Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä laadunhallintajärjestelmää. Hallintajärjestelmän rajaukset ja soveltamisala, sisältö, rooli, täytäntöönpanotiedot ja muut tarvittavat hallintajärjestelmään liittyvät tiedot on dokumentoitava selkeästi.

Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:

• Riskien tunnistamismenetelmät
• Riskianalyysimenetelmät
• Riskien arviointiperusteet (vaikutus ja todennäköisyys).
• Riskien priorisointi, käsittelyvaihtoehdot ja valvontatehtävien määrittely.
• riskien hyväksymiskriteerit
• Prosessin toteuttamissykli, resursointi ja vastuut
• Tulokset olisi sisällytettävä organisaation riskinhallintaprosessiin.

Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.

Organisaatio pyrkii ennakoivasti luetteloimaan ja arvioimaan suuren riskin tekoälyjärjestelmien käyttöön liittyvien eri riskien todennäköisyyttä ja vakavuutta. Dokumentoinnin tulisi sisältää seuraavat seikat:

• Riskin kuvaus
• Perusoikeuksiin vaikuttavien riskien arvioitu vaikutus ja todennäköisyys
• Tehtävät riskin hallitsemiseksi tai muut käsittelyvaihtoehdot
• Riskin hyväksyttävyys

Organisaatio arvioi riskejä reagoimalla tilanteisiin, joissa suuririskisen tekoälyjärjestelmän eheys on vaarantunut lievästi tai vakavasti. Dokumentoinnin on sisällettävä ainakin seuraavat tiedot:

• Tapahtuman kuvaus
• vaaratilanteeseen liittyvät riskit
• Tapahtuman seurauksena käyttöön otetut uudet tehtävät
• Muut toimenpiteet, joihin on ryhdytty vaaratilanteen vuoksi

Suuririskisiin tekoälyjärjestelmiin tehtävien merkittävien muutosten vaikutukset on arvioitava etukäteen ja ne on toteutettava hallitusti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.

Tähän prosessiin on kuuluttava myös markkinoille saattamisen jälkeisestä seurantajärjestelmästä saatujen tietojen analysointi uusien tai aiemmin tuntemattomien riskien tunnistamiseksi. Näiden arviointien tuloksia olisi käytettävä järjestelmän riskinhallintasuunnitelman säännölliseen päivittämiseen.

Merkittäviin muutoksiin voivat kuulua: organisaation, toimintaympäristön, liiketoimintaprosessien ja tietojärjestelmien muutokset sekä suuren riskin järjestelmiin tehtävät muutokset, jotka edellyttävät muodollista arviointia, dokumentoitua riskinarviointia ja hyväksyntää ennen käyttöönottoa. Muutokset voidaan tunnistaa esimerkiksi johdon arvioinneissa ja muussa suuren riskin tekoälyjärjestelmien kehittämiseen ja ylläpitoon liittyvässä työssä.

Organisaation täytyy määrittää hyväksyttävä taso riskeille. Taso lasketaan riskien todennäköisyyden, vakavuuden ja hallintakeinojen pohjalta.

Riskien käsittelyn jälkeen organisaatio arvioi jäljellä olevan jäännösriskin tason riskikohtaisesti.

Jäännösriskin osalta riskin omistaja tekee selkeät päätökset joko riskin sulkemisesta tai riskin palauttamisesta käsittelyjonoon.

Organisaation on varmistettava, että riskialttiiden tekoälyjärjestelmien riskienhallinta on jatkuva ja iteratiivinen prosessi koko järjestelmän elinkaaren ajan. Riskinarviointia olisi päivitettävä järjestelmällisesti esimerkiksi silloin, kun markkinoille saattamisen jälkeisestä seurannasta saadaan uutta tietoa tai kun tekoälyjärjestelmään tehdään merkittäviä muutoksia.