COBIT este un cadru de referinţă. În consecinţă:

• Nu este silverbullet.
• Este nevoie ca ce este scris să fie şi interpretat prin prisma organizaţiie.
• Nu toate procesele descrise au acelaşi grad de importanţă pentru toate organizaţiile.
• Evaluarea maturităţii unui proces nu produce rezultate în alb şi negru. Nu se aplică singular modelul de la finalul procesului (Dacă nu ai politică de securitate nu înseamnă că procesul este inexistent)
• COBIT prezintă procese, în spatele proceselor sînt activităţi iar în spatele activităţilor sînt OAMENI!