SYSTEM AND

ROAD MAP – REPORTES DE CONTROL

ORGANIZATION
CONTROLS (SOC)
EN ORGANIZACIONES DE SERVICIO
REPORTING ROADMAP
System and–Organization
ROAD MAP REPORTES DEControls
CONTROL(SOC) Reporting Roadmap
EN ORGANIZACIONES DE SERVICIO

Las organizaciones de servicios deben demostrar cada vez más controles y salvaguardas adecuadas sobre los activos de
sus clientes. Garantizar la seguridad, la confidencialidad y la privacidad de los datos de sus clientes es fundamental para
Service
generar organizations
confianza. must increasingly demonstrate adequate controls and safeguards over their clients’ assets.
Ensuring the security, confidentiality and privacy of your clients’ data is critical in building trust and confidence.
Los informes SOC son una parte importante del programa de gestión de riesgos de una organización para ilustrar que los
SOC reports are an important part of an organization’s risk management program to illustrate that service providers have
proveedores de servicios han estado sujetos a un examen profesional de sus controles internos. Su objetivo es garantizar que los
been subject to a professional examination of their internal controls. They are intended to provide assurance that the
controles están diseñados y funcionan de manera efectiva para proteger los datos confidenciales.
controls are designed and operating effectively to protect sensitive data.
El American
The AmericanInstitute
Instituteof
of Certified
Certified Public Accountants (AICPA)
Public Accountants (AICPA)sets
en EEUU y el Colegio
the auditing de Contadores
standards de engagements
for attestation Chile establecen
and developed the SOC reporting framework. SOC reports must be created and issued by an independent auditSOC
normas de atestiguación para este tipo de trabajos y para el desarrollo de metodologías para los Reportes firm,(SOC
who 1,
SOC 2 y SOC 3). Los reportes SOC deben ser
determines if appropriate safeguards are in place.creados y emitidos por una firma de auditoría independiente, la cual determina si
existen las salvaguardas adecuadas.
BENEFICIOS
INFORMES
SOC SOC
REPORTS BENEFITS
Una revisión independiente a los
Hay tres
There aretipos
threede informes
types SOC.
of SOC Cada Each
reports. informe difiere
report según
differs lo que
based on se cubre,
what cómo se
is covered, An independent examination of your
controles internos de su organización
realiza
how thelaassessment
evaluación yisqué nivel de and
performed detalle
whatse level
incluye
of en el informe.
detail is included in the report. organization’s internal controls can help:
puede ayudar a:

SOC 1:
SOC 1: Control
InternalInterno
Control OverlaFinancial
sobre Reporting
Información (ICFR)
Financiera (ICFR) Aumentar la confianza
Increase trust and y la
transparencia
transparencycon susyour
with clientes.
Reports on
XInformes controls
sobre at a en
controles service organizationde
una organización relevant to:relevantes para:
servicios customers
• Control
User entities’
internoInternal Control Over
de las entidades Financial
usuarias Reporting
sobre la (ICFR)
información financiera (ICFR). Fortalecer la seguridad y
XThis
Strengthen
mejorar security
la gestión and
de riesgos.
Este report
informeisestá
intended for restricted
destinado use
a uso restringido.
enhance risk management
Minimizar las auditorías
SOC 2:
SOC 2:Criterios
Trust Services Criteria
de Servicios de Confianza frecuentes de los clientes (y
Minimize frequent
XInformes sobre
Reports on controles
controls at a en una organización
service organizationde servicios
relevant to:relevantes para: encustomer
consecuencia
audits reducir
(and los
costos).
thereby reduce costs)
• Seguridad
Security • Confidentiality
Confidencialidad
• Disponibilidad
Availability • Privacidad
Privacy Crear unaa ventaja
Create competitiva.
competitive
• Integridad de
Processing procesamiento
Integrity • advantage
XThis
Este report
informeisestá
intended for restricted
destinado use
a uso restringido.

SOC 3:
SOC 3: Informe
Trust Services
GeneralCriteria General
de Criterios Report de Confianza
de Servicios
A summarized
XVersión version
resumida de unof a SOCSOC
Informe 2 Report intended
2 destinado for widespread,
a una distribución public
públicadistribution
generalizada.

TIPOS DE
TYPES OF INFORMES
REPORTS
There areopciones
Hay dos two options
parafor each
cada report,Tipo
informe, a Type I andII,Type
I y Tipo II, depending
dependiendo on the time
del período de tiempo
period covered.
cubierto.

TypeI I
Tipo
Reports on
XInformes design
sobre of controls
el diseño and processes
de controles at aenspecific
y procesos un puntopoint-in-time
específico del tiempo.

TypeIIII
Tipo
Reports on
XInformes design
sobre and operating
el diseño effectiveness
y la efectividad of controls
operativa and processes
de los controles overdurante
y procesos a
period
un of time
período de tiempo.
System and–Organization
ROAD MAP REPORTES DEControls
CONTROL(SOC) Reporting Roadmap
EN ORGANIZACIONES DE SERVICIO

CRONOGRAMA DE
ENFOQUE
BDO’S / PROCESO DE BDO
APPROACH/PROCESS SOC 2 ENGAGEMENT
COMPROMISO SOC 2*TIMELINE*
BDO
BDOworks with youcon
trabaja to understand
usted yourpara
business
comprendersituationla and to determine
situación de su
0 BDO issuesunReadiness
BDO emite informe
the appropriate
negocio SOC report(s)
y determinar los needed.
informes Assessment
de preparación Report,
que
We
SOC tailor the approach
adecuados to help meet
necesarios. Preparación
Readiness including:
incluye hallazgos y
your risk management
Adaptamos el enfoqueand reporting
para ayudarlo a 0-1 month
0-1 meses. -r eFindings
c o m e nand
daciones
objectives.
cumplir sus Through extensive
objetivos de gestión de respecto al
RecommendationsModelo de
experience 1 Controles.
riesgos y preparing
reporte. SOC reports,
A través deweuna - Control Mapping
developed an efficient process
amplia experiencia en la preparacióndesigned
to
deimprove
informes the SOC,
qualitydesarrollamos
of these audits,un
Client addresses
El cliente aborda las
reduce your time commitment
proceso eficiente diseñado and para Remediación
Remediation deficiencias
control gapsde control
minimize disruptions to your staff.
mejorar la calidad de estas auditorías, 2-3months
2-3 meses. identificadas en la
identified in Readiness
reducir su compromiso de tiempo y etapa de
Assessment Preparación.
minimizar las interrupciones
ADDITIONAL CHART INFOa su
personal.
Organizations may employ an 3
abbreviated audit period during the first
TABLA DE INFORMACIÓN
year of a SOC engagement, from which 4
ADICIONAL Revisión Type
del Diseño
I de Evaluación
Type IIde la
auditing procedures will be applied.
However, there are minimum los Controles,
Audit Perioden un Eficacia Operativa
Audit Period de
Las organizaciones puedenperiods of
emplear
time an audit period must cover for punto (2-3
específico
months) del los Controles.
(6-12 months)
un período de auditoría abreviado 5
Type II engagements. This ensures tiempo. Período de auditoría
durante el primer año de un
auditors obtain sufficient evidence to 6-12 meses.
compromiso SOC, a partir del cual se
provide reasonable levels of assurance
aplicarán los procedimientos de
on operating effectiveness of controls
auditoría. Sin embargo, existen 6
and processes. The minimum audit
períodos mínimos de tiempo que
period for a SOC 2 Type II first-year BDO
BDOentrega
deliversel
debe cubrir un período de auditoría
audit is three months.
para los compromisos de Tipo II. Esto
Informe SOC 2I Report
SOC 2 Type Tipo I. 7
asegura
For que los
second-year SOCauditores obtengan
audits (and going
evidenciaservice
forward), suficiente para proporcionar
organizations will
niveles razonables
typically de seguridad
employ a regular sobre
audit period 8
la efectividad operativa
of 9-12 months, or on a frequency de los
controlesby their
specified y procesos. El período
user organizations
mínimo
(i.e., para una auditoría de primer
customers). 9
año SOC 2 Tipo II es de seis meses.

Para las auditorías de SOC de segundo 10

año (y en el futuro), las organizaciones
de servicios normalmente emplearán
un período de auditoría regular de 9 a
11
12 meses, o con una frecuencia
especificada por las organizaciones de
sus usuarios (es decir, los clientes).
12
Months
Meses

*Este isesan
*This unillustrative
ejemplo ilustrativo
examplede of un compromiso
a SOC SOC
2 engagement. BDO
BDOentrega el
delivers
2. El enfoque y el tiempo real pueden diferir. Informe
SOC 2 Type 2IITipo
SOC II.
Report
Actual approach and timing may differ.
System and–Organization
ROAD MAP REPORTES DEControls
CONTROL(SOC) Reporting Roadmap
EN ORGANIZACIONES DE SERVICIO

ADVANTAGES OF INFORME
VENTAJAS DE UN A WELL-WRITTEN
SOC BIEN WHYQUÉ
POR BDOBDO
ESCRITO
SOC REPORT
System and Organization Controls (SOC) Reporting Roadmap Elegir el the
Choosing auditor de servicios
right service auditor isadecuado es un elemento
a critical element
XIncrease
AumentarTransparency: Provides
la transparencia: insightinformación
Proporciona into how services
sobre cómo fundamental
for organizationalparasuccess.
el éxitoWe deprovide
la organización. Proporcionamos
fair and balanced
are provided
se prestan losinservicios
a well-controlled manner
de una manera bien controlada. assessments,
evaluaciones as well as
justas y the support and
equilibradas, asíadvice
comoyou el need
apoyo to y el
make sure your organization
asesoramiento que necesita is best positioned
para to demonstrate
asegurarse de que su
X Manage
Gestionar
System Client
los Requirements:
requerimientos
and Organization Includes sufficient
del cliente:
Controls (SOC) Reporting Roadmap detailsdetalles
Incluye
adequate
organizacióncontrols
esté en and la safeguards.
mejor posición para demostrar controles y
on controls in
suficientes placelos
sobre andcontroles
testing performed to provide
implementados thepruebas
y las
ADVANTAGES
comfort
realizadasneeded OF AlaWELL-WRITTEN
to build
para brindar trust
comodidad que se necesita para generar WHY BDOadecuadas.
salvaguardas
BDO combines the deep and broad experience of a global firm
SOC REPORT
confianza. with our unique, hands-on, high touch approach that delivers
XBuild Competitive Advantage: Can help the organization Choosing the right service auditor is a critical element
BDO combina la amplia y profunda experiencia de una firma global
Xretain existing customers and enable the business optimal
for value for cost to our clients.
Construir
Increase
ADVANTAGES
ventaja competitiva:
Transparency:
OFtoA
Puede
Provides ayudar
insight
WELL-WRITTEN
into ahow
la organización
services a conorganizational
WHY nuestro
BDOenfoque
success.
único,We provide
práctico y defair and
alto balanced
contacto que ofrece
development
retener
are inteam
a los clientes
provided drive growth
existentes
a well-controlledy manner
permite al equipo de desarrollo assessments,
un valor óptimoas well
de as
costo the support
para and
nuestros advice
clientes. you need to
SOC BDO has a unique culture rooted in core values that ensures
de REPORT
negocios
XEnhance impulsar
Communications:el crecimiento.
Serves as a critical customer make
Choosingsurethe
your organization
right is bestispositioned to demonstrate
Manage Client Requirements: Includes sufficient details continuous focus onservice auditor
our clients a critical element
and professionals and a long-
adequate
tienecontrols and safeguards.
Xcommunication
on controls
Mejorar
Increaselas and and
in place should
Transparency: be
testing
comunicaciones: considered
performed
Sirve
Provides como ato
insightuna core part
provide of
thethecrítica
comunicación
into how services for
BDO
termorganizational
commitment success.
una culturato quality Weservice.
única provideAfair
arraigada en and balanced
valores
collaborativefundamentales
relationship
service-offering,
comfort
are needed
conprovided
el cliente in and
ato not trust
build separatemanner
well-controlled
y debe considerarse from
una thecentral
parte servicede la oferta de assessments,
que
is
BDO garantiza
important,
combines as
and well
un
the as
wedeep the
enfoque support
continuo
are committed and advice
en you
nuestros
to investingofthe
and broad experience need tofirm y
clientes
necessary
a global
servicios, y no separada del servicio. make
time sure
profesionalesyour
to discuss
with our y organization
un
unique,your compromiso
changes,
hands-on, is best
a positioned
largo
challenges,
high plazo to
condemonstrate
la
and potential
touch approach calidad
issues del
that delivers
XBuild
Manage Competitive
Client Advantage:
Requirements: Can helpsufficient
Includes the organization
details
adequate
servicio.
which
optimal may controls
Una
impact
value and
relaciónyouto
for cost safeguards.
de
and colaboración
ouryour business.
clients. es importante y estamos
retain
on existing
controls customers
in place and enable
and testing the business
performed to provide the
development
comfort neededteam to drive
to build growth
trust comprometidos a invertir el tiempo necesario para discutir sus
BDO
BDO combines
has adesafíos
unique theculture
deep and broad
rooted in experience
core values of a global
that ensures firm
cambios, y problemas potenciales que pueden afectarlo a
Enhance
XBuild Communications:
Competitive Serves
Advantage: Canas a critical
help customer
the organization with our
continuous unique, hands-on, high touch approach that delivers
usted y a sufocus
negocio.on our clients and professionals and a long-
communication
retain and should
existing customers beenable
and considered a core part of the
the business optimal value for cost
term commitment to our clients.
to quality service. A collaborative relationship
service-offering,
development and
team tonot separate
drive growthfrom the service is important, and we are committed to investing the ensures
necessary
BDO has a unique culture rooted in core values that
XEnhance Communications: Serves as a critical customer time
continuous focus on our clients and professionals and a issues
to discuss your changes, challenges, and potential long-
communication and should be considered a core part of the which may impact you
term commitment and your
to quality business.
service. A collaborative relationship
service-offering, and not separate from the service is important, and we are committed to investing the necessary
CONTACT
CONTACTO time to discuss your changes, challenges, and potential issues
which may impact you and your business.
LEOPOLDO ASTUDILLO
Gerente Risk Advisory Services
lastudillo@bdo.cl

CONTACT
PABLO ORTIZ
Gerente Técnico
pablo.ortiz@bdo.cl
CONTACT

Esta publicación ha sido elaborada detenidamente, sin embargo, ha sido redactado en términos generales y debe ser considerado, interpretado y asumido únicamente como una referencia general. No puede
utilizarse como base para amparar situaciones específicas. Usted no debe actuar o abstenerse de actuar de conformidad con la información contenida en este documento sin obtener asesoramiento profesional
específico. Póngase en contacto con BDO Auditores & Consultores Ltda., para tratar estos asuntos en el marco de sus circunstancias particulares. BDO Auditores & Consultores Ltda., sus socios, directores,
gerentes y empleados no aceptan ni asumen ninguna responsabilidad o deber de cuidado ante cualquier pérdida derivada de cualquier acción realizada o no por cualquier individuo al amparo de la información
contenida en esta publicación o documento o ante cualquier decisión basada en ella.

BDO Auditores & Consultores Ltda., una sociedad chilena de responsabilidad limitada, es miembro de BDO International Limited, una compañía limitada por garantía del Reino Unido, y forma parte de la red
internacional BDO de empresas independientes asociadas. BDO es el nombre comercial de la red BDO y de cada una de las empresas asociadas de BDO.
Copyright ©2021 BDO Auditores & Consultores Ltda.
Queda prohibida su reproducción o copia parcial o total del contenido sin nuestro pleno consentimiento.

BDO is the brand name for BDO USA, LLP, a U.S. professional services firm providing assurance, tax, and advisory services to a wide range of publicly traded and privately held companies. For more
than 100 years, BDO has provided quality service through the active involvement of experienced and committed professionals. The firm serves clients through more than 65 offices and over 740
independent alliance firm locations nationwide. As an independent Member Firm of BDO International Limited, BDO serves multi-national clients through a global network of more than 88,000
people working out of more than 1,600 offices across 167 countries and territories.
BDO USA, LLP, a Delaware limited liability partnership, is the U.S. member of BDO International Limited, a UK company limited by guarantee, and forms part of the international BDO network of
independent member firms. BDO is the brand name for the BDO network and for each of the BDO Member Firms. For more information please visit: www.bdo.com.
Material discussed is meant to provide general information and should not be acted on without professional advice tailored to your needs.
© 2020 BDO USA, LLP. All rights reserved.

BDO is the brand name for BDO USA, LLP, a U.S. professional services firm providing assurance, tax, and advisory services to a wide range of publicly traded and privately held companies. For more
than 100 years, BDO has provided quality service through the active involvement of experienced and committed professionals. The firm serves clients through more than 65 offices and over 740