COBIT认为信息化建设就是借助"IT资源"，通过管理活动（activities），将输入的"事件"转换为"信息"。IT治理就是对这个控制、转换过程进行管理和控制。COBIT将"信息"的特性划分为：效果、效率、机密性、完整性、适用性、遵从性（即遵守有关的法律法规、规章制度）、可靠性等七个属性，将"IT资源"划分为：技术、应用、人员、设施、数据。信息及资源的关系见图1。从图1我们可以看到，IT资源是将事件转换为信息的装置，COBIT将这个装置形象地描述为一个圆柱体，圆柱体的核心是数据，数据外围包裹着由"技术"、"（IT）设施"、"人员"组成竖井，竖井外包围的是"应用（系统）"。

图1 IT治理模型

   　 COBIT采用关键目标指示KGI（Key Goal Indicators）表达一个过程要达到哪些指标，KGI可以与著名的绩效考核方法"平衡记分法"中的绩效指标相关联。为了衡量每个过程在"多大程度"上达到了KGI，COBIT设置了 "关键性能指示（KPI）"（Key Performance Indicators）。COBIT将IT治理过程划分为34个过程（下面将谈到），为每个过程给出了为了实现KGI必须完成的一系列重要工作 -- "重要成功因素CSF"（Critical Success Factors）。而每个过程达到的关键性能指示（KPI）的程度则用六个成熟度级别来表示，它们是：0-混沌（根本不存在）、1-初始级；2-可重复级、3-可定义级、4-可管理级、5-优化级。

    　COBIT将IT治理过程或信息化建设过程划分为四个域：计划和组织（Planning and Organization）、获取和实施（Acquisition & Implementation）、交付和支持（Delivery and Support）、监视（Monitoring）。每个过程域下面又划分为若干过程：

    　* 过程域"计划和组织"包括：PO1-IT战略规划确定、PO2-信息结构确定、PO3-技术方向确定、PO4-IT组织及关系确定、PO5-IT投资管理、PO6-沟通管理的目标和方向、PO7-人力资源管理、PO8-遵守外部要求的保证、PO9-风险评估、PO10-项目管理、PO11-质量管理。

    　* 过程域"获取和实施"包含：AI1-自动解决方案的识别、AI2-应用软件的获取和维护、AI3-技术设施的获取和维护、AI4-开发和维护程序、AI5-安装和授权系统、AI6-变更管理。

   　 * 过程域"交付和支持"包括：DS1-服务水平定义及管理、DS2-第三方服务管理、DS3-性能和容量管理、DS4-不间断服务保证、DS5-系统安全保证、DS6-成本的识别和分配、DS7-用户教育和培训、DS8-对客户的协助和建议、DS9-配置管理、DS10-问题和意外事件管理、DS11-数据管理、DS12-设施管理、DS13-运行管理。

    　* 过程域"监视"则包含了：M1-监视过程、M2-评估内部控制充分性、M3-获得独立保证、M4-提供独立审计。