Organisaation olisi arvioitava ja dokumentoitava, miten sen nykyinen EU:n rahoituspalvelulainsäädännön mukainen sisäinen hallintojärjestelmä täyttää tekoälysäädöksen laadunhallintavaatimukset. Arvioinnissa olisi otettava huomioon kaikki asiaankuuluvat yhdenmukaistetut standardit, jotta voidaan varmistaa, että se täyttää kaikki vaatimukset.

Organisaation olisi laadittava ja ylläpidettävä dokumentoitua suunnitelmaa suuririskisten tekoälyjärjestelmiensä tarkastelua, testausta ja validointia varten. Tällä suunnitelmalla varmistetaan, että järjestelmän laatua arvioidaan johdonmukaisesti koko sen elinkaaren ajan.

Suunnitelmassa olisi määriteltävä ennen kehittämistä, sen aikana ja sen jälkeen suoritettavat menettelyt sekä näiden toimien tiheys.

Organisaation olisi laadittava ja dokumentoitava menettelyt laadunvalvontaa ja laadunvarmistusta varten suuren riskin tekoälyjärjestelmien kehittämisen aikana. Näillä järjestelmällisillä toimilla varmistetaan, että järjestelmä täyttää laatutavoitteet ja suunnittelumäärittelyt koko kehitysprosessin ajan. Näille menettelyille olisi nimettävä omistaja.

Organisaation olisi luotava ja ylläpidettävä prosesseja dokumentoidun tiedon tehokasta valvontaa varten koko sen elinkaaren ajan. Tähän sisältyy:

• Jakelu ja pääsy: Sen varmistaminen, että dokumentoitua tietoa on saatavilla siellä, missä sitä tarvitaan, ja että pääsyä valvotaan luokittelun ja tiedonsaantitarpeen periaatteiden mukaisesti.
• Varastointi ja säilyttäminen: Turvallisen säilytyksen toteuttaminen eheyden ja luottamuksellisuuden suojaamiseksi ja luettavuuden säilyttämiseksi.
• Muutosten hallinta: Käytetään versionhallintaa ja määriteltyjä menettelyjä dokumentoituun tietoon tehtävien muutosten hallintaan.
• Säilyttäminen ja hävittäminen: Säilytysaikojen määrittely ja turvallisten hävittämismenetelmien käyttö, kun tietoja ei enää tarvita.
• Ulkoisten asiakirjojen valvonta: Ulkopuolisista lähteistä peräisin olevan, hallintajärjestelmän kannalta tarpeellisen dokumentoidun tiedon tunnistaminen, tarkastelu ja valvonta.

Organisaatiolla on prosessi, jonka avulla se tunnistaa sisäisiä ja ulkoisia asioita, jotka ovat merkityksellisiä sen tarkoituksen ja laadunhallintajärjestelmän kannalta. Tätä voidaan toteuttaa esimerkiksi strategiatyön avulla tai hyödyntämällä SWOT-analyysiä (sisäisten kysymysten osalta) tai PESTLE-analyysiä (ulkoisten kysymysten osalta).

Prosessi sisältää kuvauksen siitä, miten merkityksellisiä asioita seurataan ja miten ne tarvittaessa luovat riskejä, muutoksia, parannuksia tai tehtäviä hallintajärjestelmään, kun ne ovat tarpeen tunnistettuihin ulkoisiin ja sisäisiin asioihin reagoimiseksi asianmukaisesti.

Esimerkkejä merkityksellisistä sisäisistä asioista voivat olla:

• arvoihin liittyvät kysymykset
• kulttuuriin liittyvät kysymykset
• organisaatiorakenteeseen/hallintoon liittyvät kysymykset
• organisaatiotietämykseen liittyvät kysymykset
• organisaation suorituskykyyn liittyvät kysymykset

Esimerkkejä asiaankuuluvista ulkoisista kysymyksistä voivat olla:

• uusi asiaankuuluva lainsäädäntö
• uusi merkityksellinen teknologinen kehitys
• kilpailijoiden toimet tai muutokset kilpailuympäristössä
• uudet markkinamahdollisuudet
• uudet taloudelliset mahdollisuudet

Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä laadunhallintajärjestelmää. Hallintajärjestelmän rajaukset ja soveltamisala, sisältö, rooli, täytäntöönpanotiedot ja muut tarvittavat hallintajärjestelmään liittyvät tiedot on dokumentoitava selkeästi.

Organisaatiolla on ylimmän johdon laatima ja hyväksymä laatupolitiikka.

Politiikassa on toteuduttava ainakin seuraavat asiat:

• se on organisaation tarkoituksen ja kontekstin kannalta asianmukainen ja tukee sen strategista suuntaa
• se määrittää puitteet laatutavoitteiden asettamiselle
• se sisältää sitoutumisen sovellettavien vaatimusten täyttämiseen
• se sisältää sitoumuksen laadunhallintajärjestelmän jatkuvaan parantamiseen

Organisaation ylin johto asettaa laatutavoitteet. Laatutavoitteet täyttävät seuraavat vaatimukset:

• ne ovat yhdenmukaisia laatupolitiikan kanssa
• ne ovat mitattavissa
• niissä otetaan huomioon sovellettavat vaatimukset
• ne ovat merkityksellisiä tuotteiden ja palvelujen vaatimustenmukaisuuden ja asiakastyytyväisyyden parantamisen kannalta.
• niitä seurataan, niistä tiedotetaan ja niitä päivitetään tarpeen mukaan

Laatutavoitteiden dokumentoinnin yhteydessä määritellään myös tarvittavat ylätason parannukset ja tehtävät, tarvittavat resurssit, vastuuhenkilöt, määräajat ja tulosten arviointimenetelmät tavoitteiden saavuttamiseksi.

Organisaatio seuraa asiakkaiden menestystä ja tyytyväisyyttä tuotteisiinsa ja palveluihinsa. Tavoitteena on selvittää, missä määrin heidän tarpeensa ja odotuksensa täyttyvät.

Organisaatio on määritellyt menetelmät asiakastyytyväisyystietojen keräämiseksi, seuraamiseksi ja tarkastelemiseksi. Mahdollisia menetelmiä tietojen keräämiseen voivat olla mm:

• asiakashaastattelut
• asiakastyytyväisyyskyselyt (esim. NPS)
• asiakkaiden lähettämä palaute, joka liittyy toimitettuihin tuotteisiin ja palveluihin
• asiakastapaamisissa kerätty palaute
• markkinaosuusanalyysi
• Internetissä olevat asiakasarviot
• takuupyynnöt

Organisaation olisi määriteltävä ja dokumentoitava tekniset eritelmät, mukaan lukien mahdolliset standardit, joita sovelletaan suuren riskin tekoälyjärjestelmien kehittämisessä ja käytössä. Jos yhdenmukaistettuja standardeja ei käytetä täysimääräisesti, organisaation on dokumentoitava vaihtoehtoiset menetelmät, joilla varmistetaan, että tekoälyjärjestelmä on kaikkien asiaankuuluvien vaatimusten mukainen.

Organisaation olisi määriteltävä ja dokumentoitava toimintatavat, joita se soveltaa kaikkien sen suuren riskin tekoälyjärjestelmien laadunhallintajärjestelmään liittyvien asiaankuuluvien asiakirjojen ja tietojen säilyttämiseen. Menettelyssä olisi täsmennettävä, mitä tietoja säilytetään, säilytysajat, säilytysmenetelmät ja pääsynvalvonta, jolla varmistetaan tallenteiden eheys ja saatavuus.

Organisaation olisi otettava käyttöön ja ylläpidettävä menettelyjä, joilla kaikki toiminnan jatkuvuuden hallintajärjestelmän (BCMS) kannalta merkitykselliset dokumentoidut tiedot hyväksytään virallisesti ja yksilöidään asianmukaisesti niiden luomisesta tai päivittämisestä. Näin varmistetaan, että kaikki dokumentaatio on asianmukaista ja asianmukaisesti luokiteltua aiottua käyttötarkoitusta varten.

Valmistajan on vedettävä pois markkinoilta tai palautettava markkinoilta vaatimuksista poikkeava tuote, jota on saatettu pitää kaupan.

Peruuttamis- tai takaisinvetoprosessiin on sisällyttävä:

• määritetään, mikä tuote ei ole vaatimustenmukainen
• yksilöidään kaikki ne, jotka omistavat vaatimustenvastaisen tuotteen tai ovat saaneet sen.
• tuotteen palauttamisen järjestäminen valmistajalle tai sen hävittämisen järjestäminen.
• tuotteen omistajille on ilmoitettava takaisinvedosta ja annettava tietoa siitä, miten asiassa on edettävä.

Organisaation on dokumentoitava ja toteutettava joukko virallisia menettelyjä, joilla varmistetaan, että varoitusjärjestelmää hallinnoidaan aktiivisesti ja että se on valmiina. Näissä dokumentoiduissa menettelyissä on määriteltävä yksityiskohtaisesti prosessit, joilla seurataan jatkuvasti järjestelmän toimintatilaa ja annetaan välittömiä hälytyksiä vioista, joilla varmistetaan järjestelmän luotettavuus säännöllisellä ja kattavalla testausohjelmalla ja joilla vastaanotetaan, todennetaan ja kirjataan turvallisesti toimivaltaisten viranomaisten viralliset ohjeet.

Organisaatio arvioi säännöllisesti laadun ja laadunhallintajärjestelmän tehokkuutta.

Organisaatio on määritellyt:

• seuratut mittarit, joiden avulla saadaan vertailukelpoisia tuloksia kyberturvallisuuden tason kehityksestä.
• mittareista vastaavat henkilöt
• metriikoiden tarkastelun ja arvioinnin menetelmät, aikataulu ja vastuuhenkilöt
• menetelmät, joilla dokumentoidaan mittareihin liittyvät arvioinnit ja tulokset

Tehokkaita mittareita tulisi voida käyttää heikkouksien tunnistamiseen, resurssien parempaan kohdentamiseen ja organisaation laatuun liittyvän onnistumisen / epäonnistumisen arviointiin.

Organisaation on jatkuvasti pyrittävä parantamaan laadunhallintajärjestelmän suorituskykyä. Parantamistapoja etsitään aktiivisesti - ei vain auditointien tai selvien poikkeamien kautta.

Tehtävien omistaja vastaa laadunhallintajärjestelmään tehtyjen parannusten dokumentoinnista ja jakamisesta suoritettaviin tehtäviin, tehtävien suorittamisen seurannasta ja saavutettujen vaikutusten arvioinnista.

Laadunhallintajärjestelmän näkökulmasta poikkeamat voivat olla esimerkiksi asiakasvalituksia, prosessin vaatimustenvastaisia tuotoksia, tilanteita joissa laatuvaatimukset eivät täyty, tai muita tilanteita, joissa asiaan liittyviä prosesseja ei noudateta.

Järjestelmällisessä laatutyössä kaikki havaitut poikkeamat dokumentoidaan ja korjataan. Poikkeamien dokumentointia hallinnoidaan QMS:ssä, ja se sisältää ainakin seuraavat asiat:

• kuvaus poikkeamasta ja siihen liittyvästä vaatimuksesta
• poikkeaman tason ja perimmäisen syyn arviointi
• poikkeaman korjaamiseksi tehdyt parannukset

Organisaation ylimmän johdon on osoitettava sitoutumista laatutyöhön ja laadunhallintajärjestelmään. Johto sitoutuu:

• ottamaan vastuun laatujärjestelmän tehokkuudesta ja sen integroimisesta organisaation prosesseihin
• varmistamaan, että laatupolitiikka ja laatutavoitteet on laadittu ja että ne ovat yhteensopivia organisaation asiayhteyden ja strategisen suunnan kanssa
• määrittelemään työn perustana olevat vaatimuskehikot tai muut vaatimukset (esim. asiakaslupaukset, määräykset tai sertifikaatit)
• varmistamaan, että laadun ylläpitämiseen tarvittavat resurssit ovat käytettävissä
• viestimään laadun, prosessilähestymistavan, riskiperusteisen ajattelun ja asiakaslähtöisyyden merkityksestä
• varmistamaan, että työllä saavutetaan halutut tulokset
• tukemaan henkilöitä laadunhallintajärjestelmän tehokkuuden edistämisessä
• edistämään laadunhallinnan jatkuvaa parantamista

Ylin johto päättää myös laadunhallintajärjestelmän laajuudesta ja kirjaa päätöksen laadunhallintajärjestelmän kuvaukseen. Tämä tarkoittaa esimerkiksi sitä, jätetäänkö jokin osa organisaation toiminnasta QMS:n soveltamisalan ulkopuolelle vai sovelletaanko sitä kaikkiin organisaation prosesseihin ja tuotteisiin/palveluihin.

Organisaation työntekijät hyväksyvät laatupolitiikan. Hyväksymistä seurataan säännöllisesti. Laatupolitiikassa voidaan viitata useisiin aihekohtaisiin politiikkoihin tai menettelytapoihin.

Laatupolitiikan on myös yleisesti ottaen oltava organisaatiossa saatavilla, siitä on tiedotettava ja sen on oltava selkeästi työntekijöiden ymmärrettävissä, sitä on sovellettava organisaatiossa ja sen on oltava asiaankuuluvien (myös ulkopuolisten) sidosryhmien saatavilla.

Organisaatio tunnistaa ja arvioi ennakoivasti erilaisia laatuun liittyviä riskejä. Tavoitteena on jatkuva parantaminen, varmuuden antaminen siitä, että QMS:llä saavutetaan halutut tulokset, ja ei-toivottujen vaikutusten ehkäiseminen tai vähentäminen.

Laaturiskien dokumentointi sisältää ainakin:

• Riskin kuvauksen
• Riskin arvioidut vaikutukset ja todennäköisyys
• Riskinhallintatehtävät tai muut käsittelyvaihtoehdot
• Päätös riskin hyväksyttävyydestä

Organisaatio on määritettävä laadunhallintajärjestelmän toteuttamiseen ja jatkuvaan parantamiseen tarvittavat resurssit ja tarjoaa ne käyttöön.

Resursseja määrittäessään organisaatio ottaa huomioon:

• olemassa olevien sisäisten resurssien kyvyt / rajoitteet
• mitä on hankittava ulkoisilta palveluntarjoajilta

Organisaation on myös määriteltävä henkilöt, joita tarvitaan laatujärjestelmän tehokkaaseen toteuttamiseen sekä prosessien toimintaan ja valvontaan.

Organisaatio on määritellyt tarvittavan "organisaatiotietämyksen", jota henkilöstö tarvitsee toimiakseen tehokkaasti prosesseissa tai tuotteiden / palvelujen yhteydessä. Tämä tietämys on dokumentoitu yhdessä prosessien ja tuotteiden / palvelujen dokumentoinnin kanssa QMS:ään.

Organisaatiotietämykseen voivat sisältyä esim. seuraavat asiat:

• prosessien tai tuotteiden/palveluiden nykyinen dokumentaatio, määrittelyt tai ohjeet
• dokumentoimattoman tietämyksen ja kokemuksen kerääminen ja jakaminen (voi sisältää esim. mentorointia)
• vaatimustenvastaisuuksista, läheltä piti -tilanteista, epäonnistumisista tai onnistuneista hankkeista saadut kokemukset
• prosesseihin, tuotteisiin ja palveluihin tehtyjen parannusten tulokset
• standardit tai tutkimukset
• kumppaneiden / asiakkaiden tietämys
• vertailuanalyysi kilpailijoihin

Tätä tietämystä on ylläpidettävä ja se on saatettava saataville tarvittavassa määrin.

Organisaation on tarkasteltava nykyistä tietämystään ja määriteltävä, miten se voi hankkia tai saada käyttöönsä tarvittavaa lisätietämystä ja päivityksiä, joita tarvitaan tulevien tavoitteiden saavuttamiseksi.

Organisaatio on määritellyt menetelmät kullekin prosessille ja yleensä asiakastyytyväisyydelle määriteltyjen laatuun liittyvien mittareiden analysoimiseksi ja arvioimiseksi.

Analyysi voidaan toteuttaa esimerkiksi säännöllisissä työpajoissa, joissa keskitytään organisaation laadun arviointiin ylätasolta käsin.

Analyysin tuloksia käytetään ainakin seuraaviin arviointeihin:

• tuotteiden ja palvelujen vaatimustenmukaisuus
• asiakastyytyväisyys ja sen kehitys
• laadunhallintajärjestelmän yleinen suorituskyky ja tarvittavat parannukset
• riskienhallinnan tehokkuus
• ulkopuolisten palveluntarjoajien suorituskyky