Como indica el artículo dos de la LGCU la valoración del riesgo es la identificación y análisis de los riesgos que enfrenta la institución, tanto de fuentes internas como externas relevantes para la consecución de los objetivos; deben ser identificados por el jerarca y los titulares subordinados, con el fin de determinar cómo se deben administrar dichos riesgos.
La norma 3.1 indica que el jerarca y los titulares subordinados, según sus competencias, deben definir, implantar, verificar y perfeccionar un proceso permanente y participativo de valoración del riesgo institucional, como componente funcional del SCI. Las autoridades indicadas deben constituirse en parte activa del proceso que al efecto se instaure.