Vor einigen Jahren stieß ich auf ein Paper, das Risk Based Testing wie folgt definierte:
Risikobasiertes Testen ist:
Risikoidentifikation
Risikobewertung
Risikominderung
Diese Begriffe sind die vereinfachten, generischen Phasen des Risikomanagements, wie man sie in jeder Standardquelle findet. Ich bin seit über 20 Jahren im Testing tätig und habe schon häufig in Teams gearbeitet, die sich als „Risk Based“ bezeichneten. Dennoch verwendeten wir diese Begriffe selten, wenn wir unsere Prozesse beschrieben haben.
Also stellte ich mir die Frage: Ist das wirklich der Prozess von Risk Based Testing? Ich musste lange darüber nachdenken.
Risikoidentifikation = Testanalyse
Bei der Risikoidentifikation untersucht man den Kontext und stellt fest, dass es zu viele Risiken gibt, um sie alle zu managen. Daher wählt man die bedeutenden Risiken aus und konzentriert sich auf diese. Im Testing führen wir eine Testanalyse durch: Wir erkennen, dass es zu viele mögliche Tests gibt, führen niemals exzessives Testen durch und priorisieren die wichtigsten Testfälle.
Risikobewertung = Testpriorisierung
In der Risikobewertung ordnet man Risiken mithilfe von Wahrscheinlichkeit und Auswirkungen, um die relevantesten zuerst bearbeiten zu können. Im Testing werten wir aus, welche Tests bei Defekten den größten geschäftlichen Schaden verursachen könnten („Impact“) und wo Fehler am wahrscheinlichsten auftreten („Likelihood“). Diese Bewertung bildet die Grundlage unserer Testpriorisierung.
Risikominderung = Testdurchführung
In der Risikominderung trifft man Maßnahmen, um Wahrscheinlichkeit, Auswirkungen oder beides zu reduzieren, sodass das Risiko ein akzeptables Maß erreicht. Im Testing reduziert die Testdurchführung das Risiko, dass unerkannte Fehler live gehen – auch wenn Software nie fehlerfrei garantiert werden kann. Testing liefert Informationen und verringert damit Ungewissheit.
Die identifizierten Aktivitäten sind keine Aktivitäten, die wir nur im risikobasierten Testen durchführen, sondern Aktivitäten, die wir in allen Formen des Testens durchführen, daher:
Alle Tests sind Risikomanagement.
Wir beschlossen, diese Hypothese auf die Probe zu stellen. Ich meldete mich zu einem Risikomanagement-Training und einer Qualifikation an: M_o_R von Axelos. Dies ist eine Risikomanagement-Methode und Qualifikation, die sich an alle richtet, die mit organisatorischem oder unternehmerischem Risikomanagement (und auch anderen Formen des Risikomanagements) befasst sind. Die anderen Teilnehmer des Kurses waren Unternehmensleiter, Leiter von Wohltätigkeitsorganisationen und Beamte.
Meine Theorie lautete: Da Testing Risikomanagement ist und die Aktivitäten des Testings auf die Aktivitäten des Risikomanagements abbildbar sind, würde ich feststellen, dass sich diese Abbildung durch den gesamten, detaillierten Risikomanagement-Prozess zieht. Da ich mit Testmanagement und Testprinzipien vertraut bin, sollte ich den Kurs daher relativ unkompliziert finden.
Um es kurz zu machen: Die Theorie hat sich bestätigt – ich fand den Kurs sowohl interessant als auch leicht verständlich und bestand die Foundation- und Practitioner-Prüfungen mit den besten Ergebnissen der Klasse. Die Aktivitäten, die wir im Kurs durchliefen, sind dieselben, die wir im Testing schrittweise eingeführt haben – über die letzten rund 40 Jahre seit Myers The Art of Software Testing. Dazu gehören Scope-Definition, Stakeholder-Management und die bereits erwähnten Phasen.
Der wichtigste Unterschied ist, dass sich das Risikomanagement gezielt und umfassend mit diesem Prozess befasst hat. Ihr Vorgehen ist durchgängig tiefgreifender – während der Testing-Prozess ursprünglich bei der Risikominderungsaktivität der Testdurchführung begann und sich von dort weiterentwickelte. Für mich ist klar: Tester können einiges von Risikomanagern lernen.
Beim nächsten Mal werde ich beginnen zu untersuchen, welche Lektionen wir daraus ziehen können.
Joe Elledge ist ein akkreditierter Trainer für BCS, ICAgile, iSQI, PeopleCert und ISTQB mit über 20 Jahren Erfahrung in Testmanagement, Qualitätssicherung und Training. Er hat in einer Vielzahl von Branchen gearbeitet – darunter Telekommunikation, Banken, Versicherungen und Automotive – sowie in Regionen wie Großbritannien, Irland, Deutschland, Indien, den USA, Skandinavien und der Schweiz. Erfahren Sie mehr über uns und unsere anderen Trainer der Expleo Academy.
