В COBIT 5 for Risk риски разделены на 20 категорий, охватывающих различные аспекты управления ИТ. Это включает категории, связанные с управлением ИТ-инвестициями, программами и проектами, рисками, связанными с поставщиками, вредоносным ПО, атаками, регуляторами и другими областями. Каждая категория содержит подробные описания типовых ИТ-рисков с рекомендациями по их снижению, основанными на семи факторах влияния, что позволяет применять эти рекомендации в различных сценариях управления рисками.