In het Risk3-model wordt de doelstelling van business/IT in verband gebracht met drie afzonderlijke risico's tijdens het beheren van IT-Projecten:
Wat zijn de technische risico's en zal het systeem functioneren zoals het zou moeten?
Wat zijn de organisatorische risico's: zullen individuen binnen de organisatie het systeem gebruiken zoals ze zouden moeten?
Wat zijn de zakelijke risico's: zijn de uitvoering en de goedkeuring van het systeem te vertalen naar business value?