Segundo o COBIT 4.1, o processo de Avaliar e Gerenciar Risc...

pela nota atribuída pelos executivos da empresa quanto ao sucesso das ações de TI para a estratégia de negócio e pela nota atribuída pelos usuários quanto à satisfação com o serviço diário prestado pela área de TI.

pelo percentual de objetivos críticos de TI cobertos pela avaliação de risco, percentual de riscos críticos de TI identificados que tenham planos de ação desenvolvidos e percentual dos planos de ação de gestão de risco aprovados para implementação.

pelo número de incidentes de segurança ocorridos, tempo médio para solução de ocorrências e nota de qualidade da solução aplicada.

pelo percentual das partes interessadas satisfeitas com a qualidade da TI, percentual dos processos de TI formalmente revisados pelo processo de garantia de qualidade e percentual dos processos que recebem revisões de garantia de qualidade.

pelo nível de satisfação das partes interessadas com as experiências e habilidades da equipe de TI, rotatividade da equipe de TI e percentual da equipe de TI certificado de acordo com as necessidades da função.