Agente Anomaly Detector

El agente Anomaly Detector monitorea el stream de transacciones de cada cliente en tiempo real y emite alertas cuando detecta patrones que merecen atención del contador. No bloquea ni rechaza operaciones — su único output son alertas para revisión humana.

Video próximamente · 90s

Qué detecta

El agente aplica dos capas de detección:

Reglas de negocio

Reglas específicas del contexto contable costarricense:

| Regla | Descripción | |---|---| | off_hours | Transacciones registradas fuera del horario laboral configurado para el cliente (ej. posteos a las 2am). | | off_amount | Monto significativamente mayor al promedio histórico del mismo proveedor o categoría. | | off_supplier | Proveedor nuevo con monto alto (primer movimiento con ese emisor que supera un umbral). | | duplicate_probable | Dos transacciones del mismo proveedor por el mismo monto en ventana de 3 días. | | cabys_inconsistency | Código CAByS de la factura inconsistente con la actividad económica del cliente. | | budget_exceeded | Gasto en una categoría supera el presupuesto configurado para el periodo. | | cert_expiry | Certificado de Hacienda del cliente vence en menos de 30 días. |

Detección estadística

Para cada categoría de gasto del cliente, el agente mantiene un modelo estadístico (media y desviación estándar del histórico de los últimos 12 meses). Una transacción que supera 3 desvíos estándar de la media histórica de su categoría genera una alerta automáticamente.

Severidades

| Severidad | Color | Qué significa | |---|---|---| | info | Azul | Dato inusual pero no necesariamente problemático. Revisar si hay contexto. | | warning | Amarillo | Patrón que podría indicar error o situación a aclarar. Acción recomendada. | | critical | Rojo | Situación que requiere atención inmediata del contador antes del próximo cierre. |

Las alertas critical también generan una notificación por email al contador asignado al cliente.

Cooldown anti-spam

Para evitar que el mismo patrón genere decenas de alertas, el agente implementa cooldown por regla + cliente:

• Una regla de la misma categoría no puede disparar dos veces en el mismo cliente dentro de 24 horas.
• Si el patrón persiste después del cooldown, genera una nueva alerta (con referencia a la anterior).

Esto significa que un proveedor nuevo que factura varias veces en el día genera una sola alerta, no una por factura.

Cola de alertas

Todas las alertas aparecen en Alertas → Cola de alertas, organizadas por severidad y fecha. Para cada alerta ves:

• La regla que la generó y la transacción que la disparó.
• Links clickables a la transacción, factura o asiento involucrado.
• Historial de la misma alerta en periodos anteriores (para evaluar si es recurrente).
• Botones Entendido (reconocer sin acción), Tomar acción (link al recurso), y Desactivar regla para este cliente (si hay muchos falsos positivos).

Cola de alertas con columnas severidad, regla, cliente, transacción y fecha

Ajustar umbrales por cliente

Podés ajustar la sensibilidad del detector desde Clientes → [nombre] → Configuración de agentes → Anomaly Detector:

• Umbral de monto off_amount: cuántas desviaciones estándar sobre el promedio generan alerta (default 3).
• Horario laboral: las horas dentro de las que off_hours no dispara.
• Umbral de proveedor nuevo: el monto mínimo de un primer movimiento con un proveedor para que genere alerta.
• Deshabilitar reglas individualmente: si una regla específica genera mucho ruido para un cliente particular.

Nota

El agente Anomaly Detector corre en modo reactivo: se dispara cada vez que se postea un asiento (asiento.posteado) o se acepta una factura recibida (factura_recibida.aceptada). No tiene un job periódico — las alertas son en tiempo real.

Relacionado

• Cola de alertas
• Severidades y reglas