Test basati sul rischio: approccio, matrice, processo ed esempi
Tommaso Hamilton
Test basati sul rischio
Test basati sul rischio (RBT) è un tipo di test software che si basa sulla probabilità di rischio. Comporta la valutazione del rischio in base alla complessità del software, alla criticità del business, alla frequenza di utilizzo, alle possibili aree con Difetto ecc. I test basati sul rischio danno priorità al test delle caratteristiche e delle funzioni dell'applicazione software che hanno un maggiore impatto e che probabilmente presentano difetti.
Il rischio è il verificarsi di un evento incerto con un effetto positivo o negativo sui criteri di successo misurabili di un progetto. Potrebbero essere eventi accaduti nel passato o eventi attuali o qualcosa che potrebbe accadere in futuro. Questi eventi incerti possono avere un impatto sugli obiettivi di costo, di business, tecnici e di qualità di un progetto.
I rischi possono essere positivi o negativi.
- Rischi positivi sono indicati come opportunità e aiuto nella sostenibilità aziendale. Ad esempio investire in un nuovo progetto, modificare i processi aziendali, sviluppare nuovi prodotti.
- Rischi negativi sono indicati come minacce e le raccomandazioni per minimizzarle o eliminarle devono essere implementate per il successo del progetto.
Quando implementare i test basati sul rischio
I test basati sul rischio possono essere implementati in
- Progetti che hanno vincoli di tempo, risorse, budget, ecc.
- Progetti in cui è possibile utilizzare l'analisi basata sul rischio per rilevare le vulnerabilità Attacchi di iniezione SQL.
- Test di sicurezza in ambienti di cloud computing.
- Nuovi progetti con fattori di rischio elevati come mancanza di esperienza con le tecnologie utilizzate, mancanza di conoscenza del settore aziendale.
- Modelli incrementali e iterativi, ecc.
Processo di gestione del rischio
Cerchiamo ora di comprendere le fasi coinvolte nel processo di gestione del rischio
Identificazione dei rischi
L'identificazione dei rischi può essere effettuata tramite workshop sui rischi, checklist, brainstorming, interviste, tecnica Delphi, diagrammi causa-effetto, lezioni apprese da progetti precedenti, analisi delle cause principali, contatti con esperti del settore e della materia.
Registro dei rischi è un foglio di calcolo che contiene un elenco di rischi identificati, potenziali risposte e cause profonde. Viene utilizzato per monitorare e tracciare i rischi (sia minacce che opportunità) durante tutta la vita del progetto. Le strategie di risposta al rischio possono essere utilizzate per gestire i rischi positivi e negativi.
La struttura di ripartizione del rischio svolge un ruolo importante nella pianificazione del rischio. La struttura di scomposizione del rischio aiuterebbe a identificare le aree soggette a rischio e aiuta nella valutazione efficace e nel monitoraggio del rischio nel corso del progetto. Aiuta a fornire tempo e risorse sufficienti per le attività di gestione del rischio. Aiuta anche a classificare molte fonti da cui possono derivare i rischi del progetto.
Esempio di struttura di ripartizione del rischio
Analisi del rischio (include analisi quantitativa e qualitativa)
Una volta identificato l’elenco dei rischi potenziali, il passo successivo è analizzarli e filtrare il rischio in base alla significatività. Una delle tecniche di analisi qualitativa del rischio utilizza la matrice del rischio (trattata nella sezione successiva). Questa tecnica viene utilizzata per determinare la probabilità e l'impatto del rischio.
Pianificazione della risposta al rischio
Sulla base dell'analisi, possiamo decidere se i rischi richiedono una risposta. Ad esempio, alcuni rischi richiederanno una risposta nel piano di progetto mentre altri richiedono una risposta nel monitoraggio del progetto e altri ancora non richiederanno alcuna risposta.
Il proprietario del rischio è responsabile dell'identificazione delle opzioni per ridurre la probabilità e l'impatto dei rischi assegnati.
Mitigazione del rischio è un metodo di risposta al rischio utilizzato per ridurre gli impatti negativi di possibili minacce. Ciò può essere fatto eliminando i rischi o riducendoli a un livello accettabile.
Contingenza del rischio
La contingenza può essere descritta come la possibilità di un evento incerto, ma il cui impatto è sconosciuto o imprevedibile. Un piano di emergenza è noto anche come piano d'azione/piano di riserva per gli scenari peggiori. In altre parole, determina quali misure potrebbero essere intraprese quando si materializza un evento imprevedibile.
Monitoraggio e controllo dei rischi
Il processo di controllo e monitoraggio del rischio viene utilizzato per tenere traccia dei rischi identificati, monitorare i rischi residui, identificare nuovi rischi, aggiornare il registro dei rischi, analizzare le ragioni del cambiamento, eseguire un piano di risposta al rischio e monitorare i fattori scatenanti del rischio, ecc. Valutare la loro efficacia nel ridurre i rischi .
Ciò può essere ottenuto mediante rivalutazioni del rischio, audit del rischio, analisi degli scostamenti e delle tendenze, misurazione delle prestazioni tecniche, riunioni di aggiornamento dello stato e riunioni retrospettive.
La tabella seguente fornisce informazioni su
| Input per il monitoraggio e il controllo del rischio | Strumenti e tecniche per il monitoraggio e il controllo dei rischi | Risultati del monitoraggio e controllo dei rischi |
|---|---|---|
| Piano di gestione del rischio | Audit sulla risposta al rischio del progetto | Piani di soluzione alternativa |
| Piano di risposta al rischio | Revisioni periodiche del rischio del progetto | Azione correttiva |
| Piano di comunicazione del progetto | Analisi dell'Earned Value | Richieste di modifica del progetto |
| Ulteriori identificazione e analisi dei rischi | Misurazione delle prestazioni tecniche | Aggiornamenti al piano di risposta al rischio e alla lista di controllo per l'identificazione del rischio |
| Modifiche all'ambito | Pianificazione della risposta ai rischi aggiuntivi | Banca dati sui rischi |
Dobbiamo ricordare che il rischio aumenta con i cambiamenti nella tecnologia, nelle dimensioni del progetto, nella sua durata (tempi di progetto più lunghi), nel numero di agenzie sponsorizzatrici, nelle stime del progetto, negli sforzi e nella carenza di competenze adeguate.
Approccio ai test basato sul rischio
- Analizza i requisiti.
- I documenti (SRS, FRS, casi d'uso) vengono esaminati. Questa attività viene svolta per trovare ed eliminare errori e ambiguità.
- L'approvazione dei requisiti è una delle tecniche di riduzione del rischio per evitare l'introduzione di modifiche tardive nei progetti. Qualsiasi modifica ai requisiti dopo la definizione del documento comporterebbe un processo di controllo delle modifiche e successive approvazioni.
- Valutare i rischi calcolando la probabilità e l'impatto che ogni requisito potrebbe avere sul progetto, tenendo in considerazione criteri definiti quali costo, tempistica, risorse, ambito, sicurezza delle prestazioni tecniche, affidabilità, complessità, ecc.
- Identificare la probabilità di guasto e le aree ad alto rischio. Questo può essere fatto utilizzando la matrice di valutazione del rischio.
- Utilizzare un registro dei rischi per elencare l'insieme dei rischi identificati. Aggiornare, monitorare e tenere traccia dei rischi periodicamente a intervalli regolari.
- In questa fase è necessario effettuare la profilazione del rischio per comprendere la capacità di rischio e i livelli di tolleranza al rischio.
- Dai la priorità ai requisiti in base alla valutazione.
- Viene definito il processo di test basato sul rischio
- I rischi altamente critici e medi possono essere presi in considerazione per la pianificazione della mitigazione, l'implementazione e il monitoraggio dei progressi. I rischi bassi possono essere considerati in una lista di controllo.
- La valutazione della qualità dei dati di rischio viene effettuata per analizzare la qualità dei dati.
- Pianificare e definire il test in base alla valutazione
- Applicare un approccio di test e tecniche di progettazione dei test appropriati per progettare i casi di test in modo tale che gli elementi a rischio più elevato vengano testati per primi. Gli elementi ad alto rischio possono essere testati dalla risorsa con una buona esperienza di conoscenza del dominio.
- È possibile utilizzare diverse tecniche di progettazione del test, ad esempio utilizzando la tecnica della tabella decisionale sugli elementi di test ad alto rischio e utilizzando il partizionamento di equivalenza "solo" per gli elementi di test a basso rischio.
- I casi di test sono inoltre progettati per coprire più funzionalità e scenari aziendali end-to-end.
- Preparare i dati del test, le condizioni del test e il banco di prova.
- RevVisualizza i piani di test, la strategia di test, i casi di test, i rapporti di test o qualsiasi altro documento creato dal team di test.
- La revisione tra pari è un passo importante nell’identificazione dei difetti e nella riduzione dei rischi.
- Eseguire prove di prova e controlli di qualità sui risultati
- I casi di test vengono eseguiti in base alla priorità dell'elemento di rischio.
- Mantenere la tracciabilità tra gli elementi di rischio, i test che li coprono, i risultati di tali test e i difetti rilevati durante i test. Tutte le strategie di test eseguite correttamente ridurranno i rischi di qualità.
- I test basati sul rischio possono essere utilizzati a ogni livello di test, ad esempio test di componenti, integrazione, sistema e accettazione
- A livello di sistema, dobbiamo concentrarci su ciò che è più importante nell’applicazione. Ciò può essere determinato osservando la visibilità delle funzioni, la frequenza di utilizzo e il possibile costo di un guasto.
- Valutazione dei criteri di uscita. Tutte le aree ad alto rischio sono state completamente testate, con solo piccoli rischi residui rimasti in sospeso.
- Reporting dei risultati dei test basati sul rischio e analisi delle metriche.
- Rivalutare gli eventi di rischio esistenti e i nuovi eventi di rischio sulla base degli indicatori chiave di rischio.
- Aggiornamento del registro dei rischi.
- Piani di emergenza: funzionano come piani di riserva/piani di emergenza per i rischi di esposizione elevata.
- Analisi dei difetti e prevenzione dei difetti per eliminare i difetti.
- I nuovi test e i test di regressione per convalidare le correzioni dei difetti basati sull'analisi dei rischi precalcolata e sulle aree ad alto rischio dovrebbero essere coperti in modo più approfondito.
- Test di automazione basati sul rischio (se fattibile)
- Calcolo del rischio residuo
- Monitoraggio e controllo dei rischi
- I criteri di uscita o i criteri di completamento possono essere utilizzati per diversi livelli di rischio. Tutti i rischi principali sono stati affrontati con azioni appropriate o piani di emergenza. L'esposizione al rischio è pari o inferiore al livello concordato come accettabile per il progetto.
- Rivalutazione del profilo di rischio e feedback dei clienti.
Approccio al test basato sul rischio per il test del sistema
- Prova del sistema tecnico –Questo è indicato come test ambientale e test di integrazione. Il test dell'ambiente include test nell'ambiente di sviluppo, test e produzione.
- Test del sistema funzionale– Test di tutte le funzionalità, caratteristiche, programmi, moduli. Lo scopo di questo test è valutare se il sistema soddisfa i requisiti specificati.
- Test del sistema non funzionale-Verifica delle prestazioni dei requisiti non funzionali, test di carico, stress test, test di configurazione, test di sicurezza, procedure e documentazione di backup e ripristino (documentazione di sistema, funzionamento e installazione).
Il diagramma seguente fornisce una chiara panoramica del processo sopra menzionato
Il test di sistema include sia test funzionali che test non funzionali.
I test funzionali garantiscono che il prodotto/applicazione soddisfi i requisiti del cliente e dell'azienda. D'altra parte, i test non funzionali vengono eseguiti per verificare se il prodotto soddisfa le aspettative del cliente in termini di qualità, affidabilità, usabilità, prestazioni, compatibilità, ecc.
Come eseguire test basati sul rischio: processo completo
Questa sezione riguarda il processo di test basato sul rischio
- Identificazione dei rischi
- Analisi del rischio
- Risposta al rischio
- Prova l'ambito
- Definizione del processo di test
- In questo processo, i rischi vengono identificati e classificati, viene preparata una bozza di registro dei rischi, viene effettuato l'ordinamento dei rischi per identificare i rischi significativi.
- La risposta al rischio implica la formulazione degli obiettivi del test a partire dai rischi e la selezione di tecniche appropriate per dimostrare l'attività di test/la tecnica di test per raggiungere gli obiettivi del test.
- Le dipendenze dei documenti, i requisiti, i costi, il tempo richiesto per il test del software, ecc. vengono considerati per calcolare il punteggio di efficacia del test.
- Lo scoping del test è un'attività di revisione che richiede la partecipazione di tutte le parti interessate e del personale tecnico. È importante rispettare l’entità dei rischi concordata. Questi rischi devono essere affrontati mediante test e tutti i membri concordano con le responsabilità loro assegnate e con il budget assegnato per queste attività.
- Dopo che l'ambito del test è stato finalizzato, gli obiettivi, le ipotesi e le dipendenze del test per ciascuna fase del test devono essere compilati nel formato standard.
Consideriamo i requisiti funzionali F1, F2, F3 e i requisiti non funzionali N1 e N2
F1-Requisito Funzionale, R1-Rischio Associato a F1
- Obiettivo del test 1: dimostrare tramite un test che le caratteristiche e le funzionalità previste del sistema funzionano correttamente e che il rischio R1 può essere affrontato mediante test funzionali
- Test-Il test della pagina del browser viene eseguito per eseguire importanti attività utente e verificare che R1 (rischio associato a F1) possa essere affrontato in una serie di scenari.
F2-Requisito Funzionale, R2-Rischio Associato a F2
- Obiettivo del test 2: Dimostrare utilizzando a Test che le caratteristiche e le funzionalità previste del sistema funzionino correttamente e che il rischio R2 possa essere affrontato mediante test funzionali
- Test-Il test della pagina del browser viene eseguito per eseguire importanti attività utente e verificare che R2 possa essere affrontato in una serie di scenari
F3-Requisito Funzionale, R3-Rischio Associato a F3
- Obiettivo del test 3: Dimostrare utilizzando a Test che le caratteristiche e le funzionalità previste del sistema funzionino correttamente e che il rischio R3 possa essere affrontato mediante test funzionali
- Test-Il test della pagina del browser viene eseguito per eseguire importanti attività utente e verificare che R3 possa essere affrontato in una serie di scenari
N1-Requisito non funzionale, NR1-Rischio associato a N1
- Obiettivo del test N1: Dimostrare utilizzando a Test che le caratteristiche operative del sistema funzionino correttamente e che il rischio NR1 possa essere risolto mediante test non funzionali
- Test-Il test di usabilità è una tecnica utilizzata per valutare quanto siano facili da usare le interfacce utente e verificare che l'NR1 possa essere affrontato dai test di usabilità
N2-Requisito non funzionale, NR2-Rischio associato a N2
- Obiettivo del test N.2- Dimostrare tramite un test che le caratteristiche operative del sistema funzionano correttamente e che il rischio NR2 può essere affrontato mediante test non funzionali
- Il test Test-Security è una tecnica utilizzata per verificare se l'applicazione è protetta o vulnerabile agli attacchi, se vi sono perdite di informazioni e verifica che NR2 possa essere risolto dai test di sicurezza.
Obiettivi specifici del test: I rischi e gli obiettivi dei test elencati sono specifici per i tipi di test.
Procedura per progettare il processo di test basato sul rischio
- Preparare un registro dei rischi. Questo registra i rischi derivati dall'elenco dei rischi generico, dalla lista di controllo esistente, dalla sessione di brainstorming.
- Includere i rischi associati ai requisiti funzionali e non funzionali del sistema (usabilità, sicurezza, prestazioni)
- A ogni rischio viene assegnato un identificatore univoco
| Col n. | Intestazione di colonna | Descrizione |
|---|---|---|
| 3 | Probabilità | Probabilità che il sistema sia soggetto a questa modalità di fallimento |
| 4 | Conseguenze | impatto di questa modalità di fallimento |
| 5 | Esposizione | Prodotto di probabilità e conseguenze (colonne 3 e 4) |
| 6 | Testare l'efficacia | Quanto sono sicuri i tester di poter affrontare questo rischio? |
| 7 | Testare il numero di priorità | Prodotto di probabilità, conseguenze ed efficacia del test (colonna 3,4 6) |
| 8 | Obiettivo/i del test | quale obiettivo del test verrà utilizzato per affrontare questo rischio |
| 9 | Tecniche di prova | quale metodo o tecnica viene utilizzato |
| 10 | dipendenze | Cosa presuppongono e da cosa dipendono i tester |
| 11 | Sforzo | Quanto impegno è richiesto per questo test |
| 12 | Tempistica | Quanto tempo è necessario per eseguire questo test |
| 13 | Fase di test Test sulle unità A Fase di test Test di integrazione B Fase di test Test del sistema C | Nome della persona o del gruppo che svolge questa attività |
Vengono valutate la probabilità (1 bassa -5 alta) e le conseguenze (1 bassa -5 alta) di ciascun rischio
- L'esposizione del test viene calcolata
- Il tester analizza ciascun rischio e valuta se il rischio è testabile o meno
- Gli obiettivi del test sono definiti per i rischi testabili
- Il tester specifica l'attività di test che dovrebbe essere eseguita in modo pianificato per soddisfare l'obiettivo del test (revisioni statiche, ispezioni, test di sistema, test di integrazione, test di accettazione, convalida html, test di localizzazione, ecc.)
- Tali attività di testing possono essere classificate in fasi (Component Testing/Test unitari, Test di integrazione, Test di sistema, Test di accettazione)
- A volte, un rischio potrebbe essere affrontato mediante una o più fasi di test
- Identificare le dipendenze e i presupposti (Disponibilità di competenze, strumenti, ambienti di test, risorse)
- L'efficacia del test viene calcolata. L'efficacia del test si riferisce al livello di confidenza del tester che il rischio verrà definitivamente affrontato attraverso il test. Il punteggio di efficacia del test è un numero compreso tra uno e cinque. (5-Confidenza alta, 1-Confidenza bassa)
- Stima dello sforzo, del tempo richiesto e dei costi per preparare ed eseguire questi test.
- Viene calcolato il numero di priorità del test. È il prodotto di probabilità, conseguenze e punteggi di efficacia del test.
- 125-MassimoUn rischio molto grave che potrebbe essere rilevato con i test
- 1-Minimo àUn rischio molto basso che non verrebbe rilevato con i test
- In base al numero di priorità del test, l'importanza del test può essere classificata come Alta (Rosso), Media (Giallo) e Bassa (Verde). Gli articoli a rischio più elevato vengono testati per primi.
- Assegnazione delle attività di test alle fasi di test. Designare il gruppo che eseguirà il test per ciascun obiettivo nelle diverse fasi di test (Test unitario, Test di integrazione, Test di sistema, Test di accettazione)
- Ciò che rientra e ciò che non rientra nell'ambito del test viene deciso nella fase di definizione dell'ambito del test
- Per ciascuna fase del test vengono definiti obiettivi, componente sotto test, responsabilità, ambiente, criteri di ingresso, criteri di uscita, strumenti, tecniche, risultati finali.
Obiettivi generici del test: questi obiettivi generici sono applicabili a più progetti e applicazioni
- Il componente soddisfa i requisiti ed è pronto per l'uso in sottosistemi più grandi
- Vengono affrontati i rischi associati ai tipi di test specifici e gli obiettivi del test vengono raggiunti.
- I componenti integrati sono assemblati correttamente. Garantire la compatibilità dell'interfaccia tra i componenti.
- Il sistema soddisfa i requisiti funzionali e non funzionali specificati.
- I componenti del prodotto soddisfano le esigenze dell'utente finale nell'ambiente operativo previsto
- La strategia di gestione del rischio viene utilizzata per identificare, analizzare e mitigare i rischi.
- Il sistema soddisfa i requisiti normativi del settore
- Il Sistema soddisfa gli obblighi contrattuali
- Istituzionalizzazione e raggiungimento di altri obiettivi specifici stabiliti quali obiettivi di costo, tempistica e qualità.
- Sistema, processi e persone soddisfano i requisiti aziendali
È possibile definire obiettivi di test generici per le diverse fasi del test
- Test dei componenti
- Test d'integrazione
- Test di sistema
- Test di accettazione
Consideriamo la fase di test del sistema
- G4 e G5 dimostrano che il sistema soddisfa i requisiti funzionali (F1, F2, F3) e non funzionali (N1, N2).
- Dimostrare mediante test che le caratteristiche e le funzionalità previste del sistema funzionano correttamente e che il rischio associato a F1, F2, F3 può essere affrontato mediante test funzionali
- Dimostrare mediante test che le caratteristiche operative del sistema funzionano bene e che il rischio associato a N1, N2 può essere risolto mediante test non funzionali
- In base al numero di priorità del test, l'importanza del test può essere classificata come Alta (Rosso), Media (Giallo) e Bassa (Verde).
Matrice di definizione delle priorità e di valutazione del rischio
La matrice di valutazione del rischio è la matrice dell’impatto della probabilità. Fornisce al team di progetto una rapida visione dei rischi e della priorità con cui ciascuno di questi rischi deve essere affrontato.
Risk rating = Probability x Severity
La probabilità è la misura della possibilità che si verifichi un evento incerto. Esposizione in termini di tempo, prossimità e ripetizione. È espresso in termini di percentuale.
Questo può essere classificato come Frequente(A), Probabile(B), Occasionale(C), Remoto(D), Improbabile(E), Eliminato(F)
- Frequente: è previsto che si verifichi più volte nella maggior parte dei casi (91 – 100%)
- Probabile: probabile che si verifichi più volte nella maggior parte dei casi (61 – 90%)
- Occasionale: potrebbe verificarsi qualche volta (41 – 60%)
- Remoto – È improbabile che si verifichi/potrebbe verificarsi prima o poi (11 – 40%)
- Improbabile: può verificarsi in circostanze rare ed eccezionali (0 -10%)
- Elimina-Impossibile che si verifichi (0%)
La gravità è il grado di impatto del danno o della perdita causati dall’evento incerto. Punteggio da 1 a 4 e può essere classificato come Catastrofico=1, Critico=2, Marginale=3, Trascurabile=4
- Catastrofico – Conseguenze dure che rendono il progetto completamente improduttivo e potrebbero persino portare alla chiusura del progetto. Questa deve essere una priorità assoluta durante la gestione del rischio.
- critico– Grandi conseguenze che possono portare a perdite ingenti. Il progetto è gravemente minacciato.
- Marginale – Danni a breve termine ancora reversibili attraverso attività di ripristino.
- Trascurabile– Danni o perdite lievi o minimi. Questo può essere monitorato e gestito mediante procedure di routine.
La priorità è classificata in quattro categorie, mappate in base alla gravità e alla probabilità del rischio, come mostrato nell'immagine seguente.
- Grave
- Alta
- Medio
- Basso
Grave: I rischi che rientrano in questa categoria sono contrassegnati in colore ambra. L’attività deve essere interrotta e devono essere intraprese azioni immediate per isolare il rischio. È necessario identificare e implementare controlli efficaci. Inoltre, l'attività non deve procedere a meno che il rischio non sia ridotto a un livello basso o medio.
Alto: I rischi che rientrano in questa categoria sono contrassegnati in colore rosso come azioni o strategie di gestione del rischio. È necessario intraprendere azioni immediate per isolare, eliminare, sostituire il rischio e implementare controlli efficaci del rischio. Se questi problemi non possono essere risolti immediatamente, è necessario definire tempistiche rigorose per risolverli.
Medium: I rischi che rientrano in questa categoria sono contrassegnati in colore Giallo. È necessario adottare misure ragionevoli e pratiche per ridurre al minimo i rischi.
Basso: I rischi che rientrano in questa categoria sono contrassegnati in colore verde) possono essere ignorati in quanto di solito non pongono alcun problema significativo. La revisione periodica è necessaria per garantire che i controlli rimangano efficaci
Lista di controllo generica per i test basati sul rischio
Elenco completo di punti importanti da considerare nei test basati sul rischio
- Funzionalità importanti nel progetto.
- Funzionalità visibile all'utente nel progetto
- La funzionalità che ha il maggiore impatto sulla sicurezza
- Funzionalità che hanno il maggiore impatto finanziario sugli utenti
- Aree altamente complesse del codice sorgente e codici soggetti a errori
- Caratteristiche o funzioni che possono essere testate nelle prime fasi del ciclo di sviluppo.
- Caratteristiche o funzionalità sono state aggiunte al design del prodotto all'ultimo minuto.
- Fattori critici di progetti precedenti simili/correlati che hanno causato problemi/problemi.
- Fattori principali o problemi di progetti simili/correlati che hanno avuto un impatto enorme sulle spese di funzionamento e manutenzione.
- Requisiti inadeguati che portano a progettazioni e test inadeguati che potrebbero avere un impatto sugli obiettivi e sui risultati finali del progetto.
- Nel peggiore dei casi, un prodotto potrebbe essere così difettoso da non poter essere rilavorato e dover essere completamente rottamato, causando gravi danni alla reputazione dell'azienda. Identificare il tipo di problemi cruciali per gli obiettivi del prodotto.
- Situazioni o problemi che potrebbero causare reclami persistenti al servizio clienti.
- I test end-to-end potrebbero facilmente concentrarsi sulle molteplici funzionalità del sistema.
- Insieme ottimale di test in grado di massimizzare la copertura del rischio
- Quali test avranno il miglior rapporto tra copertura ad alto rischio e tempo richiesto?
Reporting e metriche sui risultati dei test basati sul rischio
- Preparazione del rapporto di provaSegnalare lo stato del test significa comunicare in modo efficace i risultati del test alle parti interessate del progetto. E per fornire una comprensione chiara e mostrare il confronto dei risultati dei test con gli obiettivi del test.
- Numero di casi di test pianificati ed eseguiti
- Numero di casi di test superati/falliti
- Numero di difetti identificati e loro stato e gravità
- Numero di difetti e loro stato
- Numero di difetti critici: ancora aperti
- Tempi di inattività dell'ambiente, se presenti
- Showstoppers – se presentiRelazione riepilogativa del test, relazione sulla copertura del test
- Preparazione delle metricheLa metrica è una combinazione di due o più misure utilizzate per confrontare processi, progetti e prodotti software.
- Variazione dello sforzo e del programma
- Produttività nella preparazione dei test case
- Testare la copertura del progetto
- Produttività nell'esecuzione dei casi di test
- Efficienza di identificazione del rischio%
- Efficienza di mitigazione del rischio%
- Efficacia del test%
- Copertura dell'esecuzione dei test
- Produttività dell'esecuzione dei test
- Perdita difettosa%
- Efficienza nel rilevamento dei difetti
- Indice di stabilità dei requisiti
- Costo della qualità
- Analizzare i rischi in categorie non funzionali (prestazioni, affidabilità e usabilità) in base allo stato di difetto e a una serie di stati di superamento/fallimento dei test, in base alla loro relazione con i rischi.
- Analizzare i rischi in categorie funzionali, metriche di test, stato di difetto e stato di superamento/fallimento del test, in base alla loro relazione con i rischi.
- Identificare i principali indicatori di lead e lag e creare indicatori di allarme precoce
- Monitorare e creare report sugli indicatori di rischio di lead e lag (Key Risk Indicators) analizzando i modelli di dati, le tendenze e le interdipendenze.
Valutazione del rischio intrinseco e del rischio residuo
L’identificazione e l’analisi dei rischi dovrebbero includere anche i rischi intrinseci, i rischi residui, i rischi secondari e i rischi ricorrenti
- Rischio intrinseco: I rischi identificati/già presenti nel sistema prima che i controlli e le risposte fossero implementati. I rischi intrinseci sono noti anche come rischi lordi
- Rischio residuo: i rischi che rimangono dopo che i controlli e le risposte sono stati implementati. I rischi residui sono noti come rischi netti
- Rischio secondario: Il nuovo rischio causato dall’implementazione del piano di risposta al rischio
- Rischi ricorrenti: Probabilità che si verifichino i rischi iniziali.
La misurazione dei risultati dei test basata sul rischio aiuta l'organizzazione a conoscere il livello residuo di rischio di qualità durante l'esecuzione dei test e a prendere decisioni intelligenti sul rilascio.
Profilazione del rischio e feedback dei clienti
La profilazione del rischio è un processo per trovare il livello ottimale di rischio di investimento per il cliente considerando il rischio richiesto, la capacità di rischio e la tolleranza al rischio.
- Il rischio richiesto è il livello di rischio che il cliente deve assumersi per ottenere un rendimento soddisfacente
- La capacità di rischio è il livello di rischio finanziario che il cliente può permettersi di assumere
- La tolleranza al rischio è il livello di rischio che il cliente preferirebbe correre
Feedback del cliente
Raccogli feedback e recensioni dei clienti per migliorare l'attività, il prodotto, il servizio e l'esperienza.
Vantaggi dei test basati sul rischio
I vantaggi dei test basati sul rischio sono riportati di seguito
- Maggiore produttività e riduzione dei costi
- Migliori opportunità di mercato (Time to market) e consegna puntuale.
- Prestazioni del servizio migliorate
- Qualità migliorata poiché tutte le funzioni critiche dell'applicazione vengono testate.
- Fornisce informazioni chiare sulla copertura del test. Utilizzando questo approccio, sappiamo cosa è stato/non è stato testato.
- L'allocazione dello sforzo di test basato sulla valutazione del rischio è il modo più efficiente ed efficace per ridurre al minimo il rischio residuo al momento del rilascio.
- La misurazione dei risultati dei test basata sull'analisi del rischio consente all'organizzazione di identificare il livello residuo di rischio di qualità durante l'esecuzione dei test e di prendere decisioni intelligenti sul rilascio.
- Test ottimizzati con metodi di valutazione del rischio altamente definiti.
- Maggiore soddisfazione del cliente: grazie al coinvolgimento del cliente, al buon reporting e al monitoraggio dei progressi.
- Individuazione precoce delle potenziali aree problematiche. Per superare questi problemi è possibile adottare misure preventive efficaci
- Il monitoraggio e la valutazione continui del rischio durante l'intero ciclo di vita del progetto aiutano a identificare e risolvere i rischi e ad affrontare le questioni che potrebbero mettere a repentaglio il raggiungimento degli scopi e degli obiettivi generali del progetto.
Sintesi
Nell'ingegneria del software, i test basati sul rischio sono il modo più efficiente per guidare il progetto in base ai rischi.
Gli sforzi di test sono organizzati in modo efficace e viene valutato il livello di priorità di ciascun elemento di rischio. Ciascun rischio viene quindi associato alle attività di test appropriate, dove un singolo test ha più di un elemento di rischio, quindi il test viene assegnato come rischio più elevato.
I test vengono eseguiti secondo l'ordine di priorità del rischio. Il processo di monitoraggio del rischio aiuta a tenere traccia dei rischi identificati e a ridurre l’impatto dei rischi residui.
