前文“L2-21可選的產品風險分類 - ISO 25010”可以幫助測試人員更好的識別產品風險,接下來需要開展風險分析,其主要活動是確定每個產品風險的可能性和影響(或嚴重程度),並得到其風險級別。通常風險級別的計算公式是:風險級別RL = 可能性P * 影響S。
風險分析可以是基於定性,例如:非常高、高、中、低或非常低,其缺點是難以量化得到風險級別;也可以是定量方式,估算其可能性和影響,其難點是難以確定兩個因素的具體數值。因此更合適的方式是將定性分析與定量分析相結合,分別用不同數值代表可能性與影響的定性值,例如:針對可能性,分別用5-1代表非常高、高、中、低或非常低;同理,用5-1分別代表影響的非常嚴重、嚴重、中等、次要和可忽略。通過這樣的方式,就可以得到一個量化的風險級別,從而方便風險級別的確定,以及和預先定義的風險閾值進行比較。假如計算得到的風險級別大於定義的風險閾值,那麼就需要採取相關的風險應對措施,以降低風險級別(例如:降低風險發生的可能性或者影響,或者兩者兼而有之)。
針對識別的產品風險直接確定可能性與影響,應該是比較困難的,同時比較空洞。因此,我們需要分析哪些因素會影響風險級別的可能性與影響,然後分別從不同維度去判定可能性與影響。根據ISTQB的術語定義,可能性與影響的定義分別如下:
1、可能性:風險轉變成既成事實或事件的概率。
2、影響:風險轉變成既成事實或事件的危害。
根據可能性的定義,其視角主要是從技術層面考慮,也就是說技術方面的問題更容易影響可能性,例如:
1)被測對象採用的技術複雜度;
2)項目團隊的內部衝突情況;
3)與工具供應商的合同問題;
4)時間、資源、預算和管理方面的壓力;
5)項目團隊在不同工作地點;
6)變更管理問題;
7)缺乏早期的質量保證活動;例如:測試的儘早介入問題;
8)......
根據影響的定義,其視角主要是從業務層面考慮,也就是說業務方面的問題更容易決定風險的嚴重程度,例如:
1)被測對象或功能的使用頻率;
2)被測對象對於實現客戶業務目標的關鍵程度;
3)導致的商業損失和聲譽損害;
4)潛在的民事或刑事法律責任;
5)是否有合理的應對手段;
6)......
因此,風險分析過程中得到風險級別,從直接基於經驗獲取可能性與影響的數值,轉變爲根據被測對象的不同周景下考慮不同維度而得到,因此可以更合理的獲取兩個因子的數據。下表就是進行風險分析的一個例子,其中選擇了幾個適合本測試對象的因素。
需要注意的是,風險分析過程中應該考慮不同干係人的視角,例如:項目經理、程序員、系統人員、用戶等,因爲他們對影響風險級別的可能性與影響因素的理解和看法會不同。同時,風險分析過程應該包括一些策略和方法,以幫助在不同干係人在可能性與影響的估值上出現分歧時,通過什麼方式以達到一致,從而更好的在後續階段通過風險級別指導測試活動。