Az AI beszállítóválasztás tipikusan ott csúszik félre, ahol a legjobban csillog minden: a demón. Mert a bemutatón minden gyors, minden szép, minden „természetesen megoldjuk”. Aztán amikor eljön az éles helyzet, hirtelen kiderül, hogy az MI (azaz mesterséges intelligencia) nem önmagában dolgozik, hanem adatokkal, jogosultságokkal, folyamatokkal, rendszerekkel és emberekkel együtt. És ha ezek közül bármelyik hiányzik, akkor a csillogó demó pár hét alatt drága, idegesítő és kockázatos projektté tud válni.
Ez a cikk nem termékajánló. Ez egy szűrőrendszer, amit bármelyik szolgáltatóra rá tudsz húzni. A logika végig ugyanaz: bizonyítékot kérsz, nem ígéretet. A cél, hogy nagyjából 15 perc alatt kiderüljön: a beszállító tényleg tud-e éles, üzleti környezetben működő megoldást szállítani integrációval, biztonsággal, támogatással és kilépési tervvel, vagy csak szépen prezentál.
Miért ver át a demó, még akkor is, ha nem akarnak átverni?
A demó alapból kontrollált helyzet. Gondosan kiválogatott adatok, előre betanított folyamat, olyan kérdések, amikre már tudják a választ, és olyan környezet, ami nem a te céged napi valósága. Ez nem feltétlen rosszindulat, egyszerűen a demó célja az, hogy „lásd, mire képes”.
A te célod viszont teljesen más: lásd, mire képes nálatok. Nálatok, ahol van egy ERP, egy CRM, egy csapat, aki nem szeret új rendszert tanulni, van adatvédelem, van ügyféladat, van sürgős határidő, és van az a pillanat, amikor péntek délután valami megáll, és valakinek fel kell vennie a telefont. Ha ezt a különbséget nem kezeled tudatosan, akkor az AI beszállítóválasztás nem döntés lesz, hanem szerencsejáték.
Hogyan használd ezt a 12 kérdést úgy, hogy tényleg 15 perc legyen?
A trükk az, hogy nem magát a választ hallgatod, hanem a válasz minőségét. Egy jó beszállító nem sértődik meg a kérdéseken. Örül neki, mert neki is érdeke, hogy tiszta legyen a kép, és ne a harmadik hét végén derüljön ki, hogy „ja, ezt nem úgy értettük”.
A gyors szűréshez elég egy egyszerű rutin: előre elküldöd a 12 kérdést, kéred, hogy írásban készüljenek fel rá, a híváson pedig nem demót kérsz, hanem konkrétumokat és bizonyítékokat. A végén pedig nem a „szimpatikusabbra” szavazol, hanem arra, aki vállalhatóan, ellenőrizhetően működik, és nem ijed meg attól, hogy felelősséget kell vállalnia.
Most jön a lényeg: a 12 kérdés. Mindegyiknél ugyanazt a három kapaszkodót kapod, csak nem szétvagdosva, hanem egyben: mit kérj be, mit figyelj, mi a piros zászló.
A 12 kérdés, ami lebontja a demó mázát
1) Mi az a konkrét felhasználási eset (use case), amit 90 nap alatt élesítünk, és mi lesz a siker mérőszáma?
Itt dől el, hogy „AI általában” beszélgetésből üzleti projekt lesz-e. A 90 napos keret azért jó, mert kényszerít a fókuszra: egy dologra, amit tényleg bevezetünk, és nem három hónapig beszélünk róla. Mit kérj be: egy egyoldalas leírást a folyamatról, benne a kezdőponttal, végponttal és a kézzel végzett lépésekkel. Mit figyelj: legyen benne 1 darab kulcsmutató, amit később is mértek, például idő, hibaarány, átfutás, ügyfélszolgálati terhelés. Piros zászló: „mindenre jó”, „majd kitaláljuk”, „ez attól függ”, és közben nincs egyetlen konkrét vállalás sem.
2) Milyen integrációk vannak valójában, és mennyi a „ragasztószalag”?
Az AI megoldás integráció nélkül sziget. A sziget kézi munkát szül, a kézi munka költséget szül, és végül azt veszed észre, hogy a csapatod a rendszer körül dolgozik, nem a rendszer dolgozik nekik. Mit kérj be: egy rövid integrációs listát programozói felülettel (API), webes visszahívással (webhook), kész csatlakozókkal és egy minta adatfolyammal. Mit figyelj: ha van „kész”, az gyors, ha minden „egyedi fejlesztés”, az általában lassú és drága. Piros zászló: amikor az integráció valójában csak annyi, hogy „le tudod tölteni Excelben” vagy „fel tudod tölteni fájlban”.
3) Pontosan milyen adatot kér a rendszer, és merre megy végig az adat (adatútvonal)?
A legtöbb baj nem ott kezdődik, hogy „ellopják az adatot”, hanem ott, hogy senki nem tudja pontosan, hol jár az adat. Ha nincs adatútvonal, akkor adatvédelem és biztonság csak szép szó marad, és a felelősség is elkenődik. Mit kérj be: egyszerű adatútvonal leírást, honnan jön az adat, hol kerül feldolgozásra, hol tárolódik, ki fér hozzá. Mit figyelj: tudnak-e konkrétan beszélni adatfajtákról (ügyféladat, szerződés, e-mail, belső dokumentum) és arról, mi kerül tiltásra. Piros zászló: „nem tárolunk semmit”, miközben nyilván kell valamit naplózni, vagy „ez nem számít, mert AI”.
4) Milyen adatfeldolgozási megállapodást (DPA) ad, van-e alfeldolgozó lista, és mi történik EU-n kívüli adattovábbításnál?
Itt nem jogászkodni kell, hanem kockázatot kezelni. A kérdés egyszerű: tudod-e, kikhez kerül az adat, és milyen keretek között, nem csak „nálunk biztonságban van” szinten. Mit kérj be: DPA mintát, alfeldolgozói listát, adatrezidencia választási lehetőségeket. Mit figyelj: mennyire transzparens a beszállítói lánc, és mennyire gyorsan adják oda a dokumentumokat. Piros zászló: „ez standard, ne foglalkozz vele”, vagy az, hogy a dokumentumokért külön könyörögni kell.
5) Van-e független megfelelőségi bizonyíték, és mit fed le?
Nem kell, hogy mindenkinek legyen minden tanúsítványa. De kell valami, ami több, mint egy marketing mondat, mert a „mi vigyázunk” és a „más is ellenőrizte” között óriási a különbség. Mit kérj be: SOC 2 vagy ISO 27001 jellegű bizonyítékot, vagy legalább kontrollleírást arról, mi hogyan van védve. Mit figyelj: el tudják-e magyarázni emberi nyelven, mit jelent ez a te kockázataidra. Piros zászló: „biztonságosak vagyunk”, de nincs semmi, amit le tudnál tenni az asztalra.
6) Jogosultságkezelés: van-e egyszeri bejelentkezés (SSO), szerepkörök (RBAC), többfaktoros belépés (MFA)?
KKV-ban különösen gyorsan kialakul a „mindenki mindent lát” káosz, ha nincs szerepkör. Aztán amikor baj van, nincs visszakövetés, nincs felelősség, és a bizalom is sérül. Mit kérj be: szerepkör mátrixot, ki mit láthat, mit szerkeszthet, mit exportálhat. Mit figyelj: van-e csapat és projekt szintű elválasztás, különösen, ha több ügyfél vagy több részleg használja. Piros zászló: „admin vagy user van”, és kész, vagy az, hogy minden érzékeny funkció egy kattintás bárkinek.
7) Naplózás és ellenőrizhetőség: kapsz-e eseménynaplót, exportálható-e, mennyi ideig őrzik?
Ha nincs napló, nincs hibakeresés. Ha nincs hibakeresés, nincs felelősség. Ez nem túlzás, ez üzemeltetési realitás. Mit kérj be: minta eseménynaplót, megőrzési időt, és azt, hogyan tudod exportálni. Mit figyelj: naplózzák-e a belépéseket, jogosultság változásokat, adat exportot és a fontos rendszer eseményeket. Piros zászló: „van log”, de nem adnak hozzáférést, vagy csak kérésre, napok alatt küldenek valami kivágott részletet.
8) SLA és támogatás: ha megáll, ki veszi fel a telefont?
A demóban nincs incidens. Élesben van, és általában nem hétfő délelőtt. Mit kérj be: szolgáltatási szint megállapodás (SLA) kivonatot reakcióidőkkel, elérhetőséggel, hibajegyrendszerrel. Mit figyelj: van-e vállalt válaszidő, van-e eszkaláció, és ki a felelős kontakt. Piros zászló: „írj e-mailt”, „a közösségi csatornán válaszolunk”, vagy az, hogy a támogatás csak „best effort”.
9) AI biztonság: hogyan védekezik a trükkös utasítások (prompt injection), adatkiszivárgás és beszállítói lánc kockázatok ellen?
Generatív AI-nál nem csak az a kérdés, ki fér hozzá a rendszerhez, hanem az is, hogyan lehet „rábeszélni” a rendszert olyan dolgokra, amiket nem kellene kiadnia. Nem kell technikai mélyfúrás, csak józan „hogyan véded?” beszélgetés. Mit kérj be: egyszerű leírást arról, milyen védelmi rétegek vannak, szűrés, jogosultságok, és hol vannak emberi ellenőrzési pontok. Mit figyelj: beszélnek-e konkrét támadási helyzetekről, vagy csak általános „biztonságos” szlogenek mennek. Piros zászló: „nálunk ilyen nincs”, vagy az, hogy a kockázatot a te nyakadba teszik azzal, hogy „te promptolj jól”.
10) Minőség és mérés: hogyan tesztelik, hogyan monitorozzák a hibákat, és mi a visszagörgetési terv?
A demó egyszer működik. A te cégedben viszont hetente több százszor kell működnie, változó adatokkal és helyzetekkel. Itt azt nézed, van-e tudatos minőségbiztosítás, vagy csak remény. Mit kérj be: teszt tervet, milyen mintákon tesztelnek, hogyan mérik a pontosságot, és mi számít elfogadható eredménynek. Mit figyelj: tudnak-e beszélni arról, mi történik, ha romlik a minőség, ki veszi észre, mikor és hogyan. Piros zászló: „nálunk nagyon jó”, de nincs mérés, nincs napló, nincs folyamatos monitorozás.
11) Exportálhatóság: ki tudod-e vinni az adataidat és a naplókat, milyen formában, milyen idő alatt?
Az adat a tiéd. A jó beszállító ezt nem csak elméletben mondja, hanem gyakorlatban is meg tudja mutatni, külön kérlelés nélkül. Mit kérj be: export formátum listát, és egy egyszerű választ, mennyi idő alatt kapsz mindent vissza. Mit figyelj: legyen benne nem csak „adat”, hanem naplók, beállítások, és ha van, tudásbázis jellegű tartalom is. Piros zászló: amikor az export „egyedi fejlesztés”, vagy amikor csak részleges adatot tudnak adni.
12) Kilépési terv: mi a szerződéses és technikai „exit plan”, mennyi a váltás költsége, van-e átállási támogatás?
Ez a kérdés sokszor kellemetlen, pedig valójában bizalmi kérdés. Aki jó, annak nincs félnivalója attól, hogy egyszer leváltható, sőt ettől lesz korrekt partner. Mit kérj be: kilépési tervet minimum egy oldalban (lépések, idővonal, felelősök, és a beszállító milyen támogatást ad). Mit figyelj: tisztán beszélnek-e a váltás költségéről és a „mi történik a végén” részről. Piros zászló: „erről később beszéljünk”, vagy az, hogy a kilépés csak úgy lehetséges, ha mindent újraépítesz nulláról.
Hogyan értékeld a válaszokat, hogy ne érzésből dönts?
Itt jön a vezetői rész, ami kifejezetten felszabadító: nem kell mindent értened technikailag. Elég, ha következetesen ugyanazt kéred mindenkitől, és figyeled, mennyire konkrétak. A legegyszerűbb módszer az, ha minden kérdésre adsz 0, 1 vagy 2 pontot: 0 pont, ha ködös és terel; 1 pont, ha van válasz, de hiányos vagy tele van „majd” típusú kitétellel; 2 pont, ha konkrét, bizonyítható és dokumentált.
És van egy jó ökölszabály, amit érdemes komolyan venni: ha a naplózás, a támogatás, az export és a kilépés résznél bizonytalan a helyzet, akkor hiába szép a demó, állj meg. Ezek azok a részek, amik élesben a legtöbb pénzt és ideget tudják elvinni.
Mit kérj be írásban, hogy tényleg bizonyítékod legyen?
A „bizonyítékot kérek” nem azt jelenti, hogy száz oldalas dokumentumokat akarsz. Azt jelenti, hogy legyen valami, amit később is elő tudsz venni, és amiből látszik, ki mit vállalt. Tipikusan már bőven elég egy egyoldalas felhasználási eset leírás mérőszámmal, egy egyszerű adatútvonal összefoglaló, egy szerepkör és jogosultság mátrix, egy SLA kivonat vállalt reakcióidőkkel, egy export és kilépési terv legalább egy oldalban, plusz egy rövid leírás arról, hogyan tesztelnek, és mi alapján javítanak.
Ha ezekre gond nélkül, gyorsan és tisztán reagálnak, az jó jel. Ha már itt szenvedés van, élesben sem lesz jobb, csak drágább.
Gyors forgatókönyv a következő 7 napra
Ha most rögtön lépnél, a fókusz aranyat ér, ezért érdemes egyszerűen menni sorban. Küldd el a 12 kérdést a shortlist beszállítóknak, kérj írásos válaszokat, majd ütemezz egy 60 perces hívást, ahol nincs demó, csak a kérdések és a bizonyítékok. Válassz 1 darab felhasználási esetet, tartsd meg a 90 napos fókuszt, és tedd le a minimum feltételeket: integráció, naplózás, támogatás, export, kilépés. A végén pedig úgy dönts, hogy a kockázat és az üzemeltetés is benne van a képletben, nem csak a funkciólista.
Összegzés
A jó AI beszállítóválasztás nem arról szól, hogy ki tud szebben prezentálni, hanem arról, hogy ki tud éles működést letenni az asztalra úgy, hogy közben nálad marad a kontroll. Ez a 12 kérdés azért működik, mert ugyanarra a három alapra kényszeríti a beszállítót: legyen fókusz és mérhetőség, legyen üzembiztos működés (integráció, jogosultságok, naplózás, támogatás), és legyen tiszta kilépési terv. Ha ezt a keretet végigviszed, sokkal kisebb eséllyel tanulod meg utólag, drágán, mi volt a „drága rész”.
