Diretriz é o conjunto de políticas, procedimentos, práticas e estruturas organizacionais planejadas para prover uma garantia razoável de que os objetivos de negócio serão alcançados e que eventos indesejáveis serão evitados ou detectados e corrigidos.

O COBIT, tanto em sua versão 3 como na 4, possui 34 processos divididos em quatro domínios. No domínio dirigido por métricas (measurement-driven), definem-se os objetivos de gerenciamento e controle a serem considerados pelo empreendimento.

A implementação de um ambiente de controle adequado ocorre quando se considera que os aspectos capability, cobertura e controle foram atingidos. Melhorar a maturidade organizacional reduz riscos e incrementa a eficiência, levando a menos erros, a processos mais previsíveis e com boa relação custo-eficiência dos recursos.

São exemplos de critérios de qualidade para manter a confidencialidade trabalhar com informações relevantes e pertinentes aos processos de negócio, entregar essas informações tempestivamente, corretas, consistentes e úteis.

A governança integra e institucionaliza as boas práticas para garantir que a TI irá sustentar os objetivos de negócio. O alinhamento estratégico visa garantir a ligação entre planos de negócio e de TI para que seja possível definir, validar e manter a proposta de valor de TI (IT value proposition) e para que se possa alinhar as operações de TI com as operações de negócio.

Governança em TI é responsabilidade dos executivos e diretores da organização. Consiste na liderança, nas estruturas organizacionais e nos processos que garantam que a TI da organização sustente e estenda as estratégias e os objetivos da organização.

A orientação a negócios do COBIT compreende o alinhamento entre objetivos organizacionais e os objetivos de TI. Para tanto, a gerência procura identificar as atividades mais importantes a serem executadas, medir o progresso obtido em relação aos objetivos a serem atingidos e determinar se os processos de TI estão sendo executados adequadamente.

O gerenciamento do catálogo de serviços produz informações sobre serviços acordados e assegura que estejam disponíveis às pessoas autorizadas a obtê-las. Os indicadores de desempenho chave associados ao catálogo de serviços são o número de produtos produzidos e o de variações detectadas entre as informações contidas no catálogo e observáveis nas instalações dos clientes externos da organização.

No gerenciamento das operações, os planos se tornam ações, e o foco está nas atividades diárias e de curto prazo, embora tais atividades sejam realizadas e repetidas em um período de tempo relativamente grande. As atividades são realizadas geralmente por técnicos especializados que recebem treinamento para desempenhar cada uma delas.

Para gerir complexidades em sistemas, o requisito de modularidade do sistema agrupa itens funcionalmente similares para formar módulos autocontidos e integrados. Ações de controle em sistemas de loop aberto são dirigidas a objetivos e sensíveis a distúrbios ou desvios.