A Governança de TI está relacionada a métricas de como a empresa lida com seus recursos tecnológicos. Este tipo de Governança possui alguns componentes típicos, que são riscos e compliance. Sobre os riscos, qualquer impacto em potencial nos objetivos da empresa, causado por um evento não planejado, deve ser identificado, analisado e avaliado. Já o compliance pode ser definido como:

• o dever de cumprir, estar em conformidade e fazer cumprir regulamentos internos e externos impostos às atividades da instituição.
• o resultado da avaliação de riscos. que deve ser entendido pelas partes interessadas e expresso em termos financeiros.
• a integração da gestão de riscos da TI com a gestão de riscos da organização.
• o processo de identificar estratégias de risco, como evitar, reduzir, compartilhar ou aceitar o risco.
• um mapa simples do processo de negócio, a fim de identificar qual o serviço mais importante do apoio da TI.