Eine Session von Roland Baldenhofer.

Roland gab uns in dieser Session einen Einblick in eine Projektmanagementsystematik, die er für eine Großbank entwickelt hat.  Hintergrund war die Heterogenität in den Aktivitäten der Bank vom Investment Banking bis zum Privatkundengeschäft. Damit einher gingen die unterschiedlichsten Anforderungen an eine Projektsystematik (von hoher Dynmamik bis höchster Sicherheit). Im Laufe der Zeit hatten sich auch unterschiedlichste Methodologien herausgebildet. Ziel des Vorhabens war diese etwas einzudämmen, ohne alle gleichzuschalten, denn die unterschiedlichen Anforderungen waren ja im Geschäft begründet.

Als kleinster gemeinsamer Nenner erwies sich dabei das Risikomanagement, dem im Banken-Umfeld auch hinsichtlich der Aufsichtsbehörden eine besondere Bedeutung zukommt.

Die Idee der neuen Systematik war: Risiken (Risks) systematisch zu identifizieren, für deren Mitigation Aufgaben (Outcomes) abzuleiten und Best Practices für deren Bewältigung zur Verfügung zu stellen.

Die Gesamtsystematik bildeten dabei eine Art Entscheidungsbäume. Einstieg waren Fragebögen (Questions) zur Identifikation von Risiken.

Anmerkung aus der Diskussion: "Entscheidungsbäume machen aus schlechten Projektmanagern keine guten und bei guten Projektmanagern besteht die Gefahr, dass die ihr Hirn aussschalten."
Roland Baldenhofer konnte diese Einschätzung aus den Erfahrungen nur bestätigen.

Als Kontrollinstanz wurde in der Bank ein Project Review Board installiert. Vergleichbarkeit wurde durch standardisierte Risiken erreicht.

Die Methodik wurde auch zum Nachweis gegenüber der Bankenkontrolle genutzt.

Anmerkung aus der Diskussion: Wenn Risikomanagement erfolgreich ist, besteht die Gefahr des "Cost Cutting" - Wir können uns den Aufwand für das Risikomanagement sparen, weil es passiert ja eh nichts..."

Anmerkung aus der Diskussion: Die Konzentration auf Risiken vernachlässigt die Betrachtung von Opportunities. 

@Bernhard Schloß  berichtete von einem ähnliche methodischen Ansatz eines Kunden, der im Rahmen eines Programmes zur Informationssicherheit aus der Klassifizierung eine Schutzbedarfes, in die Ableitung idealtypischer Anforderungen und eine anschließenden Risikobetrachtung überleitet. Das Konstrukt Risks-Outcomes-Practices ist dort ähnlich, aber nicht vor einem Projektmanagement-Hintergrund aus implementiert, sondern eben im Rahmen der Informationssicherheit.