Analisis risiko merupakan bagian terpenting dari kegiatan proses manajemen risiko. Proses tersebut terdiri dari keseluruhan kegiatan menganalisis risiko dan mengevaluasi risiko. Evaluasi risiko merupakan proses yang digunakan untuk menentukan prioritas yang diberikan oleh manajemen risiko dengan cara membandingkan tingkatan suatu risiko dengan standard yang digunakan, target ataupun kriteria lainnya yang telah ditentukan oleh pihak manajemen. Proses evaluasi risiko terdapat keterkaitan dengan beberapa kebu tuhan dari berbagai macam pengguna bisnis dan penyedia layanan Teknologi Informasi (TI) seperti ketersediaan layanan, pemeliharaan, kapasitas dan kualitas. Terdapat beberapa kontrol TI yang dapat digunakan pada perusahaan tetapi semuanya tidak harus digunakan. Dalam penelitian ini diusulkan kerangka kerja pemilihan kontrol TI berdasarkan pendekatan risiko dan menentukan expected monetary values sesuai dengan standard yang digunakan. Pemilihan kontrol TI tidak berkaitan dengan kerangka kerja tertentu. Uji coba dilakukan dengan menggunakan beberapa kontrol TI dan risiko yang sudah teridentifikasi. Setelah itu menentukan expected monetary values dan pemeringkatan kontrol TI dengan menggunakan metode cumulative voting. Dari hasil uji coba dihasilkan diantaranya semakin tinggi peringkat kontrol TI maka semakin tinggi peluang kontrol TI untuk mengurangi risiko. Biaya kontrol TI mempengaruhi pengurangan risiko yang sudah teridentifikasi. Semakin tinggi biaya kontrol TI maka semakin besar peluang untuk mengurangi risiko.