O plano de ações — que reflete os desdobramentos das estratégias empresariais — consiste na explicação de “o que fazer”.

O planejamento estratégico tem, entre outras, a função de revitalizar a visão, a missão e os valores que representam a identidade e a personalidade da empresa perante o mercado.

Quando uma organização opta por se expor, até o máximo de risco, para conseguir atingir seus objetivos, esse risco é denominado risco aceitável.

A realização de uma mudança em um processo, como a troca de aquecedores a óleo combustível por equivalentes alimentados por eletricidade, representa tanto eliminação de risco do vazamento ou derramamento de óleo quanto redução de risco de incêndio.

Um exemplo de aceitação de risco consiste na contratação de seguro para cobrir eventuais perdas ou danos.

A avaliação de riscos, por ser base para a tomada de decisões referentes à retenção de risco, é uma atividade-chave.

O objetivo principal do CMMI é prover as organizações de diretrizes fundamentadas em melhores práticas e contribuir, assim, para a melhoria dos processos e habilidades organizacionais, cobrindo o ciclo de vida de produtos e serviços completos, nas fases de concepção, desenvolvimento, aquisição, entrega e manutenção.

Um dos componentes da estrutura do CMMI consiste no conjunto das práticas específicas, as quais correspondem à descrição das atividades consideradas importantes para o atendimento de metas específicas.

Os critérios de informação do COBIT para atender os objetivos de negócios são: efetividade, eficiência, eficácia, confidencialidade, integridade, conformidade e confiabilidade.

O completo cumprimento dos requisitos do COSO (Comitee of Sponsoring Organization) para controle do ambiente de TI é um dos benefícios advindos da implementação do COBIT como modelo de governança de TI nas organizações.