Establecemos el alcance y parámetros de las actividades relacionadas con la gestión de riesgos para lograr una evaluación y tratamiento eficaz. Esto implica conocer el contexto externo e interno, es decir, el entorno en el cual la institución busca definir y lograr sus objetivos.

El equipo identifica los riesgos del proceso, con el fin de registrar todos aquellos eventos que puedan de alguna manera afectar o impedir el cumplimiento de estos y/o que tengan un gran impacto en los objetivos institucionales. Se contempla aquí el cumplimiento de requisitos legales, desempeño del proceso, cambios en el entornoy resultados de las auditorías y procesos de evaluación externos.

La etapa de análisis de riesgos permite evaluar el riesgo a partir de la combinación de dos componentes: Impacto (consecuencia) y probabilidad. Para la valoración del impacto se tienen en cuenta los siguientes atributos:

•    Imagen
•    Satisfacción
•    Operatividad
•    Cumplimiento de requisitos
•    Económico
•    Seguridad de la información
•    Ambiental
•    Desarrollo institucional
•    Personas