# Narrativni AI sustav – izrada ljudski čitljivih priča o riziku iz automatiziranih odgovora na upitnike

U svijetu B2B SaaS-a visokog rizika, sigurnosni upitnici su lingua franca između kupaca i dobavljača. Dobavljač može odgovoriti na desetke tehničkih kontrola, svaka poduprta fragmentima politika, zapisima audita i ocjenama rizika generiranim AI‑pogonjanim motorima. Iako su ovi sirovi podaci ključni za usklađenost, često se prikazuju kao zid žargona za nabavu, pravni tim i izvršne publike.

**Uvedite Narrativni AI sustav** – sloj generativne AI koji strukturirane podatke iz upitnika pretvara u jasne, ljudski čitljive priče o riziku. Ovi narativi objašnjavaju *što* je odgovor, *zašto* je važan i *kako* se povezan rizik upravlja, sve uz očuvanje auditable dokazivanja potrebnog regulatorima.

U ovom članku ćemo:

* Ispitati zašto tradicionalni dashboardi s odgovorima nisu dovoljni.  
* Rasčlaniti krajnju‑do‑krajnju arhitekturu Narrativnog AI sustava.  
* Zaroniti u inženjering prompta, generiranje uz pomoć dohvaćanja (RAG) i tehnike objašnjivosti.  
* Prikazati Mermaid dijagram toka podataka.  
* Raspraviti implikacije upravljanja, sigurnosti i usklađenosti.  
* Predstaviti stvarne rezultate i smjerove budućnosti.

---

## 1. Problem automatizacije samo s odgovorima

| Simptom | Korijen problema |
|---|---|
| **Zbunjenost dionika** | Odgovori se prikazuju kao izolirane točke podataka bez konteksta. |
| **Dugi ciklusi pregleda** | Pravni i sigurnosni timovi moraju ručno sastavljati dokaze. |
| **Deficit povjerenja** | Kupci sumnjaju u autentičnost AI‑generiranih odgovora. |
| **Otpor u auditima** | Regulatori traže narativna objašnjenja koja nisu lako dostupna. |

Čak i najnapredniji detektori promjene politika u stvarnom vremenu ili kalkulatori povjerenja zaustavljaju se na **što** sustav zna. Rijetko odgovaraju na **zašto** je određena kontrola usklađena ili **kako** je rizik ublažen. Ovde narativno generiranje donosi stratešku vrijednost.

---

## 2. Osnovna načela Narrativnog AI sustava

1. **Kontekstualizacija** – Spajanje odgovora iz upitnika s izvodima politika, ocjenama rizika i porijeklom dokaza.  
2. **Objašnjivost** – Izlaganje lanca razmišljanja (dohvaćeni dokumenti, pouzdanost modela i važnost značajki).  
3. **Auditable trag** – Pohrana prompta, LLM‑odgovora i poveznica na dokaze u nepromjenjivom ledgeru.  
4. **Personalizacija** – Prilagodba tona i dubine jezika ovisno o publici (tehničkoj, pravnoj, izvršnoj).  
5. **Usklađenost s propisima** – Provođenje zaštite privatnosti podataka (diferencijalna privatnost, federirano učenje) pri rukovanju osjetljivim dokazima.

---

## 3. Krajnja‑do‑krajnja arhitektura

Dolje je prikazan visokorazinski Mermaid dijagram koji očituje tok podataka od unosa upitnika do isporuke narativa.

```mermaid
flowchart TD
    A["Raw Questionnaire Submission"] --> B["Schema Normalizer"]
    B --> C["Evidence Retrieval Service"]
    C --> D["Risk Scoring Engine"]
    D --> E["RAG Prompt Builder"]
    E --> F["Large Language Model (LLM)"]
    F --> G["Narrative Post‑Processor"]
    G --> H["Narrative Store (Immutable Ledger)"]
    H --> I["User‑Facing Dashboard"]
    style A fill:#f9f,stroke:#333,stroke-width:2px
    style I fill:#bbf,stroke:#333,stroke-width:2px
```

### 3.1 Unos podataka i normalizacija

* **Schema Normalizer** preslikava format upitnika specifičan za dobavljača na kanonski JSON shemu (npr. **[ISO 27001](https://www.iso.org/standard/27001)**‑mapirane kontrole).  
* Provjere valjanosti nameću obavezna polja, tipove podataka i oznake pristanka.

### 3.2 Servis za dohvaćanje dokaza

* Koristi **hibridno dohvaćanje**: vektorska sličnost nad ugrađenim spremištem + pretraga ključnih riječi nad grafom znanja politika.  
* Dohvaća:  
  * Klauzule politika (npr. “Politika enkripcije u mirovanju”).  
  * Zapise audita (npr. “S3 bucket enkriptiran 2024‑12‑01”).  
  * Indikatore rizika (npr. nedavni nalazi ranjivosti).

### 3.3 Motor ocjenjivanja rizika

* Izračunava **Risk Exposure Score (RES)** po kontroli koristeći ponderirani GNN koji uzima u obzir:  
  * Kritičnost kontrole.  
  * Povijesnu učestalost incidenata.  
  * Trenutnu učinkovitost ublažavanja.  

RES se pričvršćuje uz svaki odgovor kao numerički kontekst za LLM.

### 3.4 Builder za RAG prompt

* Konstruira **retrieval‑augmented generation** prompt koji uključuje:  
  * Sažnu sistemsku uputa (ton, duljina).  
  * Par ključ‑vrijednost odgovora.  
  * Izvatke dokaza (maks. 800 tokena).  
  * RES i vrijednosti pouzdanosti.  
  * Metapodatke publike (`audience: executive`).  

Primjer isječka prompta:

```
System: You are a compliance analyst writing a brief executive summary.
Audience: Executive
Control: Data Encryption at Rest
Answer: Yes – All customer data is encrypted using AES‑256.
Evidence: ["Policy: Encryption Policy v3.2 – Section 2.1", "Log: S3 bucket encrypted on 2024‑12‑01"]
RiskScore: 0.12
Generate a 2‑sentence narrative explaining why this answer satisfies the control, what the risk level is, and any ongoing monitoring.
```

### 3.5 Veliki jezični model (LLM)

* Implementiran kao **privatni, fino podešeni LLM** (npr. 13B model s domenom‑specifičnim instrukcijskim podešavanjem).  
* Integriran s **Chain‑of‑Thought** promptingom za izlaganje koraka razmišljanja.

### 3.6 Post‑procesor narativa

* Primjenjuje **provjeru predložaka** (npr. zahtjevane sekcije: “Što”, “Zašto”, “Kako”, “Daljnji koraci”).  
* Izvršava **povezivanje entiteta** kako bi ugradila hiperveze na dokaze pohranjene u Immutable Ledgeru.  
* Pokreće **provjera činjenica** koja ponovno upita graf znanja radi provjere svake tvrdnje.

### 3.7 Immutable Ledger

* Svaki narativ se bilježi na **permissioned blockchainu** (npr. Hyperledger Fabric) s:  
  * Hashom LLM‑izlaza.  
  * Referencama na ID‑e temeljnih dokaza.  
  * Vremenom i identitetom potpisnika.

### 3.8 Dashboard usmjeren prema korisniku

* Prikazuje narative uz tablice sirovih odgovora.  
* Nudi **proširive razine detalja**: sažetak → kompletna lista dokaza → sirovi JSON.  
* Uključuje **grafikon pouzdanosti** koji vizualizira sigurnost modela i pokrivenost dokazima.

---

## 4. Inženjering prompta za objašnjive narative

Učinkoviti prompti su srce sustava. Ispod su tri ponovna upotrebljiva obrasca:

| Obrasci | Cilj | Primjer |
|---|---|---|
| **Kontrastno objašnjenje** | Pokazati razliku između usklađenog i ne‑usklađenog stanja. | “Objasnite zašto je enkripcija podataka AES‑256 sigurnija od naslijeđenog 3DES …” |
| **Sažetak ponderiran rizikom** | Istaknuti ocjenu rizika i njen poslovni učinak. | “S RES‑om od 0.12, vjerojatnost izlaganja podataka je niska; ipak, nadziramo kvartalno …” |
| **Akcijski sljedeći koraci** | Pružiti konkretne popravke ili nadzorne radnje. | “Provest ćemo kvartalne revizije rotacije ključeva i obavijestiti sigurnosni tim o svakom odstopu …” |

Prompt također sadrži **“Traceability Token”** koji post‑procesor izvlači kako bi umetnuo izravan link natrag na izvorni dokaz.

---

## 5. Tehnike objašnjivosti

1. **Indeksiranje citata** – Svaku rečenicu podcrtava ID dokaza (npr. `[E‑12345]`).  
2. **Atributiranje značajki** – Koristi SHAP vrijednosti na GNN‑u za ocjenu koji su faktori najviše utjecali na RES i prikazuje ih u bočnoj traci.  
3. **Ocjena pouzdanosti** – LLM vraća distribuciju vjerojatnosti po tokenu; motor agregira u **Narrative Confidence Score (NCS)** (0‑100). Niska NCS aktivira provjeru čovjek‑u‑petlji.

---

## 6. Sigurnost i upravljanje

| Briga | Ublažavanje |
|---|---|
| **Procure podataka** | Dohvaćanje radi unutar zero‑trust VPC‑a; pohranjeni su samo šifrirani embeddingi. |
| **Halucinacije modela** | Sloj provjere činjenica odbacuje svaku tvrdnju koja nije potkrijepljena trojkom u grafu znanja. |
| **Regulatorni auditi** | Immutable ledger pruža kriptografski dokaz vremenskih oznaka generiranja narativa. |
| **Pristranost** | Predlošci prompta nameću neutralan jezik; mjerenje pristranosti izvodi se tjedno na generiranim narativima. |

Sustav je također **[FedRAMP](https://www.fedramp.gov/)**‑spreman po dizajnu, podržavajući i on‑prem i FedRAMP‑autorizirane cloud implementacije.

---

## 7. Stvarni učinak: Istaknuti primjeri

*Tvrtka*: SaaS pružatelj **SecureStack** (srednje veličine, 350 zaposlenika)  
*Cilj*: Smanjiti vrijeme odgovaranja na sigurnosne upitnike s 10 dana na manje od 24 sata uz povećanje povjerenja kupaca.

| Metrička | Prije | Nakon (30 dana) |
|---|---|---|
| Prosječno vrijeme odgovora | 10 dana | 15 sati |
| Zadovoljstvo kupaca (NPS) | 32 | 58 |
| Interni napor za audite usklađenosti | 120 h/mjesečno | 28 h/mjesečno |
| Broj ugovora odgođenih zbog problema s upitnicima | 12 | 2 |

**Ključni faktori uspjeha**:

* Sažeti narativi skratili su vrijeme pregleda za 60 %.  
* Zapisi audita povezani s narativima ispunili su zahtjeve **[ISO 27001](https://www.iso.org/standard/27001)** interne revizije bez dodatnog ručnog rada.  
* Immutable ledger pomogao je proći **[SOC 2](https://secureframe.com/hub/soc-2/what-is-soc-2)** Type II audit s nula iznimki.  
* Usklađenost s **[GDPR](https://gdpr.eu/)** zahtjevima za rukovanje podacima subjekata demonstrirana je kroz porijeklo dokaza ugradnjom u svaki narativ.

---

## 8. Proširenje sustava: Plan za budućnost

1. **Višejezični narativi** – Korištenje višejezičnih LLM‑ova i slojeva prevoditeljskih prompta za globalne kupce.  
2. **Dinamičko predviđanje rizika** – Integracija vremenskih modela rizika radi predviđanja budućih trendova RES‑a i umetanja odjeljka „pregled budućnosti“ u narative.  
3. **Interaktivno chat‑istraživanje narativa** – Omogućiti korisnicima postavljanje dodatnih pitanja (“Što bi se dogodilo ako pređemo na RSA‑4096?”) i dobivanje objašnjenja u realnom vremenu.  
4. **Zero‑Knowledge dokaz** – Dokazati da tvrdnja narativa drži bez otkrivanja temeljnog dokaza, korisno za iznimno povjerljive kontrole.

---

## 9. Lista provjere implementacije

| Korak | Opis |
|---|---|
| **1. Definirajte kanonsku shemu** | Uskladite polja upitnika s kontrolama **[ISO 27001](https://www.iso.org/standard/27001)**, **[SOC 2](https://secureframe.com/hub/soc-2/what-is-soc-2)**, **[GDPR](https://gdpr.eu/)**. |
| **2. Izgradite sloj za dohvaćanje dokaza** | Indeksirajte dokumente politika, zapise, feed‑ove ranjivosti. |
| **3. Trenirajte GNN za ocjenu rizika** | Upotrijebite povijesne podatke o incidentima za kalibraciju težina. |
| **4. Fino podesite LLM** | Prikupite parove Q&A i primjere narativa specifične za domenu. |
| **5. Dizajnirajte predloške prompta** | Ugradite ton, dužinu i token za praćenje. |
| **6. Implementirajte post‑procesor** | Dodajte formatiranje citata, provjeru pouzdanosti. |
| **7. Postavite Immutable Ledger** | Odaberite blockchain platformu, definirajte šemu pametnog ugovora. |
| **8. Integrirajte dashboard** | Osigurajte vizualni indikator pouzdanosti i mogućnost dubljeg istraživanja. |
| **9. Definirajte politike upravljanja** | Postavite pragove revizije, raspored praćenja pristranosti. |
| **10. Pilot s jednim setom kontrola** | Prilagodite na temelju povratnih informacija prije potpune implementacije. |

---

## 10. Zaključak

Narrativni AI sustav pretvara sirove, AI‑generirane podatke iz upitnika u **priče koje grade povjerenje** i razumijevanje za sve dionike. Kombiniranjem generiranja uz pomoć dohvaćanja, objašnjivog ocjenjivanja rizika i nepromjenjivog porijekla, organizacije mogu ubrzati brzinu sklapanja poslova, smanjiti opterećenje usklađenosti i udovoljiti strogim auditnim zahtjevima — sve uz očuvanje komunikacije usmjerene na čovjeka.

Kako sigurnosni upitnici nastave rasti u količini i složenosti podataka, sposobnost **objašnjavanja**, a ne samo **prikazivanja**, bit će presudni faktor između dobavljača koji zatvaraju poslove i onih koji zapinju u beskonačnom povratnom krugu.