私の会社の基幹システムは自社開発なのですが情シス要員が十分ではなく日常の運用にも応援をもらっているくらいです。そんな風なので開発にまっとうな手順が出来るわけが無く苦慮しています。
実際のところ、ちょっとした改造には要件定義、設計はやっていません。（テストも無いこともあります。）「ソース変更と本番環境設定を別の者がやる」ということだけを決めて、変更ステップの各段階で記録・承認が記録に残るように用紙を作成しました。
所詮は「統制」というのは「自社がこれでよいと決めたルールを確実に実行していること」なので”決めたルール”を軽度にすれば楽なコントロールは出来ます。「柔軟でスピーディに改修できるところが自社開発のいいところ」まさにその通りです。

私のところでは
・コンパイルを必要とする改造はすべてユーザから申請書を出させる。
・申請書はしかるべき（財務に関わる場合は役員クラスの）承認が必要。
・情シスは申請書に改造が必要なプログラム、ＪＣＬ、データ（ファイル）を書き出す。
・それについて誰が変更した「判子」、誰が確認した「判子」。
・テストした「判子」、テスト結果を見たユーザの判子、本番環境を作成した「判子」、本番初回の結果を見たユーザの判子
・これらの記述・判子が申請書に追記されそれをみた情シスの上位の長の判子
で完了
と言う風にやっています。判子ばかりで大変そうですが判子さえそろえばいいのです。

実際のところ現状の体制にするまでは監査員とは かなりやり合いました。お仕着せのコントロールシートのままぶつけてくる監査員に対して「そんな事はできない」と言い返した事がなんどもあります。結局のところ「これくらいでかんべんしてよ」という程度のルールを作ってそれを「着実に実行する」ということでＯＫをもらっています。

プロセスがいっしょくたになってしまっており、規定通りに運用されていません。
「規定通りに運用できていない」のは”不備”になりますので”規程”の緩和を考えてはどうでしょうか。どこかの雛形を参考に規程を作られたと思いますが「カッチカチの規程」は守るのが大変です。統制項目を最小限に削りましょう。