La Dirección debe revisar el sistema de control interno de la organización a intervalos planificados, para asegurarse de su conveniencia, adecuación y eficacia continuas.

Se considera apropiado que la revisión sea realizada al menos una vez al año.

La revisión por la dirección debe planificarse y llevarse a cabo incluyendo consideraciones sobre:

1. El estado de las decisiones y acciones emanadas de anteriores revisiones por la dirección;
2. La vigencia de la política de control interno;
3. Los cambios en el contexto externo e interno que sean pertinentes al sistema de control interno, incluyendo su direccionamiento estratégico;
4. La información sobre el desempeño del control interno, incluidas las tendencias e indicadores relativos a:

1. • Evolución de planes y objetivos institucionales;
   • Seguimiento y resultados de las mediciones;
   • Resultados de las auditorías internas y externas;
   • Retroalimentación de los grupos de interés;
   • Cuestiones relativas a los proveedores e instituciones externas, y a otras partes interesadas pertinentes;
   • Adecuación de los recursos requeridos para mantener un sistema de control interno eficaz;
   • El desempeño de los procesos y la conformidad de los productos y servicios.
2. La eficacia de las acciones tomadas para el tratamiento de los riesgos;
3. La gestión de los programas de mejora y las nuevas oportunidades de mejora potenciales.

Los elementos de salida del análisis crítico por la dirección deben incluir las decisiones y acciones relacionadas con:

1. Las oportunidades de mejora continua;
2. Cualquier necesidad de cambio en el sistema de control interno, incluyendo las necesidades de recursos.

La institución debe conservar información documentada como evidencia de los resultados de las revisiones realizadas.

La institución debe tomar acciones para optimizar continuamente su sistema de control interno, y para eliminar o minimizar las causas reales o potenciales de las debilidades detectadas.

Las acciones tomadas deben ser apropiadas a los beneficios esperados y/o a los efectos de las debilidades encontradas.

La institución debe establecer uno o varios procedimientos documentados para definir los requisitos para:

1. Revisar las oportunidades de mejora o las debilidades de control interno detectadas;
2. Determinar los beneficios o causas reales o potenciales asociadas;
3. Evaluar la necesidad de adoptar acciones para asegurarse que las mejoras sean alcanzadas o las debilidades sean resueltas;
4. Determinar e implementar las acciones necesarias, dentro de un plazo razonable;
5. Registrar los resultados de las acciones tomadas;
6. Revisar la eficacia de las acciones.