IT审计公司评估客户的信息系统风险通常需要进行以下步骤：
1. 了解客户的业务和信息系统环境：IT审计公司需要了解客户的业务类型、信息系统架构、应用系统、网络设备、数据存储和处理方式等基本情况。
2. 确定信息系统的关键性：IT审计公司需要确定客户信息系统的关键性，包括涉及的业务流程、数据的重要性、系统的可靠性和可用性等。
3. 识别潜在的威胁和漏洞：IT审计公司需要通过对客户信息系统的安全性、完整性、可用性等方面进行评估，识别潜在的威胁和漏洞，包括网络攻击、内部恶意行为、自然灾害等。
4. 评估风险的概率和影响：IT审计公司需要评估潜在风险的概率和影响程度，并根据评估结果确定风险等级。
5. 提出建议和改进措施：IT审计公司需要根据评估结果，提出相应的建议和改进措施，以帮助客户提高信息系统的安全性和可靠性。

总之，IT审计公司评估客户的信息系统风险需要综合考虑客户的业务和信息系统环境，识别潜在的威胁和漏洞，评估风险的概率和影响，提出相应的建议和改进措施，以帮助客户提高信息系统的安全性和可靠性。