Risk-based Testing Phần 2 - Quy trình quản lý Kiểm thử dựa vào rủi ro

Phần 2 – Quy Trình Quản Lý Trong Kiểm Thử Dựa Vào Rủi Ro

Posted on by Test Viewpoint

Ở bài viết trước chúng ta đã làm quen với khái niệm về Kiểm thử dựa vào rủi ro, khi nào nên sử dụng phương pháp Kiểm thử dựa vào rủi ro, những ưu và nhược điểm của phương pháp kiểm thử này mang lại. Bài viết hôm nay chúng ta hãy cùng nhau tìm hiểu tiếp về quy trình quản lý rủi ro nhé.

Như đã nhắc ở bài viết trước, quy trình quản lý rủi ro trong Kiểm thử dựa vào rủi ro bao gồm 3 hoạt động chính:

  • Xác định rủi ro – Risk identification
  • Đánh giá rủi ro – Risk assessment
  • Giảm thiểu rủi ro – Risk mitigation

Các hoạt động này không riêng rẽ mà có thể đi kèm với nhau. Chúng ta hãy cùng tìm hiểu chi tiết hơn trong những phần dưới đây nhé.

Xác Định Rủi Ro – Risk Identification

Xác định rủi ro – Risk identification là quá trình xác định và định danh các rủi ro tiềm ẩn trong một dự án, hệ thống hoặc tổ chức. Nó là một bước quan trọng trong quản lý rủi ro và đóng vai trò quan trọng trong việc xây dựng cơ sở thông tin về rủi ro. Từ đó có thể đưa ra các biện pháp phòng ngừa và quản lý rủi ro hiệu quả.

Quá trình xác định rủi ro bao gồm các hoạt động sau:

  • Thu thập thông tin: Thu thập thông tin về dự án, hệ thống hoặc tổ chức liên quan đến các khía cạnh như yêu cầu, thiết kế, môi trường vận hành, công nghệ, quy trình làm việc, nhân lực, tài chính, v.v.. Điều này giúp xây dựng một hình dung toàn diện về hoạt động và môi trường của dự án hoặc tổ chức.
  • Phân tích các yếu tố gây rủi ro: Xem xét các yếu tố gây rủi ro trong dự án hoặc tổ chức. Các yếu tố này có thể bao gồm: sự không chắc chắn, sự phụ thuộc vào bên thứ ba, thiếu nguồn lực, thiếu kỹ năng, quy trình không hiệu quả, sự thay đổi công nghệ, môi trường tổ chức không ổn định, v.v. Điều này giúp xác định các khía cạnh có khả năng gây rủi ro trong dự án hoặc tổ chức.
  • Xác định các rủi ro: Dựa trên thông tin và phân tích, xác định các rủi ro tiềm ẩn có thể xảy ra trong dự án hoặc tổ chức. Các rủi ro có thể được mô tả theo cách chung hoặc cụ thể, bao gồm cả các nguy cơ có thể xảy ra và tác động của chúng.
  • Ghi nhận thông tin về rủi ro: Ghi lại thông tin về các rủi ro đã xác định, bao gồm: mô tả, nguyên nhân, tác động, mức độ nghiêm trọng và khả năng xảy ra. Thông tin này sẽ tạo nên cơ sở dữ liệu về rủi ro để từ đó có thể thực hiện các hoạt động quản lý rủi ro.

Quá trình xác định rủi ro thường được thực hiện trong giai đoạn đầu của một dự án hoặc tổ chức, và nó cần được liên tục cập nhật khi có sự thay đổi trong môi trường hoạt động.

Đánh Giá Rủi Ro – Risk Assessment

Đánh giá rủi ro – Risk assessment là quá trình đánh giá và định giá các rủi ro trong một dự án, hệ thống hoặc tổ chức. Nó nhằm mục đích xác định mức độ nghiêm trọng của các rủi ro và xác định khả năng xảy ra của chúng. Quá trình này giúp cung cấp thông tin cần thiết để đưa ra quyết định về việc ưu tiên và quản lý rủi ro.

Việc đánh giá khả năng xảy ra rủi ro chủ yếu dựa trên các cân nhắc kỹ thuật liên quan đến sản phẩm, rủi ro, dự án, v.v. Đánh giá tác động của rủi ro chủ yếu dựa trên các cân nhắc kinh doanh liên quan đến sản phẩm, rủi ro, dự án, v.v. Có một số yếu tố ảnh hưởng đến khả năng và tác động mà bây giờ chúng ta sẽ xem xét.

1. Khả năng xảy ra

Các khía cạnh cần được xem xét khi đánh giá khả năng xảy ra của rủi ro bao gồm:

  • Tần suất: Yếu tố này xem xét xem rủi ro có xuất hiện thường xuyên hay là một sự kiện hiếm gặp. Nếu rủi ro xảy ra thường xuyên, khả năng xảy ra của nó sẽ cao hơn so với rủi ro chỉ xảy ra đôi khi.
  • Trọng số: Đây là mức độ nghiêm trọng của rủi ro và tác động tiềm ẩn lên dự án, hệ thống hoặc tổ chức. Rủi ro với trọng số cao hơn có khả năng xảy ra cao hơn và có tác động nghiêm trọng hơn.
  • Lịch sử: Đánh giá dựa trên lịch sử xảy ra của rủi ro trong quá khứ. Nếu rủi ro đã xảy ra trước đây, khả năng nó xảy ra lại trong tương lai sẽ cao hơn.
  • Kiến thức chuyên gia: Sự đánh giá từ các chuyên gia trong lĩnh vực liên quan cũng có thể giúp xác định khả năng xảy ra của rủi ro. Các chuyên gia có kiến thức và kinh nghiệm sẽ có cái nhìn tổng quan về các yếu tố liên quan đến rủi ro và có thể đưa ra nhận định chính xác hơn về khả năng xảy ra của rủi ro.
  • Mức độ kiểm soát hiện có: Nếu tổ chức có các biện pháp kiểm soát, quy trình hoặc hệ thống quản lý rủi ro hiệu quả, khả năng xảy ra của rủi ro có thể được giảm thiểu.
  • Thay đổi môi trường: Các yếu tố liên quan đến môi trường và ngữ cảnh có thể ảnh hưởng đến khả năng xảy ra của rủi ro. Sự thay đổi trong môi trường có thể làm tăng khả năng xảy ra rủi ro.

Tất cả những yếu tố này cần được xem xét và đánh giá một cách kỹ lưỡng để có cái nhìn toàn diện về khả năng xảy ra của rủi ro.

2. Mức độ ảnh hưởng

Khi đánh giá mức độ ảnh hưởng của một rủi ro, có một số yếu tố quan trọng cần xem xét. Dưới đây là một số yếu tố phổ biến trong việc đánh giá mức độ ảnh hưởng của rủi ro:

  • Tác động tài chính: Rủi ro có thể gây ra tác động tài chính trực tiếp hoặc gián tiếp. Tác động tài chính có thể liên quan đến mất mát tiền tệ, chi phí tăng cao, mất cơ hội kinh doanh hoặc giảm doanh thu.
  • Tác động về thời gian: Rủi ro có thể làm tăng thời gian thực hiện dự án hoặc gây trì hoãn trong lịch trình. Điều này có thể dẫn đến việc trễ hẹn với khách hàng, gia tăng chi phí hoặc mất cơ hội kinh doanh.
  • Tác động đến chất lượng: Rủi ro có thể ảnh hưởng đến chất lượng sản phẩm hoặc dịch vụ. Nó có thể gây ra lỗi, sự không đáp ứng yêu cầu của khách hàng hoặc ảnh hưởng đến hình ảnh và uy tín của tổ chức.
  • Tác động đến an ninh: Rủi ro có thể ảnh hưởng đến an ninh thông tin, bảo mật hệ thống hoặc dữ liệu quan trọng. Nó có thể gây ra mất mát dữ liệu, vi phạm quyền riêng tư hoặc làm suy yếu hệ thống bảo mật.
  • Tác động đến uy tín và danh tiếng: Rủi ro có thể gây hại đến uy tín và danh tiếng của tổ chức. Điều này có thể xảy ra thông qua các vấn đề về chất lượng, an toàn, tuân thủ quy định hoặc những sự cố gây tranh cãi.
  • Tác động xã hội và môi trường: Rủi ro có thể ảnh hưởng đến xã hội và môi trường. Điều này bao gồm tác động về sức khỏe và an toàn của cộng đồng, tác động môi trường và tuân thủ quy định về bảo vệ môi trường.

3. Đánh giá rủi ro theo định lượng hay theo định tính?

Đánh giá rủi ro có thể được thực hiện theo hai phương pháp chính: định lượng và định tính. Cả hai phương pháp đều có ưu điểm và hạn chế riêng, và sự lựa chọn giữa hai phương pháp này phụ thuộc vào mục tiêu của đánh giá rủi ro và tài nguyên có sẵn.

Lập bảng so sánh

Đưa ra khái niệm các cách đánh giá

Bảng so sánh ưu nhược điểm từng loại

Đánh giá rủi ro theo định lượng: Phương pháp này sử dụng số liệu và con số cụ thể để đo và đánh giá rủi ro. Nó thường dựa trên việc sử dụng các phương pháp toán học, thống kê và mô hình hóa.

Đánh giá rủi ro theo định tính: Phương pháp này dựa trên một quá trình đánh giá chủ quan và định tính các yếu tố liên quan đến rủi ro. Nó thường sử dụng các phương pháp như phỏng đoán chuyên gia, phân tích tường thuật, danh sách kiểm tra và phỏng đoán.

Ưu điểmNhược điểm
Đánh giá rủi ro theo định lượngCung cấp kết quả số liệu rõ ràng và đáng tin cậy.Yêu cầu kiến thức chuyên môn cao về phân tích số liệu và mô hình hóa.
Cho phép so sánh trực tiếp giữa các rủi ro khác nhau.Cần có dữ liệu và thông tin đầy đủ và chính xác để thực hiện đánh giá.
Hỗ trợ trong việc quyết định và lập kế hoạch rủi ro cụ thể.Khó khăn trong việc áp dụng cho các rủi ro không có dữ liệu lịch sử hoặc không thể đo lường một cách chính xác.
Đánh giá rủi ro theo định lượngĐơn giản và dễ triển khai, không yêu cầu kiến thức chuyên môn cao.Tương đối chủ quan và không cung cấp kết quả số liệu rõ ràng.
Có thể áp dụng cho các rủi ro mà không có dữ liệu định lượng.Khó khăn trong việc so sánh trực tiếp giữa các rủi ro khác nhau.
Hỗ trợ trong việc nhận biết và đánh giá sự quan trọng của các yếu tố rủi ro.Có thể bị ảnh hưởng bởi quan điểm cá nhân và sự thiếu chính xác trong việc đánh giá.
Bảng so sánh đánh giá theo định lượng và định tính

Trong thực tế, có thể sử dụng cả hai phương pháp định lượng và định tính để có cái nhìn toàn diện về đánh giá rủi ro. Phương pháp được lựa chọn sẽ phụ thuộc vào tính chất của dự án hoặc tổ chức cũng như tài nguyên và mục tiêu của quá trình đánh giá.

Giảm Thiểu Rủi Ro – Risk Mitigation

Giảm thiểu rủi ro – Risk mitigation là quá trình giảm thiểu tác động của rủi ro hoặc giảm khả năng xảy ra của rủi ro. Nó là một phần quan trọng trong quản lý rủi ro và được thực hiện nhằm giảm thiểu tác động tiềm năng của các rủi ro đối với dự án, tổ chức hoặc hệ thống.

Quá trình giảm thiểu rủi ro bao gồm các hoạt động như:

  • Xác định các biện pháp phòng ngừa: Xác định, thiết lập các biện pháp và quy trình để ngăn chặn rủi ro xảy ra hoặc giảm thiểu tác động của nó. Các biện pháp phòng ngừa có thể là sửa chữa hệ thống, cải thiện quy trình làm việc, áp dụng các biện pháp bảo mật hoặc đảm bảo sự tuân thủ quy định.
  • Triển khai các biện pháp kiểm soát: Áp dụng các biện pháp kiểm soát để giảm thiểu khả năng xảy ra của rủi ro hoặc kiểm soát tác động của rủi ro khi nó xảy ra. Các biện pháp kiểm soát có thể bao gồm việc thiết lập quy trình kiểm soát, giám sát liên tục, kiểm tra bảo mật, backup dữ liệu thường xuyên, và đào tạo nhân viên về an toàn và rủi ro.
  • Xây dựng kế hoạch khẩn cấp: Chuẩn bị và triển khai kế hoạch khẩn cấp để đối phó với các rủi ro xảy ra. Kế hoạch khẩn cấp cung cấp hướng dẫn chi tiết về cách đối phó với sự cố, giảm thiểu tác động của nó và phục hồi nhanh chóng sau khi sự cố xảy ra.
  • Định kỳ đánh giá rủi ro: Thực hiện việc đánh giá định kỳ về rủi ro để xác định xem các biện pháp giảm thiểu rủi ro hiện tại có hiệu quả hay không và có cần điều chỉnh hay cải tiến thêm không.

Mục tiêu của giảm thiểu rủi ro là tăng cường sự sẵn sàng và khả năng phản ứng của tổ chức trước các rủi ro tiềm tàng, giảm thiểu tác động tiêu cực và đảm bảo sự ổn định và bền vững trong hoạt động của tổ chức.

Ai Sẽ Tham Gia Vào Kiểm Thử Dựa Vào Rủi Ro?

Chúng ta đã bàn về các hoạt động trong quản lý rủi ro. Vậy ai sẽ là người tham gia vào việc kiểm thử dựa vào rủi ro? Câu trả lời là: Bất kỳ ai quan tâm đến chất lượng của sản phẩm và sự thành công của dự án đều là một bên tham gia – ở mức độ ít hay nhiều – về các rủi ro. Như đã lưu ý trước đây, chúng ta có thể nói về hai loại bên liên quan như vậy.

  • Các bên liên quan trong kinh doanh: bao gồm khách hàng, người dùng, nhân viên vận hành, bộ phận trợ giúp và nhân viên hỗ trợ kỹ thuật. Họ hiểu vấn đề mà chúng ta đang cố gắng giải quyết với hệ thống. Họ có thể thấy những rủi ro như mức độ chúng ta đã giải quyết vấn đề đó và sẽ tồi tệ như thế nào nếu không giải quyết được một số khía cạnh của vấn đề.
  • Các bên liên quan trong kỹ thuật: bao gồm nhà phát triển, người thiết kế, quản trị viên cơ sở dữ liệu, quản trị mạng, v.v.. Họ hiểu cách thức xảy ra lỗi và do đó có thể thấy rủi ro liên quan đến lỗi đó cùng như xảy ra nhiều lỗi khác nhau.

Bạn không cần phải lôi kéo mọi bên liên quan tham gia vào quy trình phân tích rủi ro chất lượng vì nhiều người sẽ có cùng quan điểm, dựa trên nhóm mà họ tham gia. Điều bạn cần là một đại diện đủ tiêu chuẩn của mỗi nhóm. Một đại diện đủ tiêu chuẩn là người có nhiều khả năng hiểu rõ nhất về các rủi ro chất lượng có liên quan đến nhóm cũng như có thẩm quyền – không nhất thiết phải là thẩm quyền quản lý – để phát biểu thay mặt cho nhóm.

Bài viết hôm nay khá dài. Hi vọng các thông tin mình chia sẻ phần nào giúp ích được cho công việc của bạn. Hẹn gặp lại các bạn ở phần 3 của loạt bài về Kiểm thử dựa vào rủi ro.

Happy testing!

Category: Basic KnowledgeManual Testing