Skip to main content

Internal Controls

Internkontrollrutiner — Drop (ALAI Holding AS)

Dokument: Rammeverk for internkontroll Hjemmel: Finansforetaksloven §13-5, hvitvaskingsloven §§7-8 og §37, internkontrollforskriften Virksomhet: ALAI Holding AS, org.nr 932 516 136 Produkt: Drop — betalingsformidling og pengeoverføringer Versjon: 1.0 Dato: 2026-02-12 Godkjent av: Styre Neste revisjon: 2027-02-12

1. Formål

Internkontrollrutinene skal sikre at ALAI Holding AS gjennom produktet Drop:

  • Overholder gjeldende lovverk, herunder finansforetaksloven, hvitvaskingsloven og personopplysningsloven
  • Har effektiv risikostyring og kontroll med virksomheten
  • Har klare ansvarslinjer og rapporteringsveier
  • Identifiserer, vurderer og håndterer operasjonelle risikoer
  • Har en kultur for etterlevelse (compliance)

2. Tre forsvarslinjer

Selskapet organiserer sin internkontroll etter prinsippet om tre forsvarslinjer, jf. Finanstilsynets veiledning og internasjonale standarder (COSO/IIA):

2.1 Første forsvarslinje — Operativ drift

Hvem: Alle ansatte i operative roller (utvikling, drift, kundeservice)

Ansvar:

  • Daglig etterlevelse av rutiner og policyer
  • Identifisere og rapportere avvik til nærmeste leder
  • Gjennomføre kontroller integrert i arbeidsprosesser
  • Dokumentere egne kontrollhandlinger

Kontrollaktiviteter:

Kontroll Frekvens Ansvarlig
KYC-kvalitetskontroll ved onboarding Hver kunde Operativ medarbeider
Verifikasjon av transaksjonsdata Fortløpende System (automatisk)
Rapportering av hendelser og avvik Ved forekomst Alle ansatte
Oppfølging av automatiske varsler Fortløpende Operativ medarbeider

2.2 Andre forsvarslinje — Risikostyring og Compliance

Hvem: Hvitvaskingsansvarlig / Compliance-funksjon

Ansvar:

  • Overvåke og teste etterlevelse av lover, forskrifter og interne rutiner
  • Utarbeide og vedlikeholde policyer og rutiner
  • Gjennomføre risikiovurderinger
  • Rådgi første forsvarslinje
  • Rapportere til daglig leder og styret
  • Håndtere forholdet til tilsynsmyndigheter

Kontrollaktiviteter:

Kontroll Frekvens Ansvarlig
Stikkprøvekontroll av KYC-dokumentasjon Månedlig (min. 10% av nye kunder) Hvitvaskingsansvarlig
Gjennomgang av flaggede transaksjoner Ukentlig Hvitvaskingsansvarlig
Testing av transaksjonsovervåkingsregler Kvartalsvis Compliance
Oppdatering av risikovurdering Årlig + ved vesentlige endringer Hvitvaskingsansvarlig
Regelverksovervåking Løpende Compliance
Compliance-rapport til styret Kvartalsvis Hvitvaskingsansvarlig

2.3 Tredje forsvarslinje — Uavhengig kontroll

Hvem: Ekstern revisor / Uavhengig internrevisor

Ansvar:

  • Uavhengig vurdering av internkontrollens effektivitet
  • Vurdering av risikostyringsrammeverket
  • Rapportering til styret

Kontrollaktiviteter:

Kontroll Frekvens Ansvarlig
Ekstern revisjon av AML-program Årlig Ekstern revisor
Revisjon av IT-sikkerhet Årlig Ekstern IT-revisor
Uavhengig gjennomgang av internkontroll Årlig Ekstern revisor
Rapportering av funn og anbefalinger Etter hver revisjon Ekstern revisor

3. Governance og organisering

3.1 Styret

Ansvar:

  • Fastsette overordnet strategi for risikostyring og internkontroll
  • Godkjenne policyer, rutiner og risikoappetitt
  • Motta og behandle kvartalsrapporter fra compliance og revisor
  • Sikre tilstrekkelige ressurser til internkontroll
  • Overordnet ansvar for etterlevelse

Styreaktiviteter:

Aktivitet Frekvens
Behandle compliance-rapport Kvartalsvis
Godkjenne oppdatert risikovurdering Årlig
Godkjenne oppdaterte hvitvaskingsrutiner Årlig
Behandle revisjonsrapporter Etter mottakelse
Evaluere internkontrollens effektivitet Årlig

3.2 Daglig leder

Ansvar:

  • Operativt ansvar for implementering av styrets vedtak
  • Sikre at organisasjonen har nødvendig kompetanse og ressurser
  • Godkjenne høyrisiko-kundeforhold (etter anbefaling fra compliance)
  • Rapportere til styret om vesentlige risikoforhold

3.3 Hvitvaskingsansvarlig / Chief Compliance Officer

Ansvar:

  • Daglig leder for compliance-funksjonen
  • Hvitvaskingsansvarlig etter hvitvaskingsloven §8 fjerde ledd
  • Rapporterer direkte til daglig leder og styret (uavhengig av operative linjer)
  • Har myndighet til å stoppe transaksjoner og avvise kundeforhold

3.4 Organisasjonskart — internkontroll

┌─────────────────────────────────────────┐
│              STYRET                      │
│  Overordnet ansvar, godkjenner rammer    │
└────────────────┬────────────────────────┘
                 │
    ┌────────────┼─────────────────┐
    │            │                 │
    ▼            ▼                 ▼
┌────────┐  ┌────────────┐  ┌──────────────┐
│DAGLIG  │  │COMPLIANCE  │  │EKSTERN       │
│LEDER   │  │FUNKSJON    │  │REVISOR       │
│        │  │(2. linje)  │  │(3. linje)    │
│Operativ│  │HVV-ansvarl.│  │Uavhengig     │
│drift   │  │Rapporterer │  │vurdering     │
│        │  │til styre   │  │              │
└───┬────┘  └────────────┘  └──────────────┘
    │
    ▼
┌────────────────┐
│OPERATIVE       │
│MEDARBEIDERE    │
│(1. linje)      │
│Tech, support,  │
│kundeservice    │
└────────────────┘

4. Risikostyring

4.1 Risikorammeverk

Selskapet identifiserer og vurderer følgende risikokategorier:

Risikokategori Beskrivelse Eier
HV/TF-risiko Risiko for misbruk til hvitvasking/terrorfinansiering Hvitvaskingsansvarlig
Operasjonell risiko Systemfeil, menneskelige feil, prosesssvikt Daglig leder
IT- og cyberrisiko Datainnbrudd, tjenestenekt, systemsårbarhet Tech Lead
Compliance-risiko Brudd på regelverk, tilsynssanksjoner Compliance
Omdømmerisiko Hendelser som skader selskapets omdømme Daglig leder
Strategisk risiko Feil forretningsbeslutninger Styret

4.2 Risikovurderingsprosess

  1. Identifisering: Kartlegge relevante risikoer per kategori
  2. Vurdering: Sannsynlighet x konsekvens (skala 1-4)
  3. Tiltak: Definere risikoreduserende tiltak
  4. Overvåking: Løpende overvåking av risikoindikatorer
  5. Rapportering: Kvartalsvise risikorapporter til styret
  6. Revisjon: Årlig oppdatering av risikovurderingen

4.3 Risikoindikatorer (KRI)

Indikator Terskel (gul) Terskel (rød) Frekvens
Antall flaggede transaksjoner >50/mnd >100/mnd Månedlig
Gjennomsnittlig behandlingstid flagg >48 timer >72 timer Ukentlig
Andel EDD-kunder >10% av kundebasen >20% Kvartalsvis
Antall EFE-rapporter >2/kvartal >5/kvartal Kvartalsvis
KYC-mangler ved stikkprøve >5% >10% Månedlig
Systemnedetid >99.5% oppetid <99% oppetid Daglig
Antall sikkerhetshendelsar >1/mnd >3/mnd Månedlig

5. Compliance-overvåking

5.1 Overvåkingsplan

Område Kontrollhandling Frekvens Ansvarlig Rapporteres til
KYC/CDD Stikkprøve av onboarding-kvalitet Månedlig Compliance Daglig leder
Transaksjonovervåking Review av regler og terskler Kvartalsvis Compliance Styret
PEP/sanksjoner Test av screeningeffektivitet Halvårlig Compliance Styret
Opplæring Kontroll av gjennomføring Årlig Compliance Daglig leder
Rutiner Gjennomgang og oppdatering Årlig Compliance Styret
Regelverksendringer Overvåking av nye krav Løpende Compliance Daglig leder
Hendelseslog Gjennomgang av logger Ukentlig Compliance Daglig leder
IT-sikkerhet Penetrasjonstesting Årlig Ekstern Styret
Personvern DPIA-oppdatering Årlig Compliance Daglig leder

5.2 Rapporteringskalender

Rapport Mottaker Frekvens Innhold
Compliance-statusrapport Styret Kvartalsvis HV/TF-statistikk, avvik, tiltak, regelverksendringer
Risikorapport Styret Kvartalsvis KRI-status, risikoendringer, handlingsplan
AML-årsrapport Styret Årlig Full gjennomgang av AML-programmet
Hendelsesrapport Daglig leder Ved hendelse Beskrivelse, tiltak, læringspunkter
Revisjonsrapport Styret Årlig Ekstern revisors funn og anbefalinger

6. Avviksbehandling

6.1 Definisjon

Et avvik er ethvert brudd på, eller manglende etterlevelse av:

  • Lover og forskrifter
  • Interne rutiner og policyer
  • Styrets vedtak og retningslinjer
  • Tilsynsmyndighetenes pålegg

6.2 Avviksprosess

1. IDENTIFISERING        2. REGISTRERING         3. VURDERING
   Alle ansatte →           Avvikslogg →            Compliance →
   rapporterer              dokumenteres            alvorlighetsgrad

4. TILTAK                 5. OPPFØLGING           6. RAPPORTERING
   Korrigerende →           Verifisere →            Til styre/
   tiltak defineres         effekt                  tilsynsmyndighet

6.3 Alvorlighetsgrader

Grad Beskrivelse Responstid Rapporteres til
Kritisk Lovbrudd, tilsynssanksjon, stor kundeeksponering Umiddelbart Styre, Finanstilsynet
Høy Vesentlig rutinebrudd, gjentatte avvik 24 timer Daglig leder, styre
Middels Enkeltavvik fra rutiner, forbedringspotensial 1 uke Daglig leder
Lav Mindre prosessavvik, ingen kundekonsekvens 30 dager Compliance-logg

6.4 Avvikslogg

Alle avvik registreres i avviksloggen med:

  • Dato og tidspunkt
  • Beskrivelse av avviket
  • Hvem som oppdaget det
  • Alvorlighetsgrad
  • Korrigerende tiltak
  • Ansvarlig for oppfølging
  • Frist for lukking
  • Status (åpent/lukket)
  • Læringspunkter

7. Eskalering

7.1 Eskaleringsprosedyre

Situasjon Eskaleres til Tidsfrist
Mistenkelig transaksjon (flagget av system) Hvitvaskingsansvarlig 24 timer
Bekreftet mistanke om HV/TF EFE/Økokrim + daglig leder Uten ugrunnet opphold
Sanksjonstreff (bekreftet) Daglig leder + UD Umiddelbart
Kritisk avvik Styre + eventuelt Finanstilsynet Umiddelbart
Sikkerhetshendeelse (datainnbrudd) Daglig leder + Datatilsynet (72t) Umiddelbart
Tilsynsforespørsel Daglig leder + compliance Innen tilsynets frist
Kundeklage (compliance-relatert) Compliance 5 virkedager

7.2 Varsling (Whistleblowing)

Jf. arbeidsmiljøloven kapittel 2A:

  • Alle ansatte har rett til å varsle om kritikkverdige forhold
  • Varslingskanal er etablert (direkte til styreleder)
  • Varsler beskyttes mot gjengjeldelse
  • Alle varsler behandles konfidensielt og dokumenteres

8. IT-kontroller

8.1 Tilgangsstyring

Prinsipp Implementering
Minste privilegium Brukere får kun tilgang til det de trenger
Rollebasert tilgang (RBAC) Tilgang basert på rolle, ikke person
Separation of duties Kritiske funksjoner krever to personers godkjenning
Periodisk tilgangsgjennomgang Kvartalsvis gjennomgang av alle tilganger
Logging Alle tilgangsendringer og datautrekk logges

8.2 Systemovervåking

Kontroll Beskrivelse Frekvens
Oppetidsovervåking Automatisk varsling ved nedetid Kontinuerlig
Ytelsesovervåking Responstider og feilrater Kontinuerlig
Sikkerhetslogg-gjennomgang Analyse av innloggingsforsøk og anomalier Daglig
Sårbarhetsskanning Automatisk skanning av kjente sårbarheter Ukentlig
Penetrasjonstesting Ekstern testing av sikkerhet Årlig
Backup-verifisering Test av gjenoppretting fra backup Månedlig

8.3 Endringsstyring

Alle endringer i produksjonssystemer skal:

  1. Dokumenteres med beskrivelse og begrunnelse
  2. Testes i staging-miljø
  3. Godkjennes av tech lead og compliance (ved regelverksrelevante endringer)
  4. Rulles ut med rollback-plan
  5. Overvåkes etter utrulling

9. Opplæring og kompetanse

9.1 Opplæringsprogram

Kurs Målgruppe Frekvens Innhold
Grunnkurs HV/TF Alle ansatte Ved ansettelse + årlig Lovverk, rutiner, gjenkjennelse
Avansert AML Compliance, operativ Årlig Typologier, caseøvelser, EDD
PEP og sanksjoner Compliance, operativ Årlig PEP-definisjoner, screeningprosess
IT-sikkerhet Alle ansatte Årlig Phishing, passord, hendelsesrapportering
GDPR Alle ansatte Ved ansettelse + årlig Personvern, behandlingsgrunnlag
Etikk og varsling Alle ansatte Årlig Etiske retningslinjer, varslingskanal

9.2 Kompetansekrav

Rolle Minimumskompetanse
Hvitvaskingsansvarlig Sertifisering (f.eks. CAMS), min. 3 års erfaring
Compliance-medarbeider Relevant utdanning, opplæring i HV/TF
Daglig leder Egnethetsvurdering, grunnleggende HV/TF-forståelse
Styremedlemmer Egnethetsvurdering, forstå regulatorisk rammeverk
Tech Lead IT-sikkerhetskompetanse, forståelse av compliance-krav

10. Beredskapsplan

10.1 Scenarioer

Scenario Alvorlighet Umiddelbare tiltak
Datainnbrudd / personopplysninger kompromittert Kritisk Isolere system, varsle Datatilsynet (72t), varsle berørte kunder
Sanksjonert transaksjon gjennomført ved feil Kritisk Fryse midler, varsle UD, rapportere til EFE
Systemnedetid > 4 timer Høy Aktivere failover, informere kunder, loggføre
Tjenestenektangrep (DDoS) Høy Aktivere DDoS-beskyttelse, eskalere til hosting-partner
Mistanke om intern svindel Kritisk Fryse tilganger, undersøke, varsle styre og evt. politi

10.2 Kommunikasjonsplan ved hendelse

Interessent Tidsfrist Kanal Ansvarlig
Finanstilsynet Uten ugrunnet opphold Altinn / epost Daglig leder
Datatilsynet 72 timer (datainnbrudd) Altinn Daglig leder
Berørte kunder Uten ugrunnet opphold App + epost Kundeservice
Styret Umiddelbart Epost + telefon Daglig leder
Ansatte Umiddelbart Intern kanal Daglig leder

11. Endringslogg

Versjon Dato Endring Godkjent av
1.0 2026-02-12 Førstegangs utarbeidelse Styre

Dokumentet er utarbeidet i henhold til finansforetaksloven §13-5, hvitvaskingsloven §§7-8 og §37, og Finanstilsynets veiledninger om internkontroll i betalingsforetak.

No comments to display

Back to top