Toteuttaessaan tekoälyjärjestelmien riskinhallintatoimenpiteitä organisaation on tunnistettava riskit, jotka vaativat hoitoa, ja määriteltävä niille hoitosuunnitelmat. Organisaatio on määritellyt, miten säännöllisesti tekoälyriskien hallintaan kokonaisuutena määriteltyjä hoitosuunnitelmia arvioidaan sekä niiden suhteellisuutta riskinarviointiin (riskin vakavuus ja todennäköisyys).

Tässä prosessissa olisi otettava huomioon erilaiset kontrollit ja vaatimustenmukaisuusvaatimukset, kuten tietojen laatu, avoimuus ja inhimillinen valvonta, jotka ovat vuorovaikutuksessa keskenään. Yhdistetyillä toimenpiteillä olisi varmistettava, että riskit minimoidaan ja tasapainotetaan tehokkaasti.

Organisaation olisi laadittava ja dokumentoitava prosessi riskien poistamiseksi tai vähentämiseksi suuren riskin tekoälyjärjestelmien suunnittelun ja kehittämisen avulla. Prosessin avulla olisi varmistettava, että riskit otetaan huomioon siinä määrin kuin se on teknisesti mahdollista. Tekoälyriskien vähentämiseen tähtäävissä suunnitteluvalinnoissa on otettava huomioon järjestelmän käyttöönottajan odotettavissa oleva tekninen tietämys, kokemus ja järjestelmän aiottu käyttöyhteys.

Jos tunnistettuja riskejä ei voida poistaa suuririskisen tekoälyjärjestelmän suunnittelun ja kehittämisen avulla, olisi toteutettava asianmukaisia lieventämis- ja valvontatoimenpiteitä. Näiden valvontatoimien valinta ja toteuttaminen on dokumentoitava osana riskinhallintakansiota.

The organization should define and implement a process for treating identified AI risks. This process involves selecting appropriate risk treatment options and identifying the necessary controls to manage these risks. The controls should be carefully considered against those listed in Annex A of ISO 42001:2024, and any additional controls required beyond Annex A should also be identified.

A Statement of Applicability (SoA) should be created, documenting all selected controls and providing justification for their inclusion or exclusion. Reasons for exclusion could include the risk assessment determining they are not necessary or external requirements allowing for exceptions.

Based on the chosen treatment options and identified controls, an AI risk treatment plan should be formulated. This plan, along with the acceptance of any remaining AI risks, must be approved by the responsible management.

The organization should maintain documented information of its AI risk treatment process, the Statement of Applicability, and the AI risk treatment plan. These documents should be shared within the organization and made accessible to relevant interested parties as appropriate. The selected controls should align with the AI management system's objectives.