Banyak sekali definisi tentang risiko, menurut CISA Review Manual 26th Edition dari Organisasi Standar Internasional bahwa risiko adalah sebuah potensi ancaman tertentu, yang akan mengeksploitasi kerentanan suatu aset atau sekelompok aset, yang menyebabkan kerugian bagi organisasi.
Risiko analisis adalah bagian yang paling penting dalam proses perencanaan audit. Hal semacam ini terutama dilakukan oleh organisasi itu sendiri, tetapi auditor SI perlu mempelajari dokumennya untuk mendapatkan pemahaman tentang pengendalian yang perlu ada, untuk memitigasi risiko yang diidentifikasi dalam analisis risiko.
Pemahaman tentang risiko yang terkait dengan bisnis hanya dapat dicapai jika auditor mempunyai pengetahuan tentang bisnis entitas, proses dan arsitektur kritis, serta bagiamana teknologi informasi memungkinkan fungsi kritis ini. Sudah menjadi kecenderungan umum dalam manajemen untuk mengesampingkan risiko TI sebagai sesuatu yang terlalu teknis dan karena itu disimpan di luar proses penilaian risiko strategis. Fokus utamanya harus pada risiko tinggi yang mempengaruhi kerahasiaan, integritas dan ketersediaan layanan.
Auditor perlu mengevaluasi bagaimana penilaian risiko TI telah dilakukan dan apakah kontrol untuk mengelola risiko TI sudah ada dan berfungsi. Biasanya analisis risiko mengikuti langkah-langkah berikut:
- Semua aset bisnis diinventarisasi.
- Risiko diidentifikasi terhadap semua aset.
- Risiko diklasifikasikan menurut kekritisan dan dampaknya. Analisis dampak bisnis juga dapat digunakan.
- Risiko dievaluasi untuk mengidentifikasi kontrol.
- Risiko diperlakukan dengan kontrol baru atau yang ditingkatkan, tergantung pada selera risiko organisasi. Beberapa metode penanganan risiko yang mungkin adalah penghentian risiko, meminimalkan kemungkinan terjadinya, meminimalkan dampak ketika sesuatu terjadi dan mentransfer risiko ke pihak ketiga misalnya asuransi dll.
- Manajemen risiko merupakan proses yang berkesinambungan sehingga perlu ditinjau ulang secara berkala oleh pihak manajemen, terutama setelah diperkenalkannya teknologi baru.
Auditor perlu memfokuskan sebagian besar upayanya pada area berisiko tinggi dalam bisnis dan siap untuk melakukan analisis dan penilaian risiko sendiri jika hal itu belum dilakukan oleh bisnis itu sendiri atau dia menemukan itu kekurangan. Setelah ini, tugas auditor adalah mengevaluasi keberadaan pengendalian dan efektivitasnya terhadap risiko ini selama audit SI.