Toteuttaessaan tekoälyjärjestelmien riskinhallintatoimenpiteitä organisaation on tunnistettava riskit, jotka vaativat hoitoa, ja määriteltävä niille hoitosuunnitelmat. Organisaatio on määritellyt, miten säännöllisesti tekoälyriskien hallintaan kokonaisuutena määriteltyjä hoitosuunnitelmia arvioidaan sekä niiden suhteellisuutta riskinarviointiin (riskin vakavuus ja todennäköisyys).

Tässä prosessissa olisi otettava huomioon erilaiset kontrollit ja vaatimustenmukaisuusvaatimukset, kuten tietojen laatu, avoimuus ja inhimillinen valvonta, jotka ovat vuorovaikutuksessa keskenään. Yhdistetyillä toimenpiteillä olisi varmistettava, että riskit minimoidaan ja tasapainotetaan tehokkaasti.

Organisaation olisi laadittava ja dokumentoitava prosessi riskien poistamiseksi tai vähentämiseksi suuren riskin tekoälyjärjestelmien suunnittelun ja kehittämisen avulla. Prosessin avulla olisi varmistettava, että riskit otetaan huomioon siinä määrin kuin se on teknisesti mahdollista. Tekoälyriskien vähentämiseen tähtäävissä suunnitteluvalinnoissa on otettava huomioon järjestelmän käyttöönottajan odotettavissa oleva tekninen tietämys, kokemus ja järjestelmän aiottu käyttöyhteys.

Jos tunnistettuja riskejä ei voida poistaa suuririskisen tekoälyjärjestelmän suunnittelun ja kehittämisen avulla, olisi toteutettava asianmukaisia lieventämis- ja valvontatoimenpiteitä. Näiden valvontatoimien valinta ja toteuttaminen on dokumentoitava osana riskinhallintakansiota.

Organisaation olisi määriteltävä ja otettava käyttöön prosessi tunnistettujen tekoälyriskien käsittelyä varten. Tähän prosessiin kuuluu asianmukaisten riskienkäsittelyvaihtoehtojen valitseminen ja riskien hallintaan tarvittavien valvontatoimien tunnistaminen. Valvontakeinoja olisi tarkasteltava huolellisesti suhteessa ISO 42001:2024 -standardin liitteessä A lueteltuihin, ja lisäksi olisi määriteltävä kaikki liitteen A lisäksi tarvittavat lisäkontrollit.

Olisi laadittava soveltuvuusselvitys (SoA), jossa dokumentoidaan kaikki valitut valvontatoimet ja perustellaan niiden sisällyttäminen tai poisjättäminen. Poissulkemisen syitä voivat olla esimerkiksi se, että riskinarvioinnissa todetaan, etteivät ne ole tarpeellisia, tai se, että ulkoiset vaatimukset sallivat poikkeukset.

Valittujen käsittelyvaihtoehtojen ja tunnistettujen valvontatoimien perusteella olisi laadittava tekoälyriskin käsittelysuunnitelma. Vastuullisen johdon on hyväksyttävä tämä suunnitelma sekä jäljelle jäävien tekoälyriskien hyväksyminen.

Organisaation olisi säilytettävä dokumentoitua tietoa tekoälyriskien käsittelyprosessistaan, soveltuvuuslausunnosta ja tekoälyriskien käsittelysuunnitelmasta. Nämä asiakirjat olisi jaettava organisaation sisällä ja annettava tarvittaessa asianomaisten osapuolten käyttöön. Valittujen valvontatoimien olisi oltava linjassa tekoälyn hallintajärjestelmän tavoitteiden kanssa.