In vielen Unternehmen wurde das Risikomanagement nur als »lästige«, gesetzlich geforderte Pflicht verstanden und dementsprechend nur unzureichend umgesetzt. Die Risikomanagement- und Kontrollsysteme wiesen Lücken auf, die teilweise von eigenen Mitarbeitern auch kriminell genutzt wurden. Zudem wurde der Fokus der Unternehmenssteuerung - insbesondere in Kreditinstituten - zu stark auf die Renditeerzielung gelegt. Risikoaspekte wurden dagegen vernachlässigt. Außerdem bestand z. T. eine Abneigung des Managements, aufgelaufene Verluste zu realisieren, was zu einer weiteren Risikoakkumulation führte. In einigen Unternehmen herrschte eine ausgeprägte Modellgläubigkeit. Es wurde vernachlässigt, dass Risikobewertungsmodelle ebenfalls Risiken bergen, z. B. bei einer systematischen Unterschätzung von Extremereignissen.
