1、识别并描述风险。评估业务外包风险，先要把业务外包具体风险识别出来，然后整理出整体层面的风险。业务外包具体风险多种多样，因企业和业务外包的内容而异，其描述也有所差别，将业务外包具体风险与业务外包流程结合是个比较好的做法。

按照《业务外包指引》的要求，在评估业务外包风险时，至少应当关注以下几个方面：外包范围和价格的确定不合理，承包方选择不当，可能导致企业遭受损失;业务外包监控不严、服务质量低劣，可能导致企业难以发挥业务外包的优势;业务外包存在商业贿赂等舞弊行为，可能导致企业相关人员涉案。

除此之外的风险还可能有：业务外包违反国家法律法规，从而遭受外部处罚、经济和信誉损失;业务外包信息保护措施不当，可能导致企业商业秘密泄露;业务外包会计处理不当，可能导致财务报告信息失真等。

2、分析风险。业务外包风险分析的内容很多，应包含成因和结果两个方面，并编制业务外包风险分析表。

3、评价风险。业务外包风险评价应从发生可能性和影响程度两个维度进行，根据评价结果进行风险排序和等级划分，并编制业务外包风险评价表。

4、选择风险应对策略。业务外包风险应对是根据风险评价的结果，针对不同等级风险选择不同风险应对策略的过程，一般有规避、降低、转移、接受等策略。不论选择哪种应对策略，都需要编制《业务外包风险应对表》。

5、编制风险数据库或绘制风险图谱。依据业务外包风险评估结果编制业务层面风险数据库或绘制风险图谱。业务风险数据库的基本要素包括业务流程、风险描述、风险分析、风险排序、应对策略、剩余风险等，并可加上内部控制设计完成后的控制措施、控制部门或岗位等。风险图谱一般适用于公司层面的风险描述。

本阶段设计工作成果是形成《业务外包风险及其描述表》、《业务外包整体层面风险清单》、《业务外包风险分析表》、《业务外包风险评价表》、《业务外包风险应对策略表》、《业务外包风险解决方案》等。