Концепция сценария риска в COBIT 5 for Risk включает пять основных компонентов: источник угрозы (внутренний или внешний), тип угрозы (злоумышленные действия, ошибки, природные катастрофизмы и т.д.), событие (раскрытие информации, модификация, кража, уничтожение и т.д.), связанные активы (люди, оргструктуры, процессы, ИТ-инфраструктура и т.д.) и временной аспект, учитывающий прогнозируемую длительность негативного влияния и критичность события в зависимости от календарного периода или времени суток. COBIT 5 for Risk также предоставляет более ста различных сценариев рисков, разделенных на 20 категорий, от управления ИТ-инвестициями до рисков, связанных с поставщиками и атаками, с рекомендациями по снижению рисков, сгруппированными по семи факторам влияния.