风险识别是基于风险的测试的起始点,后续所有的分析和决策都依赖于此项工作的成果。如果在风险识别阶段造涌了某项重大的风险,则必然会出现在后续的测试中得不到足够覆盖的情况,从而给产品上市、发布、上线后的表现带来巨大的隐患和不确定性。
风险的识别极大地依赖于人们对产品、业务、相关产业生态,乃至社会和文化等方面的理解和认识。目前并没有一个确定机械化的算法来保证找出所有的风险。通常的做法是通过专家访谈、头脑风暴和采用风险框架或检查表来尽量保证识别完整的风险和客观地评估其优先级。在项目实践中,测试经理或负责人将上述三种做法组合起来运用,结合组织特点选择合适的方式,达到获取尽量完整的风险列表并客观对风险作出评估的目的。
(1)专家访谈可以得出基础的风险列表或者对已有的风险列表进行补充;
(2)头脑风暴可以邀请主要的利益相关者参与,花费两个小时左右的时间列举出关键利益相关者关心的风险;
(3)风险框架或检查表能提供风险识别的历史经验和尽量完整、全局的视角。
由于访谈技巧和头脑风暴技巧与软件测试关联较小,一般会给出一般性的、通用性强的风险框架和检查表。
风险识别除了以上描述的方法以外,还可以从以下来源获取风险:
(1)各种规格说明;
(2)实现的细节;
(3)销售、市场资料;
(4)竞争对手的研究;
(5)独立评估机构;
(6)过去历史项目;
(7)个人的历史经验。
通常测试经理需要综合运用上述的风险识别框架和检查表,力图尽量全面地识别风险。在此阶段多花些精力能大大减少后续返工,甚至是风险出现时造成的经济损失。要特别注意的是,风险的识别同软件测试一样,也是不可穷尽的,应避免将测试活动阻塞在无穷尽的风险识别上。可通过固定工期的做法,固定安排风险识别的工作时间,来识别风险。
