发包方视角的IT运维外包风险管理研究--以Y高校为例.pdf

高校IT运维服务承担的压力日趋增大。高校信息化部门提供的IT运维服务

须贯通于教师和学生的日常交涉互动中，一旦发生事故会对日常管理、教学、教

研产生较大影响，如张四海(2021)认为高校IT运维需要长时间的值守、随时响

应；同时具有以人为本、注重服务品质、服务内容覆盖面大、需求机动、某些信

[3]

息系统难以操作等特点，如王永斌(2017)分析出高校多媒体运行维护有设备品

种名目多、数量多、使用时间集中、使用荷载重、故障的时间一般集中且维修繁

[4]

杂的现状。高校信息化运维系统所承受的运维管理难度与日俱增，这主要是四

个方面导致的。其一是由高校的性质决定的，高校是育人之所，也是科研创新之

地，同时也成了国外黑客窃取数据和信息的热地；其二是高校根据自身业务需要

对信息系统提出更加个性化、更加专业化、更加高质量化的要求；其三信息化建

设的逐步开展，高校的运转越来越依赖信息化，运维业务的量和种类都呈现猛增；

其四是IT运维的环境、IT组建之间的关联关系越来越复杂。

国内最早重视信息化建设的高校如清华大学、北京大学、中山大学、复旦大

学，较早就建有内部的IT部门，而对于大多数的省属高校、市属高校、民办高

[5]

校而言不乏缺少信息化部门(何秀全，2011)。即使有这样的部门存在，一方面

如果事必躬亲，将时间和精力放在选择自己组建内部IT运维团队，所投入的人

力资源成本毋庸置疑是非常的大，另一方面即使高校自己的IT运维团队培养成

熟，其所达到预定使用状态的周期相对于直接服务外包而言是较长的，在信息系

统研发和维护上具有滞后性。IT运维服务是大量且重复的沟通协调性的工作和

技术性工作，这是需投资大量的人力资源、物力资源、时间，但是对于定额编制、

固定组织结构的高校信息化部门来说往往是孤掌难鸣，独木不成林，因此为保障

IT运维的服务效果，采取IT运维服务外包模式已成为重要选择（（王兴建，2021））

[2]。陈龙刚（2019）也指出在信息化建设过程中，抵御风险需要有足够的技能经

之一章绪论

验，但是学校很难具备应对IT运维服务风险的能力，而在长期的服务交付过程

中承包商已建立了相对成熟的风险控制能力，建议高校通过外包采购获取服务化

[6]

解风险，从而保障高校信息化发展。高校将IT运维服务外包的需求逐年增进

是顺应时代发展的大趋势，2016—2017年尹新（2018）以中南大学、湖南师范

大学、湖南大学在内的20余所高等院校的多媒体教室服务外包项目为研究对象，

调查显示超过65.22%的高校具有多媒体教室运维服务外包的需求，其中47.83%

的高等院校已经实现多媒体教室运维服务外包，17.40%的高等院校已经进入多媒

[7]

体教室运维服务外包的筹划阶段，如图1.1所示。

图1.1高校的多媒体教室服务外包情况

将IT专业业务和冗杂的日常管理交给专业的外包公司去做，是高校降低人

力资源成本和管理成本，提高工作效率和管理水平的有效途径。然而，IT运维

服务外包有着明显的行业特点。IT运维是一种特殊的服务行业，是一个或者数

个程序员集体的脑力劳动创造的成果，其过程往往是复杂和抽象的，不具备大部

分有形产品可凭借多种感官进行实地感知的特点。除此之外，由于柠檬市场效应，

高校所获得的信息不对称，常滞后于市场。因此，高校作为发包商，将信息系统

运维托付给校外的第三方后，如缺乏风险管理意识或者风险管理工作不到位会导

致IT运维外包过程中常有发生服务响应慢，服务质量不稳定，服务效率达不到

预期目标、服务深度与功能需求不匹配、预算超支等诸多使用风险。

IT运维服务外包伴随的诸多风险，给高校增添了种种不便，不仅与已经选

择IT运维服务外包的单位的最初追求事与愿违，而且也使得有潜在意向选择外

之一章绪论

包模式的其他高校对IT运维服务外包望而却步，严重阻碍了高校信息化飞跃发

展的步伐。

综上所述，笔者以云南某高校（简称Y校）的IT运维系统为研究案例，从

发包的视角出发，对其TT运维服务外包中风险进行有效的识别和评价，并提出

相应的风险缓解对策，对于Y校信息化发展具有一定的现实意义。

（二）研究目的

笔者以Y校IT运维服务外包为研究对象，基于风险管理的理论，采用集对

分析法对其进行风险识别，运用层次分析法和模糊评价法对已识别的风险因素进

行评价，再依据ABC分类法对风险进行分类，最后对A类风险提出风险减轻应

对策略。本文工作旨在辨识当前Y校IT运维服务外包项目面临的关键风险因素，

定位该校目前整体以及各个阶段所处的风险水平，提出行之有效的应对措施，缓

解其运营压力，降低风险事件带来的损失。

二、研究意义

教育信息化对高校的发展起着重要的作用。IT运维服务外包是高校在信息

化发展道路上选择的一种模式，具有较大的便捷。然而，提供便捷的服务的同时，

也带来一些诸如服务质量不稳定，信息泄露等问题。通过研究分析高校IT运维

服务外包过程中的风险因素，为高校化解此类风险事件提供参考价值。

（一）理论意义

之一，梳理了我国高等院校IT运维服务外包的现状与问题，风险管理的理

论与方法，为后续的高等院校IT运维服务外包项目的研究提供借鉴。

第二，丰富高等院校IT运维服务外包的研究案例，对如何降低及规避IT运

维服务外包业务中的风险这一问题提出建议，补充了高等院校IT运维服务外包

风险管理这一领域理论体系，也对国内高等院校IT运维服务外包风险研究提供

了一些理论依据。

（二）实际意义

之一，通过对Y校IT运维服务外包项目的各个阶段进行全面系统分析，辨

识出Y校IT运维服务外包项目的关键风险因素（A类风险），使得Y校IT运

之一章绪论

维服务外包风险防控工作更加具体化和针对性，有助于管理者将主要精力聚焦于

重大风险控制，凸显工作重点，并据此建立适合Y校的IT运维服务外包的工作

体系，有助于缓解Y校IT运维服务外包风险压力。

第二，笔者借鉴国内外高等院校IT运维外包的先进经验，探索出具体有效

的风险应对措施对其他高等院校IT运维服务外包风险管理具有参考价值。推而

广之，本文的工作对提高我国高等院校IT运维外包服务水平和整体满意度也具

有应用价值。

第二节国内外研究综述

IT运维服务外包是信息技术外包中一种，是将网络管理、服务器管理、硬

件设备维护、软件升级更新、数据备份、用户支持等工作以商业交易的方式交给

信息技术服务供应商来完成。自伊士曼柯达公司（）公

司首次实现IT服务外包后，标志着外包成为企业IT管理一种重要模式，国内外

学者对此给予了前所未有的重视。在查阅了大量的有关文献之后，笔者将国内外

相关文献划分为（非高校）IT运维服务外包风险管理、高校IT运维服务外包风

险管理两大类，每一类又细化分为识别风险、评估风险、应对风险三个维度来进

行阐述和分析。

IT

一、国内外有关运维服务外包风险管理研究综述

据的研究表明中国80%的大型IT服务外包项目是达不到合同约定服

[8]

务质量和服务满意度（翟建强，2020）。且据有关行业数据表明信息化项目中，

规划和建设阶段的工作量为20%，而运维阶段的工作量占比为80%，与IT系统建

[12]

设相比，IT系统运维所面临的困难和复杂性达到了新高度（张淑凤等，2022）。

IT运维外包的风险管理是非常有必要的。

（一）国外有关IT运维服务外包风险管理研究综述

1962年美国电子数据系统公司开始售卖信息处理这一服务，按照客户的要

[14]

求处理信息，并按服务时长向买方收取费用，这是IT外包服务外包的雏形（钟

洪奇，2002）。伴随着IT外包服务的开展，国外学者对IT运维外包的风险管理

之一章绪论

的研究随之应运而生，主要涉及风险识别、风险评估和风险应对等方面。

1、风险识别

Earl（1996）对发包商在IT外包中遇到的11种风险做了归纳：（1）外包

可能削弱发包商对IT的管控；(2)外包使得发包商很难再学习IT系统更新和迭

代的相关新知识；（3）承包商可能对新技术的掌握有所疏忽；(4)承包商提供的

员工可能是经验不足的；(5)经营风险；（6）外包可能导致客户创新能力缺乏；

（7）某一发包商的特殊问题；（8）隐形成本；（9）承发包之间以及承包商之

间的关系对问题处理速度的干扰；（10）某些系统在技术上是和其他部分是一个

整体，不便分割，是不宜部分外包的，否则可能会因部分外包产生不良后果；（11）

如果承包商关心的不是做的目的，而只是应付完成任务，发包商可能失去优化运

[15]

行系统的机会。

（1999）以物流信息系统局为研究案例，构建风险框架，识别了

LISA案例中特殊情景、合同签订以及合同执行中的10种风险因素以及其导致的

[16]

如服务费、法律争端和诉讼、合同变更的困难、服务成本的提高等风险事件。

（2011）指出IT网络运维过程包括运行、维护、管理三大类

[17]

的活动，并提出影响这三类活动的因素，如表1.1所示。

表1.对IT网络运维风险管理的研究

运维活动影响因素

运行活动人员、硬软件资源、网络及网站资源、培训计划

维护活动人员、网络及网站资源、维护资源、培训计划

管理活动网络及网站资源、培训计划、监控、优化

2、风险评估

（2008）结合信息等级深刻分析信息化风险管理，认为信息安全可

ABCD

分为、、、四个安全等级，不同等级都可从访问和管理两个角度采取风

[18]

险管理措施。

（2010）构建信息管理模型，探讨信息安全的六大维度，得出了能

[19]

够对信息安全产生影响的因素，以及评价了各个因素彼此之间的关系。

Zhang,（2016）等人提出具有区间值直觉模糊集(IVIES)信息的凹凸

风险函数。通过对软件外包项目风险因素的分析，为软件外包项目提供了具有

IVIFS信息的风险函数。将这些风险函数分为激励函数、惩罚函数和均衡函数三

之一章绪论

[20]

类。评估实例说明，与一些常规函数相比，这些函数是有效的。

Qin,（2022）重点研究了由数字孪生模型构建的IT运维运营风险

定量评估模型。将数字孪生模型构建的IT运维运营风险量化评估模型与其他传

统模型构建的信息技术运维运营风险定量评估模型进行了比较，对比结果显示，

数字孪生模型构建的评估模型输出结果更接近实际结果，准确率比以往的操作风

[21]

险评估模型高35.9%。

3、风险应对

（1999）总结了合同范围和类型、供应商选择流程和标准、签订合

同、伙伴关系等IT外包业务的风险管理缓解措施。的研究也验证了激

[16]

励性契约有助于风险缓解，的风险框架见图1.2所示。

图1.的风险框架

（2002）提出IT外包管理成熟度模型，该模型可建立供应商管理结

[22]

构，强化服务水平协议，并驱使供应商提高服务质量和缓解风险。

（2009）提出信息化管理的意图就是降低风险，要求管理者开展

[23]

培训，提高风险管理意识和风险管理能力。

（2013）从成本和收益的角度对企业的信息资源管理进行了

研究。其思想是根据风险程度和风险事件影响程度来评价信息系统风险程度，并

[24]

根据收益和代价来确定更优的风险控制计划。

（二）国内有关IT运维服务外包风险管理研究综述

国内关于IT运维服务风险管理的理论及实践发展基本上沿袭国外的轨迹，

之一章绪论

[25]

但由于起步晚，在时间上整体上比国外企业晚10余年（江鸿，2010）。

1、风险识别

俞璇（2010）分析IT运维服务外包运维工作风险包括资金不到位、原材料

采供状况风险、运维设备支持状况风险、运营方技术水平缺陷、运营方责任心不

足、运营方安全措施不足、运营方纪律不严格、缺乏有效的运维绩效测评体系、

[26]

新模式运营机制不顺畅、运维管理不当等。

丑朗清（2010）认为IT运维服务外包面临市场的混乱、服务单位的消极怠

[27]

工、行业资源分散、绩效和服务质量的难以评定的问题。

杨荟萌（2016）从软件项目承包商的视角出发，总结项目周期内不同阶段的

关键风险有质量保证风险，人员技能与素质风险、需求不断变更风险、合同不够

[28]

灵活风险等其他风险。

张淑凤（2022）等人认为在未明确发承包双方风险和反监督的情况下会导致

IT运维服务外包的重要基础设备、重要数据掌握在服务商手中，因而会造成重

[12]

要数据、敏感数据泄露的风险。

2、风险评估

麻雅静（2012）运用风险矩阵的方法来评价IT业务外包的风险。首先，利

用风险矩阵分析软件对风险因素的Borda值进行客观评估，然后根据

Borda值的大小对各个风险因素进行排名，从而得到不同的风险因素对资讯科技

外包服务的影响程度。在此基础上，对IT外包业务的风险要素进行了系统的分

[29]

析，并对各要素之间的关系进行了验证，从而提高了分析的可靠性。

穆司真（2020）等人以IT项目外包为案例，应用层次分析法与模糊综合评

[30]

判方法对信息技术项目外包的风险评价。

3、风险应对

李奎添（2008）以深圳税务局为研究案例，为 *** 运维外包的难题介绍了有

效运维外包的四个方法：一是指双方就管理制度，工作规范等方面的内容形成一

致意见；二是构建核心业务绩效评价指标体系，对业务外包的服务质量进行评价；

三是在运维外包过程中，要建立良好的沟通协调机制，对外包人员进行有效管理；

[31]

四是要建立健全运行事故的经济责任追究体系，严格落实。

唐凌遥（2011）论述要解决运维外包的困惑，应明确认识到IT运维外包的

之一章绪论

[32]

发展阶段、运维外包内容、供应商选择的方法。

陈波（2018）以银行支付系统的运维为例研究，认为IT运维服务外包存在

的风险有四类信息安全风险、服务水平下降、业务中断风险、形成对服务外包。

提出“服务可以外包、但是责任不能外包”的要求，认为银行必须承担IT运维

的主体责任，不能将其完全转接给IT运维服务的承包商，并提出四种服务外包

的应对措施：合理限定外包的范围、做好信息安全管理、建立风险控制体系、加

[33]

强运维标准化建设。

李焕森（2020）以企业自身、供应商两个方面来研究烟草企业的IT运维服

务外包管理工作，其中从监管服务质量、服务风险管理、服务安全等方向探讨如

[34]

何对运维供应商的管理。

IT

二、国内外有关高校运维服务外包存风险管理研究综述

IT运维服务外包是一个复杂的业务，其过程往往存在各种各样的问题和与

之并行的各种风险。国内外都有学者对高校IT外包的情况做了相关研究，笔者

按照国内高校和国外高校两方面进行总结。

（一）国外有关高校IT运维服务外包风险管理研究综述

美国 *** 信息技术部门在20世纪90年代早期就已经出现了大规模的信息技

术外包，比如1993年联邦教育部的信息技术系统就是外包的。利用IT外包技术

实现大学与企业之间的协作，在国外已经有了很长的历史和很好的成果。

1、风险识别

等人对新泽西州布鲁克代尔社区大学(BCC)进行了实证研究，

解释该学院因计算机的快速增长，导致行政计算部门无法维护已安装的计算机并

为之提供支持服务，因此决定外包IT服务，分析了布鲁克代尔社区学院IT外包

[35]

情况，论述IT外包在高校中的利与弊。

美国网络教育协会（）是一家专门从事高等教育IT应用研究的

机构，在2002年对美国、加拿大286所不同层次、不同类型的大学的IT外包状

况进行了调查，调查的主要内容包括IT外包范围、IT外包动因、IT外包决策、

[36]

IT外包面临的问题、IT外包面临风险等（，2024）。

（2015）采用定性研究方法——访谈法，调查了与IT

之一章绪论

外包相关的风险以及埃塞俄比亚高等教育机构(HLI)IT外包案例中风险管理的各

个方面。主要数据是通过与IT外包流程中的各个利益相关者（包括精选的高管、

[37]

委员会成员、领域专家和用户）进行访谈来收集的。

2、风险评估

Son（2008）以高等教育院校教育设施为研究中心，提出风险因素识别系统，

并根据其性质和管理区域对这些因素进行了分类，制定了运营管理阶段风险因素

清单，用于风险评估。依据分类的风险因素制定检查表以管理 *** L项目在运营

和管理阶段的风险，帮助承包商和客户在运营和管理阶段适当处理潜在风险，并

[38]

作为预防索赔的决策工具，有效地处理任何争议。

（2015）解释HLI的受访者虽在语言表达上展示对IT

外包流程的充分了解，但发现HLI没有制定结构化或记录在案的外包战略、政

策或计划。IT外包项目的风险管理框架要么不存在，要么没有记录。总体而言，

调查结果表明人们普遍缺乏对外包合同各个方面的结构和文件需求的认识。因此，

[37]

认为HLI的风险管理实践在很大程度上取决于直觉和以往的经验。

3、风险应对

ía（2014）认为外包是一种战略选择，可以补充组织内部的IT服务。

基于ISO/和ISO/标准以及ITIL和COBIT框架，提出更佳实

践的新整体成熟度模型，该模型允许在高等教育领域进行独立验证和实际应用，

优化其价值并更大限度地降低风险，提高其管理的有效性和效率。此外，VV

[39]

García的研究有助于实现外包IT服务良好治理和管理模式的有效过渡。

（2015）提出埃塞俄比亚高等教育机构IT教育设备外

包的风险管理实践在很大程度上是取决于直觉和以往的经验。因此，建议埃塞俄

比亚高等教育机构制定结构化或记录在案的外包战略、政策或计划，以及制定并

[37]

记录IT外包项目的风险管理框架。

（2017提出了一种基于仿真和试验的大学网络使用的风险控制方

[40]

法，该方法对高等院校信息风险控制具有一定的启发意义。

（二）国内有关高校IT运维服务外包风险管理研究综述

20世纪90年代初，各个高校相继开展了校园网的基础网络设施建设，并初

步建立了校园网和校园网门户等校园信息网络平台。20世纪90年代中期，各个

10

之一章绪论

高校纷纷启动了学生管理、OA、财务管理、人事管理等信息化建设项目。

国外学者对该领域研究开始的时间较早，而国内直到2006年之后才有人关

[41][42]

注。张梁平（2006）、侯海平（2007）是最早对高校IT外包实施进行探讨

的学者，探究了高校实施IT外包的运作方式以及注意事项，但是未涉及外包的

[43][44]

风险管理；刘晨霞（2009）、陈光欣（2009）虽然涉及了高校IT服务外包

的风险研究，并提出了高校信息化外包相关风险的防范策略，但其研究是针对

IT项目建设的外包。

以上学者研究对高校IT外包的研究虽起步较早，但是并未真正细化到IT运

维风险管理的研究，黄璐璐（2011）关于高校的财务信息系统运维服务外包的风

险管理研究拉开了国内学者对高校IT运维外包风险管理的序幕。

1、风险识别

孙强等人（2004）认为企业成功实施IT服务外包需要经过准备阶段、选择

阶段、整合阶段、过渡阶段。并论述各个阶段的主要活动，即在准备阶段主要活

动是完成组织的内部分析和评估，在整合阶段主要活动来选择合适的外包商，在

过渡阶段主要活动是完成内部服务向外包服务的过渡，在整合阶段主要活动是完

[45]

成外包的实施和管理阶段。

钱伟梁（2010）以北京工商大学为研究对象探究高校IT外包的动因与模式，

文中指出IT外包的不确定性来自IT技术不断更新迭代导致原有技术和运行设备

的不断贬值、IT外包交易规模大导致外包交易金额大、IT外包涉及的业务面广

三个方面。在探究系统运行与维护外包时，钱伟梁概括系统运行与维护外的任务

是保证硬件系统、软件系统正常运行工作，解决系统在日常运转中发生的问题，

并对运行系统进行改装、升级、重构，并解释北京工商大学的IT系统维护的承

包者通常是原IT系统的开发者在信息系统建设完成后，外派专业工程师负责系

[9]

统的日常运行维护工作。

黄璐璐（2011）依据高校的财务信息系统运维服务外包的范围，将IT运维

服务外包的模式分为整体外包模式、局部外包模式。此外，黄璐璐定性分析指出

信息系统运维外包的风险有外部环境的不确定性、决策的复杂性、运维双方关系

[10]

的复杂性、运维工作本身的复杂性四个方面。笔者以表格的形式将黄璐璐的

IT运维风险来源进行总结，见表1.2所示。

11

之一章绪论

表1.2黄璐璐对的IT运维风险管理的研究

外部的不确定风险政治风险、自然风险、市场风险

决策的复杂性运维外包可行性的研究、运营方的选择、运营方的权责界定

运维双方关系的复杂性双方组织的文化差异、沟通不力风险、信息泄露、人力资源风险

运维工作本身的复杂性技术风险、设备风险、安全风险、运维管理风险、验收风险

SWOT

何秀全（2011）以上海外国语大学为研究对象，运用态势分析法（）

IT

调查列举出了上海外国语大学外包的机会、威胁、优势、劣势，从财务方面、

IT

战略方面、技术方面依次分析了高等院校的外包策略，总结了上海外国语大

学外包的发展策略。同时，何秀全借鉴国外学者的风险管理体系提

ITIT

出高校外包风险管理框架。此外，何秀全将外包的过程分为需求分析、审

批立项、招标、合同签订、实施、试运行、验收、应用与维护八个过程，又将这

八个过程划分为三个阶段，需求分析过程、审批立项过程、招标过程为决策阶段，

合同签订过程为为合同签约阶段，实施过程、试运行过程、验收过程、应用及维

[5]

护过程为合同的执行阶段，三个阶段包含不同的风险。笔者以表格的形式将何

秀全的风险总结如表1.3所示。

表1.3何秀全对高校IT运维外包风险的研究

阶段划分具体风险

缺乏校级IT决策和管理机构、IT需求难以确定

决策阶段

服务商选择不当、缺少内部控制

合同签订阶段合同难以完备、合同缺乏灵活性、合同缺乏激励性

合同执行阶段项目管理不当、缺乏沟通协作、过度依赖和套牢

王永斌（2017）总结了我国高等院校的多媒体教室建设运维的三种模式：自

主建设+自主维护、自主建设+采购服务、整体采购+代建代维，指出在自主建设+

采购服务模式下，外包单位有可能降低服务标准、对同一问题多次服务、无法被

[4]

考核等风险问题。

2、风险评估

聂伟皓（2020）在X高校信息化项目风险管理研究中运用层次分析法和综

合模糊法得出X高校信息化项目风险管理的外包风险的综合权重值风险为

3.83%，风险等级为低。聂伟皓指出外包风险就是由于外包的条件和环境的不确

定，导致项目的预期结果与实际结果之间的偏差。外包的风险来源于三个方面：

12

之一章绪论

一是因为承包人不了解学校的常规工作，导致最终实现的功能与诉求需求有偏差；

二是多家供应商在所提供的服务在技术和功能的兼容性以及对规划统一性的偏

差，导致较低的实际适用性；三是由合同中约定的权责、界限的清晰偏差带来的

[46]

损失。

李静（2021）在S高校智慧校园建设项目风险管理研究中运用层次分析法

建立S高校智慧校园建设项目的风险评价指标体系，其中运行维护阶段作为一

个准则层，运行维护阶段对应风险因素有安全风险、运营风险、保障风险。得出

运行维护阶段风险的综合权重值为24.02%，风险等级为低，其中安全风险的综

合权重值为6.24%、运营风险的综合权重值为9.91%和保障风险的综合权重值为

[47]

7.87%，运行维护阶段对应风险因素均为中风险。具体见表1.4所示。

表1.4李静对S高校智慧校园建设项目运维阶段的风险管理研究

准则层准则层权重方案层方案层权重

安全风险6.24%

运维阶段24.02%运营风险9.91%

保障风险7.87%

3、风险应对

ITIT

姜开达等人（2012）以上海交通大学的运营服务为背景，分析了外包

ITIT

动因、运维监控平台开发外包的风险管理手段。针对运维服务外包的安全

IT

问题，提出要慎重选择运维服务合作商，细化约束合同，并且要求关键项目

要求核心技术人员入驻高校，保障前期建设和后期运维两个团队之间的沟通畅通，

并给外包公司人员进行严格的岗位培训、业务培训，建立完整的培训体系，提供

[48]

相应的技术培训资料。

张虹（2017）阐述了应用系统开发以及网络运维服务外包的风险，并针对风

[49]

险提出了分步骤外包、完善全流程管控、设立评价体系的防控措施。

魏娟（2020）定性分析了高校档案数字信息化外包的风险，认为高校档案数

字信息化在外包的过程中具有安全风险、质量风险、进度风险。在风险应对策略

中提出要充分调研投标方的资质、行业口碑。重视招标的宣传工作，吸引优质的

服务商来投标。与服务单位签订保密协议，逐步完善员工进出等级制度和操作规

[50]

程。

13

之一章绪论

三、文献评述

笔者对国外的文献研究从IT运维服务外包的风险管理研究、高校IT运维服

务外包的风险管理两个方面进行文献评述。

（一）IT运维服务外包风险管理的研究文献的总结

国内外学者对于IT运维服务外包项目的风险管理相关研究范围广，主体丰

富，覆盖多种行业；有单纯理论分析的，也有先定性分析后转化定量分析的；风

险管理程序都涉及识别风险、评估风险、应对风险三个风险管理环节。在风险识

别这一阶段，不同背景的学者和专家对风险的划分归类持有不同的观点和分类标

准，因此识别到的风险因素也是不同的，尽管如此，大多研究人员对来自技术、

质量、资金上风险认识是能够达成共识的。风险评估的方法常用的方法有专家打

分法、层次分析法、多层灰色评价、熵值法、风险矩阵方法、模糊综合评价，其

中调查问卷和层次分析法运用得最多。

（二）高校IT运维服务外包风险管理的研究文献的评述

[5]

何秀全（2011）提出学术界有关高校IT外包很少的说法，经过10余年的

不断补充，有关高校IT运维外包研究的文章日益剧增，涉及IT外包服务质量、

IT外包服务效益、IT外包服务模式、IT外包动机、IT外包风险等方面。

在知网的高级检索栏中输入高校*IT/信息系统*风险管理关键字，关于高校

IT外包的风险研究较为丰富，但以项目的开发建设期为主，而对后期的运维研

究相比较之下还是较少。在此情境下，一方面又以定性分析为主，缺乏对风险的

[5][51]

定量分析，如何秀全（2011）和牛晋丽（2015）用SWOT分析法对高校IT

[10]

外包优势、劣势、机会、威胁进行分析与评估；如黄璐璐（2011）对高校财务

[50]

信息系统运维外包风险与对策的研究以及魏娟(2020)对高校人事档案数字化

外包风险与对策的研究也只是对信息系统运维的定性分析，缺乏对风险识别、评

估的定量分析。另一方面，风险识别和风险评估方法在使用上呈现倾向性，如聂

[46]

伟皓（2020）在对X高校信息化风险管理的研究以及李静（2021）对智慧校

[47]

园风管理的研究中均使用层次分析法和模糊综合评价法对风险进行定量化处

理，但信息项目运行阶段的外包风险仅仅作为风险评价体系的一个子指标，未将

信息项目运行阶段的外包风险作为研究主体，缺乏对其的系统性深刻剖析，且评

14

之一章绪论

价指标对评价结果的关联度未能得到检验。

总体而言，国内外学者更多是对一般项目的通用性研究，而对高校IT运维

风险管理的研究不多见，且在为数不多的研究中以定性研究为主。

第三节研究内容和方法

一、研究内容

针对我国高校IT运维风险管理问题，本文的研究内容主要包括以下几个方

面：

1、梳理国内外IT运维外包风险管理的相关理论和方法，为高校进行IT运

维外包风险管理提供理论依据。

2、分析案例学校的IT运维外包现状，为风险识别提供现实基础。

3、识别案例学校在其IT运维外包中的风险因素，为高校风险评估和风险应

对指明方向。

4、探讨适合我国高校IT运维外包中风险因素识别的方法，为应用实践提供

理论支持。

二、研究方法

本文围绕如何进行IT服务运维服务外包的风险管理这一主题，全面梳理IT

运维服务外包风险管理领域的相关理论和方法，运用流程分析法将Y校IT服务

外包划分为决策、招标、运行三个阶段。以各个阶段为导向进行归纳风险，采用

文献研究法、调查问卷及实证分析等方法进行探讨。

1、文献研究法

通过知网、维普、万方、等多个平台查阅与IT外包服务的有

关资料，搜集相应信息，大量阅读期刊，并进行了分类整理，围绕研究的主题深

入思考，为本研究提供坚实的基础。

2、实证研究

以Y校IT运维服务外包为案例进行研究，依托全面管理风险的思想分析外

包的风险因素，测评目前的IT运维服务外包风险，提出建设性意见。

15

之一章绪论

3、集对分析法

[61]

集对分析是由赵克勤提出的，用来研究不确定问题和确定性问题。风险分

析是对可能性问题的分析，因此用集对分析研究风险问题较为妥当。

4、AHP层次分析法

在探究Y校IT运维外包的风险管理过程中，首先识别该过程的可能存在的

所有风险，再采用AHP层次分析法，对识别出的风险进行评估和计算权重，再

将各风险因素的综合权重值依次由大至小排序。

5、FCA模糊综合评价

当研究对象同时受多种因素牵制，可以运用模糊综合评价进行总体评价。模

糊综合评价依据隶属度理论、模糊关系，可以将不宜定量、边界不清的风险因素

进行量化处理。

第四节技术路线和创新

一、技术路线

图1.3本文技术路线

在熟读文献的基础上，掌握一定的理论知识，结合Y校IT运维外包的实例

16

之一章绪论

进行风险识别、构建风险评估模型，获得风险指标综合权重，结合FCA综合模

糊评价法评估风险，判断风险的等级，再进行ABC分类法，针对A类风险因素

制定合适的应对策略。图1.3为本文的技术路线。

二、研究创新

本文的创新点在以下两个方面。

（一）方法创新

目前学术界的研究较多集中在高校IT建设阶段，而高校IT运维阶段的研究

较少，在较少的研究中以简单的定性分析为主，缺乏系统地识别、评估风险。本

文运用集对分析、层次分析法（AHP）、FCA综合模糊评价法（FCA）依次进

行识别风险和评估风险，基于SPA-AHP-FCA的风险管理模型以定量分析和定性

分析相结合的方式描述风险，并量化处理风险。定量分析和定性分析相结合的研

究方法是一种综合性的研究方法，该方法充分利用两种方法的优点，规避单一方

法的不足，可以更全面地了解研究对象，同时集对分析（SPA）的使用，检验了

评价指标与评价结果的关联度，提高研究的可信度和可靠性，使得论证过程具有

新颖性。

（二）角度创新

风险管理属于事前控制手段，是一项冗杂的工作。传统的泛泛管理难以做到

针对性地有效管理。笔者运用ABC分类法进行风险分类，辨识出Y校IT运维

服务外包项目的关键风险因素，针对A类风险（关键因素）提出具体的风险缓

解的应对策略，使得Y校IT运维服务外包风险防控工作更加具体化和针对性，

有利于管理层抓住工作重点，有的放矢地将主要精力聚焦于重大风险控制。

三、论文结构

本文的整体框架见图1.4所示。

17

之一章绪论

图1.4本文整体框架

各章内容综述如下。

之一章是绪论。从国内外（非高校）IT运维服务外包和国内外高校IT运维

外包两个维度介绍本文的研究背景，并从这两个维度进行文献评述，然后说明了

本文的研究目的、意义、内容，方法、技术路线、创新点。

第二章是梳理研究现状及文献综述。通过梳理和总结国内外关于IT运维外

包的概念、风险管理的内涵和理念、高校IT运维服务外包的风险种类的研究，

加深对研究问题的认识，了解IT外包运维服务外包风险管理的主流观点、未解

决的问题，能够从不同角度分析预测研究的趋势，同时为本文研究奠定坚实基础。

第三章是调查研究对象的现状，识别Y校IT运维外包的风险。介绍Y校IT

运维外包的现状以及现有的风险管理措施，以及按照流程分析法把外包业务过程

划分成决策、招标、运行三个阶段，组建专业咨询小组，识别Y校IT运维外包

的风险种类，为构建风险评估体系做好基础。

第四章是Y校IT运维外包的风险评估。运用AHP层次分析法和模糊综合

评级法构建Y校IT运维外包风险评估体系，确定已识别的风险指标的综合权重

和风险等级，得出Y校为IT运维外包的总体风险和各个阶段的风险隶属度。

第五章是Y校IT运维外包的风险管控策略。按照ABC分类法对风险进行

18

之一章绪论

归类，针对A类风险提出应对策略。

第六章是总结与展望。总结全文的研究成果，并指出本文研究的不足以及对

本领域未来的研究展望。

19

第二章IT运维服务外包风险管理理论分析

第二章IT运维服务外包风险管理理论分析

高校IT运维服务外包是一项复杂的、庞大、高风险的项目管理工作，是高

校亟需要解决的问题。本章节在梳理过IT运维服务外包的概念、高校IT运维服

务外包的概念基础上，对风险管理一般流程中的风险识别、风险评估、风险应对

三方面进行总结，为后文实例论证提供理论基础。

之一节IT运维服务外包的相关概述

一、IT运维服务的内涵

通过阅读国内外学者对IT运维服务的相关研究著作和文献，发现学者对IT

[11]

运维服务外包的定义较少（黄莉，2011），而对IT运维服务外包的上位词—

—IT外包的定义较多。

吴慧韫（2015）将IT运维服务定义为单位的信息技术部门运用相关的方法，

技术，方法，手段，制度，流程，文件等手段，对企业的IT系统如硬件操作环

境，软件操作环境，网络操作环境，信息技术业务系统，信息技术操作人员等实

[52]

施全面的管理。

王兴建等人（2021）认为高校IT运维服务是指高校的信息化部门将全部的

或者部分的IT运行维护工作交由项目最初的建设者或者专业的IT服务公司，以

达到降本增效、解放人力，高效地服务师生的，实现学校信息化部门、师生、企

[2]

业三者共赢。

张淑凤（2022）论述IT系统运维工作的主要内容为基础设施硬件运维管理、

安全产品运维管理、应用系统运维管理三方面。其中，基础设施的硬件运行维护

管理主要包括：网络布线管理、机房管理、信息设备管理等；安全产品运维管理

主要包括防火墙、入侵检测系统、主机监控、终端安全登录系统、防毒系统、审

计系统、网管系统、审计系统等；应用系统运维管理是IT系统的核心主要包括，

[12]

工作重点体现在用户权限管理、系统管理、审计管理。

20

第二章IT运维服务外包风险管理理论分析

综合上述观点，本文认为IT运维服务包含软件的升级，硬件的安装、调试、

日常维护等方面。

二、外包的内涵

外包的服务的理论依据最长远可以追溯至亚当·斯密的劳动分工理论。在《国

富论》中亚当·斯密阐述了劳动分工可以极大地促进劳动生产力的提高，使社会

经济进步，业务外包可以看作是社会劳动分工的其中一种，不仅优化了管理工作，

[13]

还提高了承包单位的专业生产率（黄新杰，2006）。马克思也指出劳动分工是

社会进步和生产社会化产物。经济学中有名的木桶短板管理理论解释，一只木桶

要装得下水，就得保证每一块木板都完好无损，能装下多少水不看最长的木板，

而看最短的木板。外包理论运用短板理论可以这样理解，组织把影响发展的本组

织最短的“木板”交予专门从事该“木板”的外包公司进行运作和管理，从而短

时间内高效地改变该业务的“短”的现状，提升整个“桶”的容量。

外包的服务的主要理论依据是核心竞争理论，美国著名的现代管理学之父

——彼得·德鲁克（.，1982）在《大变革时代的管理》预测：“未

来10到15年，公司中所有不产生销售收入，所有不具备晋升机会和活动的业务

[53]

都将被外包”。这里所说的晋升机会和活动的业务就是非核心业务。企业要将

有限的时间和资源投资到核心业务、核心优势中，将非核心业务、非核心优势外

包给专业公司，从而提高组织的核心竞争力。

当前的外包市场已经建立相当成熟的体系，向着产业化方向发展，甚至有些

行业形成了产业集聚效应和规模效应。可将外包市场分为IT服务外包、财务服

务外包、人力服务外包、销售服务外包、物流服务外包等。对外包文献的分析，

发现服务外包更先是被在企业之间广泛应用的，尽管如此，对当下的高校而言，

外包依然是常见的业务了，比如餐饮外包、IT服务外包、物业外包、图书馆业

务外包、安保外包、后勤外包等。

在《信息技术外包理论视角》中Cheno(1995)解释外包是在建立依存关系的

前提下，获得自身缺口资源一种方法。一个公司与周围环境公司的生产经营活动

密切相关，那么该公司的生存和发展是依赖周围公司提供的关键资源的，以弥补

[54]

自身重要资源的缺陷。

21

第二章IT运维服务外包风险管理理论分析

[55][56]

(1996)，,(2009)都提出外包不仅能降低成本，而且还能

在发承包双方之间建立商业合作伙伴关系，从而促进二者之间的交流学习，这表

明外包的动因也可能来自企业的战略决策和企业文化的驱动。

（2018）认为外包的目的不是因为组织自身不能完成该模块的

业务，相反是可以选择那些更为便宜、方便的外包公司，企业有精力聚焦于更核

[57]

心的业务模块。

（1994）论述外包是企业为了实现技术与资源的更优配置，以获

取更大的利益，将资源集中于企业的核心竞争力，而将非战略重点、非特定竞争

[58]

力的其他活动进行外包，其中也包括IT活动。

综合上述观点，本文认为外包是一个组织向外寻求资源的过程，是一种有利

于企业集中核心业务，降低成本，提高效益模式。

三、IT运维外包的内涵

Loh（1992）对IT运营外包的定义是：IT运营外包是指在用户企业的IT基

础设施中，外部供应商提供的有形或无形的资源对用户企业的IT基础设施的影

[59]

响。

黄新杰（2006）认为IT运维服务外包指企业从外部战略性地选择专业的技

术与服务供应商，帮助其完成对企业网络的运营与维护以及对企业网络业务过程

[13]

的支持。

钱伟梁（2010）在探究系统运行与维护外包的原因和模式时概括了系统运行

与维护和网络基础设施维护的外包任务。系统运行与维护的外包任务是保证硬件

系统、软件系统正常运行工作，解决系统在日常运转中发生的问题，并对运行系

统进行改装、升级、重构。网络基础设施维护的外包任务是网络设备的软件安装

[9]

和调试、硬件安装和调试、日常维护、系统集成等。

黄莉（2011）概括IT运维外包是指将IT运营外包业务委托给专门的IT运

营服务提供商。外包内容可分为基本运营维护外包和增值运营维护外包。运行维

护外包是为了提高运行维护质量，提高运行维护效率，增强核心竞争力而进行的

[11]

。

黄璐璐（2011）解释了高校财务信息系统运维外包的概念——高校财务信息

22

第二章IT运维服务外包风险管理理论分析

系统的使用单位按照服务要求，将全部或者部分的信息系统的运行维护工作，委

[10]

托给专业公司来管理。

张永双（2014）认为IT运维外包指IT基础设施和应用软件的运行维护支持

业务，由IT专业服务提供商向用户提供，包括远程运维服务、现场运维服务、

[60]

自动运维服务以及客户问题咨询、配置管理、变更管理、知识库等。

王兴建（2021）论述高校IT运维外包是指大学信息技术部门为了解放人力

资源，控制成本，达到学校、学生、企业的双赢，将其IT运营业务的一部分或

[2]

者全部外包给原来负责项目建设的企业或者IT专业服务机构。

魏娟（2022）论述高校档案信息服务外包是指高校将档案信息的管理工作向

[50]

外部转移，由外部的市场和专业人员来承担档案信息的管理工作。

综合上述观点，本文认为：IT运维外包指一个组织把部分或者全部的软件

的升级，硬件的安装、调试、日常维护等信息化的运维工作交给专业的信息技术

服务商来完成。

第二节风险管理的相关概述

一、风险管理

当前相当一部分高校将校园IT运行维护工作交付给第三方服务机构，在第

三方服务机构的帮助下实现高校的教学、教务、科研、后勤、学生管理等工作在

校园信息化平台上的顺利对接，这不仅优化了校园业务的办理流程，给广大师生

提供了便利，同时学校也提高了工作效率。但是，IT运维外包是一项庞大、复

杂的、无形的过程，相对于有形的外包业务来说，IT运维外包的过程充满更多

的不确定因素，使得作为发包方的高校也因此承担了较大的风险，因此如何高效

识别风险、降低风险发生概率、降低风险发生时造成的损失量，是高校信息化业

务外包的决策者亟需关注的问题。笔者在查阅国内外相关文献的基础上，归纳风

险的特点，将风险管理划分为风险识别、风险评价、风险应对三个方面，按照此

顺序依次展开研究，为后文中案例分析奠定基础，风险管理模型如图2.1所示。

23

第二章IT运维服务外包风险管理理论分析

图2.1风险管理模型

（一）风险管理内涵

风险管理（）萌芽于20世纪三十年的美国爆发的金融危机，

是一门新兴的管理学科。风险是不会因项目管理者的主观的能动性而完全消失的，

是客观存在的，因此在IT运维服务外包的过程中进行风险管理是非常有必要的。

风险管理是指对项目中存在的风险进行识别，并估计风险的大小，并采纳行之有

效的风险应对策略，以降低风险发生的概率以及减少风险发生的损失量。高校的

IT运维服务外包的风险管理是一个连续的过程，它的一般步骤有风险识别、风

险评估、风险防范（风险应对）。

（二）风险管理特点

风险管理活动与其他的管理活动类似都是组织的管理者对项目的决策、计划、

组织、控制、领导等方面对人(Man)、机()、物()、法()、

环()五大管理要素进行分配和调整。风险管理具有以下特点：

1、动态性

首先，风险管理是对整个项目的全寿命周期而言，在寿命周期内的各个阶段，

因具体的业务进程的活跃状态，项目所携带的可能风险也是处于动态的。其次，

风险管理中遇到的风险大小也不是一成不变的，是依据项目的特点、业务进展的

阶段呈现此消彼长的现象。

2、复杂性

随着项目的逐步成长，项目的目标、方法、方法趋于多元化、复杂化、先进

24

第二章IT运维服务外包风险管理理论分析

化，由此导致项目进展过程中伴随的风险亦趋于复杂化的状态。首先风险管理目

标的多元化，项目风险管理要兼顾前期和开发和后期的运营，协调项目的成本、

费用、进度、质量等其他的目标，以获得项目综合目标更大化。其次，风险管理

方法的多样化。随着技术的即时更新和管理手段的转换，与之相应地涌现更多的

风险管理方法，在纷杂的风险管理方法中哪一种是最适用的需要组织的管理者依

据风险的性质、产生的影响审时度势进行判断和选择。最后，风险管理的过程是

若干个作业在时空和空间上互相重叠、互相交叉进行的，在一定程度上增加风险

[46]

管理的复杂性。

3、及时性

凡事预则立，不预则废，风险管理实质是控制“未发病”，属于事前控制。

风险管理的及时性更多体现在风险识别这一阶段。风险识别要求严格，如不能及

时识别项目面临的风险，尤其是关键因素带来的潜在风险，就会因为错失风险应

对的良机，助长风险范围或风险程度的扩大，因此导致风险事件的损失量增加。

此外，对于高风险因素及时采取措施控制风险恶化的趋势，是风险管理的意义所

在。

二、风险识别

（一）风险识别概述

风险识别是风险管理的基础性工作，尤为重要。该阶段有三项重要的任务，

之一项是收集资料，即收集项目周期内的相关信息，包括但不限于项目所处的市

场环境、政策、项目建议书、可研报告、同类项目资料；第二项是把前期获得的

项目信息进行科学系统的剖析，鉴定和分类项目执行过程中有可能会遇到的风险。

第三项是反复推敲风险产生的源头、风险的本质特征、风险发生的条件，风险发

生后造成的影响。

（二）风险识别方法

在识别风险时，需要运用一些专门的技术和方法，以保障快速高效地在梳理

[4]

项目潜在风险且发生不遗漏。风险识别方法常用的有环境分析法、德尔菲法、

头脑风暴法、图解技术、集对分析、访谈法等。

1、集对分析法

25

第二章IT运维服务外包风险管理理论分析

[61]

集对分析法（SPA）又称联系数学，是由赵克勤（1991）提出的，是一种

基于分析整体和局部的内在联系度去处理不确定性问题的方法，即在一定背景下，

关于集对相关组的确定性与不确定性及其相互关系的系统的数学分析。其核心理

念在于将所研究的材料进行整理分类和比较讨论，得出比较有说服力的结论。该

方法概念清晰且计算简单是分析不确定性的有效手段。

2、德尔菲法

德尔菲（）是古希腊阿婆罗神殿所在地。20世纪60年代美国兰德公

司率先提出德尔菲法，该方法又称为专家调查法。这种方法是在内部组建一个预

测机构，该机构由内部从事预测工作的人员和外部专家构成的。组织者将要解决

的问题写入信中，再把信件邮寄给专家们供其分析（为提高时效，也可将专家请

到一起，以“背对背”的形式提方案），等这些专家把回信寄回，组织者就把回

信整理归纳，提出几个重复率较高的提案，然后再次发给专家，再次征求他们的

意见。在多次重复该过程之后，就会产生若干比较集中的方案。统计处理反馈回

来的方案是德尔菲法的重要特征，该方法的本质是反馈函询征集法。

3、环境分析法

环境分析法即态势分析法，简称SWOT分析法。该方法是海因茨·韦里克

提出的，该方法将项目置于一个真实的环境进行研究，对项目运行的内部环境和

外部环境进行科学、系统的分析。由所处环境的特点以及环境有可能对项目产生

的影响，推断伴随项目的潜在风险。

4、头脑风暴法

头脑风暴(Brain-)法由20世纪50年代的美国的创造学者——奥斯

本在上个时代创始实行。头脑风暴法以专题会议的形式开展，一般小组成员由

10人以内专家组成，会议的时长一般为20—60分钟效果更佳。会议给出一个问

题，让参会的成员围绕该问题无拘束地发表自己的见解。虽然该方法的本质是改

进的群体决策，强调营造良好的氛围，鼓励成员畅所欲言，但是在实践的过程中，

组内成员仍旧受人际关系或者权威影响，造成结果差强人意。

头脑风暴法应遵循以下原则：（1）禁止批评和评论；（2）独立思考；（3）

自由发言。（4）追求方案数量。

5、图解技术

26

第二章IT运维服务外包风险管理理论分析

图解技术包括3个层级的内容。（1）因果图识别技术，因果图因外形像鱼

骨又称鱼骨刺图，用来识别风险产生的原因，以及各风险之间的内在联系。（2）

系统或者流程图识别技术，构建研究主体参与活动的流程图，分析流程图，动态

地识别组织在活动存在的问题。（3）直方图识别技术，又称频数分布法，运用

统计学的理念，观察风险分布，用图表的形式描述风险发生的频率、集中区域。

6、访谈法

访谈法根据访谈的人数可分为个人访谈、群体访谈、专家访谈三种，又可根

据结构分为标准访谈和自由交谈两种。不管是哪一种访谈，都要有详细的访谈提

纲，被访谈者熟知业务，富有经验，这样获得的资料才有效。访谈结束，将访谈

内容汇总整理，形成一份反映整体访谈内容的记录。

7、问卷调查法

调查问卷主要分为两种，一种是发放纸质版问卷，另外一种是网上问卷调研。

为提高问卷调查的效率，本文采用的是网上调研。设置相关问题，在网上进行问

卷发放以及回收整理。认真分析调查所得数据，确定主要的风险影响因素，并以

此构建风险评估指标体系。

三、风险评估

（一）风险评估概述

风险评估是风险管理的中间环节，是指在风险事件发生之前或者风险事件发

生了但尚未结束之前，基于充分识别风险的前提下，运用风险评估方法量化评估

可能到来的风险事件预计给生活、生产带来的损失量的过程，即风险评估就是量

化某一风险事件有可能带来的破坏程度。该环节为此后的风险应对提供数据支撑。

当决策者在系统地识别风险后，仍旧不能够准确了解风险程度，可通过对项目的

风险进行评估，使决策人员对项目的风险程度有一个全面的认识，从而为项目的

风险管理提供定量的技术支持。

风险评估主要是定义风险性质、预估风险发生的概率和风险发生的严重后果

三个内容。风险评估遵循适度准确的基本原则，运用定量方法、定性方法或定性

与定量方法相结合的方法将风险的种类、可能性结合起来进行分析，并按照大小

进行排序。

27

第二章IT运维服务外包风险管理理论分析

（二）风险评估方法

风险识别的部分方法也可以用于风险的量化评估，如德尔菲法，可以让专家

调查组中专家对之一环节中识别的风险因素进行打分，按照分数从大到小排序，

该方法操作简单。但是依靠专家打分主观性太强，降低评估结果的客观性。因此

为了更加客观地量化风险，还需要借助一些辅助工具。笔者查阅资料和相关文献，

[62]

把风险评估进行归纳为定量分析、定性分析三大类，如赵晓宁（2021）、谢正

[63][46][64]

义（2022）、聂伟皓（2020）使用的方法是层次分析法，高瑞强（2022）、

[65][66][67]

杨洁（2022）、戴佳芯、吴若唯使用的方法是风险矩阵的方法，黄莉（2011）

[10][68]

使用的方法是模糊综合评价法，陈娟（2019）使用的方法是李克特量表，王

[69]

宇琴（2022）使用的方法是故障树分析法。笔者把风险评估方法进行整理和归

纳，见表2.1所示。

1、模糊综合评价法

模糊评价法是基于模糊数学的一种评级方法。当因素非常复杂时，导致无法

对风险的层次性作出界限性描述，也难以将风险进行量化，因此产生的评价结果

也是不够准确的。模糊评价法对评价的主体细化出若干弹性区间，即满足对层次

界限的划分，又满足量化标准的模糊性。

2、层次分析法

20世纪70年代美国运筹学者.Saaty开发了层次分析法，简称AHP，

全称计算过程层次分析法，是一种系统分析和决策的综合评价方法。该方法是把

项目当作一个体，将该整体分解为三个层次：目标层、准则层、方案层，并构建

判断矩阵，进行定性和定量分析。层次分析法适合多方案、多指标、多目标复杂

系统的比选，但是该方法中只是把各个风险等级进行量化，未提及不同风险发生

不同的概率，因此该评估结果是不够严谨的。

3、蒙特卡罗模拟分析法

蒙特卡罗模拟分析法，也称统计模拟法，是一种需要借助计算机的概率模型

系统进行反复的随机抽样来实现量化风险、求解风险等级的评估方法。该方法需

要数次地模拟实验，真实数值的准确性与模拟次数呈正相关，即模拟实验次数越

多，评估结果趋近真实数值。

4、敏感性分析

28

第二章IT运维服务外包风险管理理论分析

敏感性分析对不确定因素变动对投资效果的影响程度做了量化描述，有利于

确定项目对风险因素的容许界限，鉴别出了敏感性因素，有利于有目的地聚焦风

险管控的对象，提高了项目决策的可靠性。但是指标变化的参数是靠人为臆断的，

具有片面性，也不能说明不确定因素发生的可能性大小。

5、风险矩阵法

风险矩阵法是综合评估风险发生的可能性、破坏程度的定性风险评估方法，

该方法将风险可视化。依据风险识别环节中的风险的发生概率和风险破坏程度衡

量风险等级，并以风险等级大小进行排序。在进行风险程度判断时，容易受判断

人的主观意念影响，从而降低风险评估的准确性。

表2.1风险评估方法归纳

风险评级方法

德尔菲法

头脑风暴法

定性分析

实效后果分析法

安全检查表分析法

矩阵评价法

综合数法

定性+定量分析

故障树法

模糊层次综合法

成熟度模型

神经网络法

定量分析

灰色关联度法

层次分析法

综上所述，没有一种评价方法可以解决所有的问题，都各有侧重。模糊综合

评价法、层次分析法只考虑风险影响程度大小，未考虑风险发生的概率。敏感性

分析中专家调查法需要专家对项目很熟悉，但是仍旧避免不了主观性强，可靠性

差的缺点。上述的评价方法各有其独特的优点和不足。因此在选择一种方法，可

另选一种方法进行数据验证，以提高风险量化的准确性。

（三）风险评估方法比较

通过研究分析，发现没有一种风险评估方法是完美的，都各有各自的优缺点。

29

第二章IT运维服务外包风险管理理论分析

为了方便比较，笔者对模糊综合评价法、层次分析法、蒙特卡罗模拟分析法、风

险矩阵法四种方法的优缺点进行了梳理，见表2.2所示。

表2.2风险评估方法优缺点的比较

方法优点缺点

模糊综合①能够对模糊性描述的对象进行较好的①指标的计算过程比较复杂

评价法量化计算②权重确定具有较强主观性

①具有逻辑性、系统性的特点①计算过程庞大且复杂

层次分析法

②适用偏好主观性决策问题②层级不宜超过七层

①预判项目的经济效果，敏感性因素①非常熟悉项目

敏感性分析

②适用于投资项目的经济效果的评估②具有主观性

蒙特卡罗①借助计算机能够快速、准确地得出结果①必须会使用该软件

模拟分析法②样本数量足够多

①评估程序规范①通用性差，很难清晰划分等级

风险矩阵法②风险事件的严重程度、风险发生的概率②主观性强

均能量化，是对风险更为全面性的评估。

四、风险应对

（一）风险应对概述

风险应对是风险管理的收尾工作，也是最关键的环节。依据风险识别、风险

评估两个工作的成果，针对风险事件概率高、风险事件损失量大、风险事件性质

恶劣、项目主体抗风险能力薄弱的风险因素制定有效的风险应对策略。风险应对

是通过计划、控制、领导、组织等管理职能活动，实现事前降低风险发生的概率

或减少风险事件发生的损失量的目的。

（二）风险应对方法

[70]

常见的风险应对策略有：风险规避（赵莉，2023）、风险转移（陆燕珍，

[71][72][73]

2023）、风险减轻（谭忠富，2015）、风险自留（陆本立等人，2023）。

1、风险规避

风险规避组织的决策者经权衡，认为项目的风险巨大且无法承受、无法克服

后主动选择拒绝使用带有无法控制的风险资源、技术、方案或者项目进展中进行

主动终止，这是风险应对中最彻底、最简单的方法，但是与此同时也就丧失了预

30

第二章IT运维服务外包风险管理理论分析

期的收益，产生了前期项目调研的沉没成本。风险规避方法适用于超高风险或者

决策者为极端风险厌恶者，例如工程招投标过程中，已经收到中标通知书的投标

方在后知后觉中察觉工程附带的风险极高，宁可被没收履约保证金也要选择放弃

签约合同。风险规避是一种消极应对策略，并且随着项目进程不断推进，风险规

避所付出的代价会越来越大。

2、风险转移

风险转移指在商业洽谈阶段，以合同的形式约定项目的风险由其他主体承担

的一种风险应对方法。风险转移是比较合理的应对方法之一，适用于风险事件发

生的概率小，但是风险转移时有可能会增加项目其他的支出。因“接盘”风险的

主体不同，风险转移的形式也不同。若发包人按照合同协议，要求承包人承担风

险，可要求承包人缴纳履约保证金、投标保证金、质保金；发包商也可以在项目

执行前为项目购买商业保险（互助保险），将风险转嫁给保险公司。此外发包商

也可以依据项目的规模和专业要求投标单位以联合体的形式投标，选择总承包模

式或者总承包管理模式。

3、风险减轻

风险减轻指项目的发包方在事前进行其他一些宣传教育、制定操作规程制度、

编制应急预案等其他一些积极的风险事故处置措施，使得项目风险事件发生时及

之后，项目管理人员能够按照既定的程序有条不紊地处置风险事故，以降低风险

发生时的损失量，同时也能有效组织风险事故的进一步扩散。该方法对组织的应

急经验和技巧要求较高。

4、风险自留

风险自留也称为风险承担。有两种情形使用，一是积极使用。项目的管理者

综合衡量项目的风险性质、特点，认为风险事件的破坏程度在组织能够承担