„Controls“ werden definiert als jene Richtlinien, Verfahren, Praktiken und Organisationsstrukturen, die zur Gewährleistung ausreichender Sicherheit entwickelt wurden, dass die Unternehmensziele erreicht und unerwünschte Ereignisse verhindert oder erkannt und korrigiert werden. Ein IT Control Objective ist eine Aussage über das gewünschte Ergebnis oder den zu erreichenden Zweck, der mit der Umsetzung von in bestimmten Aktivitäten integrierten Controls (engl.: Control Procedure) erreicht werden soll. Die Control Objectives von COBIT sind Minimalanforderungen für eine wirksame Steuerung jedes IT Prozesses.

Das operative Management setzt Prozesse ein, um die laufenden IT Aktivitäten zu organisieren und zu managen. COBIT stellt ein generisches Prozessmodell zur Verfügung, welches alle normalerweise in IT Funktionen vorzufindenden Prozesse beinhaltet und liefert so ein allgemeines, für das operative IT Management und das Unternehmens Management verständliches Referenzmodell.

Um eine wirksame Governance zu erreichen, müssen vom operativen Management Controls implementiert werden, die in ein für alle IT Prozesse festgelegtes Control Framework integriert sind. Nachdem die IT Control Objectives von COBIT nach IT Prozessen gegliedert sind, bildet dieses Framework einen eindeutigen Zusammenhang zwischen den Erfordernissen der IT Governance, der IT Prozesse und den IT Controls.

Jeder IT Prozess von COBIT enthält ein übergeordnetes Control Objective sowie mehrere detaillierte Control Objectives. In Summe stellen sie die Eigenschaften von angemessen gemanagten Prozessen dar.

Zusätzlich zur Akzeptanz der notwendigen Controls müssen Prozesseigner verstehen, welche Inputs von anderen Prozesseignern erforderlich sind und welche Outputs von diesen benötigt werden. COBIT enthält für jeden Prozess generische Beispiele der wesentlichsten Inputs und Outputs, inklusive der externen Anforderungen. Einige Outputs sind Inputs in allen anderen Prozessen, was in der Output Tabelle durch ‚ALLE’ ersichtlich ist. Diese Outputs wie Vorgaben für Qualitätsstandards und Anforderungen an Metriken, das IT-Prozess-Framework, dokumentierte Rollen und Verantwortlichkeiten, das unternehmensweite IT Control Framework, IT Richtlinien oder persönliche Rollen und Verantwortlichkeiten sind jedoch nicht in allen Prozessen als eigener Input angeführt.

Das Verständnis für die Rollen und Verantwortlichkeiten aller Prozesse ist ein wesentlicher Faktor für eine wirksame Steuerung. COBIT enthält für alle Prozesse RACI Charts. Dies sind Diagramme, die aufzeigen, wer zuständig (engl.: responsible), verantwortlich (engl.: accountable), konsultiert (engl.: consulted) und informiert (engl.: informed) ist. Verantwortlich zu sein, bedeutet die Letztverantwortung zu haben. Dies ist also die Person, die Vorgaben gibt oder Aktivitäten bewilligt. Unter zuständig sind Personen zu verstehen, die die Aktivität durchführen. Die beiden anderen Rollen stellen sicher, dass alle benötigten Beteiligten integriert sind und den Prozess unterstützen.