COBIT5 for Risk (ранее известный как Risk IT) предлагает строгий, структурированный подход к описанию и управлению рисками. Его отличительной особенностью является учет дополнительных параметров при оценке рисков, таких как прогнозируемая длительность негативного влияния, критичность события относительно календарного периода или времени суток. Документ содержит множество практических примеров, размещенных в виде плашек на полях, и включает сотни примеров рисков, классифицированных по 20 категориям – от управления ИТ-инвестициями и проектами до рисков, связанных с поставщиками, вредоносным ПО, атаками и регуляторами. Для каждого риска указаны соответствующие контрмеры.