Desde una perspectiva de riesgo, establecer el contexto consiste en definir los parámetros básicos

para la gestión del riesgo, así como el alcance y los criterios para el resto del proceso. Para ello,
se deben considerar, tanto los parámetros internos como los externos relevantes, así como los
antecedentes de los riesgos que se están evaluando.

Al establecer el contexto, debemos tener en cuenta los objetivos de evaluación de riesgos, los
criterios de riesgo así como el programa de evaluación de riesgos. Vamos a desarrollar a
continuación cada una de estas tareas:

Para una evaluación de riesgos , al establecer el contexto, deberíamos incluir su definición y la

clasificación de los criterios de riesgo interno y externo:

A la hora de establecer el contexto externo, la organización debe familiarizarse con el entorno en

el que opera. Para ello, será preciso tener en cuenta:

o Factores del entorno cultural, político, jurídico, normativo, financiero, económico y de la

competencia, ya sea internacional, nacional, regional o local.

o Factores clave y tendencias que tengan impacto en sus objetivos.

o Las capacidades y valores de los grupos de interés externos (stakeholders).

Por otra parte, para establecer el contexto interno, es imprescindible la comprensión de:

o Las capacidades de la organización en términos de recursos y conocimientos.

o Los flujos de información y los procesos de toma de decisiones.

o Las partes interesadas o “stakeholders” internos.

o Los objetivos y las estrategias definidas para alcanzarlos.

o La misión, los valores y la cultura de la entidad.

o Sus políticas y procesos.

o Las normas, estándares y modelos de referencia adoptados por la organización.

o Las estructuras internas (organigramas, roles y responsabilidades).

A la hora de establecer el contexto del proceso de gestión de riesgos, también debemos definir:

o El alcance de las actividades de gestión del riesgo, documentando explicitamente

las exclusiones.

o El alcance del proyecto, proceso, función o actividad en términos de tiempo y localización.

 o Las relaciones entre un determinado proyecto o actividad y otros proyectos o actividades
de la organización.

o La metodología de evaluación.

o Los criterios de riesgo.

o Cómo evaluar el desempeño en la gestión del riesgo.

o Las decisiones y acciones que se tienen que hacer.

Cuando hablamos de los criterios del, esto implica que debemos decidir:

o La naturaleza y el tipo de consecuencias que deben incluirse y cómo van a ser medidas.

o La forma en que expresaremos los niveles de probabilidad.

o Cómo determinará el nivel de riesgo aceptable.

o Los criterios por los que se decidirá cuando un riesgo requiere tratamiento y cuando no.

o Los criterios para decidir cuando un riesgo es aceptable y/o tolerable.

o Si tendremos en cuenta o no las combinaciones de diferentes escenarios de riesgo.

Para todo lo anterior, será útil basarse en fuentes como:

o Los objetivos previamente establecidos.

o Diversas fuentes de datos en general.

o Criterios de la industria generalmente aceptados.

o El apetito de riesgo que tenga la organización.

o Los requisitos legales o otro tipo.