AIFC-080: Compliance Levels

Status: Draft 0.1 Standard: AI-First Community Standard Zkráceně: AIFC Navazuje na:

• AIFC-000 Manifest AI-first komunity
• AIFC-001 Core Concepts
• AIFC-002 Community Model
• AIFC-003 Values and Purpose
• AIFC-004 Feedback and Change Proposals
• AIFC-010 Knowledge Structure
• AIFC-011 Operational DNA
• AIFC-013 Human and AI Readable Content
• AIFC-020 Human-Managed AI
• AIFC-024 Human Capability Reserve
• AIFC-030 AI Capacity Planning
• AIFC-034 AI Lock-in and Exit Strategy
• AIFC-040 AI Retrospective
• AIFC-043 Skill Evolution
• AIFC-050 Community Interface
• AIFC-060 Knowledge Security
• AIFC-064 Data Classification
• AIFC-070 Company as a System
• AIFC-073 Digital Company and Ghost AI Company Risk

Účel dokumentu: Definovat AIFC Compliance Levels jako úrovně vyspělosti a souladu komunity se standardem AIFC. Dokument vysvětluje, že AIFC compliance není binární stav, ale postupná cesta od základního vědomého používání AI až po human-readable, agent-actionable, software-verifiable a human-managed komunitní systém.

1. Purpose of this document

Tento dokument definuje Compliance Levels.

AIFC standard je široký.

Zahrnuje:

• záměr,
• hodnoty,
• knowledge base,
• source of truth,
• Human Cockpit Layer,
• AI governance,
• AI-NDA Boundary,
• Human Capability Reserve,
• AI capacity planning,
• AI retrospective,
• workflow conversion,
• skill evolution,
• interfaces,
• security,
• auditability,
• Company as a System,
• ghost AI company risk,
• a agent-actionable artefakty.

Není realistické očekávat, že každá komunita splní vše okamžitě.

AIFC proto potřebuje compliance levels.

Ty umožňují říct:

• kde komunita je,
• co už splňuje,
• co ještě chybí,
• jaké riziko nese,
• jaký další krok dává smysl,
• a zda je AI používána odpovědně vzhledem ke stavu systému.

Compliance Levels nejsou nálepka prestiže.

Jsou navigační mechanismus.

2. Core principle

Základní princip tohoto dokumentu je:

AIFC compliance is not a badge. It is a visible maturity path toward responsible AI-first community operation.

Česky:

AIFC compliance není odznak. Je to viditelná cesta vyspělosti k odpovědnému AI-first provozu komunity.

AIFC říká:

Do not claim AI-first maturity. Demonstrate governed capability.

Česky:

Netvrďte AI-first vyspělost. Prokažte řízenou schopnost.

3. Definition

AIFC Compliance Level je definovaná úroveň souladu komunity se standardem AIFC podle toho, nakolik má komunita explicitní záměr, hodnoty, source of truth, human-managed AI, governance, security, feedback, skills, interfaces, auditability a schopnost fungovat s AI i bez AI.

Compliance Level může být použit pro:

• self-assessment,
• onboarding,
• improvement roadmap,
• AI readiness assessment,
• governance review,
• vendor assessment,
• customer trust,
• certification model,
• public transparency,
• internal audit,
• AI adoption planning.

Minimum requirement

AIFC compliance musí být posuzována podle reálných artefaktů, rozhodnutí, workflow a schopností, ne pouze podle deklarací.

4. Compliance is not all-or-nothing

AIFC compliance není binární.

Komunita může být:

• silná v hodnotách, ale slabá v security,
• silná v AI governance, ale slabá ve source of truth,
• silná v dokumentaci, ale slabá v Human Capability Reserve,
• silná v agent permissions, ale slabá v feedback loop,
• silná v public interface, ale slabá v Operational DNA protection.

Proto AIFC používá vrstvy a úrovně.

Minimum requirement

Compliance assessment musí ukazovat silné i slabé oblasti, ne pouze celkové skóre.

5. Compliance dimensions

AIFC compliance může být posuzována v několika dimenzích.

Doporučené dimenze:

Purpose and values
Community ownership
Knowledge structure
Source of truth
Human Cockpit Layer
Human-managed AI
AI-NDA Boundary
AI capacity planning
AI autonomy governance
Human Capability Reserve
Feedback and change proposals
AI retrospective
Workflow conversion
Skill evolution
Community interfaces
Security and classification
Access control
Agent permissions
Auditability
Operational DNA protection
Company as a System
Ghost AI company risk
Agent-actionable implementation

Minimum requirement

Compliance model musí zahrnovat purpose, human ownership, AI governance, knowledge security and fallback capability.

6. Recommended compliance levels

AIFC doporučuje následující úrovně:

Level 0 — Unmanaged AI Use
Level 1 — AI-Aware Community
Level 2 — AIFC Minimum
Level 3 — Governed AI-First Community
Level 4 — AI-Operable Human-Managed Community
Level 5 — Continuously Learning AI-First Community

Tyto úrovně popisují postupnou cestu.

Minimum requirement

Komunita musí umět určit svoji aktuální úroveň nebo alespoň cílovou úroveň.

7. Level 0 — Unmanaged AI Use

Level 0 znamená, že komunita používá AI neřízeně.

Typické znaky:

• AI se používá individuálně,
• nejsou jasná pravidla,
• není AI-NDA Boundary,
• není jasné, jaká data lze vložit do AI,
• není AI budget governance,
• není audit,
• nejsou fallbacky,
• není Human Capability Reserve,
• AI výstupy se používají bez review,
• source of truth je chaotický nebo neexistuje,
• AI usage vytváří skryté dependency.

Level 0 není nutně zlé chování.

Je to běžný výchozí stav.

Ale u neveřejných dat, kritických workflow nebo zákaznického dopadu je rizikový.

Minimum requirement

Komunita na Level 0 nesmí tvrdit, že je AIFC-compliant.

8. Level 1 — AI-Aware Community

Level 1 znamená, že komunita ví, že AI používá, a začíná ji řídit.

Typické znaky:

• existuje základní AI use policy,
• lidé vědí, že AI má rizika,
• existují základní pravidla pro neveřejná data,
• AI výstupy se u kritických oblastí reviewují,
• komunita začíná mapovat source of truth,
• existuje základní owner AI adopce,
• jsou pojmenována první rizika AI dependency,
• existují první pravidla pro public claims a AI transparency.

Level 1 je vhodný pro komunity, které začínají.

Ještě nejde o plnou AIFC compliance.

Minimum requirement

Level 1 musí mít základní AI use boundary a odpovědnou roli za AI pravidla.

9. Level 2 — AIFC Minimum

Level 2 znamená minimální AIFC compliance.

Komunita má základní prvky, které chrání proti největším rizikům.

Musí mít:

• explicitní záměr,
• základní hodnoty,
• human/community ownera,
• source of truth pro kritické znalosti,
• základní AI-NDA Boundary,
• základní pravidla pro AI use,
• základní Data Classification,
• základní Access Control,
• kritické AI výstupy reviewované lidmi,
• fallback pro nejkritičtější AI-assisted workflow,
• základní Human Capability Reserve,
• mechanismus feedbacku,
• základní audit kritických AI akcí,
• ochranu Operational DNA,
• ghost AI company risk check, pokud působí navenek.

Level 2 je minimální stav, kdy lze říct, že komunita pracuje v duchu AIFC.

Minimum requirement

Level 2 musí splnit samostatný dokument AIFC-081 Minimal AIFC Compliance.

10. Level 3 — Governed AI-First Community

Level 3 znamená, že komunita má systematickou governance.

Typické znaky:

• purpose and values jsou propojené s rozhodováním,
• source of truth je strukturovaný,
• roles and owners jsou definované,
• AI agents mají permissions records,
• AI capacity je plánovaná,
• AI operating modes jsou definované,
• AI lock-in and exit strategy jsou řešené,
• data classification je funkční,
• auditability je zavedena,
• feedback loop vytváří change proposals,
• AI retrospective probíhá,
• skills se vyvíjejí,
• support/maintenance/change work jsou rozlišeny,
• Human Cockpit Layer existuje alespoň v základní podobě,
• Operational DNA je identifikováno a chráněno.

Minimum requirement

Level 3 musí prokázat, že AI není pouze používána, ale řízena přes role, pravidla, artefakty a review.

11. Level 4 — AI-Operable Human-Managed Community

Level 4 znamená, že AI může bezpečně pracovat nad významnými částmi komunitního systému.

Typické znaky:

• knowledge base je human-readable and agent-actionable,
• metadata jsou konzistentní,
• validation rules pokrývají kritické oblasti,
• AI agents mohou pracovat v definovaných scopes,
• agent permissions jsou auditovatelné,
• Human Cockpit Layer zobrazuje stav systému,
• AI retrieval respektuje classification and access control,
• workflow conversion převádí rutinu do systémových schopností,
• AI outputs mají lineage and review,
• critical workflows mají fallback,
• AI capacity and costs jsou řízené,
• AI-generated proposals jsou governance-ready,
• source of truth write-back je řízený.

Level 4 neznamená, že AI rozhoduje za komunitu.

Znamená, že komunita je navržena tak, aby AI mohla bezpečně pomáhat.

Minimum requirement

Level 4 musí být human-managed even when AI is deeply integrated.

12. Level 5 — Continuously Learning AI-First Community

Level 5 znamená, že komunita se systematicky učí z AI, lidí, feedbacku, incidentů, supportu a trhu.

Typické znaky:

• AI retrospective je pravidelná a dopadová,
• AI Waste Backlog je používán,
• Workflow Conversion běží,
• Skill Evolution je aktivní,
• Human Skills and AI Skills se vyvíjejí společně,
• support signals se vracejí do strategie,
• maintenance debt je viditelný,
• AI dependency je monitorovaná,
• Human Capability Reserve je aktivně udržovaná,
• governance se zlepšuje,
• validation rules přibývají,
• public interface je transparentní,
• system learns faster than it degrades.

Level 5 je cíl: komunita, která se umí zlepšovat bez ztráty lidské odpovědnosti.

Minimum requirement

Level 5 musí prokázat, že zkušenost se pravidelně převádí do source of truth, skills, workflow conversion and governance updates.

13. Compliance profile

Komunita nemusí mít stejnou úroveň ve všech dimenzích.

Může mít compliance profile:

aifc_compliance_profile:
  overall_level: 2
  purpose_and_values: 3
  source_of_truth: 2
  human_managed_ai: 2
  ai_capacity_planning: 1
  agent_permissions: 1
  knowledge_security: 2
  auditability: 1
  human_capability_reserve: 2
  feedback_loop: 2
  skill_evolution: 1
  company_as_system: 2

Profil je užitečnější než jediné číslo.

Minimum requirement

Compliance assessment musí umožnit dimenzionální pohled nebo uvést významné výjimky.

14. Evidence-based compliance

AIFC compliance musí být evidence-based.

Důkazy mohou být:

• source of truth artefakty,
• decision records,
• access policies,
• AI-NDA Boundaries,
• agent permissions,
• audit logs,
• skills,
• workflows,
• retrospectives,
• feedback records,
• change proposals,
• fallback procedures,
• security classification,
• cockpit views,
• validation reports.

Nestačí říct:

We use AI responsibly.

Je potřeba ukázat, jak je odpovědnost strukturovaná.

Minimum requirement

Compliance claim musí být podpořen artefakty nebo ověřitelnými postupy.

15. Compliance and risk

Požadovaná compliance úroveň závisí na riziku.

Nízkoriziková komunita může začít Level 1 nebo Level 2.

Vysoce riziková firma potřebuje Level 3 nebo vyšší.

Riziko zvyšují:

• osobní data,
• zákaznický dopad,
• regulované oblasti,
• finanční rozhodnutí,
• health/safety,
• Operational DNA,
• cross-community impact,
• vysoká AI autonomie,
• externí AI agents,
• public claims,
• vendor dependency,
• critical workflows.

Minimum requirement

Required compliance level must be proportional to risk and impact.

16. Compliance and AI intensity

Čím vyšší AI intensity, tím vyšší musí být governance.

Příklad:

Low AI intensity:
Level 1 or 2 may be sufficient.

Medium AI intensity:
Level 2 or 3 needed.

High AI intensity:
Level 3 or 4 needed.

High autonomy agents:
Level 4 recommended.

Critical AI-driven operations:
Level 4 or 5 target.

AI intensity bez compliance maturity je riziko.

Minimum requirement

AI intensity and autonomy must not exceed governance maturity for critical areas.

17. Compliance and Human Capability Reserve

AIFC compliance musí kontrolovat Human Capability Reserve.

Komunita nesmí získat vysokou compliance úroveň, pokud:

• kritické workflow neumí vysvětlit lidé,
• neexistuje fallback,
• AI je jediný nositel know-how,
• revieweři nerozumí AI výstupům,
• token outage zastaví rutinní práci,
• juniorní learning path zmizel.

Minimum requirement

Level 3 and above require active Human Capability Reserve for critical workflows.

18. Compliance and AI lock-in

Vyšší compliance úrovně vyžadují exit strategy.

Komunita musí znát:

• kde má source of truth,
• kde jsou AI skills,
• kde je agent memory,
• kde jsou logs,
• jak exportovat,
• jak nahradit vendora,
• jak fungovat v reduced-AI mode,
• jak obnovit human workflow.

Minimum requirement

Level 3 and above require AI lock-in assessment and exit strategy for critical AI dependencies.

19. Compliance and Operational DNA

Pokud komunita identifikuje Operational DNA, musí jej chránit.

Vyšší compliance vyžaduje:

• classification,
• access control,
• AI-NDA Boundary,
• audit,
• export control,
• public interface review,
• backup and recovery,
• ownerství.

Minimum requirement

No community can be Level 3 or above if Operational DNA is unmanaged.

20. Compliance and ghost AI company risk

Digital Company nebo Company Generation musí posuzovat ghost AI company risk.

Komunita nemůže být AIFC-compliant, pokud:

• není jasný owner,
• není jasná odpovědnost,
• není skutečný support,
• public claims nejsou podložené,
• AI use je skryté tam, kde je důležité,
• není fallback,
• není source of truth,
• vzniká firemní fasáda bez komunity.

Minimum requirement

External-facing AI-first company must address ghost AI company risk to claim AIFC compliance.

21. Compliance and public claims

AIFC compliance claim je public claim.

Pokud firma tvrdí:

We are AIFC-compliant.

musí být jasné:

• na jaké úrovni,
• pro jaký scope,
• podle jakého assessmentu,
• zda je self-assessed nebo independently reviewed,
• kdy bylo naposledy review,
• jaké jsou výjimky.

Minimum requirement

AIFC compliance claim must state level, scope and assessment basis.

22. Scope of compliance

Compliance musí mít scope.

Scope může být:

• celá firma,
• tým,
• produkt,
• projekt,
• knowledge base,
• AI workflow,
• AI agent,
• customer interface,
• Company as Product package,
• generated company,
• vendor relationship.

Bez scope je claim nejasný.

Minimum requirement

Compliance assessment must define scope.

23. Self-assessment

Self-assessment je první krok.

Komunita sama posoudí:

• úroveň,
• důkazy,
• gaps,
• rizika,
• roadmapu,
• výjimky,
• next steps.

Self-assessment musí být poctivý.

Není to marketing.

Minimum requirement

Self-assessment musí obsahovat evidence, gaps and improvement plan.

24. Independent review

U vyššího rizika nebo public claims může být vhodný independent review.

Může jej provést:

• interní audit,
• externí auditor,
• zákazník,
• partner,
• certifikační orgán,
• community governance body,
• peer review.

Independent review nenahrazuje odpovědnost komunity.

Pouze zvyšuje důvěru.

Minimum requirement

High-risk public AIFC compliance claims should be independently reviewed or clearly marked as self-assessed.

25. Compliance drift

Compliance může degradovat.

Důvody:

• změna AI nástroje,
• nový agent,
• nový vendor,
• nová data,
• růst týmu,
• outdated source of truth,
• změna strategie,
• nové public claims,
• security incident,
• ztráta lidí,
• ztráta Human Capability Reserve,
• zvýšení AI autonomy.

Minimum requirement

Compliance status musí mít review cycle and change triggers.

26. Compliance roadmap

Compliance assessment má vést k roadmapě.

Roadmapa může obsahovat:

• doplnit purpose/values,
• vytvořit source of truth,
• zavést classification,
• zavést AI-NDA Boundary,
• popsat agent permissions,
• zavést audit,
• vytvořit fallback,
• zlepšit Human Capability Reserve,
• spustit AI retrospective,
• vytvořit skills,
• zlepšit public transparency,
• snížit AI lock-in.

Minimum requirement

Compliance gaps must be translated into prioritized improvement roadmap.

27. Compliance and Human Cockpit Layer

Human Cockpit Layer může zobrazovat compliance stav.

Může ukazovat:

• current compliance level,
• gaps,
• risks,
• expired reviews,
• missing owners,
• missing fallback,
• unreviewed AI outputs,
• agents without permissions,
• Operational DNA exposure,
• ghost risk indicators,
• upcoming review dates.

Minimum requirement

Responsible roles must have human-readable visibility of critical compliance gaps.

28. Compliance and agent-actionable standard

AIFC compliance by měla být částečně software-verifiable.

Například:

• každý agent má ownera,
• každý restricted artefakt má klasifikaci,
• každý critical workflow má fallback,
• každý active decision má ownera,
• každý AI output s high impact má review status,
• každý public claim má approval.

Ne vše lze validovat automaticky.

Ale opakovatelné kontroly by měly být převedeny do validation rules.

Minimum requirement

Repeatable compliance checks should be converted into validation rules where practical.

29. Suggested metadata

Příklad metadat pro compliance assessment:

aifc_compliance_assessment:
  id:
  title:
  status: draft | under_review | approved | expired | archived
  scope:
  assessed_level: 0 | 1 | 2 | 3 | 4 | 5
  target_level: 0 | 1 | 2 | 3 | 4 | 5
  assessment_type: self_assessment | internal_review | external_review | certification_review
  owner:
  reviewer:
  assessed_at:
  valid_until:
  evidence_references:
  dimension_scores:
    purpose_and_values:
    source_of_truth:
    human_managed_ai:
    ai_nda_boundary:
    ai_capacity_planning:
    human_capability_reserve:
    feedback_loop:
    skill_evolution:
    security:
    access_control:
    agent_permissions:
    auditability:
    operational_dna:
    ghost_company_risk:
  key_gaps:
  accepted_risks:
  improvement_roadmap:
  public_claim_allowed: true | false

Příklad metadat pro compliance gap:

compliance_gap:
  id:
  title:
  status: observed | accepted | planned | in_progress | resolved | deferred | risk_accepted
  related_assessment:
  dimension:
  current_level:
  target_level:
  risk_level: low | medium | high | critical
  description:
  required_action:
  owner:
  due_date:
  related_change_proposal:
  evidence_required:

Příklad metadat pro compliance claim:

aifc_compliance_claim:
  id:
  claimant:
  scope:
  claimed_level:
  assessment_reference:
  assessment_type:
  valid_from:
  valid_until:
  exceptions:
  public_statement:
  reviewer:
  evidence_available: true | false

Tyto struktury jsou ilustrativní.

Finální schéma má být definováno v agent-actionable vrstvě standardu.

30. Anti-patterns

AIFC odmítá následující anti-patterny.

30.1 Compliance as marketing badge

Firma tvrdí AIFC compliance bez důkazů.

30.2 No scope

Claim neříká, zda se týká celé firmy, týmu, produktu nebo workflow.

30.3 AI maturity theater

Firma má prezentaci o AI governance, ale žádné reálné artefakty.

30.4 High AI autonomy with low governance

AI agenti jednají autonomně, ale komunita má pouze Level 1 governance.

30.5 Paper compliance

Dokumenty existují, ale nejsou používány v rozhodování a práci.

30.6 Compliance without Human Capability Reserve

Firma má AI pravidla, ale lidé neumí kritické workflow provést bez AI.

30.7 Compliance without source of truth

Firma tvrdí řízený provoz, ale nemá autoritativní knowledge base.

30.8 Compliance without security

Firma strukturuje Operational DNA, ale nechrání jej.

30.9 Self-assessment presented as certification

Firma prezentuje self-assessment jako nezávislé potvrzení.

30.10 Compliance without review cycle

Assessment je jednorázový a zastará.

30.11 Compliance ignores ghost risk

AI-first firma působí navenek, ale neposuzuje ghost AI company risk.

30.12 Single score hides critical gap

Celkové skóre vypadá dobře, ale kritická dimenze je slabá.

31. Minimal requirements

AIFC Compliance Levels musí minimálně splnit:

1. Compliance je posuzována podle reálných artefaktů, workflow a schopností.
2. Assessment ukazuje silné i slabé oblasti.
3. Compliance model zahrnuje purpose, human ownership, AI governance, knowledge security and fallback capability.
4. Komunita umí určit aktuální nebo cílovou úroveň.
5. Level 0 nesmí tvrdit AIFC compliance.
6. Level 1 má základní AI use boundary a odpovědnou roli za AI pravidla.
7. Level 2 splňuje Minimal AIFC Compliance.
8. Level 3 prokazuje řízené AI použití přes role, pravidla, artefakty a review.
9. Level 4 zůstává human-managed i při hluboké AI integraci.
10. Level 5 pravidelně převádí zkušenost do source of truth, skills, workflow conversion and governance updates.
11. Compliance assessment umožňuje dimenzionální pohled nebo uvádí významné výjimky.
12. Compliance claim je podpořen artefakty nebo ověřitelnými postupy.
13. Required compliance level is proportional to risk and impact.
14. AI intensity and autonomy nesmí překročit governance maturity v kritických oblastech.
15. Level 3+ vyžaduje Human Capability Reserve pro kritická workflow.
16. Level 3+ vyžaduje AI lock-in assessment and exit strategy pro kritické dependencies.
17. Level 3+ není možný, pokud je Operational DNA unmanaged.
18. External-facing AI-first company řeší ghost AI company risk.
19. AIFC compliance claim uvádí level, scope and assessment basis.
20. Compliance assessment definuje scope.
21. Self-assessment obsahuje evidence, gaps and improvement plan.
22. High-risk public claims jsou nezávisle reviewované nebo jasně označené jako self-assessed.
23. Compliance status má review cycle and change triggers.
24. Compliance gaps jsou převedeny do prioritized improvement roadmap.
25. Odpovědné role mají viditelnost kritických compliance gaps.
26. Repeatable compliance checks jsou převedeny do validation rules, kde je to praktické.

32. Summary

AIFC Compliance Levels popisují cestu od neřízeného používání AI k odpovědné AI-first komunitě.

AIFC compliance není nálepka.

Je to důkaz, že komunita:

• ví, proč existuje,
• drží hodnoty,
• vlastní svůj záměr,
• chrání své know-how,
• řídí AI,
• plánuje AI kapacitu,
• zachovává lidskou schopnost,
• auditovatelně rozhoduje,
• učí se z práce,
• a zůstává odpovědná i při vysoké AI intenzitě.

AIFC proto říká:

Do not claim maturity.
Show the system.
Show the evidence.
Show the human responsibility.

Česky:

Netvrďte vyspělost.
Ukažte systém.
Ukažte důkazy.
Ukažte lidskou odpovědnost.

Compliance Levels umožňují komunitě růst postupně, bezpečně a viditelně.

Compliance Levels turn AI-first ambition into visible, evidence-based maturity.