De acordo com a definição contida no COBIT , a gestão dos riscos requer a conscientização da direção da empresa, um claro entendimento do risco que a empresa está disposta a correr, compreender os requisitos normativos envolvidos, transparência quanto aos riscos significativos para a empresa e a inserção das responsabilidades na administração de riscos dentro da organização.

Abaixo os níveis de maturidade segundo em gestão de riscos conforme o COBIT 4.1:

0) Não existente, quando a avaliação de risco para processos e decisões de negócios não ocorre. A organização não considera os impactos nos negócios associados às vulnerabilidades de segurança e incertezas no desenvolvimento de projetos. A gestão de riscos não é identificada como relevante ao se adquirir soluções em TI e na entrega de seus serviços.

1) Inicial/Ad Hoc, quando os riscos de TI são considerados de maneira informal. Avaliações informais de riscos de projetos surgem conforme a situação particular de cada projeto. As estimativas de risco algumas vezes são identificadas em um planejamento de projeto, mas raramente atribuídas a gerentes específicos que sejam responsáveis por elas. Riscos específicos de TI, tais como segurança, disponibilidade e integridade, são considerados ocasionalmente no projeto básico. Riscos de TI que afetem operações do dia-a-dia quase nunca são discutidos nas reuniões gerenciais. Onde os riscos foram considerados, a minimização dos danos é inconsistente. Existe um entendimento emergente de que os riscos em TI são importantes e precisam ser considerados.

2) Repetitivo mas intuitivo, quando o desenvolvimento de uma abordagem de avaliação de risco existe e é implementada sob a ponderação dos gerentes de projeto. A gestão de risco é habitualmente tratada em pelos de escalão superior e é tipicamente empregada nos principais projetos ou em caso de ocorrência de problemas. Os processos de minimização de riscos são implementados onde os riscos são definidos.

3) Definido, quando uma organização, em uma ampla política de gestão de risco, define quando e como conduzir as estimativas de risco. A administração do risco segue um processo definido e documentado. Treinamento em gestão de risco está disponível para todos os membros da equipe. Decisões para seguir o processo de gestão de risco e receber treinamento se releva como decisão individual. A metodologia de estimativa de risco é convincente e sólida, e garante que os riscos chaves do negócio sejam identificados. Um processo para minimizar os ricos chaves é normalmente instituído assim que os riscos são identificados. As descrições dos cargos consideram as responsabilidades pela gestão dos riscos.

4) Gerenciado e Monitorado, quando a estimativa e o gerenciamento do risco é um procedimento padrão. Exceções ao processo de gerenciamento de risco são reportados ao gerente de TI. Gestão de risco de TI é responsabilidade de um gerente sênior. O risco é avaliado e minimizado individualmente no nível de projeto e também regularmente considerado por toda a operação de TI. Os gestores são avisados em caso de mudanças no negócio e no ambiente de TI que possam afetar de forma significativa os cenários de risco. Os gestores estão habilitados a monitorar a situação do risco e a decidir se as condições medidas estão em conformidade com o esperado.
Todos os riscos identificados possuem um proprietário designado e tanto a alta direção, como o gerente de TI, determinam os níveis de risco que a organização irá tolerar. Gerentes de TI desenvolvem padrões de medidas para estimativas de risco e definem as relações de risco/retorno. Há o pressuposto de que a gerencia reavalie os risco
operacionais regularmente. É criado uma base de dados de gestão de riscos, e parte dos processos de gestão de risco começam a ser automatizados. Os gestores de risco de TI cuidam de estratégias de minimizarão de riscos.

5) Otimizado, quando a gestão de risco evoluiu a um estágio em que um processo estruturado está implantado amplamente na organização e é bem administrado. Boas práticas são aplicadas por toda a organização. A captura, análise e relatório dos dados de gestão de riscos estão bastante automatizados. A orientação é tomada por especialistas da área e a organização de TI toma parte em grupos para troca de experiências. A gestão de riscos é realmente integrada a todos os negócios e às operações de TI, é bem aceita e envolve os usuários dos serviços de TI. A direção detecta e age quando as principais operações de TI e decisões de investimentos são feitas sem considerar o plano de risco. A direção continuamente avalia estratégias de minimização de riscos.