COBIT fue creado por la Asociación para la Auditoría y Control de Sistemas de Información, y el instituto de Administración de las tecnologías de la Información.

En 1996, la primera edición de COBIT fue publicada. Esta colección y análisis de fuentes internacionales reconocidas y fue realizado por equipos en Europa, Estados Unidos y Australia.
Características:
•Tenía un objetivo de control.
• Guías o Directrices de Auditoría.

En 1998, fue publicada la segunda edición; su cambio principal fue la adición de las guías de gestión.
Características:
• Guías de Autoevaluación.
• Actualización de la versión automatizada.
• Referencias y material de apoyo adicional.

Para el año 2000, la tercera edición fue publicada y en el 2003, la versión en línea ya se encontraba disponible en el sitio de ISACA. Fue posterior al 2003 que el marco de referencia de COBIT fue revisado y mejorado para soportar el incremento del control gerencial, introducir el manejo del desempeño y mayor desarrollo del Gobierno de TI.
Características:
• Incorporación de las Guías de controles.
• Mejoras en los objetivos de control.
• Identificación de indicadores de desempeño.

En diciembre de 2005, la cuarta edición fue publicada y en mayo de 2007, se liberó la versión 4.1. En su cuarta edición, COBIT tiene 34 procesos que cubren 210 objetivos de control (específicos y detallados) clasificados en cuatro dominios:
1. Planificación y Organización.
2. Adquisición e Implementación.
3. Entrega y Soporte.
4. Supervisión y Evaluación.

ISACA lanzó el 10 de abril del 2012 la nueva edición de este marco de referencia. COBIT 5 es la última edición del Framework mundialmente aceptado, el cual proporciona una visión empresarial del Gobierno de TI que tiene a la tecnología y a la información como protagonistas en la creación de valor para las empresas.

COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración de otros marcos y normas como Val IT y Risk IT, Information Technology Infrastructure Library (ITIL) y las normas ISO relacionadas en esta norma.

Este nuevo marco de referencia viene integrado principalmente del Modelo de Negocios para la Seguridad de Información (BMIS, Business Model for Information Security) y el Marco de Referencia para el Aseguramiento de la Tecnología de la Información (ITAF, Information Technology Assurance Framework).