5.2 Zarządzanie ryzykiem Flashcards
Jakie są dwie główne czynności w Zarządzaniu Ryzykiem (Risk Management)?
Analiza ryzyka (Risk Analysis) – identyfikowanie i ocena ryzyk,
Kontrola ryzyka (Risk Control) – łagodzenie i monitorowanie ryzyk.
Jak definiujemy ryzyka i ich atrybuty?
Ryzyko (risk) to potencjalne zdarzenie, zagrożenie, groźba lub sytuacja, której wystąpienie powoduje niekorzystny skutek. Ryzyka charakteryzują się dwoma czynnikami:
* Prawdopodobieństwo (risk likelihood) – szacowana szansa wystąpienia (większa niż 0, mniejsza niż 1),
* Wpływ (risk impact) – konsekwencje wystąpienia danego ryzyka.
Te dwa czynniki łącznie określają poziom ryzyka (risk level). Im wyższy poziom, tym ważniejsze jest odpowiednie postępowanie z ryzykiem.
Jakie są powszechne typy ryzyk projektowych (Project Risks)?
Ryzyka projektowe dotyczą zarządzania i kontroli projektu. Obejmują m.in.:
* kwestie organizacyjne (opóźnienia w dostawach, niedokładne szacunki, cięcia kosztów),
* kwestie związane z ludźmi (niewystarczające umiejętności, konflikty, problemy komunikacyjne, braki kadrowe),
* kwestie techniczne (niekontrolowane poszerzanie zakresu — scope creep, słabe wsparcie narzędziowe),
* kwestie dotyczące dostawcy (opóźnienia lub niepowodzenia w dostawie od firmy trzeciej, niewypłacalność dostawcy).
Jaki wpływ mają ryzyka projektowe w momencie ich wystąpienia?
Mogą one wpłynąć na harmonogram projektu, budżet lub zakres, a w efekcie uniemożliwić osiągnięcie celów projektowych.
Jakie są powszechne typy ryzyk produktowych (Product Risks)?
Ryzyka te dotyczą jakości końcowego produktu. Przykładowe ryzyka to:
* brakująca lub niepoprawna funkcjonalność,
* błędne obliczenia,
* błędy w czasie wykonywania (runtime errors),
* nieodpowiednia architektura,
* nieefektywne algorytmy,
* niewystarczający czas odpowiedzi (performance),
* niska użyteczność (poor user experience),
* luki w zabezpieczeniach (security vulnerabilities).
Jakie negatywne konsekwencje mogą wystąpić w wyniku zaistnienia ryzyk produktowych?
Mogą to być m.in.:
* niezadowolenie użytkowników,
* utrata przychodów, zaufania lub reputacji,
* szkody wobec osób trzecich,
* wysokie koszty lub duże nakłady czasu na utrzymanie,
* odpowiedzialność karna,
* w skrajnych przypadkach — szkody fizyczne, obrażenia lub nawet śmierć.
Jaki jest cel Analizy Ryzyka Produktowego (Product Risk Analysis) i kiedy powinna się ona rozpocząć?
Celem jest dostarczenie informacji o ryzyku w produkcie, aby ukierunkować testowanie w sposób minimalizujący końcowy poziom ryzyka. Najlepiej rozpocząć ją we wczesnej fazie cyklu wytwarzania oprogramowania (SDLC).
Analiza ryzyka produktowego składa się z Identyfikacji ryzyka (Risk Identification) i Oceny ryzyka (Risk Assessment). Jak definiujemy Identyfikację ryzyka?
Identyfikacja ryzyka polega na stworzeniu jak najpełniejszej listy ryzyk. Interesariusze mogą je wskazać, stosując różne techniki, np. burzę mózgów, warsztaty, wywiady czy diagramy przyczynowo-skutkowe (cause-effect diagrams).
Analiza ryzyka produktowego składa się z Identyfikacji ryzyka i Oceny ryzyka. Jak definiujemy Ocenę ryzyka (Risk Assessment)?
Ocena ryzyka obejmuje: kategoryzację zidentyfikowanych ryzyk, określenie prawdopodobieństwa (risk likelihood), wpływu (risk impact) i poziomu (risk level), priorytetyzację oraz zaproponowanie sposobów postępowania z tymi ryzykami.
Kategoryzacja ułatwia przypisanie działań łagodzących, ponieważ zazwyczaj ryzyka z tej samej kategorii można łagodzić podobnymi metodami.
Ocena ryzyka może korzystać z podejścia ilościowego (quantitative) lub jakościowego (qualitative), albo ich połączenia. W podejściu ilościowym poziom ryzyka oblicza się jako iloczyn prawdopodobieństwa i wpływu. W podejściu jakościowym można posłużyć się macierzą ryzyka (risk matrix).
Analiza ryzyka produktowego może wpływać na dokładność (thoroughness) i zakres (scope) testów. Do czego wykorzystuje się wyniki tej analizy?
- określanie zakresu testowania (scope),
- wyznaczanie poziomów testów i proponowanie typów testów,
- dobór technik testowych i wymaganych poziomów pokrycia,
- szacowanie nakładu pracy na testowanie w poszczególnych zadaniach,
- priorytetyzację testów tak, by wcześnie znaleźć krytyczne defekty,
- planowanie dodatkowych działań poza samym testowaniem, które mogłyby obniżyć ryzyko.
Z jakich dwóch części składa się Kontrola Ryzyka Produktowego (Product Risk Control)?
Składa się z Łagodzenia ryzyka (Risk Mitigation) i Monitorowania ryzyka (Risk Monitoring).
* Łagodzenie ryzyka polega na wdrażaniu działań zaproponowanych w trakcie oceny ryzyka, w celu obniżenia jego poziomu.
* Monitorowanie ryzyka ma na celu sprawdzanie skuteczności tych działań, pozyskiwanie dalszych informacji dla lepszej oceny ryzyka oraz identyfikację nowych (pojawiających się) ryzyk.
Kiedy ryzyko zostanie przeanalizowane, jakie są dostępne opcje reakcji?
- Dobór testerów o odpowiednim poziomie wiedzy i doświadczenia, dopasowanym do specyfiki ryzyka,
- Zastosowanie odpowiedniego poziomu niezależności testowania (independence),
- Przeglądy (reviews) i statyczna analiza kodu (static analysis),
- Zastosowanie właściwych technik testowych i poziomów pokrycia,
- Wybór odpowiednich typów testów uwzględniających badane charakterystyki jakości,
- Przeprowadzanie testów dynamicznych (dynamic testing), w tym testów regresji (regression testing).
