国企管理风险控制策略

国企管理风险控制策略一、国企管理风险控制概述

国企作为国民经济的重要支柱，其管理风险控制直接关系到企业稳健运营和社会稳定。有效的风险控制策略能够帮助国企识别、评估和应对各类潜在风险，保障资产安全，提升经营效率。本策略从风险识别、评估、控制和监控四个维度展开，旨在构建系统化、规范化的风险管理体系。

二、风险识别与评估机制

风险识别是风险控制的第一步，需全面覆盖企业运营的各个环节。

（一）风险识别方法

1.**内部排查法**：定期组织各部门对业务流程、财务状况、资源配置等进行自查，梳理潜在风险点。

2.**外部环境监测**：建立市场、政策、技术等外部环境信息收集机制，动态跟踪行业变化。

3.**专家咨询法**：邀请行业专家参与风险评估，利用专业经验识别隐藏风险。

（二）风险评估标准

1.**风险等级划分**：按可能性和影响程度将风险分为高、中、低三级，制定差异化应对措施。

2.**量化评估模型**：采用概率-影响矩阵法，通过评分（如0-5分）量化风险权重，例如：概率4分×影响4分=16分（高风险）。

三、风险控制策略实施

针对不同类型的风险，需采取针对性控制措施，确保风险在可接受范围内。

（一）财务风险控制

1.**预算管理**：严格执行预算编制流程，分阶段监控支出偏差，超预算需三重审批。

2.**资金监控**：设立资金风控小组，实时跟踪现金流，设定预警线（如日现金流低于500万元触发预警）。

3.**投资审查**：重大投资（如超过500万元）需通过投资决策委员会审议，确保项目ROI≥8%。

（二）运营风险控制

1.**流程优化**：梳理核心业务流程，剔除冗余环节，例如采购流程需压缩至3个工作日内完成。

2.**供应商管理**：建立供应商黑名单制度，核心供应商合作年限不超过5年，防止过度依赖。

3.**安全生产**：推行PDCA管理循环（Plan-Do-Check-Act），每季度开展安全演练，事故率控制在0.5%以下。

（三）合规风险控制

1.**制度体系建设**：制定《合规操作手册》，覆盖反商业贿赂、数据保护等关键领域。

2.**培训与考核**：年度组织合规培训（不少于8学时），考核不合格者禁止晋升。

3.**第三方合作审查**：联合法务部门对合作方资质进行尽职调查，确保其符合反垄断法规要求。

四、风险监控与持续改进

风险控制非一次性任务，需建立动态监控机制，确保策略有效性。

（一）风险监控指标

1.**关键绩效指标（KPI）**：设定风险事件发生率、损失金额等指标，例如：年度风险事件不超过3起。

2.**定期审计**：每半年开展内部审计，重点关注高风险领域（如工程招标、采购决策）。

（二）持续改进措施

1.**偏差分析**：对超出控制范围的风险事件，组织专项复盘，形成改进方案。

2.**技术赋能**：引入RPA（机器人流程自动化）减少人工操作失误，例如财务对账自动化率达90%。

3.**知识库建设**：建立风险案例库，每年更新至少20个典型案例，供各部门参考。

五、总结

国企管理风险控制需坚持“预防为主、分类施策”原则，通过体系化手段提升风险应对能力。未来可进一步探索数字化风控工具（如AI风险预警系统），推动管理效能再升级。

**一、国企管理风险控制概述**

国企作为国民经济的重要支柱，其管理风险控制直接关系到企业稳健运营和社会稳定。有效的风险控制策略能够帮助国企识别、评估和应对各类潜在风险，保障资产安全，提升经营效率。本策略从风险识别、评估、控制和监控四个维度展开，旨在构建系统化、规范化的风险管理体系。

（一）风险控制的核心原则

1.**全面性原则**：覆盖企业所有业务单元、运营环节和资产类别，不留管理盲区。

2.**重要性原则**：优先关注可能引发重大损失或严重影响企业声誉的风险点。

3.**平衡性原则**：在风险控制与业务发展之间找到平衡点，避免过度保守影响效率。

4.**动态性原则**：根据内外部环境变化，定期审视和调整风险控制措施。

（二）风险控制体系的构成要素

1.**组织架构**：设立风险管理委员会作为决策机构，配置独立的风险管理部门负责执行。

2.**制度体系**：制定覆盖全公司的风险管理手册、操作细则和应急预案。

3.**技术支撑**：利用信息化工具实现风险数据的采集、分析和预警。

4.**文化培育**：将风险管理意识融入日常运营，形成全员参与的氛围。

**二、风险识别与评估机制**

风险识别是风险控制的第一步，需全面覆盖企业运营的各个环节。通过系统化的方法，确保不遗漏关键风险点。

（一）风险识别方法

1.**内部排查法**：

***流程梳理**：组织各部门对其核心业务流程进行图文化梳理，识别每个环节的潜在风险点。例如，在采购流程中，可能识别出供应商选择不公、合同条款缺失等风险。

***财务数据分析**：通过对历史财务报表（如资产负债表、利润表、现金流量表）进行趋势分析、结构分析，发现异常波动或潜在财务风险。例如，应收账款周转率持续下降可能预示着信用风险加剧。

***内部访谈**：定期与关键岗位人员（如项目经理、财务主管、一线操作员）进行访谈，收集其工作中遇到的风险和挑战。

2.**外部环境监测**：

***行业研究**：订阅行业报告，关注市场容量变化、技术迭代速度、竞争格局演变等宏观因素。例如，新能源行业技术更新迅速，可能导致现有产品线快速贬值。

***政策跟踪**：建立政策信息订阅机制，及时了解相关行业规范、环保要求、税收政策等变化。例如，环保标准提高可能增加生产成本。

***客户与供应商反馈**：定期收集客户投诉、满意度调查结果以及供应商的交付稳定性、价格波动等信息。

3.**专家咨询法**：

***外部专家引入**：针对特定领域（如信息安全、供应链韧性），邀请外部行业顾问或学者进行风险评估指导。

***内部专家网络**：培养公司内部的跨领域专家，组成风险评估顾问小组，提供专业判断。

（二）风险评估标准

1.**风险等级划分**：

***可能性评估**：采用定性描述（如极低、低、中、高、极高）或定量评分（如1-5分）评估风险发生的概率。例如，“关键设备故障”可能性评分为4分。

***影响程度评估**：从财务损失、运营中断、声誉损害、合规处罚等多个维度评估风险一旦发生的影响程度。例如，“主要客户流失”对财务的影响评分为5分。

***风险矩阵**：将可能性和影响程度结合，绘制风险矩阵图，划分风险等级。通常高风险区域（如可能性3分以上且影响4分以上）需要优先处理。

2.**量化评估模型**：

***风险价值（VaR）模型**：对于交易类业务，可使用VaR模型估算在给定置信水平下可能的最大损失。例如，设定95%置信水平下的1天VaR为100万元。

***失效模式与影响分析（FMEA）**：针对特定产品或流程，系统分析潜在的失效模式、原因、影响，并给出风险优先级（RPN=可能性×严重性×检测度）。例如，在设备维护流程中分析“遗漏保养”的风险。

**三、风险控制策略实施**

针对不同类型的风险，需采取针对性控制措施，确保风险在可接受范围内。控制措施应具有具体性和可操作性。

（一）财务风险控制

1.**预算管理**：

***预算编制**：实行全面预算管理，要求各部门基于业务计划编制详细预算，并经过多级审核（部门、分管领导、预算委员会）。

***预算执行监控**：建立月度/季度预算执行分析机制，对比实际与预算差异，分析原因。超预算支出需填写《预算调整申请表》，说明理由并提供替代方案。

***预算考核**：将预算完成情况纳入部门及负责人绩效考核，差异率超过20%的需进行专项说明。

2.**资金监控**：

***现金流预测**：每周滚动预测未来一个月的现金流，设定最低现金保有量（如日均运营资金不低于200万元）。

***账户管理**：集中管理银行账户，通过账户管理系统监控大额资金变动，设定异常交易预警规则。

***融资管理**：维护与多家金融机构的良好关系，建立多元化融资渠道，定期评估融资成本和额度。

3.**投资审查**：

***投资决策流程**：重大投资（如超过500万元）需经过项目建议、可行性研究、风险评估、决策审议（投资决策委员会投票，需2/3以上同意）、合同签订、投后跟踪等环节。

***可行性研究要点**：要求提供详细的市场分析、财务测算（含敏感性分析，如利率、汇率变动10%对IRR的影响）、风险评估及应对方案。

***投后管理**：对已投资项目建立定期报告制度（如每季度），监控项目进展、实际回报与预期偏差，及时调整策略。

（二）运营风险控制

1.**流程优化**：

***流程地图绘制**：使用BPMN（业务流程模型和标记法）等工具绘制关键业务流程图，清晰展示活动、节点、流转。

***瓶颈识别与消除**：定期组织跨部门流程研讨会，识别流程中的等待、重复、无效环节，制定优化方案。例如，将某审批流程的环节从5个压缩至3个。

***标准化操作规程（SOP）**：为关键操作制定详细的SOP文档，明确步骤、责任人、工具、质量标准。例如，设备开机的安全检查SOP。

2.**供应商管理**：

***供应商准入**：建立供应商资质库，对潜在供应商进行资格审查（营业执照、行业认证、财务状况、信誉记录）。

***绩效评估**：每半年对核心供应商进行绩效评估，维度包括交付及时率、质量合格率、服务响应速度、价格竞争力等。评估结果决定是否续约或调整合作级别。

***多元化策略**：避免对单一供应商形成过度依赖，关键物料至少选择2家备选供应商。

3.**安全生产**：

***风险评估与隐患排查**：每月开展安全风险辨识，对识别出的隐患登记造册，明确整改责任人、时限和措施（定整改措施、定整改责任人、定整改完成时限、定整改应急预案）。

***应急演练**：每半年组织至少一次综合性或专项应急演练（如火灾、设备故障、人员伤害），演练后进行评估总结，完善预案。

***安全培训**：新员工必须接受岗前安全培训（不少于24学时），特种作业人员需持证上岗，每年组织全员安全再培训（不少于4学时）。

（三）合规风险控制

1.**制度体系建设**：

***合规手册编制**：编写《公司合规手册》，涵盖反商业贿赂、数据保护、知识产权、环境保护、劳动用工等关键合规要求，并定期更新。

***合规审查机制**：在重大决策（如新业务拓展、合同签订、对外投资）前，由法务或合规部门进行合规审查。

***内部控制测试**：每年至少开展一次内部控制有效性测试，重点关注不相容职务分离、授权审批、财产保护等方面。

2.**培训与考核**：

***分层分类培训**：针对不同层级（高管、中层、基层）和岗位（采购、销售、财务）设计差异化的合规培训内容。例如，销售岗位侧重反商业贿赂和客户信息保护。

***培训效果评估**：通过考试、问卷、行为观察等方式评估培训效果，确保员工理解并能够遵守合规要求。

***合规承诺**：要求新入职员工签署《合规承诺书》，明确其合规义务和违规后果。

3.**第三方合作审查**：

***尽职调查清单**：制定第三方合作尽职调查清单，包括基本信息、资质许可、商业信誉、财务状况、法律诉讼记录等。

***合同合规审核**：所有对外合同必须经过法务或合规部门审核，确保合同条款不违反法律法规及公司内部规定。

***履约过程监控**：在合作过程中，关注第三方是否持续满足合规要求，特别是涉及数据传输、环保排放等敏感领域。

**四、风险监控与持续改进**

风险控制非一次性任务，需建立动态监控机制，确保策略有效性，并根据实际情况不断完善。

（一）风险监控指标

1.**关键绩效指标（KPI）**：

***风险事件指标**：监控风险事件发生次数、类型、涉及金额等。例如，设定年度重大风险事件不超过2起。

***损失指标**：跟踪已发生风险事件造成的直接和间接损失，分析损失趋势。

***控制措施有效性指标**：评估已实施控制措施是否达到预期效果，如某项控制措施实施后，相关风险发生率是否下降。

2.**定期审计**：

***内部审计计划**：制定年度内部审计计划，明确审计对象、范围、频次。高风险领域（如资金管理、采购、项目建设）应列为年度重点审计内容。

***审计发现跟踪**：对内部审计发现的问题，要求被审计部门制定整改计划并按时汇报整改结果，审计部门进行验证。

***外部审计协调**：积极配合外部审计机构的工作，将外部审计发现的风险点纳入公司风险管理体系。

（二）持续改进措施

1.**偏差分析**：

***根本原因分析（RCA）**：对于超出控制范围的风险事件或未达预期的控制措施，组织相关人员进行根本原因分析，使用鱼骨图等工具深挖问题根源。

***纠正与预防措施（CAPA）**：基于RCA结果，制定纠正措施（解决当前问题）和预防措施（防止问题再次发生），明确责任人和完成时间。

2.**技术赋能**：

***风险管理信息系统**：逐步建设或完善风险管理信息系统，实现风险数据的集中存储、自动采集、智能分析和可视化展示。

***预警平台**：利用大数据和AI技术，建立风险预警模型，对潜在风险进行提前识别和预警。例如，通过分析采购价格异常波动，预警供应商可能存在价格串通风险。

3.**知识库建设**：

***案例库维护**：建立风险案例库，收集内部和外部的风险事件案例，详细记录事件经过、原因分析、处置措施和经验教训。

***最佳实践分享**：定期组织风险管理经验交流会，分享优秀的风险控制实践和方法，促进知识共享和共同提升。每年更新案例库至少20个新案例。

**五、总结**

国企管理风险控制需坚持“预防为主、分类施策、动态调整”的原则，通过系统化的方法识别风险、科学的评估、有效的控制以及持续的监控改进，构建起一道坚实的风险“防火墙”。这不仅能够保障企业资产安全，降低运营成本，更能提升企业的核心竞争力和社会责任感。未来，随着数字化、智能化技术的发展，国企可以进一步探索应用更先进的风险管理工具和方法，推动管理效能再上新台阶，实现可持续发展。

一、国企管理风险控制概述

国企作为国民经济的重要支柱，其管理风险控制直接关系到企业稳健运营和社会稳定。有效的风险控制策略能够帮助国企识别、评估和应对各类潜在风险，保障资产安全，提升经营效率。本策略从风险识别、评估、控制和监控四个维度展开，旨在构建系统化、规范化的风险管理体系。

二、风险识别与评估机制

风险识别是风险控制的第一步，需全面覆盖企业运营的各个环节。

（一）风险识别方法

1.**内部排查法**：定期组织各部门对业务流程、财务状况、资源配置等进行自查，梳理潜在风险点。

2.**外部环境监测**：建立市场、政策、技术等外部环境信息收集机制，动态跟踪行业变化。

3.**专家咨询法**：邀请行业专家参与风险评估，利用专业经验识别隐藏风险。

（二）风险评估标准

1.**风险等级划分**：按可能性和影响程度将风险分为高、中、低三级，制定差异化应对措施。

2.**量化评估模型**：采用概率-影响矩阵法，通过评分（如0-5分）量化风险权重，例如：概率4分×影响4分=16分（高风险）。

三、风险控制策略实施

针对不同类型的风险，需采取针对性控制措施，确保风险在可接受范围内。

（一）财务风险控制

1.**预算管理**：严格执行预算编制流程，分阶段监控支出偏差，超预算需三重审批。

2.**资金监控**：设立资金风控小组，实时跟踪现金流，设定预警线（如日现金流低于500万元触发预警）。

3.**投资审查**：重大投资（如超过500万元）需通过投资决策委员会审议，确保项目ROI≥8%。

（二）运营风险控制

1.**流程优化**：梳理核心业务流程，剔除冗余环节，例如采购流程需压缩至3个工作日内完成。

2.**供应商管理**：建立供应商黑名单制度，核心供应商合作年限不超过5年，防止过度依赖。

3.**安全生产**：推行PDCA管理循环（Plan-Do-Check-Act），每季度开展安全演练，事故率控制在0.5%以下。

（三）合规风险控制

1.**制度体系建设**：制定《合规操作手册》，覆盖反商业贿赂、数据保护等关键领域。

2.**培训与考核**：年度组织合规培训（不少于8学时），考核不合格者禁止晋升。

3.**第三方合作审查**：联合法务部门对合作方资质进行尽职调查，确保其符合反垄断法规要求。

四、风险监控与持续改进

风险控制非一次性任务，需建立动态监控机制，确保策略有效性。

（一）风险监控指标

1.**关键绩效指标（KPI）**：设定风险事件发生率、损失金额等指标，例如：年度风险事件不超过3起。

2.**定期审计**：每半年开展内部审计，重点关注高风险领域（如工程招标、采购决策）。

（二）持续改进措施

1.**偏差分析**：对超出控制范围的风险事件，组织专项复盘，形成改进方案。

2.**技术赋能**：引入RPA（机器人流程自动化）减少人工操作失误，例如财务对账自动化率达90%。

3.**知识库建设**：建立风险案例库，每年更新至少20个典型案例，供各部门参考。

五、总结

国企管理风险控制需坚持“预防为主、分类施策”原则，通过体系化手段提升风险应对能力。未来可进一步探索数字化风控工具（如AI风险预警系统），推动管理效能再升级。

**一、国企管理风险控制概述**

国企作为国民经济的重要支柱，其管理风险控制直接关系到企业稳健运营和社会稳定。有效的风险控制策略能够帮助国企识别、评估和应对各类潜在风险，保障资产安全，提升经营效率。本策略从风险识别、评估、控制和监控四个维度展开，旨在构建系统化、规范化的风险管理体系。

（一）风险控制的核心原则

1.**全面性原则**：覆盖企业所有业务单元、运营环节和资产类别，不留管理盲区。

2.**重要性原则**：优先关注可能引发重大损失或严重影响企业声誉的风险点。

3.**平衡性原则**：在风险控制与业务发展之间找到平衡点，避免过度保守影响效率。

4.**动态性原则**：根据内外部环境变化，定期审视和调整风险控制措施。

（二）风险控制体系的构成要素

1.**组织架构**：设立风险管理委员会作为决策机构，配置独立的风险管理部门负责执行。

2.**制度体系**：制定覆盖全公司的风险管理手册、操作细则和应急预案。

3.**技术支撑**：利用信息化工具实现风险数据的采集、分析和预警。

4.**文化培育**：将风险管理意识融入日常运营，形成全员参与的氛围。

**二、风险识别与评估机制**

风险识别是风险控制的第一步，需全面覆盖企业运营的各个环节。通过系统化的方法，确保不遗漏关键风险点。

（一）风险识别方法

1.**内部排查法**：

***流程梳理**：组织各部门对其核心业务流程进行图文化梳理，识别每个环节的潜在风险点。例如，在采购流程中，可能识别出供应商选择不公、合同条款缺失等风险。

***财务数据分析**：通过对历史财务报表（如资产负债表、利润表、现金流量表）进行趋势分析、结构分析，发现异常波动或潜在财务风险。例如，应收账款周转率持续下降可能预示着信用风险加剧。

***内部访谈**：定期与关键岗位人员（如项目经理、财务主管、一线操作员）进行访谈，收集其工作中遇到的风险和挑战。

2.**外部环境监测**：

***行业研究**：订阅行业报告，关注市场容量变化、技术迭代速度、竞争格局演变等宏观因素。例如，新能源行业技术更新迅速，可能导致现有产品线快速贬值。

***政策跟踪**：建立政策信息订阅机制，及时了解相关行业规范、环保要求、税收政策等变化。例如，环保标准提高可能增加生产成本。

***客户与供应商反馈**：定期收集客户投诉、满意度调查结果以及供应商的交付稳定性、价格波动等信息。

3.**专家咨询法**：

***外部专家引入**：针对特定领域（如信息安全、供应链韧性），邀请外部行业顾问或学者进行风险评估指导。

***内部专家网络**：培养公司内部的跨领域专家，组成风险评估顾问小组，提供专业判断。

（二）风险评估标准

1.**风险等级划分**：

***可能性评估**：采用定性描述（如极低、低、中、高、极高）或定量评分（如1-5分）评估风险发生的概率。例如，“关键设备故障”可能性评分为4分。

***影响程度评估**：从财务损失、运营中断、声誉损害、合规处罚等多个维度评估风险一旦发生的影响程度。例如，“主要客户流失”对财务的影响评分为5分。

***风险矩阵**：将可能性和影响程度结合，绘制风险矩阵图，划分风险等级。通常高风险区域（如可能性3分以上且影响4分以上）需要优先处理。

2.**量化评估模型**：

***风险价值（VaR）模型**：对于交易类业务，可使用VaR模型估算在给定置信水平下可能的最大损失。例如，设定95%置信水平下的1天VaR为100万元。

***失效模式与影响分析（FMEA）**：针对特定产品或流程，系统分析潜在的失效模式、原因、影响，并给出风险优先级（RPN=可能性×严重性×检测度）。例如，在设备维护流程中分析“遗漏保养”的风险。

**三、风险控制策略实施**

针对不同类型的风险，需采取针对性控制措施，确保风险在可接受范围内。控制措施应具有具体性和可操作性。

（一）财务风险控制

1.**预算管理**：

***预算编制**：实行全面预算管理，要求各部门基于业务计划编制详细预算，并经过多级审核（部门、分管领导、预算委员会）。

***预算执行监控**：建立月度/季度预算执行分析机制，对比实际与预算差异，分析原因。超预算支出需填写《预算调整申请表》，说明理由并提供替代方案。

***预算考核**：将预算完成情况纳入部门及负责人绩效考核，差异率超过20%的需进行专项说明。

2.**资金监控**：

***现金流预测**：每周滚动预测未来一个月的现金流，设定最低现金保有量（如日均运营资金不低于200万元）。

***账户管理**：集中管理银行账户，通过账户管理系统监控大额资金变动，设定异常交易预警规则。

***融资管理**：维护与多家金融机构的良好关系，建立多元化融资渠道，定期评估融资成本和额度。

3.**投资审查**：

***投资决策流程**：重大投资（如超过500万元）需经过项目建议、可行性研究、风险评估、决策审议（投资决策委员会投票，需2/3以上同意）、合同签订、投后跟踪等环节。

***可行性研究要点**：要求提供详细的市场分析、财务测算（含敏感性分析，如利率、汇率变动10%对IRR的影响）、风险评估及应对方案。

***投后管理**：对已投资项目建立定期报告制度（如每季度），监控项目进展、实际回报与预期偏差，及时调整策略。

（二）运营风险控制

1.**流程优化**：

***流程地图绘制**：使用BPMN（业务流程模型和标记法）等工具绘制关键业务流程图，清晰展示活动、节点、流转。

***瓶颈识别与消除**：定期组织跨部门流程研讨会，识别流程中的等待、重复、无效环节，制定优化方案。例如，将某审批流程的环节从5个压缩至3个。

***标准化操作规程（SOP）**：为关键操作制定详细的SOP文档，明确步骤、责任人、工具、质量标准。例如，设备开机的安全检查SOP。

2.**供应商管理**：

***供应商准入**：建立供应商资质库，对潜在供应商进行资格审查（营业执照、行业认证、财务状况、信誉记录）。

***绩效评估**：每半年对核心供应商进行绩效评估，维度包括交付及时率、质量合格率、服务响应速度、价格竞争力等。评估结果决定是否续约或调整合作级别。

***多元化策略**：避免对单一供应商形成过度依赖，关键物料至少选择2家备选供应商。

3.**安全生产**：

***风险评估与隐患排查**：每月开展安全风险辨识，对识别出的隐患登记造册，明确整改责任人、时限和措施（定整改措施、定整改责任人、定整改完成时限、定整改应急预案）。

***应急演练**：每半年组织至少一次综合性或专项应急演练（如火灾、设备故障、人员伤害），演练后进行评估总结，完善预案。

***安全培训**：新员工必须接受岗前安全培训（不少于24学时），特种作业人员需持证上岗，每年组织全员安全再培训（不少于4学时）。

（三）合规风险控制

1.**制度体系建设**：

***合规手册编制**：编写《公司合规手册》，涵盖反商业贿赂、数据保护、知识产权、环境保护、劳动用工等关键合规要求，并定期更新。

***合规审查机制**：在重大决策（如新业务拓展、合同签订、对外投资）前，由法务或合规部门进行合规审查。

***内部控制测试**：每年至少开展一次内部控制有效性测试，重点关注不相容职务分离、授权审批、财产保护等方面。

2.**培训与考核**：

***分层分类培训**：针对不同层级（高管、中层、基层）和岗位（采购、销售、财务）设计差异化的合规培训内容。例如，销售岗位侧重反商业贿赂和客户信息保护。

***培训效果评估**：通过考试、问卷、行为观察等方式评估培训效果，确保员工理解并能够遵守合规要求。

***合规承诺**：要求新入职员工签署《合规承诺书》，明确其合规义务和违规后果。

3.**第三方合作审查**：

***尽职调查清单**：制定第三方合作尽职调查清单，包括基本信息、资质许可、商业信誉、财务状况、法律诉讼记录等。

***合同合规审核**：所有对外合同必须