ORDINA BLOGT

PRA: van papieren tijger naar slagvaardig instrument - óók in een Agile omgeving!

  • Pepijn van de Vorst
  • 27 juli 2017

Testers van de oude stempel kennen hem vast wel: de Product Risico Analyse, kortweg PRA genoemd. Eén van de instrumenten uit de gereedschapskist van de tester. Hoewel risico’s de basis vormen voor het testen, wordt de PRA in de praktijk vaak niet gebruikt (zeker bij agile software ontwikkeling) of is een papieren tijger. Dat kan anders!

Pragmatisch & Praktisch
De risico analyse zoals oorspronkelijk onderwezen, leidde tot lange, vaak slaapverwekkende sessies, en een enorme spreadsheet of tabel met risico’s. Die vervolgens vaak ergens in een la belandde.

Met de volgende aandachtspunten hou je de PRA pragmatisch en praktisch:

  • Nodig van alle stakeholder groepen / expertises één vertegenwoordiger uit zodat het geen Poolse landdag wordt
  • Zorg dat de deelnemers zich van tevoren goed hebben voorbereid zodat tijdens de sessie niet teveel inhoudelijke uitleg nodig is
  • Zorg voor een zo eenvoudig mogelijk sjabloon zodat je dit tijdens de sessie gelijk kunt invullen
  • Zorg voor een facilitator, dat maakt het gelijk invullen sneller en eenvoudiger
  • Hanteer een timebox
  • Dit dwingt alle aanwezigen kort en krachtig de risico’s en maatregelen te benoemen
  • Benoem de risico’s heel concreet in termen van het bedrijfsproces, zodat de risico’s voor alle betrokkenen helder zijn, ook (langere tijd) ná de bijeenkomst
    Voorbeeld: “klant krijgt toegang tot berichten die niet voor hem zijn bestemd”

Maatregelen: expliciet & concreet!
Voor risico’s kunnen meestal op vier manieren maatregelen worden genomen:

  • In de requirements / user story wordt expliciet aandacht besteed aan afdekken van het risico. Voorbeeld: “In fase uitvoeren nog een keer de service klant identificatie aanroepen”
  • Het risico is een extra aandachtspunt bij het vaststellen van de testaanpak en testgevallen. Voorbeeld: “Koppeling tussen klantdata en klant identificatie testen met hoge dekkingsgraad”
  • Om de impact van het risico te beheersen wordt een organisatorische maatregel genomen. Voorbeeld: “Instructie voor de medewerkers hoe om te gaan met een verdachte klant identificatie”
  • Er wordt bewust voor gekozen niets met het risico te doen. Door bij elk risico diréct vast te leggen welke maatregelen worden genomen (het kan uiteraard ook een combinatie van 1,2 en 3 zijn), én aan elke maatregel een “actiehouder” te koppelen, ontstaat een eenvoudig, krachtig stuur instrument.

De maatregelen kunnen namelijk gepland worden, als agile wordt gewerkt via de sprint backlog of het Kanban bord. Als een tool als JIRA wordt gebruikt, kan het ticketnummer worden opgenomen in de PRA.

Flexibel en dynamisch
Omdat de PRA pragmatisch en praktisch is opgezet, is het eenvoudig om deze te onderhouden. En juist in een agile omgeving, waarin zaken steeds veranderen, is dit een groot pluspunt. Op basis van veranderende risico’s kan snel en eenvoudig worden vastgesteld of de afgesproken maatregelen nog relevant zijn. Maatregelen die niet meer relevant zijn, worden “weggestreept” en nieuwe maatregelen die nodig zijn worden toegevoegd.

Wanneer voer je de PRA uit?
Om een risico analyse uit te kunnen voeren, moet je weten wat het product gaat doen (in relatie tot het bedrijfsproces) en welke technologische aspecten relevant zijn. Het hoeft echter nog niet volledig uitgekristalliseerd te zijn. Vanuit agile perspectief is het detailniveau van epics of features voldoende. Maatregelen om risico’s te beheersen kunnen als user stories of taken worden opgevoerd en afgehandeld. Deze worden gewoon meegenomen in de sprint review en sprint planning. Voordat de epic of feature naar productie gaat, kan op basis van de PRA worden gecontroleerd of alle maatregelen zijn uitgevoerd.

Ga niet voor elke user story een PRA uitvoeren. Als team kun je samen met je Product Owner uitstekend inschatten of voor een bepaald stuk nieuwe functionaliteit een PRA zinvol of noodzakelijk is. Neem deze afweging mee in de refinement sessies.

Een voorbeeld sjabloon
Voor het uitvoeren van een PRA zoals beschreven in deze blog zou het volgende sjabloon gebruikt kunnen worden:



Essentieel is dat de risico’s voor alle betrokkenen helder zijn en dat de maatregelen concreet en duidelijk zijn.
Hoe eenvoudiger, hoe beter. Hou het vooral overzichtelijk!

Een slagvaardig instrument!
Door de PRA pragmatisch en praktisch te houden en er diréct concrete maatregelen aan te koppelen, ontstaat een slagvaardig instrument, waarmee je de aan je product gerelateerde risico’s optimaal kunt beheersen.

Heb je vragen of opmerkingen, of wil je een voorbeeld van een sjabloon zien, neem dan vooral contact op!