IT審計公司評估客戶的信息系統風險通常需要進行以下步驟：
1. 了解客戶的業務和信息系統環境：IT審計公司需要了解客戶的業務類型、信息系統架構、應用系統、網絡設備、數據存儲和處理方式等基本情況。
2. 確定信息系統的關鍵性：IT審計公司需要確定客戶信息系統的關鍵性，包括涉及的業務流程、數據的重要性、系統的可靠性和可用性等。
3. 識別潛在的威脅和漏洞：IT審計公司需要通過對客戶信息系統的安全性、完整性、可用性等方面進行評估，識別潛在的威脅和漏洞，包括網絡攻擊、內部惡意行為、自然災害等。
4. 評估風險的概率和影響：IT審計公司需要評估潛在風險的概率和影響程度，并根據評估結果確定風險等級。
5. 提出建議和改進措施：IT審計公司需要根據評估結果，提出相應的建議和改進措施，以幫助客戶提高信息系統的安全性和可靠性。

總之，IT審計公司評估客戶的信息系統風險需要綜合考慮客戶的業務和信息系統環境，識別潛在的威脅和漏洞，評估風險的概率和影響，提出相應的建議和改進措施，以幫助客戶提高信息系統的安全性和可靠性。