# Narratiivinen AI‑moottori, joka luo ihmisluettavia riskikertomuksia automatisoiduista kyselyn vastauksista

Korkean panoksen B2B‑SaaS‑maailmassa turvallisuuskyselylomakkeet ovat ostajien ja toimittajien yhteinen kieli. Toimittaja voi vastata kymmeniä teknisiä kontrollikysymyksiä, joihin liitetään politiikkalakjeita, tarkastuslokeja ja AI‑pohjaisten moottorien tuottamia riskipisteitä. Vaikka nämä raakat datapisteet ovat olennaisia vaatimustenmukaisuuden kannalta, ne näyttävät usein työntekijöille, lakimiehille ja johdolle pelkältä jargoni‑seinältä.

**Narratiivinen AI‑moottori astuu kuvaan** – generatiivisen AI:n kerros, joka muuntaa rakenteelliset kyselyn tiedot selkeiksi, ihmisluettaviksi riskikertomuksiksi. Nämä kertomukset selittävät *mitä* vastaus on, *miksi* se on merkityksellinen ja *kuinka* siihen liittyvä riski hallitaan, säilyttäen samalla auditorien vaatimaan tarkistettavuuden.

Tässä artikkelissa tarkastelemme:

* Miksi perinteiset pelkkä‑vastaus‑näkymät eivät riitä.  
* Narratiivisen AI‑moottorin koko arkkitehtuuria alusta loppuun.  
* Promptien suunnittelua, retrieval‑augmented generation (RAG)‑tekniikoita ja selitettävyyden parantamista.  
* Mermaid‑kaaviota tietovirrosta.  
* Hallintoa, turvallisuutta ja vaatimustenmukaisuuden vaikutuksia.  
* Todellisia tuloksia ja tulevaisuuden suuntia.

---

## 1. Ongelma, jossa ainoastaan vastaukset automatisoidaan

| Oire | Perimmäinen syy |
|---|---|
| **Sidosryhmien epäselvyys** | Vastaukset esitetään erillisinä datapisteinä ilman kontekstia. |
| **Pitkät tarkistusjakso** | Lakiasiain- ja turvallisuustiimit joutuvat käsin kokoamaan todisteita. |
| **Luottamuspula** | Ostajat epäilevät AI‑luotuja vastauksia. |
| **Auditointiviive** | Sääntelyviranomaiset vaativat narratiivisia selityksiä, joita ei ole helposti saatavilla. |

Jopa kehittyneimmät reaaliaikaiset politiikkapoikkeamien havaitsejat tai luottamuspisteiden laskurit pysähtyvät siihen, **mitä** järjestelmä tietää. Ne harvoin vastaavat **miksi** tietty kontrolli on vaatimusten mukainen tai **kuinka** riski on hallittu. Tässä narratiivinen generointi tuo strategista arvoa.

---

## 2. Narratiivisen AI‑moottorin keskeiset periaatteet

1. **Kontekstualisointi** – Yhdistä kyselyn vastaukset politiikkalakkoihin, riskipisteisiin ja todisteiden lähdekohtiin.  
2. **Selitettävyyden** – Näytä päättelyketju (haetut asiakirjat, mallin varmuus, ominaisuuksien merkitys).  
3. **Tarkistettavuus** – Tallenna prompti, LLM‑lähtö ja todisteiden linkit muuttumattomaan kirjanpitoon.  
4. **Personointi** – Mukauta kielen sävy ja syvyys yleisön (tekninen, juridinen, johto) mukaan.  
5. **Sääntelyn mukaisuus** – Pakota tietosuojasuojaukset (differential privacy, federated learning) käsiteltäessä arkaluontoisia todisteita.

---

## 3. Koko arkkitehtuuri

Alla on yleistasoinen Mermaid‑kaavio, joka kuvaa tietovirran kyselyn vastaanottamisesta narratiivin toimittamiseen.

```mermaid
flowchart TD
    A["Raaka kyselyn lähetys"] --> B["Skeeman normalisoija"]
    B --> C["Todisteiden hakupalvelu"]
    C --> D["Riskin pisteytysmootori"]
    D --> E["RAG‑promptin koostaja"]
    E --> F["Suuri kielimalli (LLM)"]
    F --> G["Narratiivin jälkikäsittelijä"]
    G --> H["Narratiivin varasto (muuttumaton rekisteri)"]
    H --> I["Käyttäjäkohtainen hallintapaneeli"]
    style A fill:#f9f,stroke:#333,stroke-width:2px
    style I fill:#bbf,stroke:#333,stroke-width:2px
```

### 3.1 Tietojen vastaanotto ja normalisointi

* **Skeeman normalisoija** karttaa toimittajien omat kyselyn formaatit kanoniseen JSON‑skeemaan (esim. **[ISO 27001](https://www.iso.org/standard/27001)**‑kartoitettuihin kontrolliin).  
* Validointitarkistukset varmistavat pakolliset kentät, tietotyypit ja suostumuksen merkinnät.

### 3.2 Todisteiden hakupalvelu

* Hyödyntää **hybridihakuja**: vektoriyhdenäisyys upotusvarastossa + avainsanahaku politiikkatietävyyskartassa.  
* Hakee:  
  * Politiikkalakkeita (esim. “Salaa‑levyllä”‑politiikan teksti).  
  * Tarkastuslokeja (esim. “S3‑bucketin salaus otettu käyttöön 2024‑12‑01”).  
  * Riskiosia (esim. viimeaikaiset haavoittuvuuslöydöt).

### 3.3 Riskin pisteytysmootori

* Laskee **Risk Exposure Score (RES)** jokaiselle kontrollille painotetun GNN:n avulla, joka huomioi:  
  * Kontrollin kriittisyyden.  
  * Historian tapaustiheyden.  
  * Nykyisen lieventämisen tehokkuuden.  

RES liitetään jokaisen vastauksen numeriseen kontekstiin LLM:lle.

### 3.4 RAG‑promptin koostaja

* Kokoa **retrieval‑augmented generation** -prompt, joka sisältää:  
  * Tiiviin järjestelmäohjeen (sävy, pituus).  
  * Vastaus‑avain/arvo‑parin.  
  * Haetut todisteet (max 800 tokenia).  
  * RES‑arvon ja varmuuslukemat.  
  * Kohdeyleisön metadata (`audience: executive`).  

Promptin esimerkkipala:

```
System: Olet vaatimustenmukaisuusanalyytikko, joka kirjoittaa lyhyen johdon yhteenvetosivun.
Audience: Executive
Control: Data Encryption at Rest
Answer: Yes – All customer data is encrypted using AES‑256.
Evidence: ["Policy: Encryption Policy v3.2 – Section 2.1", "Log: S3 bucket encrypted on 2024‑12‑01"]
RiskScore: 0.12
Generate a 2‑sentence narrative explaining why this answer satisfies the control, what the risk level is, and any ongoing monitoring.
```

### 3.5 Suuri kielimalli (LLM)

* Käytössä **yksityinen, hienosäädetty LLM** (esim. 13 B‑malli, domain‑spesifinen ohjeinstruointi).  
* Integroitu **Chain‑of‑Thought** -promptaukseen, jotta päättelyaskeleet näkyvät.

### 3.6 Narratiivin jälkikäsittelijä

* Soveltaa **mallipohjien enforceausta** (esim. vaaditut osiot: “Mitä”, “Miksi”, “Kuinka”, “Seuraavat askeleet”).  
* Tekee **entiteettien linkityksen**, jotta hyperlinkit todisteisiin upotetaan muuttumattomaan kirjanpitoon.  
* Suorittaa **tarkistuksen**, joka uudelleenhakee tietoväylästä varmistaakseen jokaisen väitteen.

### 3.7 Muuttumaton kirjanpito

* Jokainen kertomus kirjataan **lupaukseen perustuvaan lohkoketjuun** (esim. Hyperledger Fabric) sisältäen:  
  * LLM‑lähdön hash.  
  * Viitteet taustatoimintojen ID:ihin.  
  * Aikaleiman ja allekirjoittajan identiteetin.

### 3.8 Käyttäjäkohtainen hallintapaneeli

* Näyttää kertomukset raakavastaustaulukkojen rinnalla.  
* Tarjoaa **laajennettavat tarkennustasot**: yhteenveto → täysi todistelista → raaka JSON.  
* Sisältää **varmuusmittarin**, joka visualisoi mallin varmuuden sekä todisteiden kattavuuden.

---

## 4. Promptien suunnittelu selitettävien narratiivien tuottamiseksi

Tehokkaat promptit ovat moottorin sydän. Alla kolme uudelleenkäytettävää mallia:

| Malli | Tavoite | Esimerkki |
|---|---|---|
| **Kontrastinen selitys** | Näyttää ero vaatimustenmukaisen ja ei‑vaatimustenmukaisen tilan välillä. | “Selitä, miksi datan salaaminen AES‑256:lla on turvallisempaa kuin legacy‑3DES:n käyttö …” |
| **Riskipainotettu yhteenveto** | Korostaa riskipistettä ja sen liiketoiminta‑vaikutusta. | “RES‑arvolla 0.12 riski tietovuotoon on matala; kuitenkin tarkkailemme neljännesvuosittain …” |
| **Toiminnallinen seuraava askel** | Tarjoaa konkreettisia korjaus‑ tai valvontatoimenpiteitä. | “Suoritamme neljännesvuosittaiset avainten kierrätyshaudit ja ilmoitamme turvallisuustiimille mahdollisesta poikkeamasta …” |

Promptiin sisällytetään myös **“Traceability Token”**, jonka jälkikäsittelijä poimii upottaakseen suoran linkin alkuperäisiin todisteisiin.

---

## 5. Selitettävyyden tekniikat

1. **Viittausten indeksointi** – Jokainen lause saa alaviitteen todiste‑ID:llä (esim. `[E‑12345]`).  
2. **Ominaisuuksien attribuutio** – Käytetään SHAP‑arvoja riskin pisteytys‑GNN:ssä, jotta voidaan näyttää, mitkä tekijät vaikuttivat eniten RES‑arvoon; nämä näkyvät sivupalkissa.  
3. **Varmuuslukema** – LLM palauttaa token‑tason todennäköisyysjakauman; moottori aggregoi sen **Narrative Confidence Score (NCS)** (0‑100). Alhainen NCS käynnistää ihmisen tarkistuksen.

---

## 6. Turvallisuus‑ ja hallintakysymykset

| Huolenaihe | Hallintatoimenpide |
|---|---|
| **Tietovuoto** | Haku tapahtuu zero‑trust‑VPC:ssä; vain salatut upotukset tallennetaan. |
| **Mallin harhautus** | Todenmukaisuustarkistus hylkää kaikki väitteet, joille ei ole tietoväylän triples‑tukea. |
| **Sääntelyn tarkastus** | Muuttumaton kirjanpito tarjoaa kryptografisen todisteen narratiivin luomisen aikaleimasta. |
| **Vääristymä** | Prompt‑mallipohjat pakottavat neutraalin kielen; vääristymän seurantaa suoritetaan viikoittain. |

Moottori on suunniteltu **[FedRAMP](https://www.fedramp.gov/)**‑valmiiksi, tukien sekä paikallisia että FedRAMP‑sertifioituja pilviympäristöjä.

---

## 7. Todellinen vaikutus: tapaustutkimus

*Yritys*: SaaS‑toimittaja **SecureStack** (keskikokoinen, 350 työntekijää)  
*Tavoite*: Vähentää turvallisuuskyselyn läpimenoaika 10 päivästä alle 24 tunniksi samalla parantaen ostajien luottamusta.

| Mittari | Ennen | 30 päivän jälkeen |
|---|---|---|
| Keskimääräinen vastausaika | 10 päivää | 15 tuntia |
| Ostajien tyytyväisyys (NPS) | 32 | 58 |
| Sisäisen vaatimustenmukaisuustarkastuksen työmäärä | 120 h/kk | 28 h/kk |
| Kyselyyn liittyvät kaupat, jotka viivästyivät | 12 | 2 |

**Keskeiset menestystekijät**:

* Narratiiviset yhteenvedot lyhensivät tarkistusaikaa 60 %.  
* Auditointilokit linkattuna kertomuksiin täyttivät **[ISO 27001](https://www.iso.org/standard/27001)**‑sisäisen auditoinnin ilman ylimääräistä työtä.  
* Muuttumaton kirjanpito auttoi läpäisemään **[SOC 2](https://secureframe.com/hub/soc-2/what-is-soc-2)** Type II -auditoinnin ilman poikkeamia.  
* **[GDPR](https://gdpr.eu/)**‑tietosubjektipyyntöjen käsittely todistettiin kertomuksiin upotetuilla todisteiden linkeillä.

---

## 8. Moottorin laajentaminen: tulevaisuuden tiekartta

1. **Monikieliset narratiivit** – Hyödyntää monikielisiä LLM:itä ja käännöspromptteja palvellakseen globaaleja ostajia.  
2. **Dynaaminen riskien ennustaminen** – Integroi aikasarjamalleja, jotka ennustavat tulevia RES‑trendejä ja lisäävät “tulevaisuuden näkymä” -osioita kertomuksiin.  
3. **Interaktiivinen chat‑pohjainen narratiivin tutkiminen** – Käyttäjät voivat esittää jatkokysymyksiä (“Mitä tapahtuu, jos siirrymme RSA‑4096:een?”) ja saada reaaliaikaisia selityksiä.  
4. **Zero‑Knowledge‑Proof‑integraatio** – Todista, että narratiivin väite on tosi paljastamatta taustatodisteita, hyödyllistä erityisen arkaluontoisten kontrollien kohdalla.

---

## 9. Toteutustarkistuslista

| Vaihe | Kuvaus |
|---|---|
| **1. Määritä kanoninen skeema** | Kohdista kyselyn kentät **[ISO 27001](https://www.iso.org/standard/27001)**, **[SOC 2](https://secureframe.com/hub/soc-2/what-is-soc-2)** ja **[GDPR](https://gdpr.eu/)** -kontrolleihin. |
| **2. Rakenna todisteiden hakukerros** | Indeksoi politiikkadokumentit, lokit ja haavoittuvuusvirrat. |
| **3. Kouluta riskin pisteytys‑GNN** | Käytä historiallisiä tapaustietoja painojen kalibrointiin. |
| **4. Hienosäädä LLM** | Kerää aladomain‑Q&A‑pareja ja narratiiviesimerkkejä. |
| **5. Suunnittele prompt‑mallipohjat** | Koodaa yleisö, sävy ja traceability‑token. |
| **6. Toteuta jälkikäsittely** | Lisää viitteiden muotoilu, varmuustarkistus. |
| **7. Ota käyttöön muuttumaton kirjanpito** | Valitse lohkoketju, määritä smart‑contract‑skeema. |
| **8. Integroi hallintapaneeli** | Tarjoa visuaaliset varmuusmittarit ja tarkennusmahdollisuudet. |
| **9. Määritä hallintapolitiikat** | Aseta tarkistusrajat, vääristymän seurantataulukko. |
| **10. Pilotointi yhden kontrollijoukon kanssa** | Kerää palaute ja iteroi ennen täysimittaista käyttöönottoa. |

---

## 10. Yhteenveto

Narratiivinen AI‑moottori muuttaa raakat, AI‑luodut kyselyn tiedot **luottamusta rakentaviksi tarinoiksi**, jotka puhutteleva kaikkia sidosryhmiä. Yhdistämällä retrieval‑augmented generationin, selitettävän riskipisteytyksen ja muuttumattoman todisteiden perustumisen organisaatiot voivat nopeuttaa kauppojen tempoa, vähentää vaatimustenmukaisuustyötä ja täyttää tiukat auditointivaatimukset – kaikki säilyttäen ihmiskeskeisen viestintätyylin.

Kun turvallisuuskyselylomakkeet muuttuvat yhä tietorikkaammiksi, **selittävän** sijaan pelkkä **esittävän** kyky erottaa voittajat niiden, jotka osaavat kertoa tarinan, niistä jotka jäävät kiinni loputtomaan takaisinkyselyyn.