Wie bei allen Risiken gibt es auch bei Compliance-Risiken kein Null-Risiko. Man wird in der Praxis noch nicht einmal in die unmittelbare Nähe einer Null kommen. Ein Null-Compliance-Risiko ist auch deshalb nicht erreichbar, weil sich ständig neue Risikofelder auftun. So beispielsweise durch Änderung von Geschäftsmodellen oder Vertriebswegen oder durch neue rechtliche Rahmenbedingen. Insbesondere ist die Unterbindung sog. Exzesstaten nur sehr eingeschränkt möglich. Eine Exzesstat liegt insbes. vor, wenn die Tat außerhalb jeder Lebenserfahrung liegt und realistischer Weise mit Compliance nicht verhindert oder auch nur erschwert werden kann.Footnote 1 Auch das beste Compliance-Management stößt deshalb – früher oder später – an Grenzen. Compliance-Management kann also nicht maximiert, sondern nur optimiert werden.

Ein weiterer limitierender Faktor ist der Umstand, dass Compliance-Management Geld und Zeit kostet. Diese Transaktionskosten im Unternehmen werden also mit jeder Verbesserung des Compliance-Managements steigen. Dabei muss davon ausgegangen werden, dass (tendenziell) mit jeder zusätzlichen Geldsumme die dadurch verursachte Steigerung des Grenznutzens abnimmt. Unterstellt man als Grenznutzen die Compliance-Sicherheit, dann wird sich selbst bei unendlicher Steigerung der Compliance-Kosten die Nutzenkurve langfristig bestenfalls asymptotisch an eine 100 %-Ziellinie anschmiegen, diese aber nie erreichen. Nicht die Kostenhöhe ist deshalb entscheidend, sondern der effiziente Mitteleinsatz.