企業 AI 供應商評估框架：簽約前必須評分的六大維度

為什麼大多數企業 AI 供應商的決策，在簽約前就已注定失敗

有一份六維度的記分卡，能區分哪些 AI 供應商選擇能在投產後存活下來，哪些則會在九個月內悄然成為閒置軟件。本文將帶你走完這個框架，並列出簽約前必須提出的問題。

根據 Gartner 2026 年 1 月的企業 AI 採購調查，73% 的企業 AI 採購決策，仍主要建立在供應商的展示效果、品牌印象與功能清單之上。同一份調查指出，在這類部署當中，有 42% 在 18 個月內未能交付承諾的價值。

這並非供應商的問題，而是採購流程的問題。大多數的 RFP 比較的是供應商「說了什麼」，而不是真正應該決定結果的「證據」。

什麼是 AI 供應商評估框架？

AI 供應商評估框架，是一份在簽約前使用的結構化記分卡，從六個可量化的維度為候選供應商評分：安全與資料治理、整合深度、營運模式適配度、商業透明度、實際表現證據，以及總擁有成本。最終產出的是一份你的財務總監與董事會都能接受的客觀比較結果。

這個框架，能把以展示為主的 RFP（最會做漂亮畫面的團隊勝出），轉換為以證據為主的記分卡（控制最深、數據最具公信力的團隊勝出）。

這在 2026 年特別重要。根據 Deloitte 的《2026 企業 AI 現狀報告》，合規與整合的失敗，已超越模型品質，成為企業 AI 項目被勾銷的主要原因。

維度一：安全與資料治理該如何評分？

就五個關鍵問題逐一為每家供應商評分：客戶資料實際儲存在哪裡？傳輸中與靜態儲存時採用哪種加密？供應商內部誰可以存取你的資料，並在哪些審計控制下進行？你的資料是否會被用於訓練共用模型？資料外洩通報的服務水平協議（SLA）為何？

對香港企業而言，這一維度是不可妥協的紅線。個人資料私隱專員公署（PCPD）已於 2025 年更新《人工智能：個人資料保障模範框架》，要求採購 AI 系統的機構，必須在部署前核實資料所在地、加密、角色為本的存取控制與審計日誌。

如果供應商無法就以上五項問題提供書面證據，便不具備進入企業環境的資格。請把這一維度視為「閘門」，而非「分數」。

維度二：整合深度：AI 如何接駁你現有的系統？

整合的評分，要從三個具體的測試入手。供應商是否為你企業實際使用的系統，例如 Salesforce、SAP、Oracle、Workday 或你的 ERP，提供有完整文檔的 API 與 Webhook？供應商是否支援 Model Context Protocol（MCP）作為工具呼叫的標準？在你預期的負載之下，第 95 百分位數的延遲是多少？

MCP 支援已是 2026 年的基本門檻。根據 CIO 雜誌 2026 年 3 月的分析，所有主要 AI 平台都已支援 MCP 作為客戶端。沒有 MCP 兼容伺服器或路線圖的供應商，落後的是以「月」計算，而不是「星期」。

第三項測試，p95 延遲，是買方最常忽略的一項。銷售展示中的 4 秒回應，在實際併發負載下會變成 12 秒延遲。請向類似規模的客戶索取真實基準，而非供應商內部精心調整過的數字。

維度三：營運模式：供應商會不會與你一起把系統跑起來？

就供應商在「賣完之後是否還在」這件事評分。具體要問清楚：你每天接觸的技術聯絡人是誰？嚴重程度 1 的事故回應 SLA 為何？對你這個規模的機構，典型上線時程是多久？客戶成功團隊多久進行一次正式的業務回顧？

Forrester 2025 年針對失敗企業 AI 部署的研究發現，61% 的個案將「售後支援不足、升級路徑不清晰」列為主要成因之一。

對香港的中型市場企業，請額外問一個具體問題：供應商在香港本地是否有支援團隊？還是每一次升級都要繞回美國或歐洲時區？生產阻斷型問題上 12 小時的延誤，並不只是理論，而可能就是一個尋常的星期二早上。

維度四：商業透明度：你能否準確估算真實成本？

商業條款的評分，只需要看三條問題。每席位、每查詢或每 token 的公開定價是多少？是否存在隱性成本，例如超量收費、高階支援等級、整合服務費？合約退出條款如何？你的資料與設定有多少可以攜出？

隱性成本的陷阱，是 2026 年最常見的合約意外。根據 IDC 於 2026 年 1 月發表的企業 AI 支出調查，38% 的資訊長表示，第一年實際的 AI 供應商成本，比合約預算超支 25% 以上，主要原因是 token 超量與高階功能解鎖。

供應商鎖定是第二個陷阱。如果你的資料、微調後的模型與設定無法跟你一起搬走，那這份合約就不再是夥伴關係，而是人質關係。

維度五：表現證據：供應商實際交付過什麼？

請以證據評分，而非客戶見證。要求三項具體文件：至少兩家在你所屬行業、所在地區的參考客戶，並附上技術主管（而非市場部）的聯絡方式；範圍相近的部署在「之前、之後」的關鍵績效指標數據；以及一個讓你的團隊用你自己的真實資料測試至少兩星期的沙盒環境。

金融管理局的 GenA.I. 沙盒，是一個有用的本地驗證指標。曾參與該計劃的供應商，在監管機構觀察下產出過具備文件記錄的表現與風險證據，這個門檻比一般市場個案研究高得多。

如果供應商在你所處的行業找不到參考客戶，那等於你正在付費成為他們的「第一個示範客戶」。請相應地把這項風險列入定價。

維度六：總擁有成本：三年內這個方案到底要花多少？

總擁有成本（TCO）的評分，必須以三年為時間軸，而不是看第一年的合約金額。請納入授權與使用量成本、內部變革管理與培訓成本、整合工程的工時、持續性的治理開銷，以及若供應商表現未達預期、第三年更換供應商的轉移成本。

根據麥肯錫《從承諾到影響》報告，以三年為基礎計算 TCO 的企業，實現其預估投資回報率的機率，是只用第一年成本評分的企業的 2.4 倍。

簡化的算法是：授權費用通常只佔三年 TCO 的 40% 至 60%。其餘是內部成本。如果你的供應商選擇忽略了這一半，你只是在為不到一半的帳單評分。

如何把這個框架應用到 RFP 中？

整個框架可轉換成一份 30 分的記分卡，每個維度 5 分。把記分卡與 RFP 一同發給每個供應商，要求每項分數都附上書面證據，並依你機構的優先次序為各維度加權。

例如，一家受個人資料條例與金管局監管的香港金融服務公司，可把安全與資料治理加權至 30%、整合 20%、表現證據 20%、TCO 15%、營運模式 10%、商業透明度 5%。

而對監管壓力較低、但整合複雜度較高的物流或零售業者而言，可把整合加權至 30%、營運模式 25%、安全 20%。請依你企業的實際情況調整權重，但每個維度都要評分。某一個維度滿分，不能抵銷另一個維度的零分。

讓 AI 供應商選擇失敗的三個常見錯誤

第一個錯誤，是讓技術團隊獨自評分。執行 AI 的團隊，與承擔採購、法律與合規後果的團隊並不相同。由財務、法律、IT 與業務負責人組成的跨部門評審小組，能避免第二年勾銷時才浮現的失衡決策。

第二個錯誤，是把記分卡壓縮成單一加權平均分。一家平均 70% 的供應商，仍可能在安全維度拿到零分。請逐項閱讀每個維度，而不只是看總分。

第三個錯誤，是把記分卡視為一次性的採購文件。最強的企業，會在六個月、十二個月以及合約續約時，再次為供應商評分。一家簽約前 85 分、六個月後跌至 55 分的供應商，正在發出合約本身無法修補的訊號。

結語：從「看展示」轉向「看證據」

這個框架要求你做出的轉變很小，但很關鍵：停止以供應商「展示了什麼」評分，改為以他們「能證明什麼」評分。工作會更繁重，討論會更冗長，合約簽署可能要多花兩個星期。

但這個取捨是值得的。能夠在預算與計劃內順利把 AI 推上生產的企業，不是挑選了最炫展示的那家，而是挑選了在六個維度上都拿得出最具說服力證據的那家。

懂AI的冷，更懂你的難 — UD 同行28年，讓科技成為有溫度的陪伴。

下一步：在評估供應商之前，先評估你自己的 AI 準備度

在評估供應商之前，先評估你自己的機構。大多數失敗的 AI 採購，並非供應商選錯，而是買方根本未準備好。UD 的 AI 準備度體檢，用 15 分鐘為你的資料、流程、治理與團隊準備度評分，並由我們手把手帶你完成每一步，把結果轉換為一份可以呈交董事會的採購計劃。28 年香港企業服務經驗，每一項建議背後都有實證。