1.3.4 风险评估

信息系统审计师应当了解被审计组织如何进行风险评估。在风险评估中，应根据风险接受标准以及与组织相关的目标来确定、量化风险，并确定风险的优先级。结果将用于指导和确定相应的管理措施、信息安全风险的管理优先顺序，以及为规避风险而选择实施的控制措施的优先顺序。

管理层应定期进行风险评估，以应对环境、安全要求和风险状况的变化（例如，资产、威胁、漏洞、影响方面），在发生重大变化时也应执行风险评估。值得注意的是，IT管理层负责进行风险评估。如果组织内缺乏专业知识，信息系统审计师可以协助风险评估工作。然而，管理层对风险评估流程承担最终责任。信息系统审计师可以执行单独的风险评估，以补充基于风险的审计规划的需求。

有关风险评估的更多详细信息，请参阅2.5企业风险管理部分。