Testowanie oparte na ryzyku: podejście, matryca, proces i przykłady
Tomasza Hamiltona
Testowanie oparte na ryzyku
Testowanie oparte na ryzyku (RBT) jest typem testowania oprogramowania, który opiera się na prawdopodobieństwie ryzyka. Obejmuje ocenę ryzyka na podstawie złożoności oprogramowania, krytyczności biznesu, częstotliwości użytkowania, możliwych obszarów z Wada itp. Testowanie oparte na ryzyku nadaje priorytet testowaniu cech i funkcji aplikacji, które mają większy wpływ i mogą zawierać defekty.
Ryzyko to wystąpienie niepewnego zdarzenia, które ma pozytywny lub negatywny wpływ na mierzalne kryteria sukcesu projektu. Mogą to być wydarzenia, które miały miejsce w przeszłości lub teraźniejsze wydarzenia, lub coś, co może wydarzyć się w przyszłości. Te niepewne zdarzenia mogą mieć wpływ na cele kosztowe, biznesowe, techniczne i jakościowe projektu.
Ryzyko może być pozytywne lub negatywne.
- Pozytywne zagrożenia określane są jako możliwości i pomoc w zrównoważonym rozwoju biznesu. Na przykład inwestycja w nowy projekt, zmiana procesów biznesowych, rozwój nowych produktów.
- Negatywne ryzyko określane są jako zagrożenia, a zalecenia mające na celu ich minimalizację lub eliminację muszą zostać wdrożone, aby projekt zakończył się sukcesem.
Kiedy wdrożyć testowanie oparte na ryzyku
Testowanie oparte na ryzyku można wdrożyć w
- Projekty posiadające ograniczenia czasowe, zasoby, budżetowe itp.
- Projekty, w których można zastosować analizę opartą na ryzyku w celu wykrycia podatności Ataki typu SQL injection.
- Testowanie bezpieczeństwa w środowiskach przetwarzania w chmurze.
- Nowe projekty obarczone wysokimi czynnikami ryzyka, takimi jak brak doświadczenia w zakresie stosowanych technologii, brak wiedzy z dziedziny biznesowej.
- Modele przyrostowe i iteracyjne itp.
Proces zarządzania ryzykiem
Przyjrzyjmy się teraz etapom procesu zarządzania ryzykiem
Identyfikacja ryzyka
Identyfikację ryzyka można przeprowadzić za pomocą warsztatów poświęconych ryzyku, list kontrolnych, burzy mózgów, wywiadów, techniki Delphi, diagramów przyczynowo-skutkowych, wniosków wyciągniętych z poprzednich projektów, analizy przyczyn źródłowych, a także kontaktując się z ekspertami dziedzinowymi i ekspertami przedmiotowymi.
Rejestr ryzyka to arkusz kalkulacyjny zawierający listę zidentyfikowanych zagrożeń, potencjalnych reakcji i przyczyn źródłowych. Służy do monitorowania i śledzenia ryzyk (zarówno zagrożeń, jak i szans) przez cały czas trwania projektu. Strategie reagowania na ryzyko można wykorzystać do zarządzania ryzykiem pozytywnym i negatywnym.
Struktura podziału ryzyka odgrywa ważną rolę w planowaniu ryzyka. Struktura Podziału Ryzyka pomogłaby w identyfikacji obszarów podatnych na ryzyko oraz pomaga w skutecznej ocenie i monitorowaniu ryzyka w trakcie projektu. Pomaga w zapewnieniu wystarczającej ilości czasu i zasobów na działania związane z zarządzaniem ryzykiem. Pomaga także w kategoryzowaniu wielu źródeł, z których mogą wynikać ryzyka projektowe.
Próbka struktury podziału ryzyka
Analiza ryzyka (obejmuje analizę ilościową i jakościową)
Po zidentyfikowaniu listy potencjalnych ryzyk kolejnym krokiem jest ich analiza i filtracja ryzyka na podstawie jego istotności. Jedną z technik jakościowej analizy ryzyka jest wykorzystanie matrycy ryzyka (omówionej w następnej sekcji). Technikę tę stosuje się do określenia prawdopodobieństwa i wpływu ryzyka.
Planowanie reakcji na ryzyko
Na podstawie analizy możemy zdecydować, czy ryzyko wymaga reakcji. Na przykład niektóre ryzyka będą wymagały reakcji w planie projektu, inne będą wymagały reakcji w ramach monitorowania projektu, a niektóre w ogóle nie będą wymagały żadnej reakcji.
Właściciel ryzyka jest odpowiedzialny za identyfikację opcji zmniejszających prawdopodobieństwo i wpływ przypisanych ryzyk.
Ograniczenie ryzyka to metoda reakcji na ryzyko stosowana w celu ograniczenia negatywnych skutków ewentualnych zagrożeń. Można tego dokonać poprzez eliminację zagrożeń lub redukcję ich do akceptowalnego poziomu.
Awaryjne ryzyko
Ewentualność można opisać jako możliwość wystąpienia niepewnego zdarzenia, którego skutki są nieznane lub nieprzewidywalne. Plan awaryjny jest również nazywany planem działania/planem awaryjnym na wypadek najgorszych scenariuszy. Innymi słowy, określa, jakie kroki można podjąć, gdy zmaterializuje się nieprzewidywalne wydarzenie.
Monitorowanie i kontrola ryzyka
Procesy kontroli i monitorowania ryzyka służą śledzeniu zidentyfikowanych ryzyk, monitorowaniu ryzyk rezydualnych, identyfikacji nowych ryzyk, aktualizacji rejestru ryzyk, analizie przyczyn zmiany, realizacji planu reakcji na ryzyko i monitorowaniu czynników wyzwalających ryzyko itp. Oceniają ich skuteczność w ograniczaniu ryzyk .
Można to osiągnąć poprzez ponowną ocenę ryzyka, audyty ryzyka, analizę wariancji i trendów, pomiar wydajności technicznej, spotkania w sprawie aktualizacji statusu i spotkania retrospektywne.
Poniższa tabela zawiera informacje nt
| Dane wejściowe do monitorowania i kontroli ryzyka | Narzędzia i techniki monitorowania i kontroli ryzyka | Wyniki monitorowania i kontroli ryzyka |
|---|---|---|
| Ryzykowny plan zarządzania | Audyty reakcji na ryzyko projektu | Plany obejścia |
| Plan reakcji na ryzyko | Okresowe przeglądy ryzyka projektu | Działania naprawcze |
| Plan komunikacji projektu | Analiza wartości wypracowanej | Prośby o zmianę projektu |
| Dodatkowa identyfikacja i analiza ryzyka | Pomiar wydajności technicznej | Aktualizacje planu reagowania na ryzyko i listy kontrolnej identyfikacji ryzyka |
| Zmiany zakresu | Planowanie reakcji na dodatkowe ryzyko | Baza danych ryzyka |
Musimy pamiętać, że ryzyko wzrasta wraz ze zmianami technologii, wielkością projektu, długością projektu (dłuższe ramy czasowe projektu), liczbą agencji sponsorujących, szacunkami projektu, wysiłkiem i niedoborem odpowiednich umiejętności.
Podejście do testowania opartego na ryzyku
- Przeanalizuj wymagania.
- Przeglądane są dokumenty (SRS, FRS, Usecases). Czynność ta ma na celu znalezienie i wyeliminowanie błędów i niejasności.
- Podpisywanie wymagań jest jedną z technik zmniejszania ryzyka, pozwalającą uniknąć wprowadzania późnych zmian w projektach. Wszelkie zmiany wymagań po stworzeniu podstawy dokumentu będą wymagały procesu kontroli zmian i kolejnych zatwierdzeń.
- Oceń ryzyko, obliczając prawdopodobieństwo i wpływ, jaki każde wymaganie może mieć na projekt, biorąc pod uwagę określone kryteria, takie jak koszt, harmonogram, zasoby, zakres, wydajność techniczna, bezpieczeństwo, niezawodność, złożoność itp.
- Zidentyfikuj prawdopodobieństwo awarii i obszary wysokiego ryzyka. Można tego dokonać za pomocą matrycy oceny ryzyka.
- Użyj rejestru ryzyka, aby sporządzić listę zestawu zidentyfikowanych ryzyk. Aktualizuj, monitoruj i śledź ryzyko okresowo w regularnych odstępach czasu.
- Na tym etapie należy przeprowadzić profilowanie ryzyka, aby zrozumieć zdolność do ryzyka i poziomy tolerancji na ryzyko.
- Nadaj priorytet wymaganiom na podstawie oceny.
- Zdefiniowano proces testowania oparty na ryzyku
- Przy planowaniu łagodzenia, wdrażaniu i monitorowaniu postępu można uwzględnić ryzyko wysoce krytyczne i średnie. Niskie ryzyko można uwzględnić na liście obserwacyjnej.
- Ocena jakości danych dotyczących ryzyka przeprowadzana jest w celu analizy jakości danych.
- Zaplanuj i zdefiniuj test zgodnie z oceną
- Zastosuj odpowiednie podejście do testowania i techniki projektowania testów, aby zaprojektować przypadki testowe w taki sposób, aby najpierw testowane były elementy o najwyższym ryzyku. Elementy wysokiego ryzyka mogą być testowane przez zasób posiadający dobrą wiedzę domenową.
- Można zastosować różne techniki projektowania testów, np. stosując technikę tabeli decyzyjnej dla elementów testowych wysokiego ryzyka i stosując „tylko” podział równoważności dla elementów testowych niskiego ryzyka.
- Przypadki testowe są również zaprojektowane tak, aby obejmowały wiele funkcjonalności i kompleksowe scenariusze biznesowe.
- Przygotuj dane testowe i warunki testowe oraz stanowisko testowe.
- Revzapoznaj się z planami testów, strategią testów, przypadkami testowymi, raportami z testów lub jakimkolwiek innym dokumentem stworzonym przez zespół testowy.
- Wzajemna ocena jest ważnym krokiem w identyfikacji defektów i zmniejszeniu ryzyka.
- Wykonaj próby próbne i kontrolę jakości wyników
- Przypadki testowe są wykonywane zgodnie z priorytetem pozycji ryzyka.
- Utrzymuj identyfikowalność pomiędzy pozycjami ryzyka, obejmującymi je testami, wynikami tych testów i defektami wykrytymi podczas testowania. Wszystkie strategie testowania wykonane prawidłowo zmniejszą ryzyko jakościowe.
- Testowanie oparte na ryzyku można stosować na każdym poziomie testowania, np. w testowaniu modułowym, integracyjnym, systemowym i akceptacyjnym
- Na poziomie systemu musimy skupić się na tym, co w aplikacji jest najważniejsze. Można to określić, sprawdzając widoczność funkcji, częstotliwość użytkowania i możliwe koszty awarii.
- Ocena kryteriów wyjścia. Wszystkie obszary wysokiego ryzyka zostały w pełni przetestowane, a jedynie niewielkie ryzyko szczątkowe pozostało nierozstrzygnięte.
- Raportowanie wyników testów oparte na ryzyku i analiza metryk.
- Dokonaj ponownej oceny istniejących zdarzeń ryzyka i nowych zdarzeń ryzyka w oparciu o kluczowe wskaźniki ryzyka.
- Aktualizacja rejestru ryzyk.
- Plany awaryjne — działają jako plan awaryjny/plany awaryjne w przypadku wysokiego ryzyka narażenia.
- Analiza defektów i zapobieganie defektom w celu ich wyeliminowania.
- Najintensywniej należy uwzględnić ponowne testowanie i testy regresyjne w celu sprawdzenia poprawności poprawek defektów w oparciu o wcześniej obliczoną analizę ryzyka i obszary wysokiego ryzyka.
- Testowanie automatyczne oparte na ryzyku (jeśli to możliwe)
- Kalkulacja ryzyka rezydualnego
- Monitorowanie i kontrola ryzyka
- Kryteria wyjścia lub kryteria ukończenia można stosować dla różnych poziomów ryzyka. Zajęto się wszystkimi kluczowymi ryzykami za pomocą odpowiednich działań lub planów awaryjnych. Ekspozycja na ryzyko jest na poziomie akceptowalnym dla projektu lub poniżej niego.
- Ponowna ocena profilowania ryzyka i opinie klientów.
Podejście do testowania systemu oparte na ryzyku
- Test systemu technicznego – Nazywa się to testem środowiska i testem integracji. Test środowiska obejmuje testowanie w środowisku programistycznym, testowym i produkcyjnym.
- Test systemu funkcjonalnego– Testowanie wszystkich funkcjonalności, cech, programów, modułów. Celem tego testu jest ocena, czy system spełnia określone wymagania.
- Test niefunkcjonalnego systemu- Testowanie wydajności wymagań niefunkcjonalnych, testy obciążeniowe, testy wytrzymałościowe, testy konfiguracji, testy bezpieczeństwa, procedury tworzenia kopii zapasowych i odzyskiwania oraz dokumentacja (dokumentacja systemowa, operacyjna i instalacyjna).
Poniższy diagram przedstawia jasny przegląd wyżej wymienionego procesu
Testowanie systemu obejmuje zarówno testy funkcjonalne, jak i testy niefunkcjonalne.
Testy funkcjonalne zapewniają, że produkt/aplikacja spełnia wymagania klienta i biznesowe. Z drugiej strony testy niefunkcjonalne mają na celu sprawdzenie, czy produkt spełnia oczekiwania klienta pod względem jakości, niezawodności, użyteczności, wydajności, kompatybilności itp.
Jak przeprowadzić testowanie oparte na ryzyku: kompletny proces
W tej sekcji omówiono proces testowania oparty na ryzyku
- Identyfikacja ryzyka
- Analiza ryzyka
- Ryzykowna odpowiedź
- Zakres testów
- Definicja procesu testowego
- W procesie tym następuje identyfikacja i kategoryzacja ryzyk, przygotowywanie projektu rejestru ryzyk, dokonywanie sortowania ryzyk w celu identyfikacji ryzyk istotnych.
- Reakcja na ryzyko obejmuje sformułowanie celów testu na podstawie ryzyk i wybranie odpowiednich technik w celu zademonstrowania aktywności testowej/techniki testowej spełniającej cele testu.
- Zależności dokumentów, wymagania, koszt, czas wymagany do testowania oprogramowania itp. są brane pod uwagę przy obliczaniu wyniku efektywności testu.
- Określanie zakresu testów to czynność przeglądowa wymagająca udziału wszystkich interesariuszy i personelu technicznego. Ważne jest, aby przestrzegać uzgodnionego zakresu ryzyk. Ryzykom tym należy zaradzić poprzez testowanie, a wszyscy członkowie zgadzają się z przydzielonymi im obowiązkami i budżetem przeznaczonym na te działania.
- Po ustaleniu zakresu testowania cele testu, założenia i zależności dla każdego etapu testu należy skompilować w standardowym formacie.
Rozważmy wymagania funkcjonalne F1, F2, F3 i wymagania niefunkcjonalne N1 i N2
F1 – Wymaganie funkcjonalne, R1 – Ryzyko związane z F1
- Cel testu 1 – Wykazanie za pomocą testu, że oczekiwane cechy i funkcjonalności systemu działają prawidłowo, a ryzyko R1 można wyeliminować za pomocą testów funkcjonalnych
- Testowanie- Testowanie strony przeglądarki odbywa się w celu wykonania ważnych zadań użytkownika i sprawdzenia, czy R1 (ryzyko związane z F1) można rozwiązać w szeregu scenariuszy.
F2 – Wymaganie funkcjonalne, R2 – Ryzyko związane z F2
- Cel testu 2 – Zademonstrowanie użycia a Testowanie że oczekiwane cechy i funkcjonalności systemu działają prawidłowo, a ryzyko R2 można wyeliminować poprzez testy funkcjonalne
- Testowanie-Testowanie strony przeglądarki odbywa się w celu wykonania ważnych zadań użytkownika i sprawdzenia, czy R2 może zostać rozwiązany w różnych scenariuszach
F3 – Wymaganie funkcjonalne, R3 – Ryzyko związane z F3
- Cel testu 3 – Zademonstrowanie użycia a Testowanie że oczekiwane cechy i funkcjonalności systemu działają prawidłowo, a ryzyko R3 można wyeliminować poprzez testy funkcjonalne
- Testowanie- Testowanie strony przeglądarki odbywa się w celu wykonania ważnych zadań użytkownika i sprawdzenia, czy R3 można rozwiązać w różnych scenariuszach
N1 – Wymaganie niefunkcjonalne, NR1 – Ryzyko związane z N1
- Cel testu N1 – Demonstracja przy użyciu Testowanie że parametry operacyjne systemu działają prawidłowo i ryzyko NR1 można wyeliminować poprzez testy niefunkcjonalne
- Testowanie-Testowanie użyteczności to technika stosowana do oceny łatwości korzystania z interfejsów użytkownika i sprawdzenia, czy NR1 można rozwiązać za pomocą testów użyteczności
N2 – Wymaganie niefunkcjonalne, NR2 – Ryzyko związane z N2
- Cel testu nr 2 – Wykazanie za pomocą testu, że parametry operacyjne systemu działają prawidłowo, a ryzyko nr 2 można rozwiązać za pomocą testów niefunkcjonalnych.
- Testowanie bezpieczeństwa to technika stosowana w celu sprawdzenia, czy aplikacja jest zabezpieczona lub podatna na ataki, czy nastąpił wyciek informacji oraz weryfikuje, czy NR2 może zostać rozwiązany poprzez testy bezpieczeństwa.
Konkretne cele testu: Wymienione ryzyka i cele testów są specyficzne dla typów testów.
Procedura projektowania procesu testowania opartego na ryzyku
- Przygotuj rejestr ryzyka. Rejestruje on ryzyka pochodzące z ogólnej listy ryzyk, istniejącej listy kontrolnej i sesji burzy mózgów.
- Uwzględnij ryzyka związane z wymaganiami funkcjonalnymi i niefunkcjonalnymi systemu (użyteczność, bezpieczeństwo, wydajność)
- Każdemu ryzyku przypisany jest unikalny identyfikator
| Kol. nr. | Nagłówek kolumny | Opis |
|---|---|---|
| 3 | Szansa | Prawdopodobieństwo, że system jest podatny na ten rodzaj awarii |
| 4 | Konsekwencje | skutki tego rodzaju awarii |
| 5 | Ekspozycja | Iloczyn prawdopodobieństwa i konsekwencji (kolumny 3 i 4) |
| 6 | Testuj skuteczność | Na ile testerzy są pewni, że mogą zaradzić temu ryzyku? |
| 7 | Numer priorytetu testu | Iloczyn prawdopodobieństwa, konsekwencji i skuteczności testu (kolumna 3,4 6) |
| 8 | Cel(e) testu | jaki cel testu zostanie wykorzystany w celu uwzględnienia tego ryzyka |
| 9 | Techniki testowe | do jakiej metody lub techniki się stosuje |
| 10 | Zależności | Co zakładają testerzy i na czym polegają |
| 11 | Wysiłek | Ile wysiłku wymaga to testowanie |
| 12 | Skala czasu | Ile czasu potrzeba na wykonanie tego badania |
| 13 | Etap testowy A-Testy jednostkoweEtap testowy B-Test integracjiTest Etap C-Test systemu | Imię i nazwisko osoby lub grupy wykonującej tę czynność |
Oceniane jest prawdopodobieństwo (1 niskie -5 wysokie) i konsekwencje (1 niskie -5 wysokie) każdego ryzyka
- Obliczana jest ekspozycja testowa
- Tester analizuje każde ryzyko i ocenia, czy ryzyko jest testowalne, czy nie
- Cele testów są zdefiniowane dla testowalnych ryzyk
- Tester określa czynność testową, która powinna zostać wykonana w zaplanowany sposób, aby osiągnąć cel testu (przeglądy statyczne, inspekcje, testy systemowe, testy integracyjne, testy akceptacyjne, walidacja HTML, testy lokalizacyjne itp.),
- Te działania testowe można podzielić na etapy (testowanie komponentów/Testy jednostkowe, Testowanie Integracyjne, Testowanie Systemu, Testowanie Akceptacyjne)
- Czasami ryzyko może zostać rozpatrzone w ramach jednego lub więcej niż jednego etapu testowania
- Identyfikacja zależności i założeń (Dostępność umiejętności, narzędzi, środowisk testowych, zasobów)
- Obliczana jest skuteczność testu. Skuteczność testów odnosi się do poziomu pewności testera, że ryzyko zostanie ostatecznie wyeliminowane poprzez testowanie. Wynik efektywności testu to liczba od jednego do pięciu. (5 – wysoka pewność, 1 – niska pewność)
- Oszacowanie nakładu pracy, wymaganego czasu i kosztów przygotowania i przeprowadzenia tych testów.
- Obliczany jest numer priorytetu testu. Jest to iloczyn prawdopodobieństwa, konsekwencji i wyników skuteczności testów.
- 125-Maksymalne Bardzo poważne ryzyko, które można wykryć podczas testów
- 1-Minimum àBardzo niskie ryzyko, które nie zostałoby wykryte podczas testów
- Na podstawie numeru priorytetu testu ważność testu można sklasyfikować jako wysoka (czerwona), średnia (żółta) i niska (zielona). W pierwszej kolejności testowane są elementy o najwyższym ryzyku.
- Przyporządkuj czynności testowe do etapów testów. Wyznacz grupę, która będzie wykonywać testy dla każdego celu w różnych etapach testów (testy jednostkowe, testowanie integracyjne, testowanie systemowe, testowanie akceptacyjne)
- To, co wchodzi w zakres testowania, a co poza nim, ustala się na etapie ustalania zakresu testów
- Dla każdego etapu zdefiniowane są cele testu, testowany komponent, odpowiedzialność, środowisko, kryteria wejścia, kryteria wyjścia, narzędzia, techniki i produkty dostarczane.
Ogólne cele testu — te ogólne cele mają zastosowanie do wielu projektów i aplikacji
- Komponent spełnia wymagania i jest gotowy do użycia w większych podsystemach
- Uwzględniono ryzyko związane z określonymi typami testów i osiągnięto cele testów.
- Zintegrowane komponenty są prawidłowo zmontowane. Zapewnij kompatybilność interfejsu pomiędzy komponentami.
- System spełnia określone wymagania funkcjonalne i niefunkcjonalne.
- Komponenty produktu zaspokajają potrzeby użytkownika końcowego w docelowym środowisku operacyjnym
- Strategia zarządzania ryzykiem służy identyfikacji, analizie i ograniczaniu ryzyk.
- System spełnia wymagania przepisów branżowych
- System spełnia zobowiązania umowne
- Instytucjonalizacja i osiągnięcie innych ustalonych celów szczegółowych, takich jak cele dotyczące kosztów, harmonogramu i jakości.
- System, procesy i ludzie spełniają wymagania biznesowe
Ogólne cele testu można zdefiniować dla różnych etapów testu
- Testowanie komponentów
- Testy integracyjne
- Testowanie systemu
- Testy akceptacyjne
Rozważmy etap testów systemu
- G4 i G5 pokazują, że system spełnia wymagania funkcjonalne (F1, F2, F3) i niefunkcjonalne (N1, N2).
- Wykazanie za pomocą testów, że oczekiwane cechy i funkcjonalności systemu działają prawidłowo, a ryzyko związane z F1, F2, F3 można wyeliminować poprzez testy funkcjonalne
- Wykaż za pomocą testów, że parametry operacyjne systemu działają prawidłowo, a ryzyko związane z N1, N2 można rozwiązać za pomocą testów niefunkcjonalnych
- Na podstawie numeru priorytetu testu ważność testu można sklasyfikować jako wysoka (czerwona), średnia (żółta) i niska (zielona).
Matryca ustalania priorytetów i oceny ryzyka
Macierz oceny ryzyka to macierz prawdopodobieństwa wpływu. Zapewnia zespołowi projektowemu szybki wgląd w ryzyko i priorytet, z jakim należy się zająć każdym z tych zagrożeń.
Risk rating = Probability x Severity
Prawdopodobieństwo jest miarą szansy na wystąpienie niepewnego zdarzenia. Ekspozycja pod względem czasu, bliskości i powtarzalności. Wyraża się go w procentach.
Można to sklasyfikować jako częste (A), prawdopodobne (B), sporadyczne (C), odległe (D), nieprawdopodobne (E), wyeliminowane (F)
- Częste – oczekuje się, że wystąpi kilka razy w większości przypadków (91 – 100%)
- Prawdopodobne: w większości przypadków może wystąpić kilka razy (61–90%)
- Sporadycznie: Może się kiedyś zdarzyć (41 – 60%)
- Zdalne – mało prawdopodobne/może kiedyś wystąpić (11 – 40%)
- Nieprawdopodobne – może wystąpić w rzadkich i wyjątkowych okolicznościach (0–10%)
- Wyeliminuj – niemożliwe (0%)
Dotkliwość to stopień wpływu szkody lub straty spowodowanej przez niepewne wydarzenie. Oceniane w skali od 1 do 4 i można je sklasyfikować jako katastrofalne = 1, krytyczne = 2, marginalne = 3, pomijalne = 4
- Katastrofalny – Surowe konsekwencje, które sprawiają, że projekt jest całkowicie bezproduktywny i mogą nawet doprowadzić do jego zamknięcia. Musi to być najwyższy priorytet podczas zarządzania ryzykiem.
- Krytyczny– Duże konsekwencje, które mogą prowadzić do dużych strat. Projekt jest poważnie zagrożony.
- Marginalny – Krótkoterminowe szkody są nadal odwracalne poprzez działania naprawcze.
- Nieistotny– Niewielkie lub minimalne uszkodzenia lub straty. Można to monitorować i zarządzać za pomocą rutynowych procedur.
Priorytet jest podzielony na cztery kategorie, które są przypisane do wagi i prawdopodobieństwa ryzyka, jak pokazano na poniższym obrazku.
- Poważny
- Wysoki
- Średni
- Niski
Poważny: Ryzyka należące do tej kategorii zaznaczono kolorem bursztynowym. Należy przerwać tę czynność i podjąć natychmiastowe działania w celu izolacji ryzyka. Należy zidentyfikować i wdrożyć skuteczne mechanizmy kontrolne. Ponadto nie można kontynuować danej działalności, jeśli ryzyko nie zostanie zredukowane do niskiego lub średniego poziomu.
Wysoka: Ryzyka należące do tej kategorii zaznaczono kolorem czerwonym. Działania lub strategie zarządzania ryzykiem. Należy podjąć natychmiastowe działania w celu wyizolowania, wyeliminowania, zastąpienia ryzyka i wdrożenia skutecznej kontroli ryzyka. Jeżeli problemów tych nie można rozwiązać natychmiast, należy określić ścisłe ramy czasowe ich rozwiązania.
Medium: Ryzyka należące do tej kategorii zaznaczono kolorem żółtym. Należy podjąć rozsądne i praktyczne kroki, aby zminimalizować ryzyko.
Niska: Ryzyka należące do tej kategorii są zaznaczone kolorem zielonym) można je zignorować, gdyż zazwyczaj nie stwarzają one istotnego problemu. Aby zapewnić skuteczność kontroli, konieczne jest przeprowadzanie okresowych przeglądów
Ogólna lista kontrolna do testów opartych na ryzyku
Pełna lista ważnych punktów, które należy uwzględnić w testowaniu opartym na ryzyku
- Ważne funkcjonalności w projekcie.
- Funkcjonalność widoczna dla użytkownika w projekcie
- Funkcjonalność mająca największy wpływ na bezpieczeństwo
- Funkcjonalności mające największy wpływ finansowy na użytkowników
- Bardzo złożone obszary kodu źródłowego i kody podatne na błędy
- Cechy lub funkcje, które można przetestować na początku cyklu programowania.
- Funkcje lub funkcjonalności zostały dodane do projektu produktu w ostatniej chwili.
- Krytyczne czynniki podobnych/powiązanych poprzednich projektów, które spowodowały problemy/problemy.
- Główne czynniki lub kwestie podobnych/powiązanych projektów, które miały ogromny wpływ na koszty operacyjne i konserwacyjne.
- Złe wymagania, które prowadzą do kiepskich projektów i testów, które mogą mieć wpływ na cele projektu i produkty dostarczane.
- W najgorszym przypadku produkt może być tak wadliwy, że nie da się go przerobić i należy go całkowicie złomować, co mogłoby poważnie zaszkodzić reputacji firmy. Zidentyfikuj, jakiego rodzaju problemy są kluczowe dla celów produktu.
- Sytuacje lub problemy, które mogłyby powodować ciągłe skargi dotyczące obsługi klienta.
- Kompleksowe testy mogą z łatwością skupiać się na wielu funkcjonalnościach systemu.
- Optymalny zestaw testów, który może zmaksymalizować pokrycie ryzyka
- Które testy będą miały najlepszy stosunek pokrycia wysokiego ryzyka do wymaganego czasu?
Raportowanie i metryki wyników testów opartych na ryzyku
- Przygotowanie raportu z testówRaportowanie statusu testów polega na skutecznym komunikowaniu wyników testów interesariuszom projektu. Aby zapewnić jasne zrozumienie i pokazać porównanie wyników testów z celami testów.
- Liczba zaplanowanych i wykonanych przypadków testowych
- Liczba przypadków testowych zakończonych sukcesem/niepowodzeniem
- Liczba zidentyfikowanych defektów oraz ich status i ważność
- Liczba usterek i ich status
- Liczba usterek krytycznych – nadal otwarta
- Przestoje środowiskowe – jeśli występują
- Showstoppers – jeśli istnieje, Raport podsumowujący test, raport zasięgu testu
- Przygotowanie metrykMetryki to połączenie dwóch lub więcej miar używanych do porównywania procesów, projektów i produktów związanych z oprogramowaniem.
- Zmienność wysiłku i harmonogramu
- Wydajność przygotowywania przypadków testowych
- Zakres projektu testu
- Produktywność wykonywania przypadków testowych
- Skuteczność identyfikacji ryzyka%
- Skuteczność ograniczania ryzyka%
- Skuteczność testu%
- Pokrycie wykonania testu
- Wydajność wykonywania testów
- Wada Wyciek%
- Skuteczność wykrywania defektów
- Wskaźnik stabilności wymagań
- Koszt jakości
- Analizuj ryzyko w kategoriach niefunkcjonalnych (wydajność, niezawodność i użyteczność) w oparciu o status defektu i liczbę statusów testów zakończonych powodzeniem/niepowodzeniem, w oparciu o ich związek z ryzykiem.
- Analizuj ryzyko w kategoriach funkcjonalnych, metrykach testowania, statusie defektu i statusie testu pozytywnego/negatywnego, w oparciu o ich związek z ryzykiem.
- Zidentyfikuj kluczowe wskaźniki wyprzedzenia i opóźnienia oraz utwórz wskaźniki wczesnego ostrzegania
- Monitoruj i raportuj wskaźniki ryzyka wyprzedzenia i opóźnienia (kluczowe wskaźniki ryzyka), analizując wzorce danych, trendy i współzależności.
Ryzyko nieodłączne a ocena ryzyka resztkowego
Identyfikacja i analiza ryzyka powinna również uwzględniać ryzyko nieodłączne, ryzyko szczątkowe, ryzyko wtórne i ryzyko powtarzające się
- Nieodłączne ryzyko: Ryzyko, które zostało zidentyfikowane/już obecne w systemie przed wdrożeniem kontroli i reakcji. Ryzyko nieodłączne jest również znane jako ryzyko brutto
- Ryzyko rezydualne: Ryzyko, które pozostaje po wdrożeniu kontroli i reagowaniu. Ryzyko rezydualne nazywane jest ryzykiem netto
- Ryzyko wtórne: Nowe ryzyko spowodowane wdrożeniem planu reakcji na ryzyko
- Powtarzające się ryzyka: Prawdopodobieństwo wystąpienia początkowych zagrożeń.
Pomiar wyników testów w oparciu o ryzyko pomaga organizacji poznać poziom ryzyka jakościowego podczas wykonywania testów i podejmować inteligentne decyzje dotyczące wydania.
Profilowanie ryzyka i opinie klientów
Profilowanie ryzyka to proces mający na celu znalezienie optymalnego poziomu ryzyka inwestycyjnego dla klienta, biorąc pod uwagę wymagane ryzyko, zdolność do ryzyka i tolerancję na ryzyko.
- Wymagane ryzyko to poziom ryzyka, jaki klient musi podjąć, aby uzyskać zadowalający zwrot
- Zdolność do ryzyka to poziom ryzyka finansowego, na jakie może sobie pozwolić klient
- Tolerancja ryzyka to poziom ryzyka, który klient wolałby podjąć
Opinie Klientów
Zbieraj opinie i recenzje klientów, aby ulepszyć firmę, produkt, usługę i doświadczenie.
Korzyści z testowania opartego na ryzyku
Poniżej przedstawiono zalety testowania opartego na ryzyku
- Większa produktywność i redukcja kosztów
- Poprawa możliwości rynkowych (czas wprowadzania na rynek) i terminowa dostawa.
- Poprawiona wydajność usług
- Lepsza jakość dzięki testowaniu wszystkich krytycznych funkcji aplikacji.
- Podaje jasne informacje na temat zakresu testów. Stosując to podejście, wiemy, co zostało, a co nie zostało przetestowane.
- Alokacja nakładu pracy testowej w oparciu o ocenę ryzyka jest najskuteczniejszym i najskuteczniejszym sposobem minimalizacji ryzyka szczątkowego po zwolnieniu.
- Pomiar wyników testów w oparciu o analizę ryzyka umożliwia organizacji identyfikację poziomu ryzyka jakościowego podczas wykonywania testów i podejmowanie inteligentnych decyzji o wydaniu.
- Zoptymalizowane testowanie z wysoce zdefiniowanymi metodami oceny ryzyka.
- Większe zadowolenie klientów – dzięki zaangażowaniu klientów oraz dobremu raportowaniu i śledzeniu postępów.
- Wczesne wykrywanie potencjalnych obszarów problemowych. Aby przezwyciężyć te problemy, można podjąć skuteczne środki zapobiegawcze
- Ciągłe monitorowanie i ocena ryzyka przez cały cykl życia projektu pomaga w identyfikacji i rozwiązywaniu ryzyk oraz rozwiązywaniu problemów, które mogą zagrozić osiągnięciu ogólnych celów i zadań projektu.
Podsumowanie
W inżynierii oprogramowania testowanie oparte na ryzyku jest najskuteczniejszym sposobem kierowania projektem w oparciu o ryzyko.
Działania testowe są skutecznie zorganizowane i oceniany jest poziom priorytetu każdego elementu ryzyka. Każde ryzyko jest następnie kojarzone z odpowiednimi czynnościami testowymi, przy czym pojedynczy test ma więcej niż jedną pozycję ryzyka, wówczas testowi przypisuje się najwyższe ryzyko.
Testy wykonywane są według kolejności priorytetów ryzyka. Proces monitorowania ryzyka pomaga w śledzeniu zidentyfikowanych ryzyk i ograniczaniu wpływu ryzyk szczątkowych.