sábado, 24 de octubre de 2009

viernes, 23 de octubre de 2009

VIDEO TUTORIAL ACL 8

1. Se establece la carpeta de trabajo y se importa el archivo.




Cursos CAATTs:
Curso IDEA 8 Caseware
Curso ACL 8 (Audit Command Language)

sábado, 3 de octubre de 2009

2009: Fraudes en Cajeros Automáticos (ATMs)

A continuación algunos títulos relevantes sobre ATM que surgieron durante el 2009 respecto a fraudes en ATMs.

Caen ladrones de cajeros automáticos

Recomiendan cuidado al retirar dinero de cajeros

Detienen a tres delincuentes que operaban en cajeros automáticos

La banca invierte y apuesta por más agencias y cajeros

BCP aumenta la seguridad con huella digital del cliente

Bajan el monto a retirar en cajeros

La noticia más rescatable es la incorporación de sistemas biométricos por parte del BCP fin de evitar estos fraudes, una entidad financiera que se puso a la vanguardia de estas tecnologías es PRODEM con sus "Cajeros Automáticos Inteligentes".

sábado, 19 de septiembre de 2009

Análisis de Malware en ATMs

Lo siguiente es la descripción de "Propiedades de la muestra de malware" del paper "Automated Teller Machine (ATM) Malware Analysis Briefing" de Trustwave. Mayo 28 de 2009

Trustwave's SpiderLabs realizó el análisis del software malicioso (malware) que fue encontrado instalado en ATMs (Automated Teller Machines) coprometidos en la región este de Europa. Este malware captura los datos de la banda magnética y los códigos del PIN del espacio privado de memoria de las transacciones procesadas por las aplicaciones instaladas en un ATM comprometido. Los ATMs comprometidos en cuestión de los que se trata en este informe, ejecutaban el sistema operativo Windows XP de Microsoft.

El malware contiene funcionalidades de administración avanzados permitiendo al atacante controlar completamente un ATM comprometido a través de una interfaz de usuario personalizada construida dentro del malware. Esta interfaz es accesible al insertar tarjetas controladoras dentro del lector de tarjetas del ATM. Los analistas de SpiderLabs no creen que el malware incluya funcionalidades de red que le permitirían al malware enviar los datos recolectados a otro equipo o localizaciones remotas via Internet. Aunque quizás el malware permite la salida de los datos de tarjetas recolectados mediante la impresora de recibos del ATM o escribiendo los datos en un dispositivo electrónico de almacenamiento (posiblemente usando el lector de tarjetas del ATM). Los analistas también descubrieron código indicando que el malware podría ejecutar el cassette dispensador de billetes.

Lo que sigue es un resumen de alto nivel de las características claves identificadas durante el análisis a fondo de la muestra de malware por Trustwave. Sin embargo, se cree que es una versión relativamente temprana/reciente del malware y que versiones subsecuentes tendrán mejoras significativas a su funcionalidad.


Fuente: TrustWave

miércoles, 16 de septiembre de 2009

Delitos en ATM

Una visión de la situación Europea y de las reglas de oro sobre como evitarlos



Un documento elaborado por ENISA (European Network and Information Security Agency)

A continuación un resumen de algunos aspectos relevantes:

"El 2008 el crimen en ATMs se incrementó en 149% comparado con años previos."
"Este incremento se debió principalmente a ataques denominados Skimming."

Incidentes recientes a lo largo del mundo:

* 500.000 dólares americanos fueron robados de un banco Australiano usando un dispositivo de skimming adjunto a un ATM en Melourne.
http://www.atmmarketplace.com/article.php?id=10808

* Dispositivos capaces de escanear los detalles de las tarjetas bancarias y de crédito se pusieron en los ATMs afuera de un supermercado en UK.
http://news.bbc.co.uk/2/hi/uk_news/england/tees/4796002.stm

* Diez ATMs se utilizaron para clonar tarjetas y robar más de 1 millón de dólares americanos de cuentas bancarias en Melbourne
http://www.atmmarketplace.com/article.php?id=10883

* 500.000 dólares americanos fueron robados de más de 250 víctimas en Staten Island al colocar cámaras directamente dentro de los teclados del ATM y filmar a las víctimas tecleando sus códigos PIN
http://www.nydailynews.com/news/ny_crime/2009/05/11/2009-05-11_automated_theft_bandits_steal_500g_by_rigging_atms_with_pinreading_gizmos.html#ixzz0J8qBVdar&D


* Al rededor de 4.000 páginas de datos que contienen tarjetas de crédito Cypriot fueron encontradas en una computadora que pertenecía a ladrones.
http://www.neurope.eu/articles/89221.php

Tipos de Delitos en ATMs
Al establecer los delitos o fraudes en ATMs, los clasifican en 3 grandes grupos citados en el informe:

1. Robo de información de tarjetas de clientes de bancos
Skimming Card
Fake ATM machines
Card trapping
Distraction theft or 'manual' skimming
Shoulder surfing
Leaving transaction 'Live'
Cash Trapping

2. Ataques a computadoras y redes
Network attacks against ATMs
Viruses and malicious software
Phishing
PIN cash-out attacks

3. Physical ATM Attacks

Una vez expuestos los datos sobre que tipos de delitos se cometen, el informe da ciertas recomendaciones que citamos a continuación.

REGLAS DE ORO PARA REDUCIR EL DELITO EN ATMs
Elegir un ATM seguro
1. No utilizar ATMs con excesivas señales de advertencia.
2. Utilice los ATM dentro de los bancos.
3. No utilice los ATMs a la intemperie.

Observe su entorno físico
4. Esté atento a su entorno
5. Verifique que las personas en la fila estén a una distancia adecuada.
6. Proteja su PIN parándose cerca del ATM y tapando el teclado.

Observe el ATM
7. Presete atención a la parte frontal del ATM.
8. Preste mucha atención a la ranura a la que ingrese su tarjeta.
9. Preste mucha atención al teclado del ATM.
10. Vea si existen cámaras extra.
11. Reporte su tarjeta retenida inmediatamente.
12. Tenga cuidado si el ATM no dispensa el dinero o que le cobre cargos.

Revise sus resúmenes
13. Revise frecuentemente sus resúmenes de cuenta

Reporte actividades sospechosas
14. Reporte las tarjetas confiscadas inmediatamente.
15. Reporte cualquier actividad sospechosa inmediatamente.

Todas las recomendaciones son totalmente válidas, sin embargo al analizar estas "reglas de oro" podemos ver que varias de estas recomendaciones dirigidas al usuario del servicio, desde mi punto de vista deberían ser asumidas por las entidades prestadoras del servicio (bancos), por ejmplo las reglas 1, 3, 7, 8, 9, 10 son consecuencia directa de la seguridad física que no está implementada en los ATMs.



Los bancos que al abrir nuevos puntos de cobranzas, agencias o sucursales deben ofrecer seguridad a si mismos como a sus usuarios por ejemplo un lugar adecuado para la bóveda, cámaras de vigilancia, guardias, etc por exigencias del ente regulador. Al ofrecer servicios de ATMs deberían hacer lo mismo, dotar al nuevo servicio de un grado aceptable de seguridad tanto para el banco como para el usuario, seguridad física o perimetral obviamente sin dejar de lado la seguridad lógica.

La jurisprudencia sobre el tema cada vez va ratificando lo indicado como se cita en el post Jurisprudencia Phishing II “… Así las cosas pues las personas que contratan con los bancos lo hacen en función de la confianza y apariencia de seriedad y seguridad que ostentan y, con la apertura de una caja de ahorro, no sólo esperan poder operar con ella sino que también entienden que la entidad crediticia realizará todo lo que esté a su alcance para evitar que -mediante su utilización- sufra daños en su persona o bienes.-“



Descargar documento completo (pdf)

viernes, 28 de agosto de 2009

Bibliografia en linea sobre la Ley de Benford



El sitio web www.benfordonline.net promete ser una fuente invaluable sobre la Ley de Benford, en su presentación en inglés indica:

"Esta bibliografia pretende proveer una lista actualizada y contínua de artículos, libros y otros recursos relacionados a la Ley de Benford, incluyendo teoría, aplicaciones y aspectos de interés humano sobre este campo de rápida evolución.

Las entradas contenidas en el sitio fueron colectadas y compiladas por el Dr. Mark Nigrini y el Dr. Werner Hürlimann así como referencias de Google Scholar y el Science Citation Index.

..."

Fuente: http://www.benfordonline.net




ARTÍCULOS RELACIONADOS:

NIGRINI Y LEY DE BENFORD

TECNICAS ANTIFRAUDE y La Ley de Benford

PELIGROS DE LA LEY DE BENFORD

Presentación: Técnicas de Detección de Fraudes

LOGs DE AUDITORIA

DIVERSION (y detección de fraudes) CON LA LEY DE BENFORD

viernes, 22 de mayo de 2009

ACL - Audit Command Language



ACL (Lenguaje de Comandos de Auditoria) es un software para análisis y extracción de datos más usado en la actualidad.

Con ACL los auditores y profesionales de los negocios pueden transformar grandes cantidades de datos electrónicos en un conocimiento comercial de valor. Es un software, poderoso y fácil de usar, le permite convertir datos en información significativa, lo cual le ayuda a alcanzar sus objetivos de negocios y agregar valor a su organización.

Con ACL se podrá realizar la revisión de datos con una cobertura del 100% de los datos, esto significa que se pueden hacer auditorías para toda una población entera, y no para pequeñas muestras.

El impacto de ACL se ve en los siguientes aspectos: los ciclos de auditoría más cortos; las investigaciones más detalladas; una confianza completa en sus resultados; un ahorro significativo en sus recursos; un rol mayor de la auditoría en el negocio.


Características del ACL

Características generales:
• Permite importar archivos de diferentes fuentes o formatos (archivos planos y de base de datos específicas).
• Los datos importados no son modificados asegurando la integridad e incrementando el nivel de confianza de los datos trabajados
• Generación de pistas de auditoria (Quien, Como, Cuando, Donde)
• Posibilidad de escribir Scripts/Macros que automaticen procedimientos de revisión rutinaria en auditorias recurrentes.
• Incrementa la cobertura de revisión al 100% de datos a analizar

Características específicas:
• Identificar tendencias, señalar excepciones y destacar áreas que requieren atención
• Localizar errores y fraudes potenciales, mediante la comparación y el análisis de archivos según los criterios especificados por el usuario
• Volver a calcular y verificar saldos
• Identificar problemas de control y asegurar el cumplimiento de las normas
• Analizar y determinar la antigüedad de las cuentas por cobrar, cuentas por pagar u otras transacciones a las que afecta el tiempo transcurrido
• Recuperar gastos o ingresos perdidos, detectando pagos duplicados, secuencias numéricas incompletas en la facturación o servicios no facturados
• Detectar relaciones no autorizadas entre el personal de la empresa y los proveedores.
• Funciones específicas para la auditoría: desde comandos tales como Faltantes, Duplicados y Estratificar hasta el importante log de comandos o el historial detallado. La funcionalidad incorporada de revisión de cuentas le permite a auditores y contadores, sin experiencia técnica o de programación, realizar rápidamente análisis e informes sobre datos financieros.
• Procesa rápidamente millones de transacciones, asegurando una cobertura del 100% y una confianza absoluta en sus resultados.
• El Asistente de definición de datos fácilmente selecciona, identifica y da formato a los datos, acelerando su acceso a las poderosas capacidades de análisis y generación de informes de ACL.
• ACL puede leer y analizar cualquier tipo de datos accediendo a cualquier entorno de su organización (tales como Oracle, SQL Server, Informix , AS400, IBM/390, SAP™ R/3™, archivos de informe de longitud variable, archivos privados, archivos tradicionales, archivos de informe y muchos más) .
• Relaciona y trabaja simultáneamente con varios archivos (Modelo Entidad/Relación), para hacer análisis e informes aún más completos.
• Crea informes en HTML para su publicación en Internet o en la Intranet de su organización.
• Automatiza y registra sus pasos y desarrolla aplicaciones especiales, haciendo más productivas las auditorías futuras.
• Permite revisar o imprimir, en cualquier momento, un historial completo de sus archivos, pasos y resultados.

Fuente: ACL

Enlaces Relacionados:
Cursos ACL en Buenos Aires - Argentina:
Cursos CAATTs

miércoles, 13 de mayo de 2009

IDEA 8 CaseWare

Traducción frauditor@hotmail.com de http://www.audimation.com


Sea un mejor auditor. Usted tiene el conocimiento. Nosotros tenemos las herramientas.


Mejoras de la versión 8

IDEA Versión 8 introduce novedosas y exitantes características y mejoras, diseñadas para ayudarlo más, con menos entrenamiento, mientras mejora su experiencia con el software. El presente provee un vistazo general de las nuevas características - IDEA Versión 8 continúa siendo el lider en programas de análisis de datos.

Nuevas Funcionalidades
* Scripts Visuales - Construye tu propia automatización sin escribir una línea de código. No tienes que ser programador, simplemente utilizas las ventanas de diálogo de IDEA para editar tus scripts.
* Visuzalización del Proyecto - Una representación gráfica del trabajo hecho en cada uno de los archivos de la carpeta de trabajo. Hasta puedes crear Scripts visuales o IDEAScripts directamente de la visualización del proyecto.
* Funciones Personalizadas - Crea tus propias ecuaciones. Puedes importar, exportar, compartir y hasta descargar funciones personalizadas de una página web. Utiliza tus funciones personalizadas en el editor de ecuaciones tal como lo harías con @Funciones.
* Nuevas @Funciones - @FieldStatistics te permite usar campos estadísticos en tus ecuaciones. @GetNextValue te permite usar los valores del siguiente registro en tu ecuación. @GetPreviousValue te permite usar el valor del registro anterior.

Facilidad de las mejoras
* Incremento de flexibilidad con las licencias de red y de estaciones de trabajo.
* Importar
- Arrastra y suelta archivos directamente al IDEA, abriendo automáticamente el asistente de importación.
- La repetición de ejecución está ahora soportada para las importaciones.
- IDEA Server importa ahora ODBC incluidos y Excel.
- Report Reader: Las capas se expandieron a 2.000 líneas; la limitación de 4 GB de tamaño fue removida; importación de PDF más rápida sin comprometer la exactitud.
- Crear o modificar una definición de registro sin tener que abrir el archivo de datos.

* Los nombres de los reportes ahora se basan en los nombres de los resultados.
* La visualización de los campos en su orden natural - Ordenaciones ascendentes, descendentes y en el orden natural.
* Mejoras de diálogo para estratificación, extracción de valores clave, extracción de los registros altos.
* Mejoras en la lectura - puedes ahora asignar un color alternativo a la fila en la vista grid de la base de datos.
* Seleccionar registros múltiples y guardarlos como "Guardar solo los registros seleccionados".
* Aplicar criterior o modificar valores con la función del click derecho "Mostrar todos los registros conteniendo ... "
* Barra de herramientas de selección de campos - Trae un campo seleccionado en la vista; Muy útil para base de datos que contiene mas campos que los que se pueden mostrar en la ventana de base de datos.
* Visualización del historial de criterios - los últimos 8 criterios aplicados se mostrarán.
* Mejora del muestreo por unidad monetaria para permitir el uso de porcentaje de error tolerable y el error esperado.
* Mejoras de exportación - inclusión de los nombres de campo como la primera fila cuando se exporta a un archivo de texto delimitado o Ancho fijo.
* Actualizaciones de software - IDEA se buscará las últimas actualizaciones disponible; liberaciones trimestrales para incluir las mejoras sugeridas por las necesidades de los usuarios.

Visualización del proyecto
La visualización del proyecto ofrece al usuario una exitante nueva forma de ver y revisar el trabajo realizado en un proyecto. Provee una visualización gráfica de todas las acciones ejecutadas en la carpeta de trabajo o los Proyectos de IDEA Server, incluyendo la creación, borrado y modificación de bases de datos así como también el grabado de todas las acciones ejecutadas.
El modo gráfico visualiza relaciones padre-hijo entre las bases de datos. Todas las tareas que fueron ejecutadas están contenidas con cada nodo de base de datos; cada nodo contiene el nombre de la tarea y el nombre de la base de datos.

En la vista de Tablas, puedes agrupar los datos arrastrando un encabezado de columna en el área del grupo. Doble-click en cualquier columna para ordenar las tareas basadas en esa columna. Los grupos se pueden expandir y colapsar.

Visual Script
Los scripts ofrecen una manera fácil de automatizar tus pruebas y reportes - No se requiere programas. Puedes crear o editar tu script utilizando los diálogos normales de IDEA.
Los scripts visuales son la representación visual de IDEAScript. El beneficio de los script visuales es que te permiten automativar tareas que ejecutas repetidamente sin escribir ningún código o programando. Si es necesario puedes entonces convertir tus Visual Script en IDEAScript.

New @Funciones
@GetNextValue permite usar el valor del siguiente registro en la ecuación. @GetPreviousValue permite usar el valor del registro anterior. @FieldStatistics permite acceder a cualquier campo estadístico y tulizarlos en tu ecuación, como comparar cada transacción con el valor promedio de todas las transacciones.

Funciones Personalizadas
Aunque IDEA viene con más de 100 @Functions, podría surgir la necesidad de crear algo específico para necesidades exactas. Puedes exportar, compartir y hasta descargar funciones personalizadas de una página web.

Fuente: http://www.audimation.com


Link para descargar IDEA 8 versión DEMO
Productos AUDISIS - DEMO IDEA
Nota: Requiere password

Cursos IDEA:
Cursos CAATTs

jueves, 16 de abril de 2009

LEGISLACIÓN SOBRE PERITAJES

Extractos de la legislación boliviana relacionada a los “PERITAJES”, los posts los encontramos en los enlaces siguientes:

Legislación sobre peritajes III
CÓDIGO DE PROCEDIMIENTO PENAL
LEY Nº 1970
Pericia
Peritos
Consultores Técnicos
Impedimentos
Designación y alcances
Excusa y recusación
Dictamen
Valoración


Legislación sobre peritajes II
CODIGO CIVIL
Decreto Ley Nº 12760
Prueba de expertos
Peritos de oficio
Apreciación de la prueba
Puntos de pericia
Designación de peritos
Recusación
Aceptación del cargo
Cumplimiento del cargo
Remoción
Entrega del dictamen
Fuerza probatoria del dictamen pericial
Gastos y honorarios


Legislación sobre peritajes I
CÓDIGO DE COMERCIO
DECRETO LEY Nº 14379
Nombramiento de peritos
Procedimiento
Recusación y remoción
Fuerza probatoria
Normas supletorias

domingo, 29 de marzo de 2009

Banco Rio: El Robo del Siglo




Empezaron a planificarlo un año y medio antes. Uno de los ladrones se fotografió con el disfraz que usaría. Otro llevaba una peluca rubia y se hacía llamar "Susana". Del botín sólo se recuperó la quinta parte.

Era un grupo de ladrones que había copado la sucursal Acassuso del banco Río. Eran cinco: uno llevaba delantal de médico; otro traje gris: otro una peluca rubia y se hacía llamar "Susana" y los otros dos tenían capuchas.

El golpe fue uno de los más sorprendentes de los últimos años básicamente porque la banda escapó con el contenido de 145 cajas de seguridad (unos 8 millones de dólares) por un túnel que los conectó con el desagüe pluvial dejando atrás a más de un centenar de policías desairados.

Entre clientes y empleados en la sucursal había 23 personas retenidas. En poco tiempo la manzana fue rodeada por policías y periodistas. No había ninguna razón para pensar que lo que se tenía enfrente era algo más que un intento de robo frustrado.

El detalle maestro del plan fue el escape por el túnel a través de las redes de desagüe que, según los fiscales, fueron descubiertas por Bolster y Araujo. Ellos se ha brían conectado con De la Torre quien habría sumado a Vitette (ex compañero en la cárcel de Devoto) y José Zalloechavarría.

Cinco horas después de comenzado el asalto, y mientras los grupos de elite policial planeaban el copamiento de la sucursal, la banda se fue por el sótano del banco que habían conectado con un túnel pluvial y salieron por una alcantarilla ubicada a 14 cuadras. Allí los esperaba, una combi donde se repartieron el botín, del que sólo se recuperó el 18%.

Los asaltantes montaron en dos gomones, navegaron el túnel y desaparecieron dejando a la policía humillada y confundida. Hasta plantaron explosivos falsos que demoraron aún más el descubrimiento de su espectacular fuga. Como frutilla de la torta dejaron una nota: "En barrio de ricachones, sin arma ni rencores. Es sólo plata, no amores".

Fuente: Clarín


Un video a 3 años del robo.

lunes, 16 de marzo de 2009

Hacker de casinos

Ron Harris organiza clandestinamente una de las jugadas más ambiciosas para alterar los chips de las máquinas de juegos. Como menciona el libro de Mitnick en "El arte de la intrusión", este hacker lo que hace es modificar los chips de los aparatos de juego, así también estudia el código fuente del programa que genera los "números aleatorios" (que semi-aleatorios) del juego similar al bingo/lota llamado KENO.

Videos del canal de YuoTube de Vegetta99












Otros post relacionados:
El casino no les paga
Fraude en los casinos por 1.000.000

miércoles, 4 de marzo de 2009

El Dr. Vint Cerf en Argentina

Fuente: Canal de GoogleLatinoamerica en YouTube.

El Dr. Vint Cerf es considerado uno de los padres fundadores de Internet al haber inventado y administrado el protocolo TCP/IP en los años 70.

Hoy en dia, el Dr. Cerf es Vicepresidente de Google y ha visitado México, Brasil y Argentina durante los últimos meses. Esta presentación se grabó en la Facultad de Ciencias Exactas de Buenos Aires.

domingo, 22 de febrero de 2009

ENRON: The Smartest Guys in the Room

Si nos ponemos a analizar la actual crisis inmobiliaria/financiera de Estados Unidos, veremos que la historia no es que se repite, sino más bien continúa (como dijo alguien), por ejemplo en el caso Enron la mayor parte de los problemas se dieron debido a la desregulación del sector energético en California y nadie se animaba a regular ni el gobierno Nacional ni el Federal, ahora con la crisis inmobiliaria/financiera veemos que se dió principalmente por la desregulación del sector Financiero (Bancos, seguros, etc.), tal parece que el famoso "Dejar hacer, dejar pasar" no se lo cree ni el Tio Sam y cuando las papas queman los capitalistas siempre acuden al Papá Estado para que arregle las barbaridades que hicieron, piden rescates de sus empresas (Bancos, Seguros, Automotrices, etc) siendo que ellos las administraron mal.

Necesitamos normas que regulen la actividad humana porque no podemos cumplir con lineamientos básicos de conducta ética o de sentido común.

La revista Mercado en su número de Febrero 2008 "Anatomía de la Nación: Crisis global con Crecimiento Local" ya nos mostraba cuales fueron los comportamientos económicos en Argentina y el mundo en el 2007 y también las proyecciones para el 2008.

En un post anterior "la saga de Enron" listamos una serie de artículos relacionados con el caso ENRON y sus repercusiones publicado en la Revista Argentina Mercado.

Ahora tenemos 5 videos de YouTube del canal de edu1954,una serie de 11 videos que nos cuentan la historia de Enron titulado "The Smartest Guys In The Room".























miércoles, 18 de febrero de 2009

Laboratorio Informática Forense

El primer laboratorio forense en México fue presentado por Andrés Velázquez, al que hacemos referencia en el post Laboratorio e-Forense, ahora nos toca la presentación del Primer Laboratorio de Informática Forense en Bolivia en una entrevista en Bolivisión al Ingeniero Guido Rosales Uriona, especialista en Informática Forense y Gerente de Yanapti.

martes, 17 de febrero de 2009

"Pérdida de datos: ¿Qué implica y cómo prevenirla?"

El siguiente video es parte de la presentación de Ariel Martín Beliera, Systems Engineer South of Latin America por Symantec, expuso el tema "Pérdida de datos: ¿Qué implica y cómo prevenirla?" , este tema formó parte de la "Primera Jornada del Estado del Arte de la Seguridad El Rol del CSO" organizada por www.cxo-community.com. El mensaje final de la presentación de Ariel:

"You spend a lot of time protecting yourself from the outside... but are you secure on the inside?

"Gastamos mucho tiempo protegiéndonos de los peligros de afuera...pero, que tan seguros estamos en casa?

viernes, 13 de febrero de 2009

LIFE OF A COMPUTER HACKER

En esta ocasión ya no hablamos de un libro o historias modificadas como en el libro "The art of intrusion", tenemos La vida de un Hacker contada por él mismo, KEVIN MITNICK el Condor. Los videos los encontramos en el canal de YouTube de Mediarchives.



















jueves, 5 de febrero de 2009

FRAUDE EN LOS CASINOS POR 1.000.000

“Queríamos escribir un libro que fuera a un mismo tiempo una novela de misterio y un manual que abra los ojos a las empresas y les ayude a proteger su información confidencial y sus recursos informáticos.” Kevin Mitnick



El libro “EL ARTE DE LA INTRUSIÓN “ de Kevin Mitnick presenta relatos interesantes de los cuales podemos aprender lecciones por ejemplo nos presenta un fraude en los casinos relacionados con la generación de números aleatorios en los juegos de cartas, a continuación una extracción de algunos párrafos que ilustran lo que les comento, pero les recomiendo que se lean todo el libro ya sea en su versión en inglés o español:

Siempre que [algún ingeniero de software] dice: "nadie se complicaría tanto como para hacerlo", hay algún chaval en Finlandia dispuesto a complicarse.
Alex Mayfield


“…Nos preguntábamos si realmente podríamos predecir la secuencia de cartas. O quizás podríamos encontrar una puerta trasera [en inglés backdoor, un código de software que permite el acceso no autorizado a un programa] que algún programador hubiera podido dejar para su propio beneficio. Todos los programas están escritos por programadores y los programadores son criaturas maliciosas. Pensamos que, de alguna forma, podría dar con una puerta trasera, como, por ejemplo, pulsando una secuencia de teclas que cambiara las probabilidades o encontrando un fallo de programación que pudiéramos explotar.

…"Se me ocurrió que alguien podría haber sido lo suficientemente tonto para poner todo el código en la patente de una máquina de videopóquer".
Aún así, a Mike le sorprendió que "pudiéramos comprar las unidades exactas que se utilizan en los salones de los casinos".
La abrimos, le sacamos la ROM, averiguamos qué procesador era. Habla tomado la decisión de comprar esta máquina japonesa que parecía una imitación de una de las grandes marcas. Pensé simplemente que los ingenieros habrían trabajado bajo presión, que habrían sido un poco holgazanes o un poco descuidados.

…Y resultó que tenia razón. Habían utilizado un [chip] 6809, similar al 6502 de un Apple II o un Atari. Era un chip de 8 bits con un espacio de memoria de 64 K. Yo era programador de lenguaje de ensamblador, así que me era familiar.

…Nuestra esperanza era que el generador de números aleatorio fuera relativamente simple. Y en este caso, a principios de la década de los 90, lo era. Investigué un poco y descubrí que se basaba en algo que Donald Knuth había escrito en los años 60. Esta gente no inventó nada, todo lo que hicieron fue tomar la investigación previa de los métodos de Montecarlo y otras cosas, y refundirlo todo en su código.

…Averiguamos con exactitud qué algoritmo estaban utilizando para generar las cartas; se conoce como registro de desplazamiento lineal con retroalimentación y era un generador de números aleatorio bastante bueno.

…Otra cosa en la que no repararon los diseñadores cuando crearon esta máquina es que no sólo necesitan un generador de números aleatorios. Desde el punto de vista de la estadística, hay diez cartas en cada reparto, las cinco que se muestran inicialmente y una carta alternativa por cada una de ellas que aparecerá si el jugador decide descartar. Resulta que en estas versiones anteriores de las máquinas, salen esas diez cartas de diez números aleatorios consecutivos del generador de números aleatorios.
… Una vez que el cronómetro de cuenta atrás recomenzaba, yo volvía a la máquina. Cuando el reloj hacía "bip, bip, bum ", justo entonces, con el "bum", yo pulsaba el botón para jugar en la máquina otra vez.

…Esa primera vez creo que gané 35.000 dólares.
Llegamos al punto de lograr un 30 ó 40 por ciento de aciertos porque estaba muy bien calculado. Sólo fallaba cuando no sincronizábamos bien el reloj.

…Gané una partida de 45.000 dólares. Salió un técnico que llevaba un cinturón grande, probablemente fuera el mismo tipo que reparaba las máquinas. Tenía una llave especial que los supervisores del salón no tenían. Abrió la carcasa, sacó la placa [electrónica], sacó el chip de la ROM allí mismo, delante de mí. Llevaba un lector de ROM que utilizaba para probar el chip de la máquina con una copia maestra que guardaba bajo llave.

…En la década de 1990, los casinos y los diseñadores de máquinas de juego todavía no imaginaban cosas que después serían evidentes. Un generador de números pseudoaleatorios no genera realmente números aleatorios, sino que, en realidad, almacena una lista de números en orden aleatorio. En este caso, una lista muy larga: 2 elevado a 32 o más de cuatro mil millones de números. Al principio de un ciclo, el software selecciona aleatoriamente un lugar en la lista. Pero después de eso, hasta que vuelva a iniciar un nuevo ciclo de juego, va utilizando los números de la lista en orden consecutivo.

Mediante la ingeniería inversa del software, estos chicos obtuvieron la lista.
Partiendo de cualquier punto conocido de la lista "aleatoria", podían determinar cada uno de los números subsiguientes y con el conocimiento adicional de la velocidad de actuación, podían determinar cuántos minutos o segundos faltaban hasta que apareciera una escalera real de color.”


KEVIN D. MITNICK, El Arte de la Intrusión, Editorial Alfaomega Ra-Ma, México, 2007

domingo, 25 de enero de 2009

FRAUDES INFORMÁTICOS

Una lista de fraudes más comunes que se presentan con el uso de Tecnologías de Información o con ayuda de ellas, extractado de www.identidadrobada.com

* Grooming
* Ciberbullying u Hostigamiento Digital o electrónico
* SMishing
* Hoax
* Drive-by Pharming
* Spam Financiero
* Vishing
* Phishing-Car
* RamsomWare
* Ofertas de trabajo
* Robo de contraseñas
* Phishing
* Robo del DNI
* Carta Nigeriana
* Cajeros automáticos
* Pharming
* Servicio de teléfono celular
* Fraude de cheques
* Compras por Internet Tarjetas de crédito

La descripción de cada uno de ellos lo podemos encontrar en www.identidadrobada.com

jueves, 22 de enero de 2009

DIVERSION (y detección de fraudes) CON LA LEY DE BENFORD

kirix nos presenta un video explicativo acerca de la Ley de Benford con el software STRATA de Kirix que es una combinación entre un Navegador de internet y un analizador de Base de Datos Relacional en otras palabras es un software de análisis de datos similar al IDEA o ACL. En el video se muestra como se aplica Strata a datos de la web y como estos datos se van comparando y en la mayoría de los casos se ajustan a la distribución de la Ley de Benford.


El video en YouTube: http://www.youtube.com/user/kirixcorp

Kirix también ofrece los enlaces a los datos con los cuales se trabajó en el video

Wikipedia List of Lakes in Minnesota
US Census Data Sets
Social Blade - Digg Statistics

También Kirix proporciona otros enlaces a datos con los cuales NO se trabaja en el video:

NASDAQ Historical Stock Price
Wikipedia List of Countries by Population
And plenty more at Delicious here…

Para divertirse con este software y la Ley de Benford uno puede descargar una versión de evaluación de Kirix the data browser aquí el instalador pesa como 26 MB y luego bajarse la extensión para la Ley de Benford aquí

Fuente: Fun (and Fraud Detection) with Benford’s Law

sábado, 17 de enero de 2009

PELIGROS DE LA LEY DE BENFORD

Aplicación del Análisis Digital utilizando la Ley de Benford para detectar fraudes: Una nota práctica sobre los peligros de Error Tipo I y Tipo II

Traducción por "frauditor"
del Paper de la AAA (American Accounting Association)denominado “Applying Digital Analysis using Benford’s Law to Detect Fraud: A Practice Note about the Dangers of Type I and Type II Errors”


RESUMEN

La declaración sobre Normas de Auditoría No. 99, Consideraciones de Fraude en la Auditoria de Estados Financieros(SAS N º # 99) ha aumentado la responsabilidad del auditor para detectar el fraude durante una auditoría de estados financieros. Esa responsabilidad adicional ha colocado una gran demanda sobre los auditores para diseñar mejores procesos para la detección de casos de fraude de los estados financieros. En los últimos años, los auditores han empleado técnicas estadísticas más sofisticadas, como el análisis digital usando la Ley de Benford, como parte de sus procedimientos de detección del fraude.

A primera vista la aplicación de la Ley de Benford representa una gran promesa como un procedimiento de detección de fraudes. Sin embargo, una mirada más atenta a los fundamentos estadísticos básicos revelará que los auditores que buscan usar la Ley de Benford podrían no estar conscientes de los costos relativos de los potenciales Errores Tipo I y Tipo II durante la fase de análisis. Por ejemplo, las consideraciones estadísticas indican que hay una gran posibilidad de cometer un error de tipo I si el análisis de la Ley de Benford se ha completado sobre la base de "dígito por dígito", en comparación de la base "caso por caso" que es normalmente empleado por los estadísticos. Explicaremos las ventajas relativas de cada opción en términos de conceptos y consideraciones prácticas del proceso de auditoría.

Palabras clave: Análisis digital; Ley de Benford, Detección de Fraude; SAS Nº 99; Errores tipo I y tipo II; y Lenguaje de Comandos de Auditoría(ACL).


INTRODUCCIÓN

La percepción de credibilidad de los estados financieros en la información de inversión de los mercados se encuentra en su punto más bajo en años. De hecho, los estados financieros de de empresas como Enron, WorldCom, Tyco, Global Crossing y otros registrados en el SEC han favorecido a la crisis de confianza que existe actualmente entre el público inversionista. Esta crisis de confianza ha atraído la atención de los auditores practicantes que en general reconocen que la profesión debe tener un papel en el restablecimiento de la confianza de los inversores. Por ejemplo, PricewaterhouseCoopers, la empresa de auditoría más grande del mundo, ha lanzado recientemente una campaña publicitaria que se centra en la importancia de la empresa, su papel en la reconstrucción de la confianza en los mercados de capitales (PwC 2003).

Un resultado directo de esta crisis de confianza ha sido un mayor hincapié en la responsabilidad del auditor para detectar el fraude (por ejemplo, el SAS No. # 99). La responsabilidad añadida ha colocado una gran demanda de auditores para elaborar de forma más eficaz y eficiente los procedimientos de auditoría para la detección de incidentes de fraude. El mejoramiento de los procedimientos es probable que sea visto como un paso importante por parte de los inversores en el restablecimiento de la confianza en la información en la cual se basan para tomar decisiones en los mercados de capitales (PwC 2003).

Recientemente, los auditores han empleado técnicas estadísticas más sofisticadas, tales como análisis digital usando la Ley de Benford, como parte de sus procedimientos para detección de fraudes. La Ley de Benford propone una distribución de probabilidad para el primer y segundo dígitos de los números en un conjunto de datos que describen los tamaños de fenómenos similares y que comprenden una cantidad importante de datos. Hay bastante evidencia empírica que sugiere que las frecuencias del primero y segundo dígitos de un conjunto de datos que contiene números creíbles, corresponden una distribución de probabilidad de la Ley de Benford (por ejemplo, Nigrini 1996). Habida cuenta de su potencial para identificar los puntos de datos (por ejemplo, importes de transacciones) que contienen las características asociadas con actividad fraudulenta, el análisis digital utilizando la Ley de Benford representa una gran promesa como un procedimiento de detección de fraudes (Coderre 1999).

El incremento en el uso de sofisticadas herramientas estadísticas, como el análisis digital usando la Ley de Benford, se ha visto facilitado por el aumento del uso de Técnicas de auditoría asistida por ordenador (CAATs) como parte del proceso de auditoría. Por ejemplo, un auditor que quiere aplicar el comando Benford utilizando Audit Command Language (el programa de auditoria líder en el mercado) sólo necesita identificar el campo de datos (por ejemplo, el importe de la factura) en el archivo de datos adecuados (por ejemplo, cuentas por cobrar cliente archivo) con el fin de ejecutar correctamente el comando. El auditor tendrá entonces que considerar si pruebas adicionales de auditoría deben ser ejecutadas en cualquier campo que no se ajuste a la distribución de probabilidad de la Ley de Benford. Es precisamente en esta fase del proceso en el que el auditor debe ser consciente de los costes y peligros relativos de los posibles errores, sobre todo teniendo en cuenta la naturaleza de los paquetes de software estándar de auditoría. Para un auditor utilizar la metodología típica de estadística será la "hipótesis nula de investigación" es que no hay actividad fraudulenta. En este caso, el Error de Tipo I sería el concluir que existía evidencia de actividad fraudulenta, cuando de hecho los datos eran legítimos. El Error Tipo II ocurriría cuando existe actividad fraudulenta, pero pasó desapercibida.

Los paquetes estándar de software de auditoría que incluyen en sus opciones el análisis digital utilizando la Ley de Benford pueden basarse en supuestos estadísticos que afectan a la probabilidad de cada tipo de error. Habida cuenta de su potencial impacto en el proceso de decisión de auditoría, estos supuestos deben ser más transparentes. Por ejemplo, en Audit Command Language(ACL), el comando Benford produce automáticamente un análisis completo sobre la base "cifra por cifra" en lugar de en la base "caso por caso". La necesidad de una mayor transparencia es particularmente prominente cuando se considera la literatura estadística, la cual sugiere que la posibilidad de cometer un Error Tipo I es significativamente grande cuando el análisis digital utilizando la Ley de Benford es aplicado sobre la base de “cifra por cifra”. Esto es muy similar al “problema de comparaciones múltiples” encontrado en muchas técnicas estadísticas tradicionales como el Análisis de Varianza(Ott 1993). El propósito de este trabajo dar luces a las suposiciones estadísticas que son pertinentes al proceso de decisión de un auditor al ejecutar análisis digital utilizando la Ley de Benford. Al hacerlo, explicaremos cuidadosamente los costos y beneficios relativos de cada opción estadística que se pueda hacerse por el software para permitir a los auditores a incluir apropiadamente todos los factores relevantes en el proceso de toma de decisiones de auditoría.

El resto de este artículo está organizado de la siguiente manera. La siguiente sección proporciona una breve descripción de la Ley de Benford y una revisión de la literatura que trata de aplicar la Ley de Benford diversos contextos en auditoría. La tercera sección proporciona una descripción de la Ley de Benford de la fase de análisis, incluida una discusión de las posibilidades para los Errores Tipo I y Tipo II. Esta sección también incluye una descripción de los diversos supuestos estadísticos y su importancia para el proceso de auditoría. La última sección ofrece conclusiones y las implicaciones para los profesionales de auditoría.


ANTECEDENTES DE LITERATURA

Benford (1938) se convenció de que la mayoría de los números tienen principalmente dígitos pequeños como el uno o el dos más que dígitos grades como el 8 o 9. Él investigó esta afirmación mediante el estudio de muchas listas de datos, tales como las poblaciones de las ciudades y el tamaño de los lagos de agua dulce. Estos estudios empíricos llevaron a Benford a proponer que, en muchas aplicaciones del mundo real, los primeros dígitos d siguen una distribución de probabilidad:

P (d = m) = log10 ((m + 1) / m), para d = 1, 2, 3, ..., 9.

Esta distribución de probabilidad da P (d = 1) = log 2 = .301, P (d = 2) = log (3 / 2) = .176, en un máximo de P (d = 9) = log (10 / 9) = .046. Además de los trabajos empíricos de Benford, hay una base teórica sólida para esta distribución (Hill 1995).

La Ley de Benford no se aplica universalmente. Por ejemplo, cuando los datos son todos de la misma magnitud, no se espera la distribución de Benford. La altura (en pulgadas) de los adultos, casi todos comienzan con los dígitos cinco, seis o siete, porque son muy pocos los adultos que son dos veces tan alto como cualquier otro, y ninguno de ellos son diez veces más alto que otro. Los ingresos de las personas, sin embargo, y muchos otros datos financieros tienden un arco de tamaños relativamente diferentes de modo tal que el más grande es quizás miles de veces más grande que el más pequeño. Por ejemplo, la aplicabilidad de la Ley de Benford se estableció para los índices bursátiles por Ley (1996). Es importante destacar que la Ley de Benford no se aplica a las mediciones en las que ha intervenido la humanidad(por ejemplo, gastos de alquiler sobre la base de un contrato de arrendamiento) o números aleatorios que se han generado(por ejemplo, números de teléfono). En general para grupos de datos que cubren cantidades inmensas de datos, es razonable esperar que la Ley de Benford se cumple.

En auditoría, la Ley de Benford se ha demostrado que es ampliamente aplicable en varios contextos de auditoría, incluyendo externo, interno y auditoría gubernamental. Por ejemplo, Nigrini y Mittermaier (1997) muestran cómo los auditores pueden utilizar la Ley de Benford como un procedimiento analítico para ayudar a descubrir patrones sorprendentes en actividades transaccionales. Es probable que una persona que realiza fraude contable al ingresar datos, ingresará la misma cantidad (o cantidades similares) muchas veces. En ese tipo de situación, las divergencias de primero y segundo dígitos de la distribución de probabilidad de la Ley de Benford pueden conducir al auditor a descubrir las transacciones fraudulentas.

Nigrini (1999a) fue el primero en destacar el potencial de la Ley de Benford como un procedimiento eficaz de detección de fraudes. Esbozó una serie de aplicaciones en las que un auditor de fraudes podría emplear en forma eficaz el análisis digital utilizando la Ley de Benford, incluyendo datos de cuentas por pagar, libro mayor general, pagos duplicados, y devoluciones de clientes. Nigrini (1999a) también destacó el papel de la computadora en la realización de un análisis de la Ley de Benford. Tapp y Burg (2001) también describen el rol de los avances tecnológicos en los procesos de detección de fraudes. Es de este modo, que describen el uso de la Ley de Benford en tres contextos de fraude diferentes ; detectar sobornos de proveedores, la detección de falsos vendedores, y la detección de rendimientos exagerados de diferentes departamentos.

Es importante destacar que la Ley de Benford también ha demostrado ser un instrumento eficaz para los auditores internos y gubernamentales también. Nigrini (1999b) describe una serie de diferentes contextos en los que un análisis digital puede aportar un valor añadido para los auditores internos, incluyendo los ingresos, cheques cancelados, los inventarios y el desembolso por zonas. Nigrini (1996) también puso de manifiesto la aplicabilidad de la Ley de Benford en el contexto del cumplimiento de un contribuyente, la posibilidad de aumentar su eficacia como instrumento para los auditores del IRS. Por último, Wallace (2002) describe la utilidad de la Ley de Benford en un contexto gubernamental. Dada su aparente amplia aplicabilidad, no es de extrañar que el IRS y el Instituto de Auditores Internos están trabajando en mejorar de diferentes formas la aplicación de Ley de Benford (Maney, 2000).

Hasta la fecha, la literatura de auditoría existente se ha centrado principalmente en identificar y definir correctamente los conjuntos de datos que serían candidatos idóneos para un análisis digital usando la Ley de Benford. Ha habido muy poca discusión sobre la importancia de analizar la producción estadística de una correcta utilización de análisis digital de la Ley de Benford. Este aparente vacío en la literatura es sorprendente porque los supuestos estadísticos al realizar la aplicación de la Ley de Benford son importantes para determinar la correcta inferencia. Una mirada más cercana a la fase de análisis es, por tanto, justificada.


ETAPA DEL ANÁLISIS DE LA LEY DE BENFORD

En la fase de análisis de un Análisis digital usando la Ley de Benford, un auditor debería esencialmente ejecutar las siguientes pruebas estadísticas de hipótesis nula:

Ho: Los primeros dígitos en un conjunto de datos están distribuidos de acuerdo a la Ley de Benford.

Rechazar esta hipótesis nula significaría que los dígitos no se comportan como uno podría esperar. Existen al menos cuatro posibles explicaciones:

1. Los datos en general, realmente siguen la Ley de Benford, pero debido a la selección al azar este conjunto de datos observados en particular no siguen la Ley de Benford. Este es el clásico Error de Tipo I.

2. La suposición de una cantidad importante de datos no se cumplió.

3. Hay una explicación razonable para un exceso de algunos primeros dígitos. Por ejemplo, si una empresa tiene un acuerdo para hacer una transferencia diaria de un vendedor por US$ 450, el primer dígito 4 pueden ser sobre-representado.

4. Algunas de las entradas son fraudulentas.

Como tal, cuando rechazamos la estadística nula (la alternativa de investigación de interés), la presencia de las entradas fraudulentas es sólo una de las posibles explicaciones. Así, para un auditor de cuentas, el rechazo de Ho significa trabajo adicional que debe completarse con el fin de determinar qué explicación es adecuada, dado el contexto del cliente. Cada Error de Tipo I tiene un costo real del servicio profesional de tiempo y sólo de vez en cuando se ponen de manifiesto que un verdadero fraude ha ocurrido.

Sin embargo, el auditor también tiene interés en minimizar la posibilidad de un Error de Tipo II. En términos estadísticos, un Error de Tipo II se produce cuando no somos capaces de rechazar una hipótesis nula que es falsa, que en la práctica significa que no encontremos un plan fraudulento cuando uno realmente ocurrió.

Es de particular interés en el presente caso la prueba estadística, o el conjunto de pruebas estadísticas, que deben ser utilizados para llevar a cabo la prueba de la hipótesis nula de un modo que equilibre los riesgos de Error de Tipo I y Tipo II. Los estadísticos presentados con este caso posiblemente seleccionarían la clásica Prueba de ajuste de bondad de Chi-cuadrado (X2)(Keller y Warrack 2003). En este caso, podemos calcular el número de observaciones que esperamos para cada primer dígito dentro de un conjunto de datos de este tamaño, si la hipótesis nula es verdadera, y compararlos con el número realmente observado, totalizando los resultados en la estadística calculada X2:
2 calc =  ((observed – expected)2 / expected),

donde la suma es superior a cada uno de los posibles resultados. Los valores grandes de esta estadística nos llevan a rechazar la hipótesis nula ya que los valores observados son entonces mucho más de lo que se esperaba. Comparamos este valor calculado de los valores tabulados para encontrar el valor de p para la prueba (por ejemplo la probabilidad de un valor 2 calc por lo menos de este tamaño si la hipótesis nula es de hecho cierta). Rechazamos la hipótesis nula si este valor de p es más pequeño que algunos probabilidades designadas de Error de Tipo I, por lo general, si p <.05.

Observe que este caso ilustra una prueba de la adecuación de los datos a la distribución propuesta por la Ley de Benford. Corresponde a la comprobación de la desviación de la Ley de Benford, caso por caso, una prueba por cada campo de datos. Rechazar la hipótesis nula no dice que los dígitos están excesivamente representados o insuficientemente representados. Una alternativa sería pruebas para examinar los dígitos de uno en uno. Para la prueba del primer dígito, esta se obtiene de un conjunto de nueve ensayos. Para d = 1,2,3, ..., 9 probamos

Ho, d: El primer dígito d aparece tan frecuentemente como se esperaría de acuerdo a la Ley de Benford.

Estas pruebas, obviamente, producirían mucho más información detallada que la prueba general. Sin embargo, existe la posibilidad de que en consecuencia la repetición de un procedimiento de ensayo de nueve veces aumenta la probabilidad de al menos un Error de Tipo I, cuando en realidad los datos siguen efectivamente la distribución de la Ley de Benford. De hecho, si la prueba para cada uno de los dígitos se llevará a cabo a nivel de significación del 0,05 (por lo que se rechaza la nula cuando el p-valor es inferior a 0,05) entonces la probabilidad de al menos un Error de Tipo I en una batería de nueve pruebas es de 1 - (.95)9 = .37. Un auditor utilizando este enfoque "cifra por cifra" por lo tanto, verá entonces una "falsa alarma" cuando se busca el fraude, aproximadamente siete veces más a menudo que un auditor utilizando la prueba general. Un frecuente producto importante (y potencialmente intimidatoria) de una falsa alarma es que la salida de una análisis digital podría comenzar a perder impacto para la práctica de los auditores si este casi nunca descubre una verdadera entrada fraudulenta.


CONCLUSIONES Y CONSECUENCIAS

La situación que enfrentan los auditores en la práctica de este caso es muy similar a lo que se enfrentan los estadísticos mediante un análisis de la varianza (ANOVA) para decidir si el valor medio de algunas variables es la misma a través de diferentes poblaciones. La hipótesis nula ANOVA global, llevado a cabo usando un estadístico-F, es que todas las medias son iguales (Ott 1993). Rechazando esta hipótesis nula no da ninguna indicación de que las poblaciones tienen el mayor o menor valor medio, o que los pares de poblaciones son muy diferentes a las medias. En los ajustes de la ANOVA, los estadísticos tienen una opción de varios métodos para hacer estas importantes distinciones. Algunos son conservadores, y cuidadosamente controlan el riesgo de Error de Tipo I, mientras se incrementa la probabilidad de un error de tipo II. Otros más agresivamente buscan las diferencias y, por tanto, aumentan las posibilidades de Error de Tipo I. Los auditores que prueban una distribución deben ser conscientes de las ventajas relativas al método de ensayo empleado.

La importancia de esta cuestión es mayor al considerar que el software de lider del mercado, ACL, tiene un comando Benford que automáticamente suministra el análisis "cifra por cifra" sin ofrecer una opción para una prueba de chi-cuadrado. Las hipótesis individuales H0,d son probadas utilizando una aproximación a la distribución normal z-test). Es más, el Manual de ayuda del ACL no da ninguna indicación de si estas puntuaciones-z y sus correspondientes valores de p son probadas como si fueran todos independientes (aunque los experimentos con conjuntos de datos han demostrado que este es probablemente el caso).

Los auditores utilizando la Ley de Benfor u otras pruebas estadísticas para encontrar evidencia de fraudes en las entradas deben ser conscientes de los beneficios relativos a los enfoques de "caso por caso" y "cifra por cifra". Utilizando un enfoque de "caso por caso" se hace relativamente fácil para las pruebas el controlar la probabilidad de Error Tipo I, pero los resultados no serían tan informativos en los casos donde el fraude verdaderamente ocurrió. Usando un enfoque "cifra por cifra" aumentan las posibilidades de un Error de Tipo I, pero también aumenta las posibilidades reales de encontrar entradas fraudulentas. Tal vez el enfoque más prudente sería comenzar la fase de análisis con un análisis general utilizando una prueba de chi-cuadrado y, a continuación, seguir con un enfoque de análisis "cifra por cifra" sólo si hay una indicación de posibles fraudes en el análisis general. Esto sería muy similar al procedimiento ANOVA conocido como protección mínima de diferencias significativas, en el cual pares de medias de poblaciones son comparadas solo si la hipótesis nula de la prueba general ANOVA es rechazada. s rechazada.


REFERENCIAS

Benford, F. 1938. The Law of Anomalous Numbers. In Proceedings of the American Philosophical Society 78, 551-572.

Coderre, D. 1999. Computer-Assisted Techniques for Fraud Detection. The CPA Journal (August): 57-59.

Hill, T. 1995. The Significant-Digit Phenomenon. American Mathematical Monthly 102 (4): 322-327.

Keller, G., and B. Warrack. 2003. Statistics for Management and Economics. Pacific Grove, CA: Brooks/Cole-Thomson.

Ley, E. 1996. On the Peculiar Distribution of the U.S. Stock Indexes’ Digits. The American Statistician 50 (4): 311-313.

Maney, K. 2000. Baffled by math? Wait ‘til I tell you about Benford’s Law. The USA Today (October 18): B3.

Nigrini, M. 1996. A Taxpayer Compliance Application of Benford’s Law. Journal of the American Tax Association 18, 1 (Spring): 72-91.

Nigrini, M. 1999a. I’ve Got Your Number. Journal of Accountancy (May): 79-83.

Nigrini, M. 1999b. Adding Value with Digital Analysis. Internal Auditor (February): 21-23.

Nigrini, M., and L. Mittermaier. 1997. The Use of Benford’s Law as an Aid in Analytical Procedures. Auditing: A Journal of Practice & Theory 16 (2): 52-67.

Ott, R. 1993. An Introduction to Statistical Methods and Data Analysis. Belmont, CA: Duxbury Press.

PwC. 2003. Stand and Be Counted. PricewaterhouseCoopers Advertorial Campaign. New York, NY.

Tapp, D., and D. Burg. 2001. Using Technology to Detect Fraud. Pennsylvania CPA Journal (Winter): 20-23.

Wallace, W. 2002. Assessing the Quality of Data. Journal of Government Financial Management (Fall): 16-22.

viernes, 9 de enero de 2009

NIGRINI Y LEY DE BENFORD

La siguiente es una serie de 4 videos en las que Mark Nigrini va explicando La Ley de Benford , los videos los podemos encontrar en YouTube: http://www.youtube.com/user/MarkNigrini

La Ley de Benford, Parte 1 de 4


La Ley de Benford, Parte 2 de 4


La Ley de Benford, Parte 3 de 4


La Ley de Benford, Parte 4 de 4

jueves, 8 de enero de 2009

NIAs (2006)

El Colegio de Auditores de Cochabamba (Bolivia) puso a disposición las Normas Internacionales de Auditoría (NIAs versión 2006) en formato PDF en el siguiente enlace:
Normas Internacionales de Auditoria

ÍNDICE NIAs 2006
ÍNDICE NIAs 2006-ARREGLADAS
NICC 1 IFAC NIAs 2006
NIA 200 OBJETIVO Y PRINCIPIOS GENERALES QUE GOBIERNAN UNA AUDITORIA DE EE.FF.
NIA 210 TÉRMINOS DE LOS TRABAJOS DE AUDITORÍA
NIA 220 CONTROL DE CALIDAD PARA AUDITORÍAS DE INFORMACIÓN FINANCIERA HISTORICA
NIA 230 REVISADA DOCUMENTACION DE AUDITORIA
NIA 240 RESPONSABILIDAD DEL AUDITOR DE CONSIDERAR EL FRAUDE EN UNA AUDITORIA DE EE. FF.
NIA 250 CONSIDERACION DE LEYES Y REGLAMENTOS EN UNA AUDTORIA DE EE.FF
NIA 260 COMUNICACIONES DE ASUNTOS DE AUDITORIA CON LOS ENCARGADOS DEL GOBIERNO CORPORATIVO
Arreglada - NIA 300 PLANEACION DE UNA AUDITORIA DE ESTADO
NIA 315 ENTENDIEMIENTO DE LA ENTIDAD Y SU ENTORNO Y EVALUACIÓN DE LOS RIESGOS DE PRESENTACIÓN ER
Arreglada - NIA 320 IMPORTANCIA RELATIVA DE LA AUDITORIA
Arreglada - NIA 330 PROCEDIMIENTOS DEL AUDITOR EN RESPUESTA A LOS RIESGOS EVALUADOS
NIA 402 CONSIDERACIONES DE AUDITORIA RELATIVAS A ENTIDADES QUE UTILIZAN ORG. DE SERVICIO
NIA 500 EVIDENCIA DE AUDITORÍA
NIA 501 EVIDENCIA DE AUDITORIA - CONSIDERACIONES ADICIONALES PARA PARTIDAS ESPECIFICAS
NIA 505 CONFIRMACIONES EXTERNAS
NIA 510 TRABAJOS INICIALES - BALANCES DE APERTURA
NIA 520 PROCEDIMIENTOS ANALITICOS
NIA 530 MUESTREO DE LA AUDITORIA Y OTROS MEDIOS DE PRUEBAS
NIA 540 AUDITORIA DE ESTIMACIONES CONTABLES
NIA 545 AUDITORIA DE MEDICIONES Y REVELACIONES DEL VALOR RAZONABLE
NIA 550 PARTES RELACIONADAS
NIA 560 HECHOS POSTERIORES
NIA 570 NEGOCIO EN MARCHA
NIA 580 REPRESENTACIONES DE LA ADMINISTRACION
NIA 600 USO DEL TRABAJO DE OTRO AUDITOR
NIA 610 CONSIDERACIÓN DEL TRABAJO DE AUDITORÍA INTERNA
NIA 620 USO DEL TRABAJO DE UN EXPERTO
NORMA INTERNACIONAL DE AUDITORIA 700 _REVISADA_
NORMA INTERNACIONAL DE AUDITORIA 701
NIA 710 COMPARATIVOS
NIA 720 OTRA INFORMACIÓN EN DOCUMENTOS QUE CONTIENEN ESTADOS FINANCIEROS AUDITADOS
NIA 800 EL DICTAMEN DEL AUDITOR SOBRE TRABAJOS DE AUDITORÍA CON PROPÓSITO ESPECIAL
web stats