Internal Controls
Internkontrollrutiner — Drop (ALAI Holding AS)
Dokument: Rammeverk for internkontroll Hjemmel: Finansforetaksloven §13-5, hvitvaskingsloven §§7-8 og §37, internkontrollforskriften Virksomhet: ALAI Holding AS, org.nr 932 516 136 Produkt: Drop — betalingsformidling og pengeoverføringer Versjon: 1.0 Dato: 2026-02-12 Godkjent av: Styre Neste revisjon: 2027-02-12
1. Formål
Internkontrollrutinene skal sikre at ALAI Holding AS gjennom produktet Drop:
- Overholder gjeldende lovverk, herunder finansforetaksloven, hvitvaskingsloven og personopplysningsloven
- Har effektiv risikostyring og kontroll med virksomheten
- Har klare ansvarslinjer og rapporteringsveier
- Identifiserer, vurderer og håndterer operasjonelle risikoer
- Har en kultur for etterlevelse (compliance)
2. Tre forsvarslinjer
Selskapet organiserer sin internkontroll etter prinsippet om tre forsvarslinjer, jf. Finanstilsynets veiledning og internasjonale standarder (COSO/IIA):
2.1 Første forsvarslinje — Operativ drift
Hvem: Alle ansatte i operative roller (utvikling, drift, kundeservice)
Ansvar:
- Daglig etterlevelse av rutiner og policyer
- Identifisere og rapportere avvik til nærmeste leder
- Gjennomføre kontroller integrert i arbeidsprosesser
- Dokumentere egne kontrollhandlinger
Kontrollaktiviteter:
| Kontroll | Frekvens | Ansvarlig |
|---|---|---|
| KYC-kvalitetskontroll ved onboarding | Hver kunde | Operativ medarbeider |
| Verifikasjon av transaksjonsdata | Fortløpende | System (automatisk) |
| Rapportering av hendelser og avvik | Ved forekomst | Alle ansatte |
| Oppfølging av automatiske varsler | Fortløpende | Operativ medarbeider |
2.2 Andre forsvarslinje — Risikostyring og Compliance
Hvem: Hvitvaskingsansvarlig / Compliance-funksjon
Ansvar:
- Overvåke og teste etterlevelse av lover, forskrifter og interne rutiner
- Utarbeide og vedlikeholde policyer og rutiner
- Gjennomføre risikiovurderinger
- Rådgi første forsvarslinje
- Rapportere til daglig leder og styret
- Håndtere forholdet til tilsynsmyndigheter
Kontrollaktiviteter:
| Kontroll | Frekvens | Ansvarlig |
|---|---|---|
| Stikkprøvekontroll av KYC-dokumentasjon | Månedlig (min. 10% av nye kunder) | Hvitvaskingsansvarlig |
| Gjennomgang av flaggede transaksjoner | Ukentlig | Hvitvaskingsansvarlig |
| Testing av transaksjonsovervåkingsregler | Kvartalsvis | Compliance |
| Oppdatering av risikovurdering | Årlig + ved vesentlige endringer | Hvitvaskingsansvarlig |
| Regelverksovervåking | Løpende | Compliance |
| Compliance-rapport til styret | Kvartalsvis | Hvitvaskingsansvarlig |
2.3 Tredje forsvarslinje — Uavhengig kontroll
Hvem: Ekstern revisor / Uavhengig internrevisor
Ansvar:
- Uavhengig vurdering av internkontrollens effektivitet
- Vurdering av risikostyringsrammeverket
- Rapportering til styret
Kontrollaktiviteter:
| Kontroll | Frekvens | Ansvarlig |
|---|---|---|
| Ekstern revisjon av AML-program | Årlig | Ekstern revisor |
| Revisjon av IT-sikkerhet | Årlig | Ekstern IT-revisor |
| Uavhengig gjennomgang av internkontroll | Årlig | Ekstern revisor |
| Rapportering av funn og anbefalinger | Etter hver revisjon | Ekstern revisor |
3. Governance og organisering
3.1 Styret
Ansvar:
- Fastsette overordnet strategi for risikostyring og internkontroll
- Godkjenne policyer, rutiner og risikoappetitt
- Motta og behandle kvartalsrapporter fra compliance og revisor
- Sikre tilstrekkelige ressurser til internkontroll
- Overordnet ansvar for etterlevelse
Styreaktiviteter:
| Aktivitet | Frekvens |
|---|---|
| Behandle compliance-rapport | Kvartalsvis |
| Godkjenne oppdatert risikovurdering | Årlig |
| Godkjenne oppdaterte hvitvaskingsrutiner | Årlig |
| Behandle revisjonsrapporter | Etter mottakelse |
| Evaluere internkontrollens effektivitet | Årlig |
3.2 Daglig leder
Ansvar:
- Operativt ansvar for implementering av styrets vedtak
- Sikre at organisasjonen har nødvendig kompetanse og ressurser
- Godkjenne høyrisiko-kundeforhold (etter anbefaling fra compliance)
- Rapportere til styret om vesentlige risikoforhold
3.3 Hvitvaskingsansvarlig / Chief Compliance Officer
Ansvar:
- Daglig leder for compliance-funksjonen
- Hvitvaskingsansvarlig etter hvitvaskingsloven §8 fjerde ledd
- Rapporterer direkte til daglig leder og styret (uavhengig av operative linjer)
- Har myndighet til å stoppe transaksjoner og avvise kundeforhold
3.4 Organisasjonskart — internkontroll
┌─────────────────────────────────────────┐
│ STYRET │
│ Overordnet ansvar, godkjenner rammer │
└────────────────┬────────────────────────┘
│
┌────────────┼─────────────────┐
│ │ │
▼ ▼ ▼
┌────────┐ ┌────────────┐ ┌──────────────┐
│DAGLIG │ │COMPLIANCE │ │EKSTERN │
│LEDER │ │FUNKSJON │ │REVISOR │
│ │ │(2. linje) │ │(3. linje) │
│Operativ│ │HVV-ansvarl.│ │Uavhengig │
│drift │ │Rapporterer │ │vurdering │
│ │ │til styre │ │ │
└───┬────┘ └────────────┘ └──────────────┘
│
▼
┌────────────────┐
│OPERATIVE │
│MEDARBEIDERE │
│(1. linje) │
│Tech, support, │
│kundeservice │
└────────────────┘
4. Risikostyring
4.1 Risikorammeverk
Selskapet identifiserer og vurderer følgende risikokategorier:
| Risikokategori | Beskrivelse | Eier |
|---|---|---|
| HV/TF-risiko | Risiko for misbruk til hvitvasking/terrorfinansiering | Hvitvaskingsansvarlig |
| Operasjonell risiko | Systemfeil, menneskelige feil, prosesssvikt | Daglig leder |
| IT- og cyberrisiko | Datainnbrudd, tjenestenekt, systemsårbarhet | Tech Lead |
| Compliance-risiko | Brudd på regelverk, tilsynssanksjoner | Compliance |
| Omdømmerisiko | Hendelser som skader selskapets omdømme | Daglig leder |
| Strategisk risiko | Feil forretningsbeslutninger | Styret |
4.2 Risikovurderingsprosess
- Identifisering: Kartlegge relevante risikoer per kategori
- Vurdering: Sannsynlighet x konsekvens (skala 1-4)
- Tiltak: Definere risikoreduserende tiltak
- Overvåking: Løpende overvåking av risikoindikatorer
- Rapportering: Kvartalsvise risikorapporter til styret
- Revisjon: Årlig oppdatering av risikovurderingen
4.3 Risikoindikatorer (KRI)
| Indikator | Terskel (gul) | Terskel (rød) | Frekvens |
|---|---|---|---|
| Antall flaggede transaksjoner | >50/mnd | >100/mnd | Månedlig |
| Gjennomsnittlig behandlingstid flagg | >48 timer | >72 timer | Ukentlig |
| Andel EDD-kunder | >10% av kundebasen | >20% | Kvartalsvis |
| Antall EFE-rapporter | >2/kvartal | >5/kvartal | Kvartalsvis |
| KYC-mangler ved stikkprøve | >5% | >10% | Månedlig |
| Systemnedetid | >99.5% oppetid | <99% oppetid | Daglig |
| Antall sikkerhetshendelsar | >1/mnd | >3/mnd | Månedlig |
5. Compliance-overvåking
5.1 Overvåkingsplan
| Område | Kontrollhandling | Frekvens | Ansvarlig | Rapporteres til |
|---|---|---|---|---|
| KYC/CDD | Stikkprøve av onboarding-kvalitet | Månedlig | Compliance | Daglig leder |
| Transaksjonovervåking | Review av regler og terskler | Kvartalsvis | Compliance | Styret |
| PEP/sanksjoner | Test av screeningeffektivitet | Halvårlig | Compliance | Styret |
| Opplæring | Kontroll av gjennomføring | Årlig | Compliance | Daglig leder |
| Rutiner | Gjennomgang og oppdatering | Årlig | Compliance | Styret |
| Regelverksendringer | Overvåking av nye krav | Løpende | Compliance | Daglig leder |
| Hendelseslog | Gjennomgang av logger | Ukentlig | Compliance | Daglig leder |
| IT-sikkerhet | Penetrasjonstesting | Årlig | Ekstern | Styret |
| Personvern | DPIA-oppdatering | Årlig | Compliance | Daglig leder |
5.2 Rapporteringskalender
| Rapport | Mottaker | Frekvens | Innhold |
|---|---|---|---|
| Compliance-statusrapport | Styret | Kvartalsvis | HV/TF-statistikk, avvik, tiltak, regelverksendringer |
| Risikorapport | Styret | Kvartalsvis | KRI-status, risikoendringer, handlingsplan |
| AML-årsrapport | Styret | Årlig | Full gjennomgang av AML-programmet |
| Hendelsesrapport | Daglig leder | Ved hendelse | Beskrivelse, tiltak, læringspunkter |
| Revisjonsrapport | Styret | Årlig | Ekstern revisors funn og anbefalinger |
6. Avviksbehandling
6.1 Definisjon
Et avvik er ethvert brudd på, eller manglende etterlevelse av:
- Lover og forskrifter
- Interne rutiner og policyer
- Styrets vedtak og retningslinjer
- Tilsynsmyndighetenes pålegg
6.2 Avviksprosess
1. IDENTIFISERING 2. REGISTRERING 3. VURDERING
Alle ansatte → Avvikslogg → Compliance →
rapporterer dokumenteres alvorlighetsgrad
4. TILTAK 5. OPPFØLGING 6. RAPPORTERING
Korrigerende → Verifisere → Til styre/
tiltak defineres effekt tilsynsmyndighet
6.3 Alvorlighetsgrader
| Grad | Beskrivelse | Responstid | Rapporteres til |
|---|---|---|---|
| Kritisk | Lovbrudd, tilsynssanksjon, stor kundeeksponering | Umiddelbart | Styre, Finanstilsynet |
| Høy | Vesentlig rutinebrudd, gjentatte avvik | 24 timer | Daglig leder, styre |
| Middels | Enkeltavvik fra rutiner, forbedringspotensial | 1 uke | Daglig leder |
| Lav | Mindre prosessavvik, ingen kundekonsekvens | 30 dager | Compliance-logg |
6.4 Avvikslogg
Alle avvik registreres i avviksloggen med:
- Dato og tidspunkt
- Beskrivelse av avviket
- Hvem som oppdaget det
- Alvorlighetsgrad
- Korrigerende tiltak
- Ansvarlig for oppfølging
- Frist for lukking
- Status (åpent/lukket)
- Læringspunkter
7. Eskalering
7.1 Eskaleringsprosedyre
| Situasjon | Eskaleres til | Tidsfrist |
|---|---|---|
| Mistenkelig transaksjon (flagget av system) | Hvitvaskingsansvarlig | 24 timer |
| Bekreftet mistanke om HV/TF | EFE/Økokrim + daglig leder | Uten ugrunnet opphold |
| Sanksjonstreff (bekreftet) | Daglig leder + UD | Umiddelbart |
| Kritisk avvik | Styre + eventuelt Finanstilsynet | Umiddelbart |
| Sikkerhetshendeelse (datainnbrudd) | Daglig leder + Datatilsynet (72t) | Umiddelbart |
| Tilsynsforespørsel | Daglig leder + compliance | Innen tilsynets frist |
| Kundeklage (compliance-relatert) | Compliance | 5 virkedager |
7.2 Varsling (Whistleblowing)
Jf. arbeidsmiljøloven kapittel 2A:
- Alle ansatte har rett til å varsle om kritikkverdige forhold
- Varslingskanal er etablert (direkte til styreleder)
- Varsler beskyttes mot gjengjeldelse
- Alle varsler behandles konfidensielt og dokumenteres
8. IT-kontroller
8.1 Tilgangsstyring
| Prinsipp | Implementering |
|---|---|
| Minste privilegium | Brukere får kun tilgang til det de trenger |
| Rollebasert tilgang (RBAC) | Tilgang basert på rolle, ikke person |
| Separation of duties | Kritiske funksjoner krever to personers godkjenning |
| Periodisk tilgangsgjennomgang | Kvartalsvis gjennomgang av alle tilganger |
| Logging | Alle tilgangsendringer og datautrekk logges |
8.2 Systemovervåking
| Kontroll | Beskrivelse | Frekvens |
|---|---|---|
| Oppetidsovervåking | Automatisk varsling ved nedetid | Kontinuerlig |
| Ytelsesovervåking | Responstider og feilrater | Kontinuerlig |
| Sikkerhetslogg-gjennomgang | Analyse av innloggingsforsøk og anomalier | Daglig |
| Sårbarhetsskanning | Automatisk skanning av kjente sårbarheter | Ukentlig |
| Penetrasjonstesting | Ekstern testing av sikkerhet | Årlig |
| Backup-verifisering | Test av gjenoppretting fra backup | Månedlig |
8.3 Endringsstyring
Alle endringer i produksjonssystemer skal:
- Dokumenteres med beskrivelse og begrunnelse
- Testes i staging-miljø
- Godkjennes av tech lead og compliance (ved regelverksrelevante endringer)
- Rulles ut med rollback-plan
- Overvåkes etter utrulling
9. Opplæring og kompetanse
9.1 Opplæringsprogram
| Kurs | Målgruppe | Frekvens | Innhold |
|---|---|---|---|
| Grunnkurs HV/TF | Alle ansatte | Ved ansettelse + årlig | Lovverk, rutiner, gjenkjennelse |
| Avansert AML | Compliance, operativ | Årlig | Typologier, caseøvelser, EDD |
| PEP og sanksjoner | Compliance, operativ | Årlig | PEP-definisjoner, screeningprosess |
| IT-sikkerhet | Alle ansatte | Årlig | Phishing, passord, hendelsesrapportering |
| GDPR | Alle ansatte | Ved ansettelse + årlig | Personvern, behandlingsgrunnlag |
| Etikk og varsling | Alle ansatte | Årlig | Etiske retningslinjer, varslingskanal |
9.2 Kompetansekrav
| Rolle | Minimumskompetanse |
|---|---|
| Hvitvaskingsansvarlig | Sertifisering (f.eks. CAMS), min. 3 års erfaring |
| Compliance-medarbeider | Relevant utdanning, opplæring i HV/TF |
| Daglig leder | Egnethetsvurdering, grunnleggende HV/TF-forståelse |
| Styremedlemmer | Egnethetsvurdering, forstå regulatorisk rammeverk |
| Tech Lead | IT-sikkerhetskompetanse, forståelse av compliance-krav |
10. Beredskapsplan
10.1 Scenarioer
| Scenario | Alvorlighet | Umiddelbare tiltak |
|---|---|---|
| Datainnbrudd / personopplysninger kompromittert | Kritisk | Isolere system, varsle Datatilsynet (72t), varsle berørte kunder |
| Sanksjonert transaksjon gjennomført ved feil | Kritisk | Fryse midler, varsle UD, rapportere til EFE |
| Systemnedetid > 4 timer | Høy | Aktivere failover, informere kunder, loggføre |
| Tjenestenektangrep (DDoS) | Høy | Aktivere DDoS-beskyttelse, eskalere til hosting-partner |
| Mistanke om intern svindel | Kritisk | Fryse tilganger, undersøke, varsle styre og evt. politi |
10.2 Kommunikasjonsplan ved hendelse
| Interessent | Tidsfrist | Kanal | Ansvarlig |
|---|---|---|---|
| Finanstilsynet | Uten ugrunnet opphold | Altinn / epost | Daglig leder |
| Datatilsynet | 72 timer (datainnbrudd) | Altinn | Daglig leder |
| Berørte kunder | Uten ugrunnet opphold | App + epost | Kundeservice |
| Styret | Umiddelbart | Epost + telefon | Daglig leder |
| Ansatte | Umiddelbart | Intern kanal | Daglig leder |
11. Endringslogg
| Versjon | Dato | Endring | Godkjent av |
|---|---|---|---|
| 1.0 | 2026-02-12 | Førstegangs utarbeidelse | Styre |
Dokumentet er utarbeidet i henhold til finansforetaksloven §13-5, hvitvaskingsloven §§7-8 og §37, og Finanstilsynets veiledninger om internkontroll i betalingsforetak.