Esta etapa es altamente relevante porque en ella se definen los riesgos que serán incluidos en el Mapa y sobre los cuales se detectarán controles y se ejecutará monitoreo y supervisión. Lo no visualizado aquí quedará inevitablemente fuera del ciclo de gestión de riesgos hasta tanto el mismo no sea reiniciado. El objetivo de este momento es generar una lista de riesgos lo suficientemente amplia como para que cubra todos los procesos/objetivos estratégicos, operacionales o de proyectos (Szlaifsztein, 2016). Para ello, deben ejecutarse una serie de pasos. Cada uno de ellos generará información que será incluida en una matriz resultante de la secuencia (Secretaría de Transparencia, 2015).