1.3.6 风险分析

风险分析是风险评估的一个子集，在审计规划期间被用于确定风险和漏洞，以便信息系统审计师能够确定缓解风险所需的控制措施。风险评估程序为识别和评估重要漏洞风险奠定了基础，但其未提供充足的相关审计证据以支持审计意见。

在评估组织所运用的IT相关业务流程时，务必要了解风险与控制之间的关系。信息系统审计师必须能够识别和区分风险类型以及用于缓解风险的控制措施。他们应当了解常见的业务风险领域、相关技术风险以及相关的控制措施。他们还应当能够评估企业管理人员使用的风险评估以及管理流程和技术，并进行风险评估以帮助侧重和规划审计工作。除了解业务风险和控制措施外，信息系统审计师还必须了解审计流程中存在的风险。