为了便于量化管理，常见的风险定义由以下3个参数表述：

　　①风险严重性：指风险对项目造成的危害程度；

　　②风险可能性：指风险发生的几率；

　　③风险系数：是风险严重性和风险可能性的乘积。

　　一般地，风险管理有4个主要活动，即风险识别、风险分析、风险减缓和风险跟踪。在项目的生命周期内，上述4个活动将被循环执行，直到项目的所有风险都被识别与解决为止。据此，我们可以得出基于风险管理的软件测试流程

　　（1）风险识别。根据企业项目实施经验识别出软件外包测试项目的潜在风险。风险的识别除了来源于项目管理及相关专业知识，主要还要依靠性质相近项目的实践经验，

　　所以即使专业CMMI咨询顾问也不得不在问讯企业内各相关人员后才能做出改进方案。因此风险识别角色的确定成为了第一个关键点，这不仅要求具备扎实的管理及专业知识，同时还应具备丰富的项目实践经为了避免责任过于集中（在一人身上）的风险，

　　企业还可以采用集思广益法以及建立项目风险库来收集企业内各项目实际遇到的困难及解决方案等以供参考。

　　（2）风险分析。为识别出的各种风险估计严重性和可能性，继而求出风险系数，确定测试流程改进及实施的关键点以及优先级。风险分析方法主要参照风险管理知识来进行，

　　其分析中所用的统计数据则来自于专业知识以及实践经验的总结，同样也可以来自于企业项目风险库内的各项目历史数据统计。

　　（3）风险减缓。按照风险系数大小针对各个风险点给出合适的流程改进以及实施建议。如上所述，流程改进理论将主要参照CMMI3中验证与确认这两个过程域进行，而具体实施建议则要结合企业的实际应用环境加以灵活调整，比如因CMMI标准流程的启用而导致项目相关成员工作量的调整。

　　（4）风险跟踪。记录新的测试流程实施过程，跟踪风险状态并依此制定出新的测试流程改进实施计划。开始新的测试流程并不能代表流程改进进程的结束，风险要素为活动因素，它们会随外界条件的变化而改变，或新增或消失，

　　其重要性、可能性等或增加或减少，因此通过风险跟踪我们可以验证流程改进的成果，同时也可以让风险管理思想所引导的测试流程改进随之进行相应的变化。风险跟踪依据则主要来源于项目实践中的各种常用报告以及专门为了便于风险跟踪而设计的各种数据报告。

　　三、软件测试流程改进的项目实践

　　本文实践项目是一个名为Final的项目，它来源于欧美一家知名企业的软件外包测试。该项目为长期项目，以年为单位签订承包合同，其下还设有五六个子项目。

　　测试方法采用手工的集成测试、回归测试和系统测试，属于黑盒测试的范畴。测试周期随着客户的开发进度而变化。由于该项目要求的技术性不高，加上软件人才稀缺，为了更好地控制项目成本，该项目承包方决定聘用较多的初级测试人员。

　　3.1 风险识别与分析

　　根据该项目实施历史数据统计，经过风险识别、风险严重性与可能性估计，我们可以按照风险系数从大到小的顺序将该项目中潜在的风险进行排列。显然，按照风险系数的大小，我们可以确定测试流程改进的关键点以及优先级顺序。

　　3.2 风险减缓方案制订

　　（1）改进测试计划包括工作内容的分配：把主体测试工作尽量安排在中前期进行；在中前期更多安排测试用例的执行，而后期则减少测试用例执行，增加测试人员的随机测试；测试工作在高级测试员、初级测试员及管理层之间有序分配。