The Implementation Gap: The AI Enterprise Control Index as an Operational Governance Instrument for Agentic AI Systems

AbstractSamenvatting

The governance of artificial intelligence systems has produced a rich and rapidly expanding body of scholarship. Risk taxonomies catalog what can go wrong. Regulatory instruments declare what organisations must do. Technical frameworks propose architectures for runtime enforcement. Management system standards specify process requirements. Yet a persistent structural gap separates all of these contributions from the operational reality of governing AI in an enterprise: none specifies, with implementation-grade precision, which controls apply at which layer of the technology stack, who owns each control, what evidence each control must produce, and what happens when the control fails. This paper identifies and characterises that gap through a systematic review of 35 documents spanning AI safety research, governance frameworks, regulatory instruments, and agentic AI security literature. It then examines the AI Enterprise Control Index, an eight-layer, five-shield governance instrument with eight mandatory artifacts, as a candidate response to the implementation gap. The analysis finds that the Control Index occupies a distinct and currently unoccupied position in the governance landscape: the space between regulatory obligation and operational enforcement. The paper evaluates both the instrument's contributions and its limitations relative to the existing literature, and proposes specific integration points where academic research and the Control Index are mutually reinforcing rather than competing.De governance van systemen voor kunstmatige intelligentie heeft een rijke en snel uitbreidende wetenschappelijke literatuur voortgebracht. Risicotaxonomieën catalogiseren wat er mis kan gaan. Regelgevingsinstrumenten schrijven voor wat organisaties moeten doen. Technische frameworks stellen architecturen voor runtime-handhaving voor. Managementsysteemnormen specificeren procesvereisten. Toch scheidt een hardnekkige structurele kloof al deze bijdragen van de operationele realiteit van AI-governance binnen een onderneming: geen enkele specificeert, met implementatieniveau-precisie, welke maatregelen van toepassing zijn op welke laag van de technologiestack, wie verantwoordelijk is voor elke maatregel, welk bewijsmateriaal elke maatregel moet opleveren, en wat er gebeurt wanneer de maatregel faalt. Dit artikel identificeert en karakteriseert die kloof aan de hand van een systematische review van 35 documenten die AI-veiligheidsonderzoek, governance-frameworks, regelgevingsinstrumenten en literatuur over agentische AI-beveiliging omvatten. Vervolgens wordt de AI Enterprise Control Index onderzocht — een governance-instrument met acht lagen, vijf schilden en acht verplichte artefacten — als mogelijke respons op de implementatiekloof. De analyse toont aan dat de Control Index een onderscheidende en momenteel onbezette positie inneemt in het governance-landschap: de ruimte tussen regulatoire verplichting en operationele handhaving. Het artikel evalueert zowel de bijdragen als de beperkingen van het instrument ten opzichte van de bestaande literatuur, en stelt specifieke integratiepunten voor waar academisch onderzoek en de Control Index elkaar wederzijds versterken in plaats van concurreren.

Keywords: AI governance, enterprise controls, agentic AI, runtime governance, EU AI Act, implementation gap, control frameworksAI governance, enterprise controls, agentische AI, runtime governance, EU AI Act, implementatiekloof, control frameworks

IntroductionIntroductie

The field of AI governance is not short of frameworks. A review of 35 documents assembled for this analysis, spanning foundational AI safety research, regulatory instruments, practitioner governance proposals, and agentic AI security literature, yields more than a dozen distinct governance architectures, at least three comprehensive risk taxonomies, two binding regulatory frameworks, and a growing library of runtime enforcement proposals. The volume of intellectual production is impressive. The implementation deficit is equally so.Het vakgebied van AI-governance kent geen gebrek aan kaders. Een analyse van 35 documenten die voor dit onderzoek zijn samengesteld — afkomstig uit fundamenteel AI-veiligheidsonderzoek, regelgevende instrumenten, beroepspraktijkvoorstellen voor governance en literatuur over de beveiliging van agentische AI — levert meer dan een dozijn afzonderlijke governance-architecturen op, ten minste drie uitgebreide risicotaxonomieën, twee bindende regelgevende kaders en een groeiende bibliotheek van voorstellen voor runtime-handhaving. Het volume aan intellectuele productie is indrukwekkend. Het implementatietekort is dat evenzeer.

The MIT AI Risk Repository (Slattery et al., 2024) catalogs over 1,700 risks extracted from 74 source documents, classified across two taxonomies: a causal taxonomy organised by entity, intent, and timing, and a domain taxonomy spanning seven risk domains and 24 subdomains. It is the most comprehensive enumeration of AI risks available. It does not propose a single control, assign a single owner, or produce a single auditable artifact.Het MIT AI Risk Repository (Slattery et al., 2024) catalogiseert meer dan 1.700 risico’s ontleend aan 74 brondocumenten, geclassificeerd aan de hand van twee taxonomieën: een causale taxonomie georganiseerd naar entiteit, intentie en timing, en een domeintaxonomie die zeven risicodomeinen en 24 subdomeinen omspant. Het is de meest uitgebreide inventarisatie van AI-risico’s die beschikbaar is. Het stelt geen enkele maatregel voor, wijst geen enkele verantwoordelijke aan en produceert geen enkel controleerbaar artefact.

The NIST AI Risk Management Framework (2023) organises risk management into four functions: Govern, Map, Measure, and Manage. It is deliberately technology-neutral, process-oriented, and voluntary. It provides an architectural skeleton for governance without specifying what fills it: which controls, at what frequency, producing what evidence, owned by whom.Het NIST AI Risk Management Framework (2023) organiseert risicobeheer rondom vier functies: Govern, Map, Measure en Manage. Het is bewust technologieneutraal, procesgericht en vrijwillig van aard. Het biedt een architectonisch skelet voor governance zonder te specificeren waarmee het wordt ingevuld: welke maatregelen, met welke frequentie, welk bewijsmateriaal producerend, in eigendom van wie.

The EU AI Act (Regulation 2024/1689) creates binding legal obligations. Article 9 requires risk management systems. Article 14 mandates human oversight. Article 43 assigns conformity assessment obligations to deployers. Articles 51 through 56 regulate general-purpose AI. The obligations are categorical. The technical means of satisfying them are not specified.De EU AI Act (Verordening 2024/1689) schept bindende wettelijke verplichtingen. Artikel 9 verplicht tot risicobeheersystemen. Artikel 14 schrijft menselijk toezicht voor. Artikel 43 legt conformiteitsbeoordelingsverplichtingen op aan deployers. Artikelen 51 tot en met 56 reguleren AI voor algemene doeleinden. De verplichtingen zijn categorisch van aard. De technische middelen om eraan te voldoen worden niet gespecificeerd.

The academic governance literature follows a consistent pattern. AgentSpec (2025) proposes customisable runtime guardrails specified in a domain-specific language. MI9 (2025) proposes a nine-component integrated runtime governance framework. Policies-on-Paths (2025) models governance as constraints over execution traces. Governance-as-a-Service (2025) proposes multi-agent architectures where governance agents supervise task agents. Each contributes architectural insight. None has been empirically validated in production. None produces a governance artifact that a board member, auditor, or regulator can inspect.De academische governance-literatuur volgt een consistent patroon. AgentSpec (2025) stelt aanpasbare runtime-guardrails voor, gespecificeerd in een domeinspecifieke taal. MI9 (2025) stelt een geïntegreerd runtime-governancekader voor met negen componenten. Policies-on-Paths (2025) modelleert governance als beperkingen over uitvoeringstracés. Governance-as-a-Service (2025) stelt multi-agent-architecturen voor waarbij governance-agenten taakagenten superviseren. Elk van deze bijdragen levert architectonisch inzicht. Geen van deze is empirisch gevalideerd in productieomgevingen. Geen van deze produceert een governance-artefact dat een bestuurslid, auditor of toezichthouder kan inspecteren.

This paper identifies the structural gap between these contributions and characterises the position occupied by the AI Enterprise Control Index (Janssen, 2025): an eight-layer, five-shield governance instrument with eight mandatory artifacts, designed to bridge the space between regulatory obligation and operational enforcement.Dit artikel identificeert de structurele kloof tussen deze bijdragen en typeert de positie die de AI Enterprise Control Index (Janssen, 2025) inneemt: een governance-instrument met acht lagen en vijf schilden, voorzien van acht verplichte artefacten, ontworpen om de ruimte te overbruggen tussen regulerende verplichting en operationele handhaving.

The analysis is not advocacy. The paper evaluates both what the Control Index contributes that the literature does not, and what the literature contributes that the Control Index does not address.De analyse is geen pleidooi. Het artikel evalueert zowel wat de Control Index bijdraagt dat de literatuur niet biedt, als wat de literatuur bijdraagt dat de Control Index niet adresseert.

The Implementation Gap: Characterisation and EvidenceHet Implementatietekort: Karakterisering en Onderbouwing

The gap between governance intention and governance implementation is not new. Power (2007), analysing the rise of what he calls the audit society, identifies a recurring institutional pathology: the proliferation of formal risk management procedures that satisfy stakeholder expectations while generating what he terms ‘organised irresponsibility.’ Risk registers document known risks without adversarially testing the assumptions on which risk assessments depend. Governance frameworks declare principles without specifying enforcement mechanisms. Compliance documentation accumulates without producing evidence that controls are functioning.De kloof tussen governance-intentie en governance-implementatie is niet nieuw. Power (2007), die de opkomst analyseert van wat hij de auditmaatschappij noemt, identificeert een terugkerende institutionele pathologie: de proliferatie van formele risicobeheersingsprocedures die voldoen aan de verwachtingen van belanghebbenden terwijl zij genereren wat hij ‘georganiseerde onverantwoordelijkheid’ noemt. Risicoregisters documenteren bekende risico’s zonder de aannames waarop risicobeoordelingen berusten op adversariale wijze te toetsen. Governance-kaders verkondigen beginselen zonder handhavingsmechanismen te specificeren. Compliancedocumentatie stapelt zich op zonder bewijs te produceren dat maatregelen daadwerkelijk functioneren.

This pathology is amplified in AI governance by three structural conditions that distinguish AI from prior governance objects.Deze pathologie wordt in AI-governance versterkt door drie structurele omstandigheden die AI onderscheiden van eerdere governance-objecten.

2.1 The Accountability Distribution Problem2.1 Het Verantwoordelijkheidsverdelingsprobleem

Chan et al. (2024), in their analysis of visibility into AI agents, identify a fundamental challenge: as AI systems gain autonomy, the ability of any single stakeholder to observe, understand, and control system behaviour diminishes. The paper proposes visibility requirements but not the organisational structures needed to satisfy them. Cobbe et al. (2025), examining governance and accountability frameworks for AI agents, document what they call the accountability gap: the structural difficulty of assigning responsibility when AI systems mediate consequential decisions through chains of delegation that cross organisational boundaries. The AI Accountability Trap (Janssen, 2025) extends this analysis to argue that the gap is not accidental but structural: existing governance instruments distribute accountability without concentrating it, producing what appears to be comprehensive oversight while ensuring that no single function has the authority, information, or mandate to enforce controls across the full technology stack.Chan et al. (2024) identificeren in hun analyse van zichtbaarheid binnen AI-agenten een fundamentele uitdaging: naarmate AI-systemen meer autonomie verwerven, neemt het vermogen van elke afzonderlijke belanghebbende om systeemgedrag te observeren, te begrijpen en te beheersen af. Het artikel stelt zichtbaarheidsvereisten voor, maar niet de organisatiestructuren die nodig zijn om daaraan te voldoen. Cobbe et al. (2025) documenteren in hun onderzoek naar governance- en verantwoordingskaders voor AI-agenten wat zij de accountability gap noemen: de structurele moeilijkheid om verantwoordelijkheid toe te wijzen wanneer AI-systemen consequentiële beslissingen bemiddelen via delegatieketens die organisatiegrenzen overschrijden. The AI Accountability Trap (Janssen, 2025) verlengt deze analyse met het argument dat de kloof niet toevallig maar structureel is: bestaande governance-instrumenten distribueren verantwoordelijkheid zonder deze te concentreren, waardoor een schijn van omvattend toezicht ontstaat terwijl geen enkele functie de bevoegdheid, informatie of het mandaat heeft om maatregelen over de volledige technologiestapel te handhaven.

2.2 The Runtime Governance Problem2.2 Het Runtime-Governanceprobleem

The distinction between design-time and runtime governance is now well-established in the literature. Amodei et al. (2016), in their foundational analysis of concrete problems in AI safety, identify five failure modes, including reward hacking and distributional shift, that manifest only during deployment. The agentic AI literature amplifies this: Yao et al. (2023) demonstrate that ReAct agents interleave reasoning with action in ways that create failure modes invisible at design time. The OWASP Top 10 for Agentic Applications (2026) catalogues ten categories of runtime vulnerability, including excessive agency, tool misuse, and unbounded consumption. The implication is consistent: pre-deployment governance is necessary but insufficient. Runtime controls are required.Het onderscheid tussen design-time- en runtime-governance is inmiddels goed verankerd in de literatuur. Amodei et al. (2016) identificeren in hun fundamentele analyse van concrete problemen in AI-veiligheid vijf faalwijzen — waaronder reward hacking en distributional shift — die zich uitsluitend tijdens inzet manifesteren. De agentische AI-literatuur versterkt dit: Yao et al. (2023) tonen aan dat ReAct-agenten redenering en actie verweven op manieren die faalwijzen creëren die bij het ontwerp onzichtbaar zijn. De OWASP Top 10 for Agentic Applications (2026) catalogiseert tien categorieën van runtime-kwetsbaarheden, waaronder excessive agency, tool misuse en unbounded consumption. De implicatie is consistent: pre-deployment-governance is noodzakelijk maar ontoereikend. Runtime-maatregelen zijn vereist.

The academic response has been to propose runtime enforcement architectures. These are technically sophisticated. They are also, without exception, disconnected from the organisational governance structures that would need to commission, configure, monitor, and be accountable for them. AgentSpec specifies guardrails in a domain-specific language. Who writes the rules? Who approves them? What happens when a rule triggers? The paper does not say. MI9 proposes nine governance components including a policy engine, audit trail, and circuit breakers. Who owns the policy engine? What evidence does it produce? How is it audited? The paper does not say.De academische respons heeft bestaan uit het voorstellen van runtime-handhavingsarchitecturen. Deze zijn technisch geavanceerd. Zij zijn ook, zonder uitzondering, losgekoppeld van de organisatorische governance-structuren die deze architecturen zouden moeten opdragen, configureren, monitoren en waarvoor zij verantwoording zouden moeten afleggen. AgentSpec specificeert guardrails in een domeinspecifieke taal. Wie schrijft de regels? Wie keurt ze goed? Wat gebeurt er wanneer een regel wordt geactiveerd? Het artikel zegt het niet. MI9 stelt negen governance-componenten voor, waaronder een policy engine, een auditspoor en circuit breakers. Wie is eigenaar van de policy engine? Welk bewijsmateriaal produceert deze? Hoe wordt zij geauditeerd? Het artikel zegt het niet.

2.3 The Evidence Problem2.3 Het Bewijsprobleem

Raji et al. (2020) argue that AI accountability requires not merely documentation but an evidence chain: a traceable connection between governance intent, operational controls, and auditable artifacts demonstrating that controls are functioning. This is the standard to which the EU AI Act holds deployers: Article 9 requires risk management systems that are ‘documented and maintained,’ Article 11 requires technical documentation, and Article 12 requires record-keeping that enables post-market monitoring. The standard is clear. The means of meeting it are not.Raji et al. (2020) betogen dat AI-verantwoording niet enkel documentatie vereist, maar een bewijsketen: een traceerbare verbinding tussen governance-intentie, operationele maatregelen en controleerbare artefacten die aantonen dat maatregelen functioneren. Dit is de standaard waaraan de EU AI Act deployers houdt: Artikel 9 vereist risicobeheersystemen die ‘gedocumenteerd en bijgehouden’ worden, Artikel 11 vereist technische documentatie, en Artikel 12 vereist registratie die post-market-monitoring mogelijk maakt. De standaard is helder. De middelen om eraan te voldoen zijn dat niet.

The implementation gap can now be stated precisely. The field has produced comprehensive risk catalogs (MIT AI Risk Repository), architectural governance models (NIST RMF, ISO/IEC 42001), binding legal obligations (EU AI Act), runtime enforcement proposals (AgentSpec, MI9, Policies-on-Paths), and threat taxonomies (OWASP). What it has not produced is an integrated operational instrument that maps specific controls to specific layers of the technology stack, assigns named organisational owners, specifies the evidence each control must generate, and defines the failure mode when the control is absent. That is the gap the AI Enterprise Control Index is designed to fill.Het implementatietekort kan nu precies worden omschreven. Het vakgebied heeft uitgebreide risicocatalogi geproduceerd (MIT AI Risk Repository), architectonische governance-modellen (NIST RMF, ISO/IEC 42001), bindende wettelijke verplichtingen (EU AI Act), runtime-handhavingsvoorstellen (AgentSpec, MI9, Policies-on-Paths) en dreigingstaxonomieën (OWASP). Wat het niet heeft geproduceerd, is een geïntegreerd operationeel instrument dat specifieke maatregelen koppelt aan specifieke lagen van de technologiestapel, benoemde organisatorische eigenaren toewijst, het bewijsmateriaal specificeert dat elke maatregel moet genereren, en de faalwijze definieert wanneer de maatregel ontbreekt. Dat is de kloof die de AI Enterprise Control Index is ontworpen om te dichten.

The AI Enterprise Control Index: Structure and Design RationaleDe AI Enterprise Control Index: Structuur en Ontwerprationale

The AI Enterprise Control Index is structured around three interlocking design elements: eight governance layers, five cross-cutting shields, and eight mandatory artifacts. Each element serves a distinct function. The layers decompose the AI technology stack into governable units. The shields provide cross-cutting governance functions that span all layers. The artifacts are the evidence instruments that transform governance intent into auditable proof.De AI Enterprise Control Index is opgebouwd rondom drie onderling verbonden ontwerpelementen: acht governance-lagen, vijf dwarsverbindende schilden en acht verplichte artefacten. Elk element dient een afzonderlijke functie. De lagen ontleden de AI-technologiestapel in bestuurbare eenheden. De schilden bieden dwarsverbindende governance-functies die alle lagen omspannen. De artefacten zijn de bewijsinstrumenten die governance-intentie omzetten in controleerbaar bewijs.

3.1 Layer Architecture (L0 through L7)3.1 Laagarchitectuur (L0 tot en met L7)

The eight layers are sequenced from strategic intent through operational infrastructure. L0 (Strategy and Accountability) establishes the governance foundation: risk appetite, AI charter, and board-level accountability. L1 (Ethics, Fairness and Accountability) addresses alignment, fairness methodology, and fundamental rights. L2 (Applications and Agents) governs deployed AI applications and agentic systems. L3 (AI Engineering) covers model lifecycle, evaluation, prompt engineering, and production hardening. L4 (Data and Context) addresses data quality, lineage, classification, and context grounding. L5 (Systems and Sources) governs API integration, vendor management, and system interconnections. L6 (People, Skills and Operating Model) operates as a cross-cutting sidebar addressing human capability and organisational design. L7 (Infrastructure) covers compute, network, identity, secrets, and physical infrastructure.De acht lagen zijn gesequentieerd van strategische intentie tot operationele infrastructuur. L0 (Strategie en Verantwoordelijkheid) legt het governance-fundament vast: risicobereidheid, AI-charter en verantwoording op bestuursniveau. L1 (Ethiek, Eerlijkheid en Verantwoording) adresseert afstemming, methodologie voor eerlijkheid en grondrechten. L2 (Applicaties en Agenten) bestuurt gedeployede AI-applicaties en agentische systemen. L3 (AI-engineering) omvat de modellevenscyclus, evaluatie, prompt engineering en productiehardening. L4 (Data en Context) adresseert datakwaliteit, herkomst, classificatie en contextuele verankering. L5 (Systemen en Bronnen) bestuurt API-integratie, leveranciersbeheer en systeemverbindingen. L6 (Mensen, Vaardigheden en Bedrijfsmodel) functioneert als een dwarsverbindende zijlijn die menselijke bekwaamheid en organisatieontwerp adresseert. L7 (Infrastructuur) omvat rekenkracht, netwerken, identiteitsbeheer, secrets en fysieke infrastructuur.

The design rationale is organisational rather than technical. The academic literature typically organises governance by risk domain (MIT AI Risk Repository), by lifecycle stage (pre-deployment versus post-deployment), or by governance function (NIST’s Govern, Map, Measure, Manage). None of these decompositions maps cleanly to how enterprises actually assign responsibility. A CTO does not own a risk domain; a CTO owns infrastructure, engineering pipelines, and integration architecture. A CDO does not own a lifecycle stage; a CDO owns data governance across all stages. The layer architecture is designed to produce governance units that correspond to existing organisational ownership structures, making control assignment operationally enforceable rather than merely declarative.De ontwerprationale is organisatorisch van aard, niet technisch. De academische literatuur organiseert governance doorgaans naar risicodomein (MIT AI Risk Repository), naar levenscyclusfase (pre-deployment versus post-deployment) of naar governance-functie (NIST’s Govern, Map, Measure, Manage). Geen van deze decompositiewijzen correspondeert helder met de manier waarop ondernemingen in de praktijk verantwoordelijkheid toewijzen. Een CTO is geen eigenaar van een risicodomein; een CTO is eigenaar van infrastructuur, engineeringpijplijnen en integratiearchitectuur. Een CDO is geen eigenaar van een levenscyclusfase; een CDO is eigenaar van datagovernance over alle fasen heen. De laagarchitectuur is ontworpen om governance-eenheden te produceren die corresponderen met bestaande organisatorische eigendomsstructuren, waardoor de toewijzing van maatregelen operationeel handhaafbaar wordt in plaats van louter declaratief.

3.2 Shield Architecture (S1 through S5)3.2 Schildarchitectuur (S1 tot en met S5)

The five shields are cross-cutting governance functions: S1 (Governance, Risk and Compliance) maintains the AI system inventory, evidence factory, and policy enforcement engine. S2 (AI Security and Incident Response) manages adversarial testing, threat modelling, and incident response. S3 (Third-Party and Supply Chain AI Risk) governs vendor concentration, supplier assurance, and exit readiness. S4 (Observability) provides monitoring, drift detection, anomaly alerting, and audit logging. S5 (FinOps) addresses cost governance, ROI validation, and CSRD compute carbon reporting.De vijf schilden zijn dwarsverbindende governance-functies: S1 (Governance, Risico en Compliance) beheert de AI-systeeminventaris, de evidence factory en de beleidshandhavingsmotor. S2 (AI-beveiliging en Incidentrespons) beheert adversarieel testen, dreigingsmodellering en incidentrespons. S3 (Risico van derde partijen en de AI-toeleveringsketen) bestuurt leveranciersconcentratie, leveranciersborging en gereedheid voor uittreding. S4 (Observeerbaarheid) biedt monitoring, driftdetectie, anomaliemeldingen en auditregistratie. S5 (FinOps) adresseert kostengovernance, ROI-validatie en CSRD-rapportage over de koolstofvoetafdruk van rekenkracht.

The shield concept addresses a specific structural problem identified in the literature but not resolved by it. Slattery et al. (2024) categorise risks by domain. The OWASP Top 10 (2026) categorises threats by attack vector. Both are analytically useful. Neither addresses the organisational question: which function owns the cross-cutting controls that span multiple layers? Security controls touch every layer from infrastructure to application. Observability requirements apply to every model, every agent, and every integration point. Without an explicit cross-cutting governance structure, these controls fall between organisational silos. The shield architecture assigns them.Het schildconcept adresseert een specifiek structureel probleem dat in de literatuur is geïdentificeerd maar niet opgelost. Slattery et al. (2024) categoriseren risico’s naar domein. De OWASP Top 10 (2026) categoriseert dreigingen naar aanvalsvector. Beide zijn analytisch nuttig. Geen van beide adresseert de organisatorische vraag: welke functie is eigenaar van de dwarsverbindende maatregelen die meerdere lagen omspannen? Beveiligingsmaatregelen raken elke laag, van infrastructuur tot applicatie. Observeerbaarheidsvereisten zijn van toepassing op elk model, elke agent en elk integratiepunt. Zonder een expliciete dwarsverbindende governance-structuur vallen deze maatregelen tussen organisatorische silo’s. De schildarchitectuur wijst ze toe.

3.3 Mandatory Artifacts (ART-01 through ART-08)3.3 Verplichte Artefacten (ART-01 tot en met ART-08)

The eight mandatory artifacts are the evidence instruments of the framework. ART-01 (System Card) documents each AI system’s purpose, risk classification, and governance posture. ART-02 (Dataset Datasheet) records data provenance, quality metrics, and lineage. ART-03 (Evaluation Plan) specifies pre-deployment testing criteria. ART-04 (Ongoing Evaluation Cadence) defines post-deployment monitoring schedules and thresholds. ART-05 (Agent Control Declaration) declares each agent’s autonomy level, tool permissions, memory policy, data access scope, evaluation method, and incident triggers. ART-06 (Risk Acceptance Record) documents accepted residual risks with justification and owner signature. ART-07 (Supplier Assurance Pack) specifies third-party governance requirements. ART-08 (AI Incident Report) structures incident documentation including root cause, impact scope, and EU AI Act Article 73 reporting status.De acht verplichte artefacten zijn de bewijsinstrumenten van het kader. ART-01 (System Card) documenteert het doel, de risicoklassificatie en de governance-positie van elk AI-systeem. ART-02 (Dataset Datasheet) legt dataprovenance, kwaliteitsmetrieken en herkomst vast. ART-03 (Evaluatieplan) specificeert de testcriteria vóór inzet. ART-04 (Doorlopende Evaluatiecadans) definieert monitoringschema’s en drempelwaarden na inzet. ART-05 (Agent Control Declaration) declareert het autonomieniveau, de toolbevoegdheden, het geheugenbeleid, het gegevenstoegangsbereik, de evaluatiemethode en de incidenttriggers van elke agent. ART-06 (Risicoaanvaardingsrecord) documenteert aanvaarde restrisico’s met onderbouwing en handtekening van de eigenaar. ART-07 (Supplier Assurance Pack) specificeert de governance-vereisten voor derden. ART-08 (AI-incidentrapport) structureert incidentdocumentatie, inclusief de grondoorzaak, de omvang van de impact en de rapportagestatus conform Artikel 73 van de EU AI Act.

The artifact system is the most distinctive contribution of the Control Index. The academic literature consistently identifies documentation and evidence as governance requirements without specifying what the documentation should contain. Raji et al. (2020) call for accountability through documentation but do not provide templates. The EU AI Act mandates technical documentation (Article 11) without specifying format or content beyond general categories. ISO/IEC 42001 requires documented information (Clause 7.5) without prescribing artifact structure. The Control Index artifacts provide the implementation-grade specification that these instruments require but do not supply.Het artefactensysteem is de meest onderscheidende bijdrage van de Control Index. De academische literatuur identificeert documentatie en bewijsmateriaal consequent als governance-vereisten zonder te specificeren wat de documentatie dient te bevatten. Raji et al. (2020) pleiten voor verantwoording via documentatie, maar bieden geen sjablonen. De EU AI Act schrijft technische documentatie voor (Artikel 11) zonder format of inhoud te specificeren voorbij algemene categorieën. ISO/IEC 42001 vereist gedocumenteerde informatie (Clausule 7.5) zonder artefactstructuur voor te schrijven. De artefacten van de Control Index bieden de implementatiegerijpte specificatie die deze instrumenten vereisen maar niet leveren.

Positioning Relative to the Research FieldPositionering ten opzichte van het onderzoeksveld

The following analysis positions the AI Enterprise Control Index against two distinct comparison sets: the five principal categories of scholarly and regulatory contribution in the reviewed corpus (Table 1), and the existing landscape of AI governance indices and benchmarks (Table 2). Together, the two tables establish both the theoretical and the practical positioning of the instrument.De volgende analyse positioneert de AI Enterprise Control Index ten opzichte van twee afzonderlijke vergelijkingssets: de vijf voornaamste categorieën van wetenschappelijke en regulatoire bijdragen in het beoordeelde corpus (Tabel 1), en het bestaande landschap van AI-governanceindices en benchmarks (Tabel 2). Samen leggen de twee tabellen zowel de theoretische als de praktische positionering van het instrument vast.

CategoryCategorie	Representative SourceRepresentatieve bron	What It ProvidesWat het biedt	What It Does Not ProvideWat het niet biedt	Control Index PositionPositie van de Control Index
Risk Taxonomies	MIT AI Risk Repository (Slattery et al., 2024)	1,724 risks across 7 domains, 24 subdomains, classified by cause and domain1.724 risico’s verdeeld over 7 domeinen en 24 subdomeinen, geclassificeerd naar oorzaak en domein	Controls, ownership, evidence requirements, enforcement mechanismsMaatregelen, eigenaarschap, bewijsvereisten, handhavingsmechanismen	L0–L7 and S1–S5 provide the control layer that translates catalogued risks into governed controls with assigned ownersL0–L7 en S1–S5 bieden de control-laag die gecatalogiseerde risico’s vertaalt naar beheerste maatregelen met toegewezen eigenaren
Regulatory Instruments	EU AI Act (2024); NIST AI RMF (2023)	Binding obligations (EU AI Act) and voluntary process architecture (NIST)Bindende verplichtingen (EU AI Act) en vrijwillige procesarchitectuur (NIST)	Technical implementation specifications; artifact templates; layer-level ownershipTechnische implementatiespecificaties; artefactsjablonen; eigenaarschap op laagniveau	ART-01 through ART-08 provide the evidence instruments that can serve as conformity inputs; layer gates map to regulatory obligationsART-01 tot en met ART-08 bieden bewijs-instrumenten die als conformiteitsinput kunnen dienen; laagpoorten zijn gekoppeld aan regulatoire verplichtingen
Management System Standards	ISO/IEC 42001:2023	Certifiable AI management system requirements; process and documentation clausesCertificeerbare vereisten voor AI-managementsystemen; proces- en documentatieclausules	Specificity on AI-stack decomposition; agent-specific controls; runtime enforcement mappingSpecificiteit met betrekking tot de decompositie van de AI-stack; agentspecifieke maatregelen; koppeling aan runtime-handhaving	Layer architecture decomposes the AI stack into governable units that ISO 42001 processes can then manageDe laagarchitectuur decomponeert de AI-stack in bestuurbare eenheden die ISO 42001-processen vervolgens kunnen beheren
Runtime Enforcement	AgentSpec (2025); MI9 (2025); Policies-on-Paths (2025)	Computational mechanisms for intercepting, evaluating, and constraining agent actionsRekenkundige mechanismen voor het onderscheppen, evalueren en beperken van agentacties	Organisational governance: who writes rules, who approves, what evidence is produced, how auditedOrganisatorische governance: wie stelt regels op, wie keurt goed, welk bewijsmateriaal wordt geproduceerd, hoe wordt geauditeerd	ART-05 Agent Control Declaration specifies policy inputs; runtime engines are enforcement mechanisms for Control Index policiesART-05 Agent Control Declaration specificeert beleidsinputs; runtime-engines zijn handhavingsmechanismen voor Control Index-beleid
Security Threat Models	OWASP Top 10 Agentic (2026); SAGA (2025)	Attack surface mapping; vulnerability catalogues; security architecture proposalsAanvalsvlakkartering; kwetsbaarheidscatalogussen; voorstellen voor beveiligingsarchitectuur	Integration with governance ownership; mapping to enterprise control layersIntegratie met governance-eigenaarschap; koppeling aan enterprise control-lagen	S2 (Security Shield) and L7 (Infrastructure) provide the organisational home; Agentic Pack maps OWASP threats to specific L/S controlsS2 (Security Shield) en L7 (Infrastructure) bieden het organisatorische onderdak; het Agentic Pack koppelt OWASP-dreigingen aan specifieke L/S-maatregelen

Table 1: Positioning of the AI Enterprise Control Index Relative to the Research FieldTabel 1: Positionering van de AI Enterprise Control Index ten opzichte van het onderzoeksveld

InstrumentInstrument	ScopeToepassingsgebied	What It MeasuresWat het meet	What It ProducesWat het oplevert	Operational ControlsOperationele maatregelen
AI Enterprise Control Index (Janssen, 2025)	Enterprise AI systems incl. agentic architecturesEnterprise AI-systemen inclusief agentische architecturen	Control coverage across 8 layers and 5 shields; evidence completeness per artifactMaatregelingsdekking over 8 lagen en 5 schilden; volledigheid van bewijsmateriaal per artefact	Auditable evidence chain: 8 mandatory artifacts with named owners, gate conditions, failure modesControleerbare bewijsketen: 8 verplichte artefacten met benoemde eigenaren, poortcondities en faalmodi	Yes. Implementation-grade controls with ownership, evidence, and enforcementJa. Maatregelen op implementatieniveau met eigenaarschap, bewijsmateriaal en handhaving
AGILE Index (Zeng et al., 2025)	National AI governance capacity, 40 countriesNationale AI-governancecapaciteit, 40 landen	Policy adoption, institutional readiness, governance maturity across 4 pillars, 43 indicatorsBeleidsadoptie, institutionele gereedheid, governance-volwassenheid over 4 pijlers en 43 indicatoren	Country-level governance scores and rankingsGovernance-scores en -ranglijsten op landniveau	No. Measures policy existence, not operational implementationNee. Meet het bestaan van beleid, niet de operationele implementatie
Gov’t AI Readiness Index (Oxford Insights, 2025)	Government AI readiness, 195 countriesAI-gereedheid van overheden, 195 landen	Data infrastructure, skills, policy environment, innovation capacity across 44 indicatorsData-infrastructuur, vaardigheden, beleidsomgeving, innovatiecapaciteit over 44 indicatoren	National readiness rankingsNationale gereedheidsranglijsten	No. Measures preconditions for governance, not governance controlsNee. Meet randvoorwaarden voor governance, niet de governance-maatregelen zelf
AI Governance Index (Trustmarque / IBM, 2025)	Enterprise AI governance maturity, UK focusVolwassenheid van enterprise AI-governance, focus op het Verenigd Koninkrijk	Survey of ~500 IT/compliance leaders on governance adoption across 6 domainsOnderzoek onder circa 500 IT- en compliance-verantwoordelijken over governance-adoptie in 6 domeinen	Benchmarks and maturity levelsBenchmarks en volwassenheidsniveaus	No. Measures self-reported maturity, not testable controls or evidenceNee. Meet zelfgerapporteerde volwassenheid, niet toetsbare maatregelen of bewijsmateriaal
Enterprise AI Maturity Index (ServiceNow, 2025)	Global enterprise AI maturityMondiale enterprise AI-volwassenheid	Strategy, culture, risk, data, AI operations across 5 pillarsStrategie, cultuur, risico, data en AI-operaties over 5 pijlers	Maturity scores by pillarVolwassenheidsscores per pijler	No. Measures organisational readiness, not per-system controlsNee. Meet organisatorische gereedheid, niet maatregelen op systeemniveau
Stanford AI Index (HAI, annual)	Global AI progress across research, industry, policyMondiale AI-voortgang op het gebied van onderzoek, industrie en beleid	Research output, talent, industrial deployment, governance trendsOnderzoeksoutput, talent, industriële toepassing, governance-trends	Annual report on AI ecosystem trendsJaarlijks rapport over trends in het AI-ecosysteem	No. Tracks macro trends, not governance controlsNee. Volgt macro-trends, niet governance-maatregelen

Table 2: AI Governance Indices Compared by Type of ContributionTabel 2: AI-governance-indices vergeleken naar type bijdrage

The distinction visible in Table 2 is categorical, not evaluative. The national and enterprise indices serve legitimate purposes: they enable benchmarking, track policy diffusion, and provide macro-level visibility into governance trends. The AI Enterprise Control Index does not replace them. It occupies a different position: the operational layer where governance intent must be converted into enforceable controls, auditable evidence, and accountable ownership. No other instrument in the current landscape occupies that position with comparable specificity.Het onderscheid dat zichtbaar is in Tabel 2 is categorisch van aard, niet evaluatief. De nationale en bedrijfsindices dienen legitieme doeleinden: zij maken benchmarking mogelijk, volgen de verspreiding van beleid en bieden macroniveau-inzicht in governancetrends. De AI Enterprise Control Index vervangt deze niet. Het instrument neemt een andere positie in: de operationele laag waar beleidsintentie moet worden omgezet in afdwingbare controls, controleerbaar bewijs en verantwoordelijk eigenaarschap. Geen enkel ander instrument in het huidige landschap bekleedt die positie met vergelijkbare specificiteit.

Specific Contributions Beyond Existing WorkSpecifieke bijdragen ten opzichte van bestaand werk

5.1 Boundary Rules and MECE Decomposition5.1 Grensregels en MECE-decompositie

The most technically precise contribution of the Control Index is its boundary rule system. When two layers or two shields could plausibly own the same control, the framework declares explicitly which one owns it and why. This addresses a problem documented across multiple sources: the accountability gap that emerges when governance responsibility is distributed without being concentrated. Cobbe et al. (2025) identify this gap in the context of multi-stakeholder AI supply chains. The NIST AI RMF acknowledges the need for clear roles but does not specify a mechanism for resolving overlapping claims. ISO/IEC 42001 requires defined responsibilities (Clause 5.3) without addressing the specific complexity introduced when AI systems cross organisational and technical boundaries simultaneously.De technisch meest precieze bijdrage van de Control Index is het grensregelsysteem. Wanneer twee lagen of twee schilden plausibel dezelfde control kunnen bezitten, legt het framework expliciet vast welke eigenaar is en waarom. Dit pakt een probleem aan dat in meerdere bronnen is gedocumenteerd: de verantwoordingskloof die ontstaat wanneer governanceverantwoordelijkheid wordt verdeeld zonder te worden geconcentreerd. Cobbe et al. (2025) identificeren deze kloof in de context van AI-toeleveringsketens met meerdere belanghebbenden. Het NIST AI RMF erkent de behoefte aan duidelijke rollen, maar specificeert geen mechanisme voor het oplossen van overlappende aanspraken. ISO/IEC 42001 vereist gedefinieerde verantwoordelijkheden (Clausule 5.3) zonder in te gaan op de specifieke complexiteit die ontstaat wanneer AI-systemen tegelijkertijd organisatorische en technische grenzen overschrijden.

The boundary rule approach is methodologically MECE (mutually exclusive, collectively exhaustive): every control component appears in exactly one layer or shield. Where assignment is ambiguous, for instance where L0 (Strategy) and S1 (GRC) both plausibly own risk appetite definition, the boundary rule declares ownership, states the rationale, and specifies the interface between the two. This is a structural contribution that no paper in the reviewed corpus provides.De grensregelbenadering is methodologisch MECE (mutually exclusive, collectively exhaustive): elk controlcomponent verschijnt in precies één laag of schild. Waar toewijzing ambigu is — bijvoorbeeld wanneer zowel L0 (Strategie) als S1 (GRC) plausibel eigenaar zijn van de definitie van risicobereidheid — legt de grensregel het eigenaarschap vast, vermeldt de rationale en specificeert de interface tussen de twee. Dit is een structurele bijdrage die geen enkel artikel in het beoordeelde corpus levert.

5.2 The Agent Control Declaration (ART-05)5.2 De Agent Control Declaration (ART-05)

The agentic AI governance literature has grown rapidly. The reviewed corpus contains at least ten papers addressing agentic governance, including AgentSpec, MI9, AGENTSAFE, The Agentic AI Governance Framework, and Practices for Governing Agentic AI Systems (OpenAI, 2023). These contributions share a common gap: they describe governance requirements for agents without providing a deployable governance artifact that operationalises those requirements.De literatuur over governance van agentische AI is snel gegroeid. Het beoordeelde corpus bevat ten minste tien artikelen die agentische governance behandelen, waaronder AgentSpec, MI9, AGENTSAFE, The Agentic AI Governance Framework en Practices for Governing Agentic AI Systems (OpenAI, 2023). Deze bijdragen delen een gemeenschappelijke lacune: zij beschrijven governancevereisten voor agents zonder een inzetbaar governanceartefact te bieden dat die vereisten operationaliseert.

ART-05 fills this gap with a structured declaration schema requiring, for each deployed agent: an autonomy level classification (L1 through L5, where L1 requires human approval for every action and L5 permits fully autonomous operation within declared scope), a tool permission allowlist (specifying which tools the agent may invoke, with what access level), a memory policy (session-scoped, persistent, or hybrid, with PII retention rules and erasure mechanisms), a data access scope (classification ceiling and dataset boundaries), an evaluation method (human review sampling rate, automated testing cadence), and incident trigger definitions (confidence thresholds, anomaly rates, out-of-scope action detection). The declaration must be completed, reviewed, and signed before agent deployment.ART-05 vult deze lacune met een gestructureerd declaratieschema dat voor elke ingezette agent vereist: een classificatie van het autonomieniveau (L1 tot en met L5, waarbij L1 menselijke goedkeuring vereist voor elke handeling en L5 volledig autonome werking toestaat binnen het gedeclareerde toepassingsgebied), een allowlist voor toolmachtigingen (met specificatie van welke tools de agent mag aanroepen en met welk toegangsniveau), een geheugenbeleid (sessiescoped, persistent of hybride, met regels voor PII-bewaring en verwijderingsmechanismen), een gegevenstoegangsdomein (classificatieplafond en datasetgrenzen), een evaluatiemethode (steekproefratio voor menselijke beoordeling, frequentie van geautomatiseerd testen) en definities van incidenttriggers (drempelwaarden voor betrouwbaarheid, anomalieratio’s, detectie van acties buiten het toepassingsgebied). De declaratie moet worden ingevuld, beoordeeld en ondertekend vóór de inzet van de agent.

This is not a theoretical contribution. It is a governance instrument that can be completed by a product owner, reviewed by a security officer, approved by a risk function, and audited by a regulator. No equivalent artifact exists in the academic literature.Dit is geen theoretische bijdrage. Het is een governanceinstrument dat kan worden ingevuld door een producteigenaar, beoordeeld door een beveiligingsfunctionaris, goedgekeurd door een risicofunctie en gecontroleerd door een toezichthouder. Er bestaat geen gelijkwaardig artefact in de academische literatuur.

5.3 The Evidence Factory and Audit Chain5.3 De Evidence Factory en de auditketen

S1 (Governance, Risk and Compliance) includes a component called the Evidence Factory: a centralised governance repository that collects, indexes, and retains all evidence artifacts produced by operational layers. The concept draws directly from Raji et al.’s (2020) call for accountability through documentation but extends it with operational specificity: each control in the framework declares the evidence artifact it produces, the format of that artifact, and the retention requirement. The Evidence Factory aggregates these artifacts into an audit-ready evidence chain.S1 (Governance, Risk and Compliance) omvat een component dat de Evidence Factory wordt genoemd: een gecentraliseerde governancerepository die alle bewijs artefacten verzamelt, indexeert en bewaart die door de operationele lagen worden geproduceerd. Het concept is rechtstreeks ontleend aan de oproep van Raji et al. (2020) voor verantwoording via documentatie, maar breidt dit uit met operationele specificiteit: elke control in het framework declareert het bewijsartefact dat het voortbrengt, het formaat van dat artefact en de bewaareis. De Evidence Factory aggregeert deze artefacten tot een auditklare bewijsketen.

This addresses a specific weakness identified across the regulatory and standards landscape. The EU AI Act requires technical documentation (Article 11) and record-keeping (Article 12). ISO/IEC 42001 requires documented information. NIST’s Measure function requires measurement outputs. None specifies how these requirements are aggregated into a coherent evidence base. The Evidence Factory concept is the operational mechanism that connects per-control evidence production to organisation-level audit readiness.Dit pakt een specifieke zwakte aan die is geïdentificeerd in het regulatoire en normenkader. De EU AI Act vereist technische documentatie (Artikel 11) en registratie (Artikel 12). ISO/IEC 42001 vereist gedocumenteerde informatie. De Measure-functie van NIST vereist meetresultaten. Geen van deze instrumenten specificeert hoe deze vereisten worden samengevoegd tot een coherente bewijsbasis. Het Evidence Factory-concept is het operationele mechanisme dat per-control bewijsproductie verbindt met de auditgereedheid op organisatieniveau.

5.4 The Forensic Exposure View5.4 Het forensisch blootstellingsoverzicht

The Control Index includes a dual-view design: a Control Index view that shows which controls are in place across each layer and shield, and a Forensic Exposure view that shows what fails when controls are absent. The forensic view maps failure modes, adversarial findings, and accountability gaps to specific components, enabling red-team and audit prioritisation.De Control Index omvat een dubbele weergavestructuur: een Control Index-weergave die toont welke controls aanwezig zijn in elke laag en elk schild, en een forensisch blootstellingsoverzicht dat toont wat er faalt wanneer controls ontbreken. Het forensische overzicht brengt faalwijzen, adversariale bevindingen en verantwoordingskloven in kaart op specifieke componenten, waardoor prioritering bij red-team- en auditwerkzaamheden mogelijk wordt.

This design reflects the adversarial methodology documented in the companion paper on strategic red teaming (Janssen, 2026). That paper argues that AI integration introduces five structural properties, including operational leverage, transparency reduction, dependency concentration, regulatory liability, and accountability boundary shift, that collectively invalidate the assumptions on which traditional risk governance rests. The forensic exposure view operationalises this argument: rather than describing what an organisation has implemented, it shows what the organisation cannot defend when a control is absent or untested. Boards and audit committees are more effectively engaged by evidence of indefensible positions than by descriptions of implemented controls.Dit ontwerp weerspiegelt de adversariale methodologie die is gedocumenteerd in het begeleidende artikel over strategisch red teaming (Janssen, 2026). Dat artikel betoogt dat AI-integratie vijf structurele eigenschappen introduceert — waaronder operationele hefboomwerking, vermindering van transparantie, concentratie van afhankelijkheden, regulatoire aansprakelijkheid en verschuiving van verantwoordingsgrenzen — die gezamenlijk de aannames ondermijnen waarop traditioneel risicobeheer berust. Het forensische blootstellingsoverzicht operationaliseert dit betoog: in plaats van te beschrijven wat een organisatie heeft geïmplementeerd, toont het wat de organisatie niet kan verdedigen wanneer een control ontbreekt of niet is getest. Raden van bestuur en auditcommissies worden effectiever aangesproken door bewijs van onverdedigbare posities dan door beschrijvingen van geïmplementeerde controls.

Limitations and Honest AssessmentBeperkingen en eerlijke beoordeling

An honest assessment of the AI Enterprise Control Index requires acknowledging what it does not do and where existing work is superior.Een eerlijke beoordeling van de AI Enterprise Control Index vereist erkenning van wat het instrument niet doet en waar bestaand werk superieur is.

6.1 No Empirical Validation6.1 Geen empirische validatie

The Control Index has not been subjected to systematic empirical evaluation. No published data exist on adoption barriers, implementation costs, control effectiveness, or governance outcomes in organisations using the framework. This is the most significant limitation and it is shared with every governance framework in the reviewed corpus. The MIT AI Risk Repository is descriptive, not prescriptive, and therefore not subject to the same validation requirement. But every prescriptive framework, including the Control Index, AgentSpec, MI9, NIST RMF, and ISO/IEC 42001, faces the same empirical deficit. The field lacks controlled studies comparing governance outcomes across frameworks. This gap will not be resolved by any single instrument; it requires a research programme.De Control Index is niet onderworpen aan systematische empirische evaluatie. Er bestaan geen gepubliceerde gegevens over adoptiedrempels, implementatiekosten, effectiviteit van controls of governanceresultaten in organisaties die het framework gebruiken. Dit is de meest significante beperking en wordt gedeeld door elk governanceframework in het beoordeelde corpus. De MIT AI Risk Repository is beschrijvend van aard, niet prescriptief, en is daarom niet onderhevig aan dezelfde validatievereiste. Maar elk prescriptief framework — waaronder de Control Index, AgentSpec, MI9, NIST RMF en ISO/IEC 42001 — wordt geconfronteerd met hetzelfde empirische tekort. Het vakgebied mist gecontroleerde studies die governanceresultaten vergelijken over frameworks heen. Deze lacune zal niet worden opgelost door een enkel instrument; het vereist een onderzoeksprogramma.

6.2 Risk Taxonomy Depth6.2 Diepgang van de risicotaxonomie

The Control Index references risks within its layer and shield descriptions but does not attempt a comprehensive risk enumeration. The MIT AI Risk Repository, with 1,724 classified risks, is categorically superior for this purpose. The Control Index would benefit from an explicit mapping between the Repository’s 24 subdomains and specific Control Index layers and shields, showing which subdomain risks are addressed by which governance components. This mapping does not currently exist and its absence means that the relationship between the most comprehensive available risk catalog and the most operationally specific available control framework remains implicit rather than documented.De Control Index verwijst naar risico’s binnen zijn laag- en schildbeschrijvingen, maar poogt geen uitputtende risico-enumeratie. De MIT AI Risk Repository, met 1.724 geclassificeerde risico’s, is voor dit doel categorisch superieur. De Control Index zou baat hebben bij een expliciete koppeling tussen de 24 subdomeinen van de Repository en specifieke lagen en schilden van de Control Index, die aantoont welke subdomeinerisico’s door welke governancecomponenten worden aangepakt. Deze koppeling bestaat momenteel niet, en het ontbreken ervan betekent dat de relatie tussen de meest uitgebreide beschikbare risicocatalogus en het meest operationeel specifieke beschikbare controlframework impliciet blijft in plaats van gedocumenteerd.

6.3 Technical Runtime Enforcement6.3 Technische handhaving tijdens uitvoering

The Control Index governs at the policy and process layer. It declares what an agent may do (ART-05) and specifies the monitoring requirements (S4) and incident response procedures (S2, ART-08) that apply when violations occur. It does not specify the computational mechanisms that prevent violations in real time. AgentSpec’s domain-specific guardrail language, MI9’s integrated enforcement architecture, and the circuit-breaker patterns described in Policies-on-Paths address precisely this layer. The relationship is complementary, not competitive: the Control Index specifies what the policy should be; the technical frameworks specify how to enforce it. But the integration point, the interface between policy declaration and technical enforcement, is not yet formally specified.De Control Index stuurt op het beleid- en procesniveau. Het declareert wat een agent mag doen (ART-05) en specificeert de monitoringvereisten (S4) en incidentresponsprocedures (S2, ART-08) die van toepassing zijn wanneer overtredingen plaatsvinden. Het specificeert niet de computationele mechanismen die overtredingen in real time voorkomen. De domeinspecifieke guardrail-taal van AgentSpec, de geïntegreerde handhavingsarchitectuur van MI9 en de circuit-breaker-patronen beschreven in Policies-on-Paths richten zich precies op deze laag. De relatie is complementair, niet concurrerend: de Control Index specificeert wat het beleid moet zijn; de technische frameworks specificeren hoe dit te handhaven. Maar het integratiepunt — de interface tussen beleidsdeclaratie en technische handhaving — is nog niet formeel gespecificeerd.

6.4 Multi-Stakeholder Supply Chains6.4 Toeleveringsketens met meerdere belanghebbenden

Several papers in the reviewed corpus, notably Governing AI Agents and From Anarchy to Assembly, describe deployment scenarios where the model provider, orchestration platform, tool provider, and end-user deployer are different entities with different liability profiles. The Control Index addresses third-party risk through S3 (Supply Chain Shield) and ART-07 (Supplier Assurance Pack). This treats the problem as vendor management. The reality, as the academic literature correctly identifies, is closer to a shared responsibility model requiring governance interfaces between organisations rather than merely governance requirements imposed on suppliers. This is a genuine gap that warrants extension of the S3 architecture.Meerdere artikelen in het beoordeelde corpus — met name Governing AI Agents en From Anarchy to Assembly — beschrijven inzetscenario’s waarbij de modelaanbieder, het orchestratieplatform, de toolaanbieder en de eindgebruikersinzetter verschillende entiteiten zijn met verschillende aansprakelijkheidsprofielen. De Control Index pakt risico’s van derden aan via S3 (Supply Chain Shield) en ART-07 (Supplier Assurance Pack). Dit behandelt het probleem als leveranciersmanagement. De werkelijkheid, zoals de academische literatuur terecht identificeert, is eerder een gedeeld verantwoordelijkheidsmodel dat governanceinterfaces vereist tussen organisaties, in plaats van louter governancevereisten die door één entiteit aan leveranciers worden opgelegd. Dit is een reële lacune die uitbreiding van de S3-architectuur rechtvaardigt.

6.5 Scope, Applicability, and Disclosure6.5 Toepassingsgebied, toepasbaarheid en transparantie

The Control Index is designed for enterprise deployments of AI systems including agentic architectures. It assumes an organisation with identifiable governance functions: a board or executive committee, a risk function, a data governance function, a security function, and a technology function. It is not designed for, and makes no claim of applicability to, research environments, open-source community deployments, or individual developer use cases.De Control Index is ontworpen voor bedrijfsmatige inzet van AI-systemen, inclusief agentische architecturen. Het gaat uit van een organisatie met identificeerbare governancefuncties: een raad van bestuur of uitvoerend comité, een risicofunctie, een datagovernancefunctie, een beveiligingsfunctie en een technologiefunctie. Het is niet ontworpen voor, en maakt geen aanspraak op toepasbaarheid in, onderzoeksomgevingen, inzet binnen open-source-gemeenschappen of gebruikssituaties van individuele ontwikkelaars.

A disclosure is appropriate. The AI Enterprise Control Index was developed by the author through Apparens, a consultancy that provides strategic red teaming and AI governance services. The Control Index is published in full at apparens.nl/ai-control-index and is freely available for use. The author has a professional interest in the instrument’s adoption. This paper has attempted to offset that interest through explicit identification of limitations, direct comparison with competing approaches, and a falsifiable central claim. Readers should weigh the analysis accordingly.Een toelichting is hier op zijn plaats. De AI Enterprise Control Index is ontwikkeld door de auteur via Apparens, een adviesbureau dat strategische red-teamingdiensten en AI-governancediensten levert. De Control Index is volledig gepubliceerd op apparens.nl/ai-control-index en is vrij beschikbaar voor gebruik. De auteur heeft een professioneel belang bij de adoptie van het instrument. Dit artikel heeft getracht dat belang te compenseren door expliciete identificatie van beperkingen, directe vergelijking met concurrerende benaderingen en een falsifieerbare centrale stelling. Lezers dienen de analyse dienovereenkomstig te wegen.

Integration OpportunitiesIntegratiemogelijkheden

The analysis identifies three specific integration points where the Control Index and the academic literature are mutually reinforcing.De analyse identificeert drie specifieke integratiepunten waar de Control Index en de academische literatuur elkaar wederzijds versterken.

First: mapping ART-05 autonomy levels to runtime enforcement mechanisms. ART-05 declares agent policy. AgentSpec and MI9 describe enforcement engines. A formal interface specification connecting ART-05 declarations to runtime guardrail configurations would allow policy declarations to be machine-readable and automatically enforceable, closing the gap between governance artifact and technical enforcement.Ten eerste: het koppelen van de autonomieniveaus van ART-05 aan mechanismen voor handhaving tijdens uitvoering. ART-05 declareert agentbeleid. AgentSpec en MI9 beschrijven handhavingsengines. Een formele interfacespecificatie die ART-05-declaraties verbindt met guardrail-configuraties tijdens uitvoering zou beleidsdeclaraties machineleesbaar en automatisch afdwingbaar maken, waarmee de kloof tussen governanceartefact en technische handhaving wordt gedicht.

Second: mapping the MIT AI Risk Repository’s 24 subdomains to Control Index layers and shields. A crosswalk showing which risks are addressed by which governance components would ground the Control Index in the most comprehensive available risk evidence base and would give the Risk Repository an operational implementation layer it currently lacks.Ten tweede: het koppelen van de 24 subdomeinen van de MIT AI Risk Repository aan lagen en schilden van de Control Index. Een kruisverwijzing die aantoont welke risico’s door welke governancecomponenten worden aangepakt, zou de Control Index verankeren in de meest uitgebreide beschikbare risicobewijsbasis en de Risk Repository een operationele implementatielaag bieden die momenteel ontbreekt.

Third: extending S3 (Supply Chain Shield) to address shared responsibility models. The current architecture treats third-party AI risk as a procurement and vendor management problem. The academic literature on multi-agent governance (From Anarchy to Assembly; Governing AI Agents) describes inter-organisational governance challenges that require governance interfaces between entities, not merely governance requirements imposed by one entity on another. A shared responsibility extension to S3 would address this gap.Ten derde: uitbreiding van S3 (Supply Chain Shield) om gedeelde verantwoordelijkheidsmodellen te adresseren. De huidige architectuur behandelt risico’s van derde AI-partijen als een inkoops- en leveranciersmanagementvraagstuk. De academische literatuur over governance van multi-agentsystemen (From Anarchy to Assembly; Governing AI Agents) beschrijft interorganisatorische governanceuitdagingen die governanceinterfaces vereisen tussen entiteiten, niet louter governancevereisten die door één entiteit aan een andere worden opgelegd. Een uitbreiding met een gedeeld verantwoordelijkheidsmodel voor S3 zou deze lacune aanpakken.

ConclusionConclusie

The AI governance field has produced risk catalogs that enumerate what can go wrong, regulatory instruments that declare what organisations must do, management system standards that specify process requirements, and technical frameworks that propose enforcement architectures. It has not produced, until now, an integrated operational instrument that tells an enterprise exactly which controls apply at which layer of the technology stack, who owns each control, what evidence each control must produce, what happens when the control fails, and how the resulting evidence chain maps to regulatory obligations.Het AI-governancevakgebied heeft risicocatalogi voortgebracht die inventariseren wat er mis kan gaan, regulatoire instrumenten die declareren wat organisaties moeten doen, managementsysteemnormen die procesvereisten specificeren en technische frameworks die handhavingsarchitecturen voorstellen. Het heeft tot op heden geen geïntegreerd operationeel instrument voortgebracht dat een onderneming exact vertelt welke controls van toepassing zijn op welke laag van de technologiestack, wie eigenaar is van elke control, welk bewijs elke control moet produceren, wat er gebeurt wanneer de control faalt en hoe de resulterende bewijsketen zich verhoudt tot regulatoire verplichtingen.

The AI Enterprise Control Index occupies this position. Its contribution is not theoretical but operational: it provides the implementation-grade specificity that the field’s theoretical contributions require but do not supply. Its layer architecture maps to how enterprises actually assign responsibility. Its shield architecture provides cross-cutting governance that prevents controls from falling between organisational silos. Its mandatory artifacts produce the evidence chain that regulators, auditors, and boards require but that no other available instrument specifies with comparable precision. Its boundary rules resolve the accountability ambiguity that the literature identifies but does not operationally address.De AI Enterprise Control Index bekleedt deze positie. De bijdrage is niet theoretisch maar operationeel: het biedt de implementatiegerichte specificiteit die de theoretische bijdragen van het vakgebied vereisen maar niet leveren. De laagarchitectuur sluit aan bij de manier waarop ondernemingen in de praktijk verantwoordelijkheid toewijzen. De schildarchitectuur biedt cross-cutting governance die voorkomt dat controls tussen organisatorische silo’s vallen. De verplichte artefacten produceren de bewijsketen die toezichthouders, auditors en raden van bestuur vereisen, maar die geen ander beschikbaar instrument met vergelijkbare precisie specificeert. De grensregels lossen de verantwoordingsambiguïteit op die de literatuur identificeert maar operationeel niet adresseert.

The instrument is not without limitations. It lacks empirical validation. It does not specify technical runtime enforcement mechanisms. Its treatment of multi-stakeholder supply chains as vendor management understates the complexity that the academic literature correctly identifies. Its risk coverage does not approach the depth of the MIT AI Risk Repository.Het instrument kent beperkingen. Het mist empirische validatie. Het specificeert geen technische handhavingsmechanismen tijdens uitvoering. De behandeling van toeleveringsketens met meerdere belanghebbenden als leveranciersmanagement onderschat de complexiteit die de academische literatuur terecht identificeert. De risicodekking benadert niet de diepgang van de MIT AI Risk Repository.

These limitations are acknowledged without apology. Every governance framework in the reviewed corpus shares the empirical validation deficit. The technical enforcement gap is by design: the Control Index governs at the policy layer, not the enforcement layer, and the relationship with technical frameworks is complementary. The supply chain and risk taxonomy limitations are genuine and actionable.Deze beperkingen worden zonder voorbehoud erkend. Elk governanceframework in het beoordeelde corpus deelt het tekort aan empirische validatie. De kloof in technische handhaving is een bewuste keuze: de Control Index stuurt op de beleidslaag, niet de handhavingslaag, en de relatie met technische frameworks is complementair. De beperkingen met betrekking tot toeleveringsketens en risicotaxonomie zijn reëel en aanpakbaar.

The central claim of this paper is precise and falsifiable: the AI Enterprise Control Index is the only available governance instrument that simultaneously decomposes the AI technology stack into organisationally governable layers, assigns named ownership to every control, specifies the evidence each control must produce, provides mandatory artifact templates at implementation grade, and maps the resulting evidence chain to regulatory obligations. If another instrument achieves this, the claim is falsified.De centrale stelling van dit artikel is precies en falsifieerbaar: de AI Enterprise Control Index is het enige beschikbare governanceinstrument dat tegelijkertijd de AI-technologiestack decomponenteert in organisatorisch beheersbare lagen, benoemd eigenaarschap toekent aan elke control, specificeert welk bewijs elke control moet produceren, verplichte artefactsjablonen levert op implementatieniveau en de resulterende bewijsketen koppelt aan regulatoire verplichtingen. Indien een ander instrument dit bereikt, is de stelling gefalsifieerd.

ReferencesReferenties

Amodei, D., Olah, C., Steinhardt, J., Christiano, P., Schulman, J. and Mané, D. (2016) ‘Concrete Problems in AI Safety.’ arXiv:1606.06565.
Bai, Y. et al. (2022) ‘Constitutional AI: Harmlessness from AI Feedback.’ arXiv:2212.08073.
Chan, A. et al. (2024) ‘Visibility into AI Agents.’ arXiv:2401.13138.
Cobbe, J., Singh, J. and Sheridan, T. (2025) ‘Governance and Accountability Frameworks for AI Agents.’ Working paper.
DiMaggio, P. J. and Powell, W. W. (1983) ‘The Iron Cage Revisited.’ American Sociological Review, 48(2), pp. 147–160.
European Commission (2024) Regulation (EU) 2024/1689 — Artificial Intelligence Act. OJ L, 2024/1689.
Janssen, J. (2025) The AI Accountability Trap. Deventer: Apparens.
Janssen, J. (2026) ‘From Battlefield to Boardroom: Strategic Red Teaming as an Epistemic Governance Instrument in the Age of AI.’ Apparens Working Paper. Available at: https://apparens.nl/blog.
Kapoor, S. et al. (2024) ‘AI Agents That Matter.’ arXiv:2407.01502.
Liu, X. et al. (2023) ‘AgentBench: Evaluating LLMs as Agents.’ arXiv:2308.03688.
NIST (2023) AI Risk Management Framework (AI RMF 1.0). NIST AI 100-1.
OpenAI (2023) ‘Practices for Governing Agentic AI Systems.’ Technical Report.
OWASP Foundation (2026) OWASP Top 10 for Agentic Applications.
Ouyang, L. et al. (2022) ‘Training Language Models to Follow Instructions with Human Feedback.’ arXiv:2203.02155.
Oxford Insights (2025) Government AI Readiness Index 2025.
Power, M. (2007) Organized Uncertainty. Oxford: OUP.
Raji, I. D. et al. (2020) ‘Closing the AI Accountability Gap.’ FAT* 2020.
ServiceNow (2025) Enterprise AI Maturity Index 2025.
Slattery, P. et al. (2024) ‘The AI Risk Repository.’ MIT FutureTech. V4, Dec 2025.
Trustmarque (2025) AI Governance Index 2025. London: Trustmarque / IBM.
Yao, S. et al. (2023) ‘ReAct: Synergizing Reasoning and Acting in Language Models.’ ICLR 2023.
Zeng, Y. et al. (2025) ‘The AGILE Index.’ Working paper.