尽管风险确实可能消失,但我们不能够通过虔诚的祈祷来让风险消失,我们需要认真面对这些事情,想出规避的策略。不过并不是所有风险都需要跟踪,要根据某总原则进行选择(要不然我得每天跑天文台,问他们会不会有流星砸中我们……)。这个原则就是风险发生的代价和规避风险的成本的比值必须大于1。
风险的代价一般用风险发生的概率和风险造成的损失的乘积来衡量,而规避风险的成本则是实际的成本估计。例如前面说的彗星撞地球的问题,损失很大,概率极小,而规避成本极大,所以这个比值肯定小于1,于是我们不予理会(听天由命吧)。而配置库的问题则是损失很大,概率比较小,规避成本比较小,比值应该远大于1,所以我们应该去好好考虑一下。不过,嗯,好像我又不严谨了,就算是严密跟踪风险,有些风险还是要变成问题,所以实际中我们考虑的是规避措施带来的效益和规避风险的成本之间的比值必须大于1,这个效益也就是最可能减少的损失。
理论上来说,我们应该试图跟踪每一个比值大于1的风险,不过实际中我们要讲究一个度,毕竟“提交可以使用的软件”才是我们的最终目标呢!按一般的经验,我们只关注值得跟踪的风险中代价最大的5~10个,这个根据项目不同而不同。
好了,理论聊了一大堆,实际上我们应该怎么做呢?
为了跟踪风险,我们需要开一个“风险管理会议”来找出所有感兴趣的风险。在这个会议中,大家首先各自用五分钟沉思,想想项目中有哪些风险(这是头脑风暴法的一种形式),并在纸上写下5个自认为值得跟踪而且代价最大的风险(“5”这个数也只是一个经验值,可根据实际情况进行改变),这个步骤叫做发现风险。五分钟后,大家将纸条贴在白板上,会议进入第二步,标识风险。详细分析风险之前,先去掉那些不是风险、不值得跟踪的风险,这是大家都得发表意见的环节。之后,为所有留下的风险按照风险发生的概率和风险造成的损失的乘积排序(为什么不按照规避措施带来的效益排序呢?因为我们还没有制定规避措施呢!为了简化问题,我们就用这个乘积了,这也就是为什么会有第一个不严谨定义的缘故),找出乘积最大的5个风险,这里的“5”也是一个经验值。好了,到了最后也是最重要的时候,我们要开始分析风险。分析风险包括为风险制定详细的规避措施并估计规避的成本、万一风险变成问题后如何解决问题、指定跟踪的负责人、确定开始跟踪风险的日期等,这些分析是由大家群策群力来分析,力求措施既有用又有效。
比方说,关于配置库的那个风险我们最终是这么分析的:
风险编号:3(仅仅是一个编号,编号的规则可以根据实际情况来定)
开始日期:2月20日
文章来源于领测软件测试网 https://www.ltesting.net/
