# Motor za samopopravljanje grafa znanja o usklađenosti u stvarnom vremenu pokretan generativnom AI

Stručnjaci za usklađenost u SaaS tvrtkama svakodnevno balansiraju stalno mijenjajuće regulatorne zahtjeve, unutarnje ažuriranja politika i pritisak da brzo odgovore na sigurnosne upitnike. Tradicionalne baze znanja zastarijevaju u trenutku kada se objavi nova regulativa ili izmijeni odredba ugovora. Rezultat je ručni, skloni greškama ciklus traženja podataka, neusklađenosti verzija i odgođenih odgovora.

**Graf znanja o usklađenosti s automatskim popravljanjem u stvarnom vremenu** pokretan generativnom AI pretvara ovaj reaktivni proces u proaktivan, samokorektivan sustav. Motor neprekidno prima regulatorne feedove, interne repozitorije politika i vanjske feedove rizika; otkriva odstupanja; generira mjere sanacije; i ažurira graf bez ljudske intervencije, istovremeno čuvajući transparentan audit‑trag.

U nastavku prolazimo kroz problemsku domenu, osnovnu arhitekturu, korake implementacije i mjerljive benefite koje ova tehnologija donosi.

## 1. Zašto postojeća rješenja ne zadovoljavaju

| Izazov | Tipičan pristup | Skriveni trošak |
|--------|-----------------|-----------------|
| Promjene regulatornih zahtjeva | Ručno pregledavanje politika svaki kvartal | Sati radnog vremena odvjetnika, propušteni rokovi |
| Usklađivanje više okvira ([ISO 27001](https://www.iso.org/standard/27001), [SOC 2](https://secureframe.com/hub/soc-2/what-is-soc-2), [GDPR](https://gdpr.eu/), [CCPA](https://oag.ca.gov/privacy/ccpa)) | Odvojeni proračunski tablice po okviru | Duplicirani napor, nesklad |
| Svježina dokaza | Ručno označavanje „posljednji put provjereno“ | Zastarjeli dokazi dovode do nalaza revizije |
| Vrijeme obrade upitnika | Kopiranje i lijepljenje iz dokumenta politika | Ljudske greške, nedostatak sljedivosti |

Čak i sofisticirani RAG (retrieval‑augmented generation) cjevovodi točno odgovaraju na pitanja samo ako je temeljni graf znanja **svjež**. Kada se izvori podataka promijene, graf postaje teret umjesto imovine.

## 2. Osnovni koncept: Graf znanja s automatskim popravljanjem

Graf znanja s automatskim popravljanjem dinamičan je skup entiteta usklađenosti (regulativa, kontrola, politike, artefakti dokaza) koji **samokorektira** kad god se promijeni bilo koji izvorni podatak. Motor izvodi tri neprekidne petlje:

1. **Detekcija** – nadzire repozitorije izvora i regulatorne feedove za dodatke, brisanja ili izmjene.  
2. **Dijagnoza** – koristi generativni LLM za procjenu utjecaja na dolazne čvorove (npr. novi članak GDPR‑a utječe na politiku zadržavanja podataka).  
3. **Sanacija** – automatski generira ažurirane fragmente politika, poveznice na dokaze i verzionirane mutacije grafa.

Sve radnje bilježe se u nepromjenjivoj knjigovodstvenoj knjizi, što omogućuje potpunu objašnjivost revizorima.

## 3. Pregled arhitekture

```mermaid
graph LR
    subgraph External Sources
        R[Regulatory Feed API] -->|JSON| D[Change Detector]
        P[Internal Policy Repo] -->|Git| D
        V[Vendor Risk Feed] -->|CSV| D
    end
    D -->|events| I[Impact Analyzer]
    I -->|LLM prompts| L[Generative LLM]
    L -->|suggested updates| M[Mutation Engine]
    M -->|graph ops| G[Compliance Knowledge Graph]
    G -->|queries| Q[Real Time Questionnaire Service]
    G -->|audit events| A[Immutable Ledger]
    style D fill:#f9f,stroke:#333,stroke-width:2px
    style L fill:#bbf,stroke:#333,stroke-width:2px
    style G fill:#bfb,stroke:#333,stroke-width:2px
```

### Ključne komponente

| Komponenta | Odgovornost |
|------------|-------------|
| **Change Detector** | Prima webhookove ili periodično provjerava izvore podataka; normira događaje promjena u jedinstvenu shemu. |
| **Impact Analyzer** | Traversira graf kako bi locirao pogođene čvorove; gradi mapu ovisnosti za svaku promjenu. |
| **Generative LLM** | Prima strukturirani prompt koji opisuje drift; proizvodi skice politika, fragmente dokaza ili korake sanacije. |
| **Mutation Engine** | Validira izlaz LLM‑a prema pravilima politika‑ka‑kod; primjenjuje verzionirane ažuriranja i zapisuje u graf. |
| **Immutable Ledger** | Pohranjuje svaku mutaciju s vremenskom oznakom, porijeklom i LLM‑ovim ocjenama pouzdanosti za audit‑svrhu. |
| **Questionnaire Service** | Poslužuje ažurirane odgovore putem API‑ja ili UI‑ja, jamčeći da svaki odgovor odražava najnovije stanje grafa. |

## 4. Vodič za implementaciju korak po korak

### 4.1. Izgradnja početnog grafa znanja

1. **Dizajn sheme** – Definirajte tipove čvorova: `Regulation`, `Control`, `Policy`, `Evidence`, `Question`, `Vendor`. Uspostavite relacije kao što su `enforces`, `references`, `covers`, `produces`.  
2. **Uvoz podataka** – Upotrijebite ETL cjevovode (Apache NiFi, Airbyte) za učitavanje postojećih dokumenata politika, regulatornih kataloga (npr. [NIST CSF](https://www.nist.gov/cyberframework), [ISO/IEC 27001 Information Security Management](https://www.iso.org/isoiec-27001-information-security.html)) i repozitorija dokaza u graf.  
3. **Versioniranje** – Svaki čvor pohranite kao zaseban čvor s atributima `validFrom` i `validTo`.

### 4.2. Postavljanje otkrivanja promjena u stvarnom vremenu

- **Regulatorni API‑ji** – Pretplatite se na RSS/JSON feedove tijela poput EU Komisije, NIST‑a i Cloud Security Alliance (za STAR).  
- **Interni Git hook‑ovi** – Aktivirajte webhook na commit‑e repozitorija politika.  
- **Konektori feedova rizika** – Povlačite ocjene rizika dobavljača s platformi za sigurnost SaaS‑a.

Svi događaji se normaliziraju u `ChangeEvent` payload koji sadrži `entityId`, `changeType`, `newValue` i `source`.

### 4.3. Logika analize utjecaja

```python
def impacted_nodes(event):
    # Dohvati čvor koji se promijenio
    changed = graph.get_node(event.entityId)
    # Izračunaj transverznu zatvaru ovisnih čvorova
    return graph.traverse(changed, edge_type="covers")
```

Funkcija vraća popis politika ili dokaza koji mogu zahtijevati reviziju.

### 4.4. Inženjering prompta za LLM

Kreirajte deterministički predložak prompta:

```
You are an expert compliance analyst. A change has been detected:
Entity: {entity_type} "{entity_name}"
Change: {change_description}
Affected policies: {list_of_policies}
Provide:
1. Revised policy clause (max 3 sentences)
2. Updated evidence suggestion
3. Confidence score (0‑100)
```

Popunite predložak i pošaljite ga fino‑treniranom LLM‑u (npr. Claude‑3.5 ili GPT‑4o) putem API‑ja.

### 4.5. Validacija i mutacija

1. **Rule Engine** – Provjerite da li draft LLM‑a nije u sukobu s nepromjenjivim kontrolama (npr. „enkripcija u mirovanju mora biti ≥ 256‑bit”).  
2. **Ljudska provjera (po želji)** – Prikazajte draft u UI‑u; stručnjak za usklađenost može odobriti, urediti ili odbiti.  
3. **Primjena mutacije** – Engine kreira novu verziju čvora, ažurira rubove i zapisuje audit‑unos:

```json
{
  "mutationId": "m-2026-06-15-001",
  "timestamp": "2026-06-15T08:12:34Z",
  "source": "Regulatory Feed API",
  "llmModel": "Claude‑3.5",
  "confidence": 92,
  "previousNodeId": "policy-123",
  "newNodeId": "policy-124"
}
```

### 4.6. Izlaganje odgovora u stvarnom vremenu

Mikro‑usluga za upitnike pretražuje graf za najnovije `Policy` čvorove povezane s `Question`. Budući da su mutacije trenutne, odgovor je uvijek ažuran.

```graphql
query GetAnswer($questionId: ID!) {
  question(id: $questionId) {
    text
    answers {
      policy {
        content
        version
        effectiveDate
      }
      evidence {
        url
        verificationStatus
      }
    }
  }
}
```

## 5. Kvantificirani benefiti

| Metrička vrijednost | Prije automatskog popravljanja | Nakon implementacije |
|---------------------|--------------------------------|----------------------|
| Prosječno vrijeme osvježavanja politika | 4 tjedna | < 2 sata |
| Vrijeme obrade upitnika | 5 dana po zahtjevu | < 30 minuta |
| Ručni napor revizije | 40 sati po kvartalu | 8 sati po kvartalu |
| Točnost otkrivanja pomaka politika | 70 % (ručno) | 96 % (automatizirano) |
| Ocjena povjerenja revizora | 78 % | 94 % |

Motor ne samo da smanjuje operativne troškove, već podiže ocjenu povjerenja koju potencijalni kupci vide na trust‑pageu SaaS‑a, izravno utječući na stope konverzija.

## 6. Primjeri iz stvarnog svijeta

1. **[GDPR](https://gdpr.eu/) članak 30 – ažuriranje** – Kad EU doda novi zahtjev za vodjenje evidencije, detektor promjena označi pogođeni `Regulation` čvor. Analizator utjecaja identificira čvor `DataRetentionPolicy`, LLM sastavi novi odlomak, a engine izvrši ažuriranje. Sljedeći odgovor na upitnik automatski prikazuje novi raspored zadržavanja podataka.

2. **[SOC 2](https://secureframe.com/hub/soc-2/what-is-soc-2) revizija kontrole** – Cloud pružatelj mijenja standard enkripcije. Graf automatski ažurira čvor `EncryptionPolicy` i dodaje nove poveznice na certifikate, eliminirajući potrebu za ručnim prepisivanjem politike.

3. **Naglo povećanje rizika dobavljača** – Kritični dobavljač doživljava povredu i njegov rizik pada. Graf ažurira `Vendor` čvor, propagira rizik na povezane `Control` čvorove i aktivira real‑time upozorenje prodajnom timu da zatraži novi sigurnosni upitnik.

## 7. Upravljanje i objašnjivost

Svaka automatska mutacija pohranjuje se u nepromjenjivu knjigu (npr. Hyperledger Fabric). Revizori mogu upitati:

```mermaid
graph TD
    L[Ledger] -->|contains| M[Mutation Records]
    M -->|links to| P[Policy Versions]
    M -->|links to| E[Evidence Artifacts]
```

Knjiga bilježi:

- **Izvor** promjene (regulatorni feed, interno commit‑anje).  
- **Prompt** i **verziju LLM‑a** koji je korišten.  
- **Ocjenu pouzdanosti** i **status ljudske revizije**.  

Ovi podaci zadovoljavaju evidencijske zahtjeve za **SOC 2**, **ISO 27001** i internim okvirima usklađenosti.

## 8. Najbolje prakse za uspješan roll‑out

1. **Počnite mali** – Pilotirajte na jednoj regulativi (npr. GDPR) prije šire primjene.  
2. **Fino‑trenirajte LLM** – Iskoristite vlastiti korpus politika radi većeg domenskog točnosti.  
3. **Primijenite pravila politika‑ka‑kod** – Spriječite LLM da generira konfliktne odredbe.  
4. **Uvedite ulogu‑baziranu reviziju** – Omogućite senior stručnjacima da odobravaju promjene visokog utjecaja.  
5. **Nadzorujte ocjene pouzdanosti** – Automatski odbacujte skice ispod definiranog praga (npr. 80 %).  
6. **Kontinuirano podučavanje** – Periodično retrenirajte LLM na odobrenim mutacijama kako biste smanjili halucinacije.

## 9. Pogled u budućnost

Graf znanja s automatskim popravljanjem predstavlja temelj za više naprednih mogućnosti:

- **Prediktivno prognoziranje praznina** – Kombinirajte graf s vremenskim modelom kako biste anticipirali regulatorne praznine prije nego što se pojave.  
- **Interaktivni Mermaid nadzori** – Visualizirajte utjecaj driftova u stvarnom vremenu za izvršne izvještaje.  
- **Zero‑Knowledge Proof validacija** – Dokazujte da politika zadovoljava regulativu bez otkrivanja samog teksta, korisno za povjerljive upitnike dobavljača.  
- **Federirano učenje između poduzeća** – Dijelite modele detekcije driftova bez izlaganja vlasničkim politikama, ubrzavajući industrijsku higijenu usklađenosti.

Kako regulative postaju sve detaljnije, a potreba za trenutnim odgovorima na upitnike raste, motor za samopopravljanje grafa znanja pretvara se iz optimizacije u nužnost.