecer el cumplimiento regulatorio frente a la SUGEF.

Jorge Gutiérrez Guillen
JGutierrez Auditores Consultores S.A.

Fuentes :

  • Superintendencia General de Entidades Financieras (SUGEF) – repositorio oficial del Sistema de Auditorías Externas (SAES), con manuales y material de capacitación sobre el proceso de auditoría externa regulado por los acuerdos CONASSIF 12-21 y SUGEF 13-19.
  • Manual de Uso del Sistema SAES – Perfil Sujeto, donde SUGEF explica que el sistema opera con perfiles y permisos para gestionar acciones según el rol del usuario.
  • Manual de Uso del Sistema SAES – Perfil Auditor, que detalla la gestión del informe por parte del auditor y el uso de perfiles y roles dentro del sistema.
  • Sistema de Administración de Usuarios Externos de SUGEF, servicio oficial para administrar el acceso de funcionarios a los sistemas externos de la Superintendencia.
  • Ayudas en línea y capacitación SAES para perfil entidad y perfil auditor, donde se explican flujos, campos, códigos de auditoría y gestión del requerimiento.

#SAESSUGEF #SUGEF #AuditoriaExterna #CumplimientoRegulatorio #ControlInterno

Share This Post
Jorge Gutiérrez Guillén

With over 15 years of experience in auditing and financial consulting, I serve as the founder and managing partner of JGutierrez Auditores Consultores S.A.—a boutique firm dedicated to delivering exceptional, value-driven solutions that consistently exceed industry standards. Our mission is to promote transparency, efficiency, and sustainability by combining international best practices with in-depth knowledge of Costa Rican and regional regulations. We operate under the guiding principles of integrity, innovation, and excellence. Our Expertise At JGutierrez Auditores Consultores, we provide comprehensive audit and consulting services tailored to meet the evolving needs of today’s businesses. Our core areas of specialization include: Financial Audits: Independent evaluations aligned with international standards, ensuring reliability and accuracy in financial reporting. Regulatory Compliance: Expert navigation of complex tax and financial frameworks to ensure full adherence and strategic advantage. Internal Controls: Strengthening governance structures to mitigate risk and boost operational effectiveness. Fraud Prevention: Implementing forward-looking strategies to detect, prevent, and respond to financial irregularities. Process Optimization: Streamlining workflows and improving resource allocation for enhanced productivity and long-term growth. Environmental & Financial Sustainability: Supporting compliance with emerging ESG regulations to reinforce resilience. Information Security: Protecting critical systems and data through robust cybersecurity and risk management measures. Value-Centered Consulting Beyond our audit services, we offer strategic consulting designed to help organizations innovate and compete in an increasingly dynamic environment: Information Systems & Operational Management: Integrating technology and operations to boost performance and scalability. ISO Standards Compliance: Providing expert guidance to achieve and maintain globally recognized certifications. Transfer Pricing Studies: Ensuring compliance with international tax obligations while enhancing cross-border efficiency. Industrial Cost Analysis: Delivering deep insights into cost structures to support sound decision-making and margin improvement. Why Choose JGutierrez Our strength lies in a collaborative, multidisciplinary team that brings together seasoned professionals and next-generation talent, equipped with expertise in emerging technologies. This synergy enables us to deliver innovative, high-impact solutions that support growth, reinforce resilience, and unlock strategic opportunities. As a trusted advisor, I am committed to building lasting partnerships and helping organizations navigate the challenges of today while preparing for the opportunities of tomorrow. Jorge Gutiérrez Guillén Certified Public Accountant | Business Consultant

Related Articles

Leave a comment

Hey, so you decided to leave a comment! That's great. Just fill in the required fields and hit submit. Note that your comment will need to be reviewed before its published.

Traduce »