Der Schlüssel zum Erfolg in China: Robuste interne Kontrolle und Risikomanagement im Einklang mit dem lokalen Rechtssystem
Sehr geehrte Investoren, wenn Sie in China engagiert sind oder ein Engagement planen, dann kennen Sie sicherlich die beiden großen Themen: gewaltige Marktchancen und ein komplexes, sich ständig weiterentwickelndes rechtliches und regulatorisches Umfeld. In meinen über 26 Jahren Berufserfahrung, davon 12 Jahre in der Beratung ausländischer Unternehmen bei Jiaxi und 14 Jahre in der Registrierungsabwicklung, habe ich immer wieder gesehen, wie entscheidend ein solides Fundament interner Kontrollen für den nachhaltigen Erfolg ist. Es geht längst nicht mehr nur um Buchhaltungsrichtlinien oder die physische Sicherheit von Lagerbeständen. Das chinesische Compliance-Rechtssystem hat in den letzten Jahren eine bemerkenswerte Dynamik und Tiefe entwickelt, angefangen beim Anti-Korruptionsgesetz über Datensicherheits- und Persönlichkeitsschutzgesetze bis hin zu spezifischen Industrieregularien. Ein Compliance-System, das nur auf dem Papier existiert, ist heute ein existenzielles Risiko. Dieser Artikel soll Ihnen als Investor eine fundierte Perspektive geben, worauf es wirklich ankommt, wenn ein Unternehmen in China nicht nur wachsen, sondern auch resilient und rechtssicher operieren will. Lassen Sie uns gemeinsam die zentralen Bausteine unter die Lupe nehmen.
Die Compliance-Kultur verankern
Der vielleicht wichtigste, aber auch am meisten unterschätzte Aspekt ist die Verankerung einer lebendigen Compliance-Kultur. Viele Unternehmen, besonders in der Anfangsphase, konzentrieren sich auf Prozesse und Handbücher und vergessen, dass diese nur so gut sind wie die Menschen, die sie täglich umsetzen. Eine Kultur, in der Mitarbeiter Bedenken melden können, ohne Repressalien fürchten zu müssen, ist kein Nice-to-have, sondern eine absolute Notwendigkeit. Ich erinnere mich an einen deutschen Mittelständler aus dem Maschinenbau, der eine potenziell gravierende Verletzung von Exportkontrollen nur deshalb frühzeitig aufdecken konnte, weil ein Mitarbeiter aus der Logistikabteilung das firmeninterne Whistleblower-System nutzte und eine verdächtige Anfrage meldete. Ohne dieses offene Klima des Vertrauens wäre der Schaden – finanziell und reputational – enorm gewesen. Die chinesischen Aufsichtsbehörden achten zunehmend darauf, ob Compliance „von oben“ vorgelebt wird. Schulungen müssen regelmäßig, verständlich und mit konkreten Fallbeispielen aus der Praxis des Unternehmens durchgeführt werden. Es reicht nicht, einmal im Jahr eine PowerPoint-Präsentation abzuhaken. Eine gelebte Compliance-Kultur ist die erste und wichtigste Verteidigungslinie gegen Risiken und der Grundstein für jedes weitere Kontrollsystem.
Die Implementierung erfordert kontinuierliche Anstrengung. Es geht darum, Compliance nicht als lästige Pflicht, sondern als integralen Bestandteil der Geschäftstätigkeit und sogar als Wettbewerbsvorteil zu kommunizieren. Führungskräfte müssen in Zielvereinbarungen und Bonuskalkulationen auch an Compliance-Kriterien gemessen werden. In meiner Beratungspraxis setze ich oft auf pragmatische Ansätze: Statt mit abstrakten Paragrafen zu beginnen, starten wir mit Workshops zu realen ethischen Dilemmata, die die Mitarbeiter aus ihrem Alltag kennen. Das schafft viel mehr Bewusstsein und Akzeptanz. Letztendlich muss jeder im Unternehmen verstehen, dass regelkonformes Handeln nicht den Geschäftserfolg behindert, sondern ihn langfristig erst ermöglicht und absichert.
Risikoidentifikation und -bewertung
Bevor man Kontrollen aufbaut, muss man wissen, wogegen man sich eigentlich schützen will. Eine systematische und regelmäßige Risikoidentifikation und -bewertung (im Fachjargon oft „Risk Assessment“) ist daher unverzichtbar. Dies muss den spezifischen Gegebenheiten des chinesischen Marktes Rechnung tragen. Typische Risikofelder für ausländische Unternehmen sind neben den klassischen betriebswirtschaftlichen Risiken insbesondere: Compliance-Risiken im Bereich Korruptionsbekämpfung (Stichwort: „Guanxi“ und Geschenke), steuerliche Transfer Pricing-Risiken, Datenschutz- und Cybersicherheitsrisiken (Stichwort: Multi-Level Protection Scheme), arbeitsrechtliche Herausforderungen sowie Risiken im Zusammenhang mit geistigem Eigentum. Ein strukturierter Prozess zur Risikobewertung priorisiert diese Gefahren nach Eintrittswahrscheinlichkeit und potenziellem Schaden.
Ein praktisches Beispiel: Ein europäischer Konsumgüterhersteller expandierte stark über E-Commerce-Plattformen in China. Bei der Risikoanalyse gemeinsam mit Jiaxi stellten wir fest, dass das größte unerkannte Risiko nicht in der Logistik, sondern in der Datenverarbeitung lag. Die Sammlung und Analyse von Kundendaten für Marketingzwecke warf plötzlich massive Fragen unter der neuen Gesetzgebung zum Persönlichkeitsschutz (PIPL) auf. Ohne diese gezielte Bewertung hätte das Unternehmen blind in einen regulatorischen Graben fahren können. Ein dynamisches Risk Assessment ist kein einmaliges Projekt, sondern ein kontinuierlicher Kreislauf, der sich an gesetzliche Änderungen und Geschäftsentwicklungen anpasst. Nur so können Kontrollressourcen dort gebündelt werden, wo die größten Gefahren lauern.
Kontrollaktivitäten und -prozesse
Auf Basis der Risikobewertung werden nun konkrete Kontrollaktivitäten designed und implementiert. Hier wird es sehr handfest. Es geht um die „Four-Eyes-Prinzipien“ bei Genehmigungen, um klare Delegation of Authority Matrices, um physische Zugangskontrollen, um IT-Sicherheitsrichtlinien und um standardisierte Prozesse für kritische Abläufe wie Beschaffung, Vertragsmanagement oder Reisekostenabrechnung. Im chinesischen Kontext sind dabei zwei Dinge besonders kritisch: Die Kontrollen müssen den lokalen Gegebenheiten angepasst sein (z.B. bei der Verwendung offizieller Fapiao als einzig gültigem Beleg) und sie müssen dokumentiert und nachvollziehbar sein.
Ein lehrreiches Negativbeispiel aus meiner frühen Zeit: Ein Unternehmen hatte eine vorbildliche Software für die Genehmigung von Ausgaben. In der Praxis jedoch genehmigten die Vorgesetzten oft per WeChat-Sprachnachricht, weil es „schneller“ ging. Bei einer steuerlichen Betriebsprüfung konnten diese mündlichen Genehmigungen nicht vorgelegt werden, was zu erheblichen Problemen und Nachforderungen führte. Die Moral der Geschichte: Die beste Kontrolle ist wertlos, wenn sie im Arbeitsalltag umgangen oder nicht dokumentiert wird. Kontrollprozesse müssen daher nicht nur effektiv, sondern auch praktikabel und in die täglichen Arbeitsroutinen integriert sein. Oft hilft es, digitale Tools einzusetzen, die solche Umgehungen technisch verhindern und automatisch einen Prüfpfad (Audit Trail) erstellen.
Informationsfluss und Kommunikation
Ein funktionierendes internes Kontrollsystem ist auf einen verlässlichen und zeitnahen Informationsfluss angewiesen. Dies betrifft sowohl die Kommunikation von oben nach unten (Policies, Anweisungen, Schulungsinhalte) als auch von unten nach oben (Meldungen über Vorfälle, Risikohinweise, Feedback zu Prozessen) und horizontal zwischen Abteilungen. Besonders wichtig ist die Schnittstelle zwischen der lokalen Geschäftsführung in China, der regionalen Zentrale in Asien und der globalen Konzernzentrale. Missverständnisse oder Informationsverzögerungen in dieser Dreiecksbeziehung sind eine häufige Fehlerquelle.
Ich habe erlebt, wie ein globales Compliance-Update eines Konzerns monatelang nicht bei der chinesischen Tochtergesellschaft ankam, weil es in der „globalen“ E-Mail-Schleife stecken blieb und niemand die Übersetzung und Lokalisierung veranlasst hatte. In der Zwischenzeit handelten die lokalen Mitarbeiter nach veralteten Regeln. Klare Verantwortlichkeiten für den Informationsfluss und regelmäßige Abstimmungsmeetings zwischen lokalen Compliance-Beauftragten und der Zentrale sind essentiell. Auch der Einsatz von zentralen, mehrsprachigen Plattformen für Policies und Schulungen kann hier Abhilfe schaffen. Kommunikation muss aktiv gemanagt werden, sie geschieht nicht von selbst.
Überwachung und kontinuierliche Verbesserung
Kein System ist von Anfang an perfekt, und die Rahmenbedingungen ändern sich ständig. Daher ist eine kontinuierliche Überwachung (Monitoring) der Wirksamkeit der internen Kontrollen unabdingbar. Dazu gehören interne Audits, Selbstbewertungen der Fachabteilungen, die Auswertung von Whistleblower-Meldungen und das Tracking von Key Risk Indicators (KRIs). Die Ergebnisse dieses Monitorings müssen in einen Verbesserungskreislauf eingespeist werden. Schwachstellen werden identifiziert, Abhilfemaßnahmen (Remedial Actions) geplant, umgesetzt und deren Wirksamkeit wiederum überprüft.
Ein positiver Fall aus unserer Praxis: Ein Kunde führte auf unseren Rat hin quartalsweise kurze „Control Self-Assessments“ in seinen kritischen Abteilungen ein. Dabei stellte das Vertriebsteam fest, dass der Prozess zur Due Diligence von neuen Distributoren zu langsam war und Geschäfte verzögerte. Gemeinsam optimierten wir den Prozess, digitalisierten Teile davon und behielten gleichzeitig das notwendige Maß an Kontrolle. Ein internes Kontrollsystem ist kein statisches Konstrukt, sondern ein lebendiger Organismus, der mit dem Unternehmen wachsen und lernen muss. Ohne diesen kontinuierlichen Verbesserungsprozess erodiert die Wirksamkeit der Kontrollen mit der Zeit und das Risiko steigt unbemerkt an.
Die Rolle der Unternehmensleitung
Die oberste Leitungsebene – der Vorstand bzw. die Geschäftsführung – trägt die ultimative Verantwortung für das interne Kontroll- und Risikomanagementsystem. Dies ist nicht nur eine moralische, sondern zunehmend auch eine gesetzliche Verpflichtung. In China wird von der Unternehmensleitung erwartet, dass sie die „Tone at the Top“ setzt, ausreichende Ressourcen für Compliance bereitstellt und regelmäßig über die Wirksamkeit des Systems informiert wird. Die Leitung muss das Risikoprofil des Unternehmens verstehen und kritische Entscheidungen auf dieser Basis treffen.
In meinen Gesprächen mit Geschäftsführern betone ich immer: Ihr persönliches Engagement ist der Katalysator für alles Weitere. Wenn Sie in Meetings regelmäßig nach Compliance-Kennzahlen fragen, wenn Sie selbst an Schulungen teilnehmen und wenn Sie konsequent auf Einhaltung bestehen – auch wenn es kurzfristig unbequem ist –, dann sendet das ein unmissverständliches Signal durch die gesamte Organisation. Ein passiver oder gar gleichgültiger Vorstand ist das größte Einzelrisiko für jedes Compliance-System. Die Leitung muss das Steuer in der Hand halten und den Kurs vorgeben, ansonsten treibt das Schiff gefährlich nah an die Klippen der Non-Compliance.
Zusammenfassend lässt sich sagen, dass der Aufbau eines effektiven internen Kontroll- und Risikomanagementsystems im chinesischen Kontext eine strategische Notwendigkeit ist, die weit über die reine Rechtskonformität hinausgeht. Es schützt das investierte Kapital, bewahrt den Firmenwert und schafft langfristige Stabilität in einem dynamischen Markt. Die fünf diskutierten Säulen – Kultur, Risikobewertung, Kontrollen, Kommunikation und Überwachung unter aktiver Führung – bilden ein zusammenhängendes Gerüst. Investoren sollten bei der Bewertung von Unternehmen in China genau hinschauen, wie diese Säulen ausgestaltet sind. Ein Unternehmen mit einem schwachen Kontrollsystem mag kurzfristig hohe Renditen versprechen, trägt aber ein unkalkulierbares implizites Risiko in sich. Meine persönliche Einschätzung für die Zukunft: Der Druck durch digitale Überwachungstechnologien der Behörden (z.B. bei Steuern via „Golden Tax System IV“) und die zunehmende persönliche Haftung von Managern werden die Anforderungen weiter verschärfen. Diejenigen, die ihr Kontrollsystem jetzt professionalisieren und mit Leben füllen, werden nicht nur ruhiger schlafen, sondern auch nachhaltig erfolgreicher sein.
Einschätzung der Jiaxi Steuerberatung
Aus unserer täglichen Beratungspraxis bei Jiaxi für internationale Unternehmen in China sehen wir den „Aufbau von interner Kontrolle und Risikomanagement“ als zentralen Erfolgsfaktor und nicht als lästige Pflicht. Das chinesische Compliance-Umfeld ist kein starres Regelwerk, sondern ein dynamisches Ökosystem, das agiles und kontextsensibles Handeln erfordert. Ein reines „Abarbeiten“ globaler Checklisten greift hier zu kurz. Entscheidend ist die intelligente Lokalisierung von Kontrollen: Sie müssen den Geist der chinesischen Regularien erfassen und gleichzeitig operativ praktikabel sein. Wir beobachten, dass Unternehmen, die in eine integrierte Betrachtung von Steuer-, Rechts-, Datenschutz- und Betriebsrisiken investieren, nicht nur weniger Probleme mit Behörden haben, sondern auch effizienter und letztlich profitabler arbeiten. Die größte Schwachstelle ist oft die Lücke zwischen formeller Policy und gelebter Praxis. Hier setzt unsere Beratung an: Wir helfen nicht nur beim Design, sondern auch bei der Implementierung und Schulung, um eine echte Compliance-Kultur zu schaffen. Unser Rat an Investoren: Fragen Sie bei Portfoliounternehmen nicht nur nach den Umsatzzahlen, sondern auch nach der Reife des internen Kontrollrahmens und der Häufigkeit und Tiefe der Risikobewertungen. Dies ist ein verlässlicherer Indikator für langfristige Widerstandsfähigkeit als viele andere Kennzahlen.
