Pruebas basadas en riesgos: enfoque, matriz, proceso y ejemplos

Pruebas basadas en riesgos

Pruebas basadas en riesgos (RBT) es un tipo de prueba de software que se basa en la probabilidad de riesgo. Implica evaluar el riesgo basándose en software com.plexidad, criticidad del negocio, frecuencia de uso, posibles áreas con Defecto etc. Las pruebas basadas en riesgos priorizan las pruebas de características y funciones de la aplicación de software que tienen más impacto y probablemente tengan defectos.

El riesgo es la ocurrencia de un evento incierto con un efecto positivo o negativo en los criterios de éxito mensurables de un proyecto. Podrían ser eventos que han ocurrido en el pasado o eventos actuales o algo que podría suceder en el futuro. Estos eventos inciertos pueden tener un impacto en los objetivos de costo, negocios, técnicos y de calidad de un proyecto.

Los riesgos pueden ser positivos o negativos.

  • Riesgos positivos se denominan oportunidades y ayudan a la sostenibilidad empresarial. Por ejemplo, invertir en un nuevo proyecto, cambiar los procesos comerciales, desarrollar nuevos productos.
  • Riesgos negativos se conocen como amenazas y se deben implementar recomendaciones para minimizarlas o eliminarlas para que el proyecto tenga éxito.

En este tutorial, aprenderá-

Cuándo implementar pruebas basadas en riesgos

Las pruebas basadas en riesgos se pueden implementar en

  • Proyectos que tienen limitaciones de tiempo, recursos, presupuesto, etc.
  • Proyectos donde el análisis basado en riesgos se puede utilizar para detectar vulnerabilidades a Ataques de inyección SQL.
  • Pruebas de seguridad en entornos de computación en la nube.
  • Nuevos proyectos con factores de alto riesgo como falta de experiencia con las tecnologías utilizadas, falta de conocimiento del dominio empresarial.
  • Modelos incrementales e iterativos, etc.

Proceso de gestión de riesgos

Ahora comprendamos los pasos involucrados en el proceso de gestión de riesgos.

Identificación de riesgo

La identificación de riesgos se puede realizar a través de talleres de riesgos, listas de verificación, lluvia de ideas, entrevistas.wing, Técnica Delphi, diagramas de causa y efecto, lecciones aprendidas de proyectos anteriores, análisis de causa raíz, contacto con expertos en el dominio y en la materia.

Registro de riesgo es una hoja de cálculo que tiene una lista de riesgos identificados, respuestas potenciales y causas fundamentales. Se utiliza para monitorear y rastrear los riesgos (tanto amenazas como oportunidades) a lo largo de la vida del proyecto. Las estrategias de respuesta al riesgo se pueden utilizar para gestionar los riesgos positivos y negativos.

La estructura de desglose de riesgos juega un papel importante en la planificación de riesgos. La estructura de desglose de riesgos ayudaría a identificar las áreas propensas a riesgos y contribuiría a una evaluación y seguimiento de riesgos eficaces durante el transcurso del proyecto. Ayuda a proporcionar tiempo y recursos suficientes para las actividades de gestión de riesgos. También ayuda a categorizar muchas fuentes de las que pueden surgir los riesgos del proyecto.

Ejemplo de estructura de desglose de riesgos

Análisis de Riesgos (Incluye Análisis Cuantitativo y Cualitativo)

Una vez identificada la lista de riesgos potenciales, el siguiente paso es analizarlos y filtrar el riesgo en función de su importancia. Una de las técnicas de análisis de riesgos cualitativos es el uso de la Matriz de Riesgos (que se trata en la siguiente sección). Esta técnica se utiliza para determinar la probabilidad y el impacto del riesgo.

Planificación de respuesta a riesgos

A partir del análisis podemos decidir si los riesgos requieren una respuesta. Por ejemplo, algunos riesgos requerirán una respuesta en el plan del proyecto, mientras que otros requerirán una respuesta en el seguimiento del proyecto y otros no requerirán ninguna respuesta en absoluto.

El propietario del riesgo es responsable de identificar opciones para reducir la probabilidad y el impacto de los riesgos asignados.

Mitigación de riesgos Es un método de respuesta al riesgo que se utiliza para disminuir los impactos adversos de posibles amenazas. Esto se puede hacer eliminando los riesgos o reduciéndolos a un nivel aceptable.

Contingencia de Riesgo

La contingencia puede describirse como la posibilidad de un evento incierto, pero el impacto es desconocido o impredecible. Un plan de contingencia también se conoce como plan de acción/planes de respaldo para los peores escenarios. En otras palabras, determina qué medidas se podrían tomar cuando se materialice un evento impredecible.

Seguimiento y Control de Riesgos

El proceso de control y monitoreo de riesgos se utiliza para rastrear los riesgos identificados, monitorear los riesgos residuales, identificar nuevos riesgos, actualizar el registro de riesgos, analizar las razones del cambio, ejecutar el plan de respuesta a los riesgos y monitorear los desencadenantes de riesgos, etc. Evaluar su efectividad en la reducción de riesgos. .

Esto se puede lograr mediante reevaluaciones de riesgos, auditorías de riesgos, análisis de variaciones y tendencias, medición del desempeño técnico, reuniones de actualización de estado y reuniones retrospectivas.

La siguiente tabla proporciona información sobre los

Aportes al Monitoreo y Control de Riesgos Herramientas y técnicas para el seguimiento y control de riesgos Resultados del seguimiento y control de riesgos
Plan de gestión de Riesgos Auditorías de respuesta a los riesgos del proyecto Planes de solución
Plan de respuesta a riesgos Revisiones periódicas de riesgos del proyecto Acción correctiva
Plan de comunicación del proyecto Análisis del valor ganado Solicitudes de cambio de proyecto
Identificación y análisis de riesgos adicionales Medición del desempeño técnico Actualizaciones del plan de respuesta al riesgo y la lista de verificación de identificación de riesgos
Cambios de alcance Planificación de respuesta a riesgos adicionales Base de datos de riesgos

Necesitamos recordar que el riesgo aumenta con los cambios en la tecnología, el tamaño del proyecto, la duración del proyecto (plazo de tiempo más largo), el número de agencias patrocinadoras, las estimaciones del proyecto, los esfuerzos y la escasez de habilidades apropiadas.

Enfoque de prueba basado en riesgos

  1. Analizar los requisitos.
  2. Se revisan los documentos (SRS, FRS, casos de uso). Esta actividad se realiza para encontrar y eliminar errores y ambigüedades.
  3. La aprobación de requisitos es una de las técnicas de reducción de riesgos para evitar la introducción de cambios tardíos en los proyectos. Cualquier cambio en los requisitos una vez establecido el documento implicaría un proceso de control de cambios y aprobaciones posteriores.
  4. Evalúe los riesgos calculando la probabilidad y el impacto que cada requisito podría tener en el proyecto tomando los criterios definidos como costo, cronograma, recursos, alcance, desempeño técnico, seguridad, confiabilidad, com.plexetc. en consideración.
  5. Identificar la probabilidad de falla y las áreas de alto riesgo. Esto se puede hacer utilizando la matriz de evaluación de riesgos.
  6. Utilice un registro de riesgos para enumerar el conjunto de riesgos identificados. Actualizar, monitorear y rastrear los riesgos periódicamente a intervalos regulares.
  7. Es necesario realizar un perfil de riesgo en esta etapa para comprender la capacidad de riesgo y los niveles de tolerancia al riesgo.
  8. Priorizar los requisitos en función de la calificación.
  9. Se define el proceso de prueba basado en riesgos
  10. Se pueden considerar riesgos altamente críticos y medianos para la planificación de la mitigación, la implementación y el seguimiento del progreso. Los riesgos bajos se pueden considerar en una lista de vigilancia.
  11. La evaluación de la calidad de los datos de riesgo se realiza para analizar la calidad de los datos.
  12. Planificar y definir pruebas según la calificación.
  13. Aplique un enfoque de prueba apropiado y técnicas de diseño de pruebas para diseñar los casos de prueba de manera que los elementos de mayor riesgo se prueben primero. Los elementos de alto riesgo pueden ser probados por un recurso con buena experiencia en conocimientos del dominio.
  14. Se pueden utilizar diferentes técnicas de diseño de pruebas, por ejemplo. utilizando la técnica de la tabla de decisiones en elementos de prueba de alto riesgo y utilizando la partición de equivalencia "sólo" para elementos de prueba de bajo riesgo.
  15. Los casos de prueba también están diseñados para cubrir múltiples funcionalidades y escenarios comerciales de un extremo a otro.
  16. Prepare los datos de prueba y las condiciones de prueba y el banco de pruebas.
  17. Revisar los planes de prueba, la estrategia de prueba, los casos de prueba, los informes de prueba o cualquier otro documento creado por el equipo de pruebas.
  18. La revisión por pares es un paso importante en la identificación de defectos y la reducción de riesgos.
  19. Realizar simulacros y controles de calidad de los resultados.
  20. Los casos de prueba se ejecutan según la prioridad del elemento de riesgo.
  21. Mantener la trazabilidad entre los elementos de riesgo, las pruebas que los cubren, los resultados de esas pruebas y los defectos encontrados durante las pruebas. Todas las estrategias de prueba ejecutadas correctamente reducirán los riesgos de calidad.
  22. Las pruebas basadas en riesgos se pueden utilizar en todos los niveles de prueba, p. Pruebas de componentes, integración, sistemas y aceptación.
  23. A nivel del sistema, debemos centrarnos en lo que es más importante en la aplicación. Esto se puede determinar observando la visibilidad de las funciones, la frecuencia de uso y el posible costo de una falla.
  24. Evaluación de criterios de salida. Todas las áreas de alto riesgo se probaron completamente y solo quedaron pendientes los riesgos residuales menores.
  25. Informes de resultados de pruebas basados ​​en riesgos y análisis de métricas.
  26. Reevaluar los eventos de riesgo existentes y los nuevos eventos de riesgo en función de los indicadores clave de riesgo.
  27. Actualización del registro de riesgos.
  28. Planes de contingencia: funciona como un plan alternativo/planes de emergencia para los riesgos de alta exposición.
  29. Análisis de defectos y prevención de defectos para eliminar los defectos.
  30. Se deben cubrir más intensivamente las pruebas de repetición y de regresión para validar las correcciones de defectos basadas en análisis de riesgo precalculados y áreas de alto riesgo.
  31. Pruebas de automatización basadas en riesgos (si es posible)
  32. Cálculo del riesgo residual
  33. Seguimiento y Control de Riesgos
  34. Los criterios de salida o criterios de finalización se pueden utilizar para diferentes niveles de riesgo. Todos los riesgos clave se han abordado con acciones apropiadas o planes de contingencia. La exposición al riesgo es igual o inferior al nivel acordado como aceptable para el proyecto.
  35. Reevaluación de perfiles de riesgo y comentarios de los clientes.

Enfoque de prueba basado en riesgos para la prueba del sistema

  1. Prueba técnica del sistema –Esto se conoce como prueba de entorno y prueba de integración. La prueba del entorno incluye pruebas en el entorno de desarrollo, pruebas y producción.
  2. Prueba del sistema funcional– Pruebas de todas las funcionalidades, características, programas, módulos. El propósito de esta prueba es evaluar si el sistema cumple con los requisitos especificados.
  3. Prueba del sistema no funcional-Pruebas de desempeño de requisitos no funcionales, pruebas de carga, pruebas de estrés, pruebas de configuración, pruebas de seguridad, procedimientos y documentación de respaldo y recuperación (documentación de sistema, operación e instalación).

El siguiente diagrama ofrece una descripción clara del proceso mencionado anteriormente.

Pruebas del sistema Incluye tanto pruebas funcionales como pruebas no funcionales.

Las pruebas funcionales garantizan que el producto/aplicación cumpla con los requisitos comerciales y del cliente. Por otro lado, las pruebas no funcionales se realizan para verificar si el producto cumple con las expectativas del cliente en términos de calidad, confiabilidad, usabilidad, rendimiento, compatibilidad, etc.

Cómo realizar pruebas basadas en riesgos: proceso completo

Esta sección cubre el proceso de prueba basado en riesgos.

  1. Identificación de riesgo
  2. Análisis de riesgo
  3. Respuesta a los riesgos
  4. Alcance de la prueba
  5. Definición del proceso de prueba

  1. En este proceso, se identifican y categorizan los riesgos, se prepara un borrador de registro de riesgos y se realiza una clasificación de riesgos para identificar los riesgos importantes.
  2. La respuesta al riesgo implica formular los objetivos de la prueba a partir de los riesgos y seleccionar técnicas apropiadas para demostrar la actividad de prueba/técnica de prueba para cumplir con los objetivos de la prueba.
  3. Para calcular la puntuación de efectividad de la prueba se consideran las dependencias de los documentos, los requisitos, el costo, el tiempo requerido para las pruebas del software, etc.
  4. El alcance de la prueba es una actividad de revisión que requiere la participación de todas las partes interesadas y del personal técnico. Es importante respetar el alcance de riesgos acordado. Estos riesgos deben abordarse mediante pruebas y todos los miembros deben estar de acuerdo con las responsabilidades que se les asignan y el presupuesto asignado para estas actividades.
  5. Una vez finalizado el alcance de la prueba, los objetivos, suposiciones y dependencias de la prueba para cada etapa de la prueba deben compilarse en el formato estándar.

Consideremos los requisitos funcionales F1, F2, F3 y los requisitos no funcionales N1 y N2.

F1-Requisito funcional, R1-Riesgo asociado a F1

  • Objetivo de la prueba 1: demostrar mediante una prueba que las características y funcionalidades esperadas del sistema funcionan bien y que el riesgo R1 se puede abordar mediante pruebas funcionales.
  • Probar-Las pruebas de la página del navegador se realizan para ejecutar tareas importantes del usuario y verificar que el R1 (Riesgo asociado con F1) pueda abordarse en una variedad de escenarios.

F2-Requisito funcional, R2-Riesgo asociado a F2

  • Objetivo de la prueba 2- Demostrar usando un Probar que las características y funcionalidades esperadas del sistema funcionan bien y que el riesgo R2 puede abordarse mediante pruebas funcionales
  • Probar-Las pruebas de la página del navegador se realizan para ejecutar tareas importantes del usuario y verificar que el R2 pueda abordarse en una variedad de escenarios.

F3-Requisito funcional, R3-Riesgo asociado a F3

  • Objetivo de la prueba 3- Demostrar usando un Probar que las características y funcionalidades esperadas del sistema funcionan bien y que el riesgo R3 puede abordarse mediante pruebas funcionales
  • Probar-Las pruebas de la página del navegador se realizan para ejecutar tareas importantes del usuario y verificar que R3 pueda abordarse en una variedad de escenarios.

N1- Requisito no funcional, NR1-Riesgo asociado a N1

  • Objetivo de la prueba N1: Demostrar usando un Probar que las características operativas del sistema funcionan bien y que el riesgo NR1 puede abordarse mediante pruebas no funcionales
  • Probar-La prueba de usabilidad es una técnica utilizada para evaluar qué tan fáciles son de usar las interfaces de usuario y verificar que el NR1 podría abordarse mediante pruebas de usabilidad.

N2- Requisito no funcional, NR2-Riesgo asociado a N2

  • Objetivo de la prueba N.2- Demostrar mediante una prueba que las características operativas del sistema funcionan bien y que el riesgo NR2 se puede abordar mediante pruebas no funcionales.
  • La prueba de seguridad es una técnica que se utiliza para verificar si la aplicación está segura o es vulnerable a ataques, si hay alguna fuga de información y verifica que NR2 pueda abordarse mediante pruebas de seguridad.

Objetivos específicos de la prueba: Los riesgos y objetivos de prueba enumerados son específicos de los tipos de prueba.

Procedimiento para diseñar el proceso de prueba basado en riesgos.

  • Elaborar un registro de riesgos. En él se registran los riesgos derivados de la lista de riesgos genérica, la lista de verificación existente y la sesión de lluvia de ideas.
  • Incluir los riesgos asociados con los requisitos funcionales y no funcionales del sistema (usabilidad, seguridad, rendimiento).
  • A cada riesgo se le asigna un identificador único
Col No. Encabezado de columna Descripción
3 Probabilidad Probabilidad del sistema propenso a este modo de falla
4 Consecuencias impacto de este modo de falla
5 Exposición Producto de probabilidad y consecuencias (columnas 3 y 4)
6 Efectividad de la prueba ¿Qué confianza tienen los evaluadores en que pueden abordar este riesgo?
7 Número de prioridad de prueba Producto de Probabilidad, Consecuencias y Eficacia de la Prueba (columna 3,4 6)
8 Objetivo(s) de la prueba ¿Qué objetivo de prueba se utilizará para abordar este riesgo?
9 Técnicas de prueba ¿Qué método o técnica se utiliza para
10 Dependencias ¿Qué suponen y de qué dependen los evaluadores?
11 Esfuerzo ¿Cuánto esfuerzo se requiere para esta prueba?
12 Escala de tiempo ¿Cuánto tiempo se requiere para realizar esta prueba?
13 Etapa de prueba A-Pruebas unitariasEtapa de prueba B-Prueba de integraciónEtapa de prueba C-Prueba del sistema Nombre de la persona o grupo que realiza esta actividad

Se evalúan la probabilidad (1 baja -5 alta) y las consecuencias (1 baja -5 alta) de cada riesgo.

  • La exposición de la prueba se calcula
  • El evaluador analiza cada riesgo y evalúa si el riesgo es comprobable o no.
  • Los objetivos de prueba están definidos para los riesgos comprobables.
  • Tester especifica la actividad de prueba que debe llevarse a cabo de forma planificada para cumplir con el objetivo de la prueba (revisiones estáticas, inspecciones, pruebas de sistemas, pruebas de integración, pruebas de aceptación, validación html, pruebas de localización, etc.)
  • Estas actividades de prueba se pueden clasificar en etapas (Prueba de componentes/Prueba unitaria, Pruebas de integración, Pruebas de sistemas, Pruebas de aceptación)
  • En ocasiones, un riesgo puede abordarse mediante una o más de una etapa de prueba.
  • Identificar las dependencias y supuestos (Disponibilidad de habilidades, herramientas, entornos de prueba, recursos)
  • Se calcula la efectividad de la prueba. La efectividad de la prueba se relaciona con el nivel de confianza del evaluador en que el riesgo se abordará definitivamente mediante la prueba. La puntuación de efectividad de la prueba es un número entre uno y cinco. (5-Confianza alta, 1-Confianza baja)
  • Estimación del esfuerzo, tiempo requerido, costo para preparar y ejecutar estas pruebas.

  • Se calcula el número de prioridad de la prueba. Es el producto de la probabilidad, las consecuencias y las puntuaciones de efectividad de las pruebas.
    • 125-MáximoàUn riesgo muy grave que podría detectarse con pruebas
    • 1-Mínimo àUn riesgo muy bajo que no se detectaría con pruebas
  • Según el número de prioridad de la prueba, la importancia de la prueba se puede clasificar como Alta (Roja), Media (Amarillo) y Baja (Verde). Los artículos de mayor riesgo se prueban primero.
  • Asignar las actividades de prueba a las etapas de prueba. Designar el grupo que realizará pruebas para cada objetivo en las diferentes etapas de prueba (Pruebas unitarias, Pruebas de integración, Pruebas de sistemas, Pruebas de aceptación)
  • Lo que está dentro y fuera del alcance de las pruebas se decide en la fase de determinación del alcance de las pruebas.
  • Para cada etapa se definen los objetivos de prueba, el componente bajo prueba, la responsabilidad, el entorno, los criterios de entrada, los criterios de salida, las herramientas, las técnicas y los entregables.

Objetivos de prueba genéricos: estos objetivos genéricos son aplicables a múltiples proyectos y aplicaciones.

  • El componente cumple con los requisitos y está listo para su uso en subsistemas más grandes.
  • Se abordan los riesgos asociados con los tipos de prueba específicos y se logran los objetivos de la prueba.
  • Los componentes integrados están correctamente ensamblados. Garantizar la compatibilidad de la interfaz entre los componentes.
  • El sistema cumple con los requisitos funcionales y no funcionales especificados.
  • Los componentes del producto satisfacen las necesidades del usuario final en el entorno operativo previsto.
  • La estrategia de gestión de riesgos se utiliza para identificar, analizar y mitigar riesgos.
  • El sistema cumple con los requisitos reglamentarios de la industria.
  • El Sistema cumple con las obligaciones contractuales
  • Institucionalización y logro de otros objetivos específicos establecidos como costos, cronograma y calidad.
  • El sistema, los procesos y las personas cumplen con los requisitos del negocio.

Los objetivos de prueba genéricos se pueden definir para las diferentes etapas de la prueba.

  • Prueba de componentes
  • Pruebas de integración
  • Pruebas del sistema
  • Test de aceptación

Consideremos la etapa de prueba del sistema.

  1. G4 y G5 demuestran que el sistema cumple con los requisitos funcionales (F1, F2, F3) y no funcionales (N1, N2).
  2. Demostrar mediante pruebas que las características y funcionalidades esperadas del sistema funcionan bien y que el riesgo asociado con F1, F2, F3 se puede abordar mediante pruebas funcionales.
  3. Demostrar mediante pruebas que las características operativas del sistema funcionan bien y que el riesgo asociado con N1, N2 se puede abordar mediante pruebas no funcionales.
  4. Según el número de prioridad de la prueba, la importancia de la prueba se puede clasificar como Alta (Roja), Media (Amarillo) y Baja (Verde).

Matriz de Priorización y Evaluación de Riesgos

La matriz de evaluación de riesgos es la matriz de probabilidad de impacto. Proporciona al equipo del proyecto una visión rápida de los riesgos y la prioridad con la que se debe abordar cada uno de estos riesgos.

Risk rating = Probability x Severity

La probabilidad es la medida de la probabilidad de que ocurra un evento incierto. Exposición en términos de tiempo, proximidad y repetición. Se expresa en términos de porcentaje.

Esto se puede clasificar como Frecuente(A), Probable(B), Ocasional(C), Remoto(D), Improbable(E), Eliminado(F)

  • Frecuente: se espera que ocurra varias veces en la mayoría de las circunstancias (91 – 100%)
  • Probable: Es probable que ocurra varias veces en la mayoría de las circunstancias (61 – 90%)
  • Ocasional: Puede ocurrir en algún momento (41 – 60%)
  • Remoto: es poco probable que ocurra/podría ocurrir en algún momento (11 – 40%)
  • Improbable: puede ocurrir en circunstancias raras y excepcionales (0 -10%)
  • Eliminar-Imposible que ocurra (0%)

La gravedad es el grado de impacto del daño o pérdida causada debido al evento incierto. Puntuado de 1 a 4 y puede clasificarse como Catastrófico=1, Crítico=2, Marginal=3, Insignificante=4

  • Catastrófico – Consecuencias duras que hacen que el proyecto sea completamente improductivo e incluso podrían llevar al cierre del proyecto. Esta debe ser una máxima prioridad durante la gestión de riesgos.
  • Critical– Grandes consecuencias que pueden provocar grandes pérdidas. El proyecto está gravemente amenazado.
  • Marginal – Los daños a corto plazo aún son reversibles mediante actividades de restauración.
  • despreciable– Poco o mínimo daño o pérdida. Esto puede controlarse y gestionarse mediante procedimientos de rutina.

La prioridad se clasifica en cuatro categorías, que se asignan a la gravedad y probabilidad del riesgo, como se muestra en la imagen a continuación.

  • Grave
  • Alta
  • Medio
  • Baja

Grave: Los riesgos que entran en esta categoría están marcados en color ámbar. Se debe detener la actividad y tomar medidas inmediatas para aislar el riesgo. Se deben identificar e implementar controles efectivos. Además, la actividad no debe continuar a menos que el riesgo se reduzca a un nivel bajo o medio.

Alto: Los riesgos que caen en esta categoría están marcados en color rojo como acciones o estrategias de gestión de riesgos. Se deben tomar acciones inmediatas para aislar, eliminar, sustituir el riesgo e implementar controles de riesgo efectivos. Si estos problemas no se pueden resolver de inmediato, se deben definir plazos estrictos para resolverlos.

Medio: Los riesgos que entran en esta categoría están marcados en color Amarillo. Se deben tomar medidas razonables y prácticas para minimizar los riesgos.

Bajo: Los riesgos que entran en esta categoría están marcados en color verde) marcados se pueden ignorar ya que normalmente no suponen ningún problema importante. La revisión periódica es imprescindible para garantizar que los controles sigan siendo eficaces.

Lista de verificación genérica para pruebas basadas en riesgos

Lista completa de puntos importantes a considerar en las pruebas basadas en riesgos

  • Funcionalidades importantes en el proyecto.
  • Funcionalidad visible para el usuario en el proyecto.
  • La funcionalidad que tiene el mayor impacto en la seguridad
  • Funcionalidades que tienen mayor impacto financiero en los usuarios
  • Altamente Complex áreas de código fuente y códigos propensos a errores
  • Características o funciones que se pueden probar al principio del ciclo de desarrollo.
  • Se agregaron características o funcionalidades al diseño del producto en el último minuto.
  • Factores críticos de proyectos anteriores similares/relacionados que causaron problemas/problemas.
  • Factores principales o problemas de proyectos similares/relacionados que tuvieron un gran impacto en los gastos de operación y mantenimiento.
  • Requisitos deficientes que conducen a diseños y pruebas deficientes que podrían tener un impacto en los objetivos y entregables del proyecto.
  • En el peor de los casos, un producto puede ser tan defectuoso que no pueda reelaborarse y deba desecharse por completo, lo que causaría graves daños a la reputación de la empresa. Identificar qué tipo de problemas son cruciales para los objetivos del producto.
  • Situaciones o problemas que provocarían quejas persistentes de servicio al cliente.
  • Las pruebas de extremo a extremo podrían centrarse fácilmente en las múltiples funcionalidades del sistema.
  • Conjunto óptimo de pruebas que pueden maximizar la cobertura de riesgos.
  • ¿Qué pruebas tendrán la mejor relación entre cobertura de alto riesgo y tiempo requerido?

Informes y métricas de resultados de pruebas basadas en riesgos

  1. Preparación del informe de pruebaInformar el estado de las pruebas consiste en comunicar eficazmente los resultados de las pruebas a las partes interesadas del proyecto. Y para brindar una comprensión clara y mostrar la comparación de los resultados de la prueba con los objetivos de la prueba.
  • Número de casos de prueba planificados versus ejecutados
  • Número de casos de prueba aprobados/fallidos
  • Número de defectos identificados y su estado y gravedad
  • Número de defectos y su estado.
  • Número de defectos críticos: aún abiertos
  • Tiempos de inactividad del entorno, si los hubiera
  • Showstoppers: si los hay, Informe resumido de prueba, Informe de cobertura de prueba
  1. Preparación de métricasLas métricas son una combinación de dos o más medidas que se utilizan para comparar procesos, proyectos y productos de software.
    • Variación de esfuerzo y horario
    • Productividad en la preparación de casos de prueba
    • Cobertura del diseño de pruebas
    • Productividad de ejecución de casos de prueba
    • % de eficiencia en la identificación de riesgos
    • % de eficiencia en mitigación de riesgos
    • % de efectividad de la prueba
    • Cobertura de ejecución de pruebas
    • Productividad de ejecución de pruebas
    • % de fuga de defectos
    • Eficiencia en la detección de defectos
    • Índice de estabilidad de requisitos
    • Costo de la calidad
  1. Analice los riesgos en categorías no funcionales (rendimiento, confiabilidad y usabilidad) según el estado de los defectos y una serie de estados de aprobación/falla de las pruebas, según su relación con los riesgos.
  2. Analice los riesgos en las métricas de las categorías funcionales de prueba, estado de defecto y estado de aprobación/rechazo de la prueba, en función de su relación con los riesgos.
  3. Identificar indicadores clave de avance y retraso y crear indicadores de alerta temprana.
  4. Monitorear e informar sobre los indicadores de riesgo de avance y retraso (indicadores clave de riesgo) mediante el análisis de los patrones, tendencias e interdependencias de los datos.

Evaluación de riesgo inherente versus evaluación de riesgo residual

La identificación y el análisis de riesgos también deben incluir riesgos inherentes, riesgos residuales, riesgos secundarios y riesgos recurrentes.

  • Riesgo inherente: Los riesgos que fueron identificados/ya presentes en el sistema antes de que se implementaran los controles y respuestas. Los riesgos inherentes también se conocen como riesgos brutos.
  • Riesgo residual: Los riesgos que quedan después de que se han implementado los controles y respuestas. Los riesgos residuales se conocen como riesgos netos.
  • Riesgo secundario: El nuevo riesgo causado por la implementación del plan de respuesta al riesgo.
  • Riesgos recurrentes: Probabilidad de que se produzcan los riesgos iniciales.

La medición de los resultados de las pruebas basada en el riesgo ayuda a la organización a conocer el nivel residual de riesgo de calidad durante la ejecución de las pruebas y a tomar decisiones de lanzamiento inteligentes.

Perfiles de riesgo y comentarios de los clientes

El perfil de riesgo es un proceso para encontrar el nivel óptimo de riesgo de inversión para el cliente considerando el riesgo requerido, la capacidad de riesgo y la tolerancia al riesgo.

  1. El riesgo requerido es el nivel de riesgo que el cliente debe asumir para obtener un rendimiento satisfactorio.
  2. La capacidad de riesgo es el nivel de riesgo financiero que el cliente puede permitirse asumir.
  3. La tolerancia al riesgo es el nivel de riesgo que el cliente preferiría asumir.

Comentarios

Recopile comentarios y reseñas de los clientes para mejorar el negocio, el producto, el servicio y la experiencia.

Beneficios de las pruebas basadas en riesgos

Los beneficios de las pruebas basadas en riesgos se detallan a continuación.

  • Mejora de la productividad y reducción de costes.
  • Oportunidad de mercado mejorada (tiempo de comercialización) y entrega a tiempo.
  • Rendimiento de servicio mejorado
  • Calidad mejorada a medida que se prueban todas las funciones críticas de la aplicación.
  • Proporciona información clara sobre la cobertura de la prueba. Utilizando este enfoque, sabemos qué se ha probado y qué no.
  • La asignación del esfuerzo de prueba basada en la evaluación de riesgos es la forma más eficiente y eficaz de minimizar el riesgo residual tras la liberación.
  • La medición de los resultados de las pruebas basada en el análisis de riesgos permite a la organización identificar el nivel residual de riesgo de calidad durante la ejecución de las pruebas y tomar decisiones de lanzamiento inteligentes.
  • Pruebas optimizadas con métodos de evaluación de riesgos altamente definidos.
  • Mayor satisfacción del cliente: debido a la participación del cliente y a buenos informes y seguimiento del progreso.
  • Detección temprana de las posibles áreas problemáticas. Se pueden tomar medidas preventivas eficaces para superar estos problemas.
  • El seguimiento y la evaluación continuos de los riesgos durante todo el ciclo de vida del proyecto ayudan a identificar y resolver los riesgos y a abordar los problemas que podrían poner en peligro el logro de las metas y objetivos generales del proyecto.

Resumen:

En Ingeniería de Software, las pruebas basadas en riesgos son la forma más eficiente de guiar el proyecto en función de los riesgos.

Los esfuerzos de prueba se organizan de manera efectiva y se califica el nivel de prioridad de cada elemento de riesgo. Luego, cada riesgo se asocia con las actividades de prueba apropiadas, donde una sola prueba tiene más de un elemento de riesgo, entonces la prueba se asigna como la de mayor riesgo.

Las pruebas se ejecutan según el orden de prioridad de riesgo. El proceso de monitoreo de riesgos ayuda a realizar un seguimiento de los riesgos identificados y a reducir los impactos de los riesgos residuales.