Smyslem přístupu k testování založenému na rizicích (risk-based testing) [ISTQB, 2012a, s. 23-26] je včasná identifikace a analýza rizik kvality produktu a následný návrh, implementace a provádění testů, které povedou ke snížení úrovně produktových rizik. Na kvalitu produktu je v tomto pojetí nahlíženo jako na souhrn vlastností, chování, charakteristik a atributů, které ovlivňují spokojenost zákazníka, uživatele nebo jiné zainteresované strany.

Testování založené na rizicích snižuje úroveň rizik kvality produktu, ať už odhalí defekty, nebo ne. Pokud testy odhalí defekty a testovací tým je ohlásí, snižuje se úroveň rizika už jen tím, že projektový tým o defektech ví a může je opravit. Pokud testy defekty neodhalí, snižuje se úroveň rizika potvrzením, že pod danými testovacími podmínkami systém pracuje korektně.

Hlavním cílem přístupu k testování založenému na rizicích je tedy maximálně využít testování ke snížení úrovně rizik kvality produktu a obzvláště ke snížení úrovně rizik na úrovni akceptačního testování.

Přístup k testování založený na rizicích může zjištěná rizika využít k různým účelům:

·         k výběru testovacích podmínek, které budou předmětem testování,

·         k výběru testovacích technik pro návrh a provádění testů,

·         k určení rozsahu testování,

·         k rozvržení testování v závislosti na prioritách testovacích případů tak, aby kritické defekty byly nalezeny pokud možno co nejdříve,

·         k určení aktivit mimo oblast testování, které sníží úroveň rizik jako je například školení nezkušených analytiků.

Testování založené na rizicích zahrnuje čtyři hlavní aktivity:

·         identifikace rizik,

·         hodnocení rizik,

·         snížení úrovně rizik,

·         řízení rizik v životním cyklu.

Identifikace rizik kvality produktu není záležitost výhradně testovacího týmu, ale měla by probíhat ve spolupráci se zainteresovanými stranami, které očekávají určitou úroveň kvality produktu. Při identifikaci rizik mohou být využity různé techniky jako interview s experty, nezávislá hodnocení, použití šablon pro rizika, projektová retrospektiva, workshopy, brainstorming, seznamy, nebo minulé zkušenosti.

Jakmile jsou rizika identifikována, může se přistoupit k hodnocení rizik, kde se provede rozbor těchto identifikovaných rizik. Hodnocení rizik se sestává z kategorizace každého produktového rizika a určení jeho pravděpodobnosti a dopadu. Dále může také proběhnout vyhodnocení nebo přiřazení dalších vlastností rizika jako například vlastník rizika.

Ohodnocená rizika jsou poté zanesena do plánu testování a s ohledem na pokrytí rizik v plánu testování potom probíhá návrh, implementace a provádění testů. Testovací tým by si měl být vědom, že během projektu se může množina produktových rizik či jejich úroveň změnit. Měla by tedy probíhat soustavná identifikace a analýza rizik, jejíž výsledky by se měly promítnout i v odpovídajícím přizpůsobování testů a testovacích aktivit.

V organizacích na vyšších úrovních zralosti [1] řízení rizik prostupuje celým životním cyklem softwaru napříč projektovým týmem a ne jen testováním. Závažná rizika jsou podchycena již v rámci nižších úrovní testování vývojovým týmem a nedostanou se až na úroveň systémových testů k testovacímu týmu. Kromě potlačování důsledků potencionálních rizik je oblastí zájmu také analýza příčin rizik a implementace procesů, které rizikům předchází.