Saat ini teknologi informasi menjadi salah satu peranan penting di suatu perusahaand alam membantu perusahaan menjalankan bisnisnya. Sistem informasi yang baik harus dapat menyediakan informasi-informasi yang diperlukan perusahaan sehingga diperlukan adanya pengelolaan sistem informasi yang baik dan benar. Untuk menjamin hal tersebut diperlukan adanya pengendalian-pengendalian terhadap sistem informasi dan perlu diadakan suatu evaluasi terhadap pengendalian tersebut agar sistem informasi dapat atau mampu untuk mengamankan aset, memelihara integritas data, mencapai tujuan organisasi secara efektif dan menggunakan sumber daya (resources) secara efisien. Evaluasi pengendalian yang dapat digunakan adalah dengan audit sistem informasi berbasis resiko (Risk-based audit approach) yang memandang resiko sebagai inti dari pelaksanaan audit. Metode-metode seperti manajemen resiko yang dipaparkan oleh Stone burner dan metode best practices dari Queensland Audit Office dapat menjadi contoh dalam melaksanakan kegiatan audit berbasis resiko. Di awali dengan analisa ancaman-ancaman dan kelemahan-kelemahan yang ada dan mungkin ada dalam sistem informasi serta epengendalian-2 yang telah dilakukan untuk mengatasi ancaman-ancaman dan kelemahan-kelemahan yang ada. Yang selanjutnya akan diguankan untuk membuat rekomendasi pengendalian-pengendalian yang harus ada ataupun perbaikan terhadap pengendalian yang ada. Hasilnya akan digunakan dalam tahapan risk mitigation yang akan melakukan evaluasi dan memprioritaskan rekomendasi pengendalian berdasarkan tingkat resiko yang mungkin timbul akibat dari kelemahan yang ada di sistem informasi.