řídicí rámec určuje, kdo rozhoduje o účelu, datech, modelech a rizicích v průběhu celého životního cyklu. Zahrnuje etické zásady, ochranu soukromí, kyberbezpečnost, auditovatelnost a dohled. Součástí je katalog AI systémů s rizikovými profily a kontaktními místy pro stížnosti. Vysokorizikové systémy mají přísnější požadavky na data, dokumentaci a monitoring. Komunikace s veřejností vyžaduje transparentní a srozumitelné vysvětlování. Role jsou křížové: právník, datový vlastník, bezpečák, architekt i produktový vlastník. Rozhodnutí a výjimky se evidují v repozitáři a pravidelně revidují.
