前文“L2-21可选的产品风险分类 - ISO 25010”可以帮助测试人员更好的识别产品风险,接下来需要开展风险分析,其主要活动是确定每个产品风险的可能性和影响(或严重程度),并得到其风险级别。通常风险级别的计算公式是:风险级别RL = 可能性P * 影响S。
风险分析可以是基于定性,例如:非常高、高、中、低或非常低,其缺点是难以量化得到风险级别;也可以是定量方式,估算其可能性和影响,其难点是难以确定两个因素的具体数值。因此更合适的方式是将定性分析与定量分析相结合,分别用不同数值代表可能性与影响的定性值,例如:针对可能性,分别用5-1代表非常高、高、中、低或非常低;同理,用5-1分别代表影响的非常严重、严重、中等、次要和可忽略。通过这样的方式,就可以得到一个量化的风险级别,从而方便风险级别的确定,以及和预先定义的风险阈值进行比较。假如计算得到的风险级别大于定义的风险阈值,那么就需要采取相关的风险应对措施,以降低风险级别(例如:降低风险发生的可能性或者影响,或者两者兼而有之)。
针对识别的产品风险直接确定可能性与影响,应该是比较困难的,同时比较空洞。因此,我们需要分析哪些因素会影响风险级别的可能性与影响,然后分别从不同维度去判定可能性与影响。根据ISTQB的术语定义,可能性与影响的定义分别如下:
1、可能性:风险转变成既成事实或事件的概率。
2、影响:风险转变成既成事实或事件的危害。
根据可能性的定义,其视角主要是从技术层面考虑,也就是说技术方面的问题更容易影响可能性,例如:
1)被测对象采用的技术复杂度;
2)项目团队的内部冲突情况;
3)与工具供应商的合同问题;
4)时间、资源、预算和管理方面的压力;
5)项目团队在不同工作地点;
6)变更管理问题;
7)缺乏早期的质量保证活动;例如:测试的尽早介入问题;
8)......
根据影响的定义,其视角主要是从业务层面考虑,也就是说业务方面的问题更容易决定风险的严重程度,例如:
1)被测对象或功能的使用频率;
2)被测对象对于实现客户业务目标的关键程度;
3)导致的商业损失和声誉损害;
4)潜在的民事或刑事法律责任;
5)是否有合理的应对手段;
6)......
因此,风险分析过程中得到风险级别,从直接基于经验获取可能性与影响的数值,转变为根据被测对象的不同周景下考虑不同维度而得到,因此可以更合理的获取两个因子的数据。下表就是进行风险分析的一个例子,其中选择了几个适合本测试对象的因素。
需要注意的是,风险分析过程中应该考虑不同干系人的视角,例如:项目经理、程序员、系统人员、用户等,因为他们对影响风险级别的可能性与影响因素的理解和看法会不同。同时,风险分析过程应该包括一些策略和方法,以帮助在不同干系人在可能性与影响的估值上出现分歧时,通过什么方式以达到一致,从而更好的在后续阶段通过风险级别指导测试活动。
