# Engine Narrativního AI Vytvářející Lidsky Čitelné Příběhy Rizik z Automatizovaných Odpovědí na Dotazníky

Ve vysoce rizikovém světě B2B SaaS jsou bezpečnostní dotazníky jazykem, kterým si mezi sebou rozumí kupující a dodavatelé. Dodavatel může odpovědět na desítky technických kontrol, z nichž každá je podpořena úryvky politik, auditními záznamy a rizikovými skóre generovanými AI‑poháněnými enginy. Přestože jsou tyto surové datové body nezbytné pro soulad, často se jeví jako zeď žargonu pro nákupní, právní a výkonné publikum.

**Představujeme Engine Narrativního AI** – generativní‑AI vrstvu, která převádí strukturovaná data z dotazníků do jasných, lidsky čitelných příběhů o rizicích. Tyto narrativy vysvětlují *co* je odpověď, *proč* je důležitá a *jak* je související riziko řízeno, a to vše při zachování auditovatelnosti požadované regulátory.

V tomto článku se budeme věnovat:

* Proč tradiční dashboardy zobrazující jen odpovědi selhávají.
* Rozbor end‑to‑end architektury Enginu Narrativního AI.
* Prompt engineering, retrieval‑augmented generation (RAG) a techniky vysvětlitelnosti.
* Mermaid diagramu toku dat.
* Governance, bezpečnosti a souladovým dopadům.
* Reálným výsledkům a budoucím směrům.

---

## 1. Problém s Automatizací Pouze Odpovědí

| Příznak | Kořenová příčina |
|---|---|
| **Zmatek mezi zúčastněnými stranami** | Odpovědi jsou prezentovány jako izolované datové body bez kontextu. |
| **Dlouhé cykly revizí** | Právní a bezpečnostní týmy musí ručně skládat důkazy. |
| **Nedostatek důvěry** | Kupující pochybuje o autenticitě AI‑generovaných odpovědí. |
| **Problémy s auditem** | Regulátoři požadují narativní vysvětlení, která nejsou snadno k dispozici. |

Dokonce i ty nejpokročilejší detektory odchylek v politice v reálném čase nebo kalkulačky trust‑score končí u **co** systém ví. Zřídka kdy odpovídají na **proč** je konkrétní kontrola souladná nebo **jak** je riziko mitigováno. Právě zde má generování narrativu strategickou hodnotu.

## 2. Hlavní principy Enginu Narrativního AI

1. **Kontekstualizace** – Propojení odpovědí z dotazníku s úryvky politik, rizikovými skóre a provenance důkazů.  
2. **Vysvětlitelnost** – Zobrazení řetězce úvah (vyhledané dokumenty, důvěra modelu, významnost funkcí).  
3. **Auditovatelná sledovatelnost** – Uložení promptu, výstupu LLM a odkazů na důkazy v neměnném ledgeru.  
4. **Personalizace** – Přizpůsobení tónu a hloubky jazyka podle publika (technické, právní, výkonné).  
5. **Soulad s regulacemi** – Uplatnění opatření na ochranu soukromí (diferenciální soukromí, federované učení) při zpracování citlivých důkazů.

## 3. End‑to‑End Architektura

Níže je vysokou úrovní Mermaid diagram zachycující tok dat od ingestu dotazníku po doručení narrativu.

```mermaid
flowchart TD
    A["Podání surového dotazníku"] --> B["Normalizátor schématu"]
    B --> C["Služba vyhledávání důkazů"]
    C --> D["Engine pro hodnocení rizika"]
    D --> E["Tvůrce promptů RAG"]
    E --> F["Velký jazykový model (LLM)"]
    F --> G["Post‑procesor narrativ"]
    G --> H["Úložiště narrativ (neměnný ledger)"]
    H --> I["Uživatelské rozhraní (dashboard)"]
    style A fill:#f9f,stroke:#333,stroke-width:2px
    style I fill:#bbf,stroke:#333,stroke-width:2px
```

### 3.1 Ingest a normalizace dat  

* **Normalizátor schématu** mapuje formáty dotazníků dodavatelů na kanonické JSON schéma (např. **[ISO 27001](https://www.iso.org/standard/27001)**‑mapované kontroly).  
* Validace vynutí požadovaná pole, datové typy a souhlasové značky.

### 3.2 Služba vyhledávání důkazů  

* Využívá **hybridní vyhledávání**: vektorová podobnost v embedding store + klíčové slovo ve znalostním grafu politik.  
* Načítá:  
  * Úryvky politik (např. „Politika šifrování – část 2.1“).  
  * Auditní záznamy (např. „Šifrování S3 bucketu aktivováno 2024‑12‑01“).  
  * Indikátory rizik (např. nedávná zjištění zranitelností).

### 3.3 Engine pro hodnocení rizika  

* Vypočítá **Risk Exposure Score (RES)** pro každou kontrolu pomocí váženého GNN, který zohledňuje:  
  * Kritičnost kontroly.  
  * Historickou frekvenci incidentů.  
  * Aktuální účinnost mitigace.  

RES je připojen ke každé odpovědi jako číselný kontext pro LLM.

### 3.4 Tvůrce promptů RAG  

* Sestavuje **retrieval‑augmented generation** prompt, který obsahuje:  
  * Krátký systémový instrukc (tone, délka).  
  * Pár klíč / hodnota odpovědi.  
  * Vybrané úryvky důkazů (max 800 tokenů).  
  * RES a hodnoty důvěry.  
  * Metadata publika (`audience: executive`).  

Ukázka úryvku promptu:

```
System: You are a compliance analyst writing a brief executive summary.
Audience: Executive
Control: Data Encryption at Rest
Answer: Yes – All customer data is encrypted using AES‑256.
Evidence: ["Policy: Encryption Policy v3.2 – Section 2.1", "Log: S3 bucket encrypted on 2024‑12‑01"]
RiskScore: 0.12
Generate a 2‑sentence narrative explaining why this answer satisfies the control, what the risk level is, and any ongoing monitoring.
```

### 3.5 Velký jazykový model (LLM)

* Nasazen jako **privátní, jemně doladěný LLM** (např. 13B model s instrukčním doladěním pro obor).  
* Integrovaný s **Chain‑of‑Thought** promptingem pro zobrazení úvahových kroků.

### 3.6 Post‑procesor narrativ  

* Používá **šablonové vynucení** (např. požadované sekce: „Co“, „Proč“, „Jak“, „Další kroky”).  
* Provádí **entity linking** pro vložení hypertextových odkazů na důkazy uložené v Neměnném ledgeru.  
* Spouští **fact‑checker**, který znovu dotazuje znalostní graf, aby ověřil každé tvrzení.

### 3.7 Neměnný ledger  

* Každý narrativ je zaznamenán na **permissioned blockchainu** (např. Hyperledger Fabric) s:  
  * Hash výstupu LLM.  
  * Odkazy na ID podkladových důkazů.  
  * Časové razítko a identitu podepisovatele.

### 3.8 Uživatelské rozhraní (dashboard)  

* Zobrazuje narrativy vedle tabulek surových odpovědí.  
* Nabízí **rozbalitelné úrovně detailu**: souhrn → kompletní seznam důkazů → surový JSON.  
* Obsahuje **gauge důvěry** vizualizující jistotu modelu a pokrytí důkazů.

## 4. Prompt Engineering pro Vysvětlitelné Narrativy  

Efektivní prompty jsou srdcem enginu. Níže jsou tři opakovaně použitelné vzory:

| Vzor | Cíl | Příklad |
|---|---|---|
| **Kontrastní vysvětlení** | Ukázat rozdíl mezi stavem souladným a nesouladným. | „Vysvětlete, proč je šifrování dat pomocí AES‑256 bezpečnější než použití legacy 3DES …“ |
| **Rizikově‑vážený souhrn** | Zvýraznit rizikové skóre a jeho dopad na podnik. | „S RES 0.12 je pravděpodobnost úniku dat nízká; přesto provádíme čtvrtletní monitorování …“ |
| **Akční další kroky** | Poskytnout konkrétní remedialní nebo monitorovací kroky. | „Budeme provádět čtvrtletní audity rotace klíčů a notifikovat bezpečnostní tým o jakémkoli odchylování …“ |

Prompt také obsahuje **„Traceability Token“**, který post‑procesor extrahuje a vloží přímý odkaz zpět na podkladový důkaz.

## 5. Techniky Vysvětlitelnosti  

1. **Citace** – Každá věta je opatřena poznámkou s ID důkazu (např. `[E‑12345]`).  
2. **Atribuce vlastností** – Používá SHAP hodnoty na GNN pro rizikové skóre, aby zvýraznil faktory s největším vlivem, a zobrazuje je v postranním panelu.  
3. **Skóre důvěry** – LLM vrací pravděpodobnostní distribuci na úrovni tokenu; engine agreguje toto do **Narrative Confidence Score (NCS)** (0‑100). Nízké NCS vyvolá revizi člověkem v loopu.

## 6. Bezpečnost a Governance  

| Obava | Opatření |
|---|---|
| **Únik dat** | Vyhledávání probíhá uvnitř zero‑trust VPC; uložená embedding jsou šifrována. |
| **Halucinace modelu** | Vrstva fact‑checking odmítne jakékoliv tvrzení, které není podloženo trojicí v knowledge‑graphu. |
| **Regulační audity** | Neměnný ledger poskytuje kryptografický důkaz o časových razítcích generování narrativů. |
| **Bias** | Šablony promptů vynucují neutrální jazyk; bias‑monitoring běží týdenně nad generovanými narrativy. |

Engine je také **[FedRAMP](https://www.fedramp.gov/)**‑ready a podporuje jak on‑prem nasazení, tak FedRAMP‑certifikované cloudové prostředí.

## 7. Reálný dopad: Případová studie  

*Společnost*: poskytovatel SaaS **SecureStack** (střední velikost, 350 zaměstnanců)  
*Cíl*: Snížit dobu zpracování bezpečnostních dotazníků z 10 dnů na méně než 24 hodin a zároveň zvýšit důvěru kupujících.

| Metrika | Před | Po 30 dnech |
|---|---|---|
| Průměrná doba odpovědi | 10 dnů | 15 hodin |
| Spokojenost kupujících (NPS) | 32 | 58 |
| Interní úsilí při auditu souladu | 120 h/měsíc | 28 h/měsíc |
| Počet uzavřených obchodů zpožděných kvůli dotazníkům | 12 | 2 |

**Klíčové faktory úspěchu**:

* Souhrny narrativů zkrátily revizi o 60 %.  
* Auditní logy propojené s narrativy splnily **[ISO 27001](https://www.iso.org/standard/27001)** interní audit bez další manuální práce.  
* Neměnný ledger pomohl prošel **[SOC 2](https://secureframe.com/hub/soc-2/what-is-soc-2)** Type II audit s nulovými výjimkami.  
* Soulad s **[GDPR](https://gdpr.eu/)** při zacházení s požadavky subjektu údajů byl demonstrován prostřednictvím provenance odkazů vložených v každém narrativu.

## 8. Rozšíření enginu: Budoucí plán  

1. **Vícejazykové narrativy** – Využití multijazykových LLM a vrstvy překladů pro globální kupce.  
2. **Dynamické predikce rizika** – Integrace časových modelů k předpovědi budoucích trendů RES a vložení sekcí „budoucí výhled“.  
3. **Interaktivní chat‑based průzkum narrativů** – Umožnit uživatelům klást doplňující otázky („Co se stane, když přejdeme na RSA‑4096?“) a získat on‑the‑fly vysvětlení.  
4. **Zero‑Knowledge Proof integrace** – Dokázat, že tvrzení narrativu platí, aniž by se odhalily podkladové důkazy; užitečné pro vysoce citlivé kontroly.

## 9. Kontrolní seznam implementace  

| Krok | Popis |
|---|---|
| **1. Definovat kanonické schéma** | Slaďte pole dotazníku s kontrolami **[ISO 27001](https://www.iso.org/standard/27001)**, **[SOC 2](https://secureframe.com/hub/soc-2/what-is-soc-2)** a **[GDPR](https://gdpr.eu/)**. |
| **2. Vybudovat vrstvu vyhledávání důkazů** | Indexujte politické dokumenty, logy, feedy zranitelností. |
| **3. Natrénovat Engine pro hodnocení rizika** | Použijte historická data o incidentech k kalibraci vah. |
| **4. Jemně doladit LLM** | Shromažďujte doménové Q&A páry a příklady narrativ. |
| **5. Navrhnout šablony promptů** | Zakódujte tón, délku a token sledovatelnosti. |
| **6. Implementovat post‑procesor** | Přidejte formátování citací, validaci důvěry. |
| **7. Nasadit neměnný ledger** | Vyberte blockchain platformu, definujte smart‑contract schéma. |
| **8. Integrovat dashboard** | Poskytněte vizuální gauge důvěry a drill‑down. |
| **9. Nastavit governance politiky** | Definujte prahy revize, bias‑monitoring plán. |
| **10. Pilotovat s jednou sadou kontrol** | Iterujte na základě zpětné vazby před kompletním nasazením. |

## 10. Závěr  

Engine Narrativního AI promění surová, AI‑generovaná data z dotazníků na **příběhy budující důvěru**, které rezonují u všech zúčastněných stran. Spojením retrieval‑augmented generation, vysvětlitelného rizikového hodnocení a neměnné provenance mohou organizace urychlit tempo uzavírání obchodů, snížit zátěž compliance a splnit přísné auditní požadavky – a to vše při zachování lidského komunikačního stylu.

Jak dotazníky nadále nabývají na složitosti a objemu dat, schopnost **vysvětlit** místo pouhého **prezentovat** bude rozhodujícím faktorem mezi dodavateli, kteří získají obchod, a těmi, kteří uvíznou v nekonečné korespondenci.