有一個六維度評核框架,能將那些真正帶來企業 ROI 的 AI 供應商,與那些只擅長演示、簽約三個月後便消失的供應商區分開來。以下就是這個框架,你可以立即套用在下一份 RFP 上。
根據 MIT NANDA 於 2025 年發表的《Generative AI Pilots》研究,全球企業在生成式 AI 上投入了 300 億至 400 億美元,但 95% 的試點計劃帶來的可量度回報為零。BCG 於 2026 年發表的《Build for the Future》報告進一步指出,失敗模式高度集中:由供應商主導部署的成功率為 67%,而企業自建項目的成功率僅約三分之一。供應商選擇並非採購流程上的形式步驟,而是整個 AI 計劃中槓桿最高的一個決策。
什麼是 AI 供應商評核框架?
AI 供應商評核框架是一張結構化記分卡,針對相同的加權維度為各家競爭供應商評分,將主觀偏好轉化為可被質疑的數字比較。它取代了那種看完精美 demo 後憑直覺拍板的決策方式,產出採購、資訊安全、財務和業務團隊都能在簽約前共同檢視的證據。
對香港企業而言,框架需要多加一層大多數通用模板都會跳過的內容:司法管轄區契合度。金管局 2025 年 11 月有關銀行業生成式 AI 的通函、個人資料私隱專員公署的《人工智能個人資料保障模範框架》,以及生產力局推出的「AI 治理與安全評估服務」,共同界定了在香港市場上「可接受的供應商行為」實際是什麼意思。
為何 AI 採購不能用 SaaS 那一套框架?
AI 採購不是普通的 SaaS 採購,因為 AI 供應商賣的不是固定產品。他們賣的是一個系統,其行為取決於你的數據、你的提示、你的工作流整合,以及模型不斷演進的訓練。轉換成本更高、可觀察的缺陷出現得更晚,而監管覆蓋面比典型 CRM 或 ERP 採購寬得多。
根據 Forrester 2026 年的《Total Economic Impact》研究,使用與 SaaS 相同的採購範本來簽訂 AI 合約,第一年內出現的變更指令多 2.4 倍,平均成本超支達合約價格的 37%。真正影響成果的變數是採購框架本身,而不是談判技巧。
每張 AI 供應商記分卡必須涵蓋哪六個維度?
每張 AI 供應商記分卡必須涵蓋六個維度:技術契合度、資料與整合、治理與安全、營運模式、商務條款、可衡量的業務成效。每個維度以 1 至 5 分評分,並按你機構的優先次序加權,最後為每家入圍供應商產出一個可比較的總分。
以下逐一拆解每個維度在實務上應檢視什麼。
維度 1:技術契合度,模型與架構是否符合你的問題?
技術契合度檢視供應商的模型類別、上下文視窗、延遲表現及工具呼叫架構,是否與你的具體用例匹配。在文件摘要上表現出色的供應商,未必適合需要在 50 步流程中可靠呼叫函式的代理式工作流。
實務上有三個必問問題。第一,供應商能否在你提供的代表性數據樣本上展示準確率,而非在他們自家的市場 demo 上?第二,在你預計的並發量下,p95 延遲是多少?第三,架構是否支援你需要的整合模式,例如 REST API、專屬 VPC,或為敏感工作負載提供本地部署?
維度 2:資料與整合,數據存放在哪裡,如何流動?
資料與整合涵蓋客戶數據存放位置、在供應商管線中如何流轉、哪些步驟有審計記錄,以及系統與你現有核心系統連接的難易度。對香港金融服務業及專業服務業而言,這個維度承載的監管權重最高。
根據個人資料私隱專員公署於 2025 年 3 月發布的《員工使用生成式 AI 清單》,所有處理個人資料的 AI 系統,機構必須繪製數據流向圖。可被檢驗的供應商答案應包括:書面數據存放地承諾、管線中每一個分包處理者的清單,以及書面化的保留與刪除流程。無法以書面提供這些內容的供應商,不應出現在你的入圍名單上。
維度 3:治理與安全,什麼控制措施在保護你的業務?
治理與安全涵蓋身份與存取管理、模型審計記錄、提示注入防禦、內容過濾,以及供應商的事故應對往績。根據 IBM 2025 年《Cost of a Data Breach Report》,環境中存在影子 AI 的機構,每宗資料外洩平均比有受治理 AI 部署的機構多支付 67 萬美元。
對香港銀行而言,金管局所訂明的「董事會須對 AI 成果問責」原則,意味供應商的治理必須能被你的第二防線審計。SOC 2 Type II 是基本門檻;如有 ISO 42001 AI 管理體系認證,更能將認真的供應商與只是談理想的供應商區分開來。
維度 4:營運模式,上線後由誰負責運行?
營運模式維度檢視系統上線後,誰負責監控、模型更新、提示迭代和事故應對。常見的失敗模式是:供應商售前支援很好,售後營運卻很弱,把生產環境的問題甩給你的 IT 團隊在沒有運行手冊的情況下自行排查。
三個實用檢查可區分強弱營運模式。第一,合約是否明確列出指定的人員聯絡點及回應時間 SLA,而非只有一個工單入口?第二,當模型更新導致整合中斷,誰負責處理成本,是供應商還是你?第三,是否有公開的季度節奏,定期檢視模型效能與能力更新?
維度 5:商務條款,真正的總擁有成本是多少?
商務條款是大多數企業 AI 採購流失金錢的環節。標題價格往往不包含推理成本超支、整合工程、微調,以及將系統實際運作起來所需的顧問工時。FinOps Foundation 2026 年《State of FinOps》報告顯示,73% 的企業第一年 AI 計劃超支,平均超支幅度達 41%。
可被檢驗的商務記分卡會量化授權費、預計生產用量下的推理及代幣成本、整合與專業服務、培訓,以及持續的治理成本。對有強烈匯率對沖要求的香港企業而言,必須詢問定價是港元還是美元,並釐清在多年合約中誰承擔匯率波動風險。
維度 6:可衡量的業務成效,哪一個 KPI 會動,動多少?
可衡量的業務成效是決定你能否在 12 個月檢討時向財務總監交代投資合理性的維度。每家 AI 供應商都會提出效率聲稱。框架的要求是具體:哪一個 KPI、目前基線是多少、目標是多少、量度方法是什麼?
根據麥肯錫《State of AI 2025》報告,只有 6% 的企業可被歸類為「AI 高效能者」,其 AI 投資對 EBIT 的貢獻超過 5%。它們的共同模式是:在部署前訂定一小組由業務主導的 KPI,而非在上線後堆出長長一串虛榮指標。將量度計劃寫入合約,必須在簽約之前完成。
如何為你的機構為六個維度加權?
你應根據所屬行業的監管特性、AI 計劃的成熟度,以及該用例的策略角色為六個維度加權。受監管的銀行會將治理與資料存放地的權重提高;追求效率的物流公司則會將營運模式與商務條款的權重提高。沒有放諸四海皆準的加權方式。
對香港中型企業而言,一個實用的起點分配是:技術契合度 20%、資料與整合 20%、治理與安全 20%、營運模式 15%、商務條款 15%、可衡量成效 10%。針對你機構風險最高的維度向上調整,並由業務、IT、風險三位內部評核者分別評分後再整合,可大幅減少單一視角的盲點。
應用框架時最常見的陷阱是什麼?
最常見的陷阱是讓 demo 主導評分。供應商 demo 的設計,是在維度 1 與維度 4 上製造最大正面印象,同時遮蔽維度 2 與維度 3 的弱點。有紀律的評核需要證據:書面問題的書面答覆、程式碼層面的整合測試,以及與已部署客戶的真實參考通話,而非投影片。
第二個陷阱是跳過概念驗證階段。框架傾向獎勵願意以你的數據進行付費 POC、為期 4 週、並將成功標準寫入合約的供應商。拒絕付費 POC 的供應商,幾乎在系統進入生產後都會在維度 6 上得分偏低。
第三個陷阱是讓採購單獨運行框架,而業務與風險不在會議桌上。AI 供應商決策跨越五個機構邊界:科技、資料、財務、法務,以及將實際操作系統的業務線。單一職能評核必然產出單一職能盲點。
對香港企業領袖的核心結論
MIT NANDA 報告的 95% AI 試點失敗率,根本上不是技術問題,而是採購問題。採用結構化六維度框架、深思熟慮地加權、並由跨職能團隊一同應用的機構,能從憑直覺選型走向董事會可被質疑與被辯護的證據型決策。
你選的供應商,將塑造未來三至五年你的 AI 計劃。把它當成它本來該是的策略決策,而不是一項被推到下游的採購任務。懂AI,更懂你 — UD相伴,AI不冷。28 年來陪伴香港企業走過一個又一個科技週期,我們深知 AI ROI 與 AI 撇帳之間的差異,很少在於模型本身,而幾乎都在於你用來選擇它的那套框架。
掌握了框架,下一步是找出最適合你機構的 AI 切入點。我們手把手帶你完成每一步,從 AI 準備度評估、供應商記分卡計分,到一份董事會可呈交的採購備忘錄,28 年香港企業科技經驗,全程陪你走。
