COBIT se divide en tres fases: dominios, procesos y actividades. Los dominios agrupan procesos relacionados con una responsabilidad organizacional. Los procesos son conjuntos de actividades con objetivos medibles. COBIT define 34 objetivos de control para los procesos de TI, agrupados en 4 dominios: planificación y organización (estrategia, tácticas y establecimiento de una organización y infraestructura tecnológica apropiadas), adquisición y implementación, entrega y soporte, y monitoreo y evaluación.