ＩＴ全般統制における主要２プロセスである、１．変更管理　２．論理アクセス　について言及する。
　まず１の変更管理について記述する。変更管理とは主にプログラムの開発・修正履歴をシステムおよびシステム部門内で管理する統制のことである。（誰が・いつ・どのように、変更の話を出して、承認して、修正を行い、修正内容を検収し、本番環境に適応したかについて。）
　この変更管理はＩＴ全般統制（Information Technology General Control、以下ＩＴＧＣ）におけるメインの部分である。なぜなら変更管理こそが自動化された（ＩＴ化された）統制活動の機能の反復性を維持する仕組みだからであり、また２の論理アクセスの運用状況の有効性評価を変更管理に依拠する部分が存在するからである。
　変更管理の有効性評価も、基本的な業務処理統制の有効性評価と同様に、整備状況の評価と運用状況の評価の２つの観点から評価を行う。
　変更管理の整備状況の評価は、変更管理のルールが明文化されているか、また文書は存在しなくともルールが存在するか、そして１件サンプリングテストを行い、変更管理の統制活動が有効に存在しているかを評価する。業務処理統制の整備状況評価と全く同じである。
　なお予断であるがＵＳ・Ｊ−ＳＯＸ対応においては、ルールが存在していても文書化されていない場合は統制不備と判断する方向が現在の流れである。ＳＯＸ対応で文書化が叫ばれているのはこれのことである。
　変更管理の運用状況の評価は、主に２５件程度のランダムサンプリングによるテストにて評価する。その際にポイントとなるのがランダムサンプリングの母集団を明確にすることと、システム内の変更履歴をスタートとし、そこから変更管理文書の証跡をチェックしていくという、逆進方向でのテスト手法をとることである。（理想は逆進と順進両方行う。）これは、母集団の設定を慎重に行わなければ、網羅性の観点でランダムサンプリングの効果を疑うようなことが起こりうるからである。（モレ・ヌケなど）
　なお逆順方向でのテスト手法を採るのは、システム内に登録されているが変更管理文書が存在しないというリスクの抽出が可能だからである。　逆に順進では、変更管理文書をベースにシステム内の変更履歴を参照するためこのリスクを抽出できないが、その代わりに変更管理文書上に存在するがシステム内に存在しない変更履歴を抽出することが可能である。
　しかしリスクベースの観点から考えると、必要なものが存在しないリスクより、誰も知らない不必要なものが存在するリスクのほうが、不正の可能性という観点で捉えた場合によりリスクが高いと考えられる。そのため、そのようなリスクを抽出することが可能な逆進方向でのテスト手法を採用している。
　上記の整備状況と運用状況の評価により、ＩＴＧＣにおける変更管理の有効性を評価する。
　次に２の論理アクセスについて述べる。これはデータの改ざんを防ぐ仕組みであり、特にデータ変更の中心となるアプリケーションへのアクセス権管理への統制のことである。