The organisation should assess and document how its existing internal governance system, as required by EU financial services law, fulfils the quality management requirements of the AI Act. The assessment should take into account any relevant harmonised standards to ensure full compliance.

The organisation should create and maintain a documented plan for the examination, testing, and validation of its high-risk AI systems. This plan ensures that system quality is consistently evaluated throughout its lifecycle.

The plan should specify the procedures to be carried out before, during, and after development, as well as the frequency of these activities.

The organisation should establish and document its procedures for quality control and quality assurance during the development of high-risk AI systems. These systematic actions ensure the system meets its quality objectives and design specifications throughout the development process. An owner of these procedures should be assigned.

Organisaation olisi luotava ja ylläpidettävä prosesseja dokumentoidun tiedon tehokasta valvontaa varten koko sen elinkaaren ajan. Tähän sisältyy:

• Jakelu ja pääsy: Sen varmistaminen, että dokumentoitua tietoa on saatavilla siellä, missä sitä tarvitaan, ja että pääsyä valvotaan luokittelun ja tiedonsaantitarpeen periaatteiden mukaisesti.
• Varastointi ja säilyttäminen: Turvallisen säilytyksen toteuttaminen eheyden ja luottamuksellisuuden suojaamiseksi ja luettavuuden säilyttämiseksi.
• Muutosten hallinta: Käytetään versionhallintaa ja määriteltyjä menettelyjä dokumentoituun tietoon tehtävien muutosten hallintaan.
• Säilyttäminen ja hävittäminen: Säilytysaikojen määrittely ja turvallisten hävittämismenetelmien käyttö, kun tietoja ei enää tarvita.
• Ulkoisten asiakirjojen valvonta: Ulkopuolisista lähteistä peräisin olevan, hallintajärjestelmän kannalta tarpeellisen dokumentoidun tiedon tunnistaminen, tarkastelu ja valvonta.

Organisaatiolla on prosessi, jonka avulla se tunnistaa sisäisiä ja ulkoisia asioita, jotka ovat merkityksellisiä sen tarkoituksen ja laadunhallintajärjestelmän kannalta. Tätä voidaan toteuttaa esimerkiksi strategiatyön avulla tai hyödyntämällä SWOT-analyysiä (sisäisten kysymysten osalta) tai PESTLE-analyysiä (ulkoisten kysymysten osalta).

Prosessi sisältää kuvauksen siitä, miten merkityksellisiä asioita seurataan ja miten ne tarvittaessa luovat riskejä, muutoksia, parannuksia tai tehtäviä hallintajärjestelmään, kun ne ovat tarpeen tunnistettuihin ulkoisiin ja sisäisiin asioihin reagoimiseksi asianmukaisesti.

Esimerkkejä merkityksellisistä sisäisistä asioista voivat olla:

• arvoihin liittyvät kysymykset
• kulttuuriin liittyvät kysymykset
• organisaatiorakenteeseen/hallintoon liittyvät kysymykset
• organisaatiotietämykseen liittyvät kysymykset
• organisaation suorituskykyyn liittyvät kysymykset

Esimerkkejä asiaankuuluvista ulkoisista kysymyksistä voivat olla:

• uusi asiaankuuluva lainsäädäntö
• uusi merkityksellinen teknologinen kehitys
• kilpailijoiden toimet tai muutokset kilpailuympäristössä
• uudet markkinamahdollisuudet
• uudet taloudelliset mahdollisuudet

Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä laadunhallintajärjestelmää. Hallintajärjestelmän rajaukset ja soveltamisala, sisältö, rooli, täytäntöönpanotiedot ja muut tarvittavat hallintajärjestelmään liittyvät tiedot on dokumentoitava selkeästi.

Organisaatiolla on ylimmän johdon laatima ja hyväksymä laatupolitiikka.

Politiikassa on toteuduttava ainakin seuraavat asiat:

• se on organisaation tarkoituksen ja kontekstin kannalta asianmukainen ja tukee sen strategista suuntaa
• se määrittää puitteet laatutavoitteiden asettamiselle
• se sisältää sitoutumisen sovellettavien vaatimusten täyttämiseen
• se sisältää sitoumuksen laadunhallintajärjestelmän jatkuvaan parantamiseen

Organisaation ylin johto asettaa laatutavoitteet. Laatutavoitteet täyttävät seuraavat vaatimukset:

• ne ovat yhdenmukaisia laatupolitiikan kanssa
• ne ovat mitattavissa
• niissä otetaan huomioon sovellettavat vaatimukset
• ne ovat merkityksellisiä tuotteiden ja palvelujen vaatimustenmukaisuuden ja asiakastyytyväisyyden parantamisen kannalta.
• niitä seurataan, niistä tiedotetaan ja niitä päivitetään tarpeen mukaan

Laatutavoitteiden dokumentoinnin yhteydessä määritellään myös tarvittavat ylätason parannukset ja tehtävät, tarvittavat resurssit, vastuuhenkilöt, määräajat ja tulosten arviointimenetelmät tavoitteiden saavuttamiseksi.

Organisaatio seuraa asiakkaiden menestystä ja tyytyväisyyttä tuotteisiinsa ja palveluihinsa. Tavoitteena on selvittää, missä määrin heidän tarpeensa ja odotuksensa täyttyvät.

Organisaatio on määritellyt menetelmät asiakastyytyväisyystietojen keräämiseksi, seuraamiseksi ja tarkastelemiseksi. Mahdollisia menetelmiä tietojen keräämiseen voivat olla mm:

• asiakashaastattelut
• asiakastyytyväisyyskyselyt (esim. NPS)
• asiakkaiden lähettämä palaute, joka liittyy toimitettuihin tuotteisiin ja palveluihin
• asiakastapaamisissa kerätty palaute
• markkinaosuusanalyysi
• Internetissä olevat asiakasarviot
• takuupyynnöt

The organisation should define and document the technical specifications, including any standards, that are applied during the development and operation of its high-risk AI systems. Where harmonised standards are not fully used, the organisation must document the alternative methods used to ensure the AI system complies with all relevant requirements.

The organisation should define and document its procedures for the record-keeping of all relevant documentation and information related to its high-risk AI system's quality management system. The procedure should specify what information is kept, retention periods, storage methods, and access controls to ensure the integrity and availability of records.

Organisaation olisi otettava käyttöön ja ylläpidettävä menettelyjä, joilla kaikki toiminnan jatkuvuuden hallintajärjestelmän (BCMS) kannalta merkitykselliset dokumentoidut tiedot hyväksytään virallisesti ja yksilöidään asianmukaisesti niiden luomisesta tai päivittämisestä. Näin varmistetaan, että kaikki dokumentaatio on asianmukaista ja asianmukaisesti luokiteltua aiottua käyttötarkoitusta varten.

Valmistajan on vedettävä pois markkinoilta tai palautettava markkinoilta vaatimuksista poikkeava tuote, jota on saatettu pitää kaupan.

Peruuttamis- tai takaisinvetoprosessiin on sisällyttävä:

• määritetään, mikä tuote ei ole vaatimustenmukainen
• yksilöidään kaikki ne, jotka omistavat vaatimustenvastaisen tuotteen tai ovat saaneet sen.
• tuotteen palauttamisen järjestäminen valmistajalle tai sen hävittämisen järjestäminen.
• tuotteen omistajille on ilmoitettava takaisinvedosta ja annettava tietoa siitä, miten asiassa on edettävä.

Organisaation on dokumentoitava ja toteutettava joukko virallisia menettelyjä, joilla varmistetaan, että varoitusjärjestelmää hallinnoidaan aktiivisesti ja että se on valmiina. Näissä dokumentoiduissa menettelyissä on määriteltävä yksityiskohtaisesti prosessit, joilla seurataan jatkuvasti järjestelmän toimintatilaa ja annetaan välittömiä hälytyksiä vioista, joilla varmistetaan järjestelmän luotettavuus säännöllisellä ja kattavalla testausohjelmalla ja joilla vastaanotetaan, todennetaan ja kirjataan turvallisesti toimivaltaisten viranomaisten viralliset ohjeet.

Organisaatio arvioi säännöllisesti laadun ja laadunhallintajärjestelmän tehokkuutta.

Organisaatio on määritellyt:

• seuratut mittarit, joiden avulla saadaan vertailukelpoisia tuloksia kyberturvallisuuden tason kehityksestä.
• mittareista vastaavat henkilöt
• metriikoiden tarkastelun ja arvioinnin menetelmät, aikataulu ja vastuuhenkilöt
• menetelmät, joilla dokumentoidaan mittareihin liittyvät arvioinnit ja tulokset

Tehokkaita mittareita tulisi voida käyttää heikkouksien tunnistamiseen, resurssien parempaan kohdentamiseen ja organisaation laatuun liittyvän onnistumisen / epäonnistumisen arviointiin.

Organisaation on jatkuvasti pyrittävä parantamaan laadunhallintajärjestelmän suorituskykyä. Parantamistapoja etsitään aktiivisesti - ei vain auditointien tai selvien poikkeamien kautta.

Tehtävien omistaja vastaa laadunhallintajärjestelmään tehtyjen parannusten dokumentoinnista ja jakamisesta suoritettaviin tehtäviin, tehtävien suorittamisen seurannasta ja saavutettujen vaikutusten arvioinnista.

Laadunhallintajärjestelmän näkökulmasta poikkeamat voivat olla esimerkiksi asiakasvalituksia, prosessin vaatimustenvastaisia tuotoksia, tilanteita joissa laatuvaatimukset eivät täyty, tai muita tilanteita, joissa asiaan liittyviä prosesseja ei noudateta.

Järjestelmällisessä laatutyössä kaikki havaitut poikkeamat dokumentoidaan ja korjataan. Poikkeamien dokumentointia hallinnoidaan QMS:ssä, ja se sisältää ainakin seuraavat asiat:

• kuvaus poikkeamasta ja siihen liittyvästä vaatimuksesta
• poikkeaman tason ja perimmäisen syyn arviointi
• poikkeaman korjaamiseksi tehdyt parannukset

Organisaation ylimmän johdon on osoitettava sitoutumista laatutyöhön ja laadunhallintajärjestelmään. Johto sitoutuu:

• ottamaan vastuun laatujärjestelmän tehokkuudesta ja sen integroimisesta organisaation prosesseihin
• varmistamaan, että laatupolitiikka ja laatutavoitteet on laadittu ja että ne ovat yhteensopivia organisaation asiayhteyden ja strategisen suunnan kanssa
• määrittelemään työn perustana olevat vaatimuskehikot tai muut vaatimukset (esim. asiakaslupaukset, määräykset tai sertifikaatit)
• varmistamaan, että laadun ylläpitämiseen tarvittavat resurssit ovat käytettävissä
• viestimään laadun, prosessilähestymistavan, riskiperusteisen ajattelun ja asiakaslähtöisyyden merkityksestä
• varmistamaan, että työllä saavutetaan halutut tulokset
• tukemaan henkilöitä laadunhallintajärjestelmän tehokkuuden edistämisessä
• edistämään laadunhallinnan jatkuvaa parantamista

Ylin johto päättää myös laadunhallintajärjestelmän laajuudesta ja kirjaa päätöksen laadunhallintajärjestelmän kuvaukseen. Tämä tarkoittaa esimerkiksi sitä, jätetäänkö jokin osa organisaation toiminnasta QMS:n soveltamisalan ulkopuolelle vai sovelletaanko sitä kaikkiin organisaation prosesseihin ja tuotteisiin/palveluihin.

Organisaation työntekijät hyväksyvät laatupolitiikan. Hyväksymistä seurataan säännöllisesti. Laatupolitiikassa voidaan viitata useisiin aihekohtaisiin politiikkoihin tai menettelytapoihin.

Laatupolitiikan on myös yleisesti ottaen oltava organisaatiossa saatavilla, siitä on tiedotettava ja sen on oltava selkeästi työntekijöiden ymmärrettävissä, sitä on sovellettava organisaatiossa ja sen on oltava asiaankuuluvien (myös ulkopuolisten) sidosryhmien saatavilla.

Organisaatio tunnistaa ja arvioi ennakoivasti erilaisia laatuun liittyviä riskejä. Tavoitteena on jatkuva parantaminen, varmuuden antaminen siitä, että QMS:llä saavutetaan halutut tulokset, ja ei-toivottujen vaikutusten ehkäiseminen tai vähentäminen.

Laaturiskien dokumentointi sisältää ainakin:

• Riskin kuvauksen
• Riskin arvioidut vaikutukset ja todennäköisyys
• Riskinhallintatehtävät tai muut käsittelyvaihtoehdot
• Päätös riskin hyväksyttävyydestä

Organisaatio on määritettävä laadunhallintajärjestelmän toteuttamiseen ja jatkuvaan parantamiseen tarvittavat resurssit ja tarjoaa ne käyttöön.

Resursseja määrittäessään organisaatio ottaa huomioon:

• olemassa olevien sisäisten resurssien kyvyt / rajoitteet
• mitä on hankittava ulkoisilta palveluntarjoajilta

Organisaation on myös määriteltävä henkilöt, joita tarvitaan laatujärjestelmän tehokkaaseen toteuttamiseen sekä prosessien toimintaan ja valvontaan.

Organisaatio on määritellyt tarvittavan "organisaatiotietämyksen", jota henkilöstö tarvitsee toimiakseen tehokkaasti prosesseissa tai tuotteiden / palvelujen yhteydessä. Tämä tietämys on dokumentoitu yhdessä prosessien ja tuotteiden / palvelujen dokumentoinnin kanssa QMS:ään.

Organisaatiotietämykseen voivat sisältyä esim. seuraavat asiat:

• prosessien tai tuotteiden/palveluiden nykyinen dokumentaatio, määrittelyt tai ohjeet
• dokumentoimattoman tietämyksen ja kokemuksen kerääminen ja jakaminen (voi sisältää esim. mentorointia)
• vaatimustenvastaisuuksista, läheltä piti -tilanteista, epäonnistumisista tai onnistuneista hankkeista saadut kokemukset
• prosesseihin, tuotteisiin ja palveluihin tehtyjen parannusten tulokset
• standardit tai tutkimukset
• kumppaneiden / asiakkaiden tietämys
• vertailuanalyysi kilpailijoihin

Tätä tietämystä on ylläpidettävä ja se on saatettava saataville tarvittavassa määrin.

Organisaation on tarkasteltava nykyistä tietämystään ja määriteltävä, miten se voi hankkia tai saada käyttöönsä tarvittavaa lisätietämystä ja päivityksiä, joita tarvitaan tulevien tavoitteiden saavuttamiseksi.

Organisaatio on määritellyt menetelmät kullekin prosessille ja yleensä asiakastyytyväisyydelle määriteltyjen laatuun liittyvien mittareiden analysoimiseksi ja arvioimiseksi.

Analyysi voidaan toteuttaa esimerkiksi säännöllisissä työpajoissa, joissa keskitytään organisaation laadun arviointiin ylätasolta käsin.

Analyysin tuloksia käytetään ainakin seuraaviin arviointeihin:

• tuotteiden ja palvelujen vaatimustenmukaisuus
• asiakastyytyväisyys ja sen kehitys
• laadunhallintajärjestelmän yleinen suorituskyky ja tarvittavat parannukset
• riskienhallinnan tehokkuus
• ulkopuolisten palveluntarjoajien suorituskyky