MOAT · Event-driven review

Reaksjoner som følger endringene, ikke kalenderen

Kvartalsvise KYB-reviews fanger aldri opp det som skjedde i mellomtiden. Ketl overvåker Brregs oppdateringsfeed hvert 15. minutt og åpner klassifiserte review-saker automatisk — med AI-triage som lukker det trivielle og eskalerer det viktige.

6 prinsipper

Poll-intervall: 15 minutter

Cloud Scheduler mot Brregs /api/oppdateringer/enheter, /underenheter og /roller. Eventer fanges innen 15 min — ikke ved kvartalsvise reviews.

Klassifisering først

Hver endring får event_type (12 typer: konkurs, rolle, kapital, …), severity (5 nivåer) og regulatory_context (AMLA, DORA, GDPR, sanctions, …). Regelmotoren tar aldri rå Brreg-data — kun typed events.

Tenant-definerte regler

Hver tenant setter regler som matcher event-type, min-severity og regulatory context. Regel-match → sak åpnes med priority, SLA og auto-tildeling.

AI-triage med klart svar

For hver sak foreslår triage én av tre: close_auto, human_review, escalate. Beslutningen er forklart med confidence, sammendrag og risiko-signaler.

Zero-touch for lav-risiko

Lav/info-events uten tidligere risiko-signaler lukkes automatisk. Mål: 80% av lav-risiko-saker etter 90 dagers læring — matcher Strise-benchmarken.

Full audit-kjede

Alle sakshandlinger (opprettelse, tildeling, kommentar, lukking) havner i audit-kjeden (#75). Regulator kan 3 år senere reprodusere hvem som tok hvilken beslutning.

Event-typer og klassifisering

Hver Brreg-endring oversettes til en av disse event-typene med default severity og regulatory context. Tenant kan overstyre i egen regel-konfigurasjon.

Event-type	Severity	Regulatorisk
konkurs	Kritisk	AMLA, MAR
under-avvikling	Høy	AMLA, MAR
fravalg-revisjon	Høy	AMLA
kapital-endring	Høy	AMLA, MAR
konsern-tilknytning	Høy	AMLA, sanctions
rolle-endring	Medium-Høy	AMLA, sanctions
navneendring	Medium	AMLA
adresseendring	Lav	—
ny-registrering	Info	—

Alarmer vs saker

Dette er overgangen fra passive varsler til aktiv saksbehandling:

#35 — alarmer

E-post og Slack-varsler. Passivt. Krever at noen leser, tolker og handler manuelt.

Denne motoren — saker

Alarmer blir til saker med ansvarlig, SLA, konklusjon og audit-spor. Aktiv saksbehandling, ikke passiv varsling.

Regel-eksempel (en tenant sin konfig)

{
  "ruleId": "rule-high-amla",
  "name": "Høy severity med AMLA-relevans",
  "active": true,
  "match": {
    "minSeverity": "high",
    "regulatoryContext": ["amla", "sanctions"]
  },
  "action": {
    "openCase": true,
    "priority": "high",
    "slaHours": 24,
    "assignTo": "amla-team",
    "autoCloseLowRisk": false
  }
}

MCP-verktøy for agent-drevet saksbehandling

ketl_case_list
List saker (filtrer på status, priority, assignee)
ketl_case_get
Hent én sak med historikk og AI-triage
ketl_case_assign
Tildel sak til bruker eller team
ketl_case_comment
Legg til kommentar i saken
ketl_case_close
Lukk sak med verdict (approved/flagged/escalated)
ketl_case_reopen
Åpne lukket sak på nytt
ketl_watchlist_list
List tenant sine watchlists
ketl_watchlist_add_orgnr
Legg orgnr til watchlist