创始人每月法律合规日历

本指南是一份实用的、与司法管辖区无关的清单，创始人可以每月运行该清单，以保持法律上的整洁。使用它在你最喜欢的项目管理工具（如 Notion、Asana 或 Jira）中设置定期任务，并在进行过程中附加证据。它不能替代法律建议；始终与你的律师和当地监管机构确认具体细节。

这种简单的节奏可以让你免受未来的麻烦，保持你的公司对投资的吸引力，并使尽职调查变得轻而易举。

谁应该使用本指南？​

这份每月清单是为正在成长但可能还没有专门的内部法律部门的组织设计的。它特别适用于：

• 处于早期阶段的初创公司，在没有全职法律团队的情况下，应对治理、雇佣和税务的复杂性。
• 风险投资支持的公司，希望保持干净、有组织的尽职调查文件夹，为下一轮融资或收购做好准备。
• 中小型企业 (SMB)，其产品或服务跨不同州或国家销售，需要管理多司法管辖区的合规性。

一目了然的每月清单 ✅​

将这些项目复制到你的任务管理工具中，并将它们设置为每月重复。

公司与治理​

• 审查资本表的任何变更；更新期权登记账，并排队任何必要的董事会同意。
• 清理你的注册代理人和你的通用法律电子邮件（例如，“[email protected]”）的收件箱；立即分类任何通知或诉讼送达文件。
• 维护决议和行动的运行登记册，为下次董事会会议做准备。

税务与薪资​

• 按时运行薪资；按照你指定的存款时间表汇出所有员工预扣款和雇主税。
• 核对员工福利的发票；汇出医疗、人寿、残疾、通勤福利等的付款。
• 如果你按月申报时间表，则提交销售税、增值税或商品及服务税 (GST) 申报表并汇出收取的税款。
• 通过跟踪员工人数、承包商所在地、收入来源和库存位置来审查你的实际或经济联系风险。
• 标记任何符合研发税收抵免的成本，并维护必要的工作底稿以支持它们。

雇佣与福利​

• 将你的员工人数名册与你的人力资源信息系统 (HRIS) 进行核对；确认所有新员工和离职文件均已完成。
• 及时存入员工退休计划缴款（例如，401(k)）和任何贷款偿还。
• 核对带薪休假 (PTO) 余额，并确保所有非豁免员工的加班合规性。
• 跟踪合规培训完成率（例如，骚扰、安全），并为那些落后的人安排补习课程。
• 检查所有股权授予文件是否已完全签署，并追查任何未完成的签名。

隐私、安全与数据​

• 对关键系统执行访问审查，包括财务软件、生产环境、源代码存储库、客户数据存储和 HRIS。
• 如果产品或数据流已更改，则更新数据保护影响评估 (DPIA) 或处理活动记录 (ROPA) 登记册。
• 记录并关闭任何安全或隐私事件；审查数据主体请求 (DSR) 或其他消费者权利请求的状态。
• 确认已签订数据处理协议 (DPA)，并为任何新供应商更新子处理者列表。
• 截取备份成功的证据，并已执行还原测试；总结关键系统的补丁状态。

财务控制（审计友好的结算）​

• 核对所有银行和信用卡账户；正式锁定上个月的账簿。
• 对你的应收账款 (AR) 和应付账款 (AP) 进行账龄分析，积极追收账款，并审查主要供应商关系和任何异常支出。
• 应用你的收入确认政策；将你的每月经常性收入 (MRR) 或年度经常性收入 (ARR) 与客户合同联系起来。
• 记录任何关联方交易，并确保它们获得适当的批准。
• 刷新你的 6-12 个月的财务生存期预测，并检查你可能拥有的任何债务契约。

产品、营销与网站​

• 审查最近的营销声明，以确保它们得到适当的证实，并包括任何要求的披露。
• 在网站或产品更改后，检查你的服务条款、隐私政策、cookie 横幅和同意日志是否为最新。
• 对你的代码库运行开源许可证扫描，并根据需要更新任何第三方通知。
• 对最近的产品版本执行可访问性抽查，以确保符合 WCAG 等标准。

许可证、许可与行业规则​

• 验证所有营业执照是否有效，并记下任何待处理的续订截止日期。
• 检查是否存在与特定行业要求相关的任何任务（例如，支付的 PCI、健康数据的 HIPAA、儿童隐私的 COPPA、加密资产的 MiCA 或企业客户的 SOC 认证）。
• 确认对资金流动或市场支付流程的任何更改都不会触发新的许可要求。

知识产权与品牌​

• 监控商标监控通知并捕获任何潜在的冲突或侵权问题。
• 确认所有新员工和承包商都已签署发明转让协议。
• 审查域名自动续订设置并检查你的 DNS 安全态势。

保险与风险​

• 核对你已向客户或合作伙伴发布的保险凭证 (COI)。
• 审查你的内部索赔和事件日志；如果你的保单要求，请通知你的保险公司。
• 根据需要调整你的保险范围，以考虑员工人数、收入或新的合同最低要求的变化。

投资者与董事会​

• 向你的投资者发送每月更新，包括 KPI、现金状况、亮点、风险、招聘进展和任何具体要求。
• 使用最新的指标包、关键新合同和合规文档维护董事会数据室。

记录与保留​

• 将所有已签署的合同、批准、日志和其他合规证据归档到正确的、有组织的文件夹中。
• 应用你的文档保留计划；正确地放置或清除对文档的任何法律保留。

一个有效的简单每月节奏 🗓️​

将工作分散在整个月，可以防止最后一刻的争夺。

• 第 1 周 – 结算与现金： 专注于结算上个月的账簿、核对所有账户以及刷新你的生存期分析。这也是运行薪资、处理福利汇款和存入退休金缴款的时间。
• 第 2 周 – 申报与付款： 提交任何每月销售税/增值税/商品及服务税申报表。按照你的时间表发送雇主税存款。运行你的应收账款追收流程并审查主要供应商付款。
• 第 3 周 – 控制与安全： 本周用于内部检查。进行你的访问审查、审查新供应商、更新 DPA 列表、审查事件日志，并确认你的备份和还原测试成功。
• 第 4 周 – 治理与沟通： 编译董事会资料包并起草你的每月投资者更新。清理法律收件箱以查找任何新项目，排队等待批准的同意和决议，并查看你的许可证日历以准备下个月。

基于角色的所有权（RACI 提示）​

明确的所有权是关键。这是一个典型的细分：

• CEO/创始人： 负责投资者更新、董事会准备、签署主要合同和处理政策例外情况。
• 财务/财务总监： 拥有财务结算、税收、监管申报、AP/AR 管理、生存期预测和归档财务证据的所有权。
• 人事运营： 管理薪资、福利管理、合规培训、员工人数核对和路由股权文件。
• 法律/外部律师： 处理公司治理、合同审查、知识产权管理、许可和任何活跃的纠纷。
• 安全/工程： 进行技术访问审查、领导事件响应、执行供应商安全评估并运行开源软件扫描。
• 运营/IT： 管理设备库存、监督数据备份和维护标准操作程序 (SOP)。

每月捕获的证据（审计师和收购方要求的内容） 📂​

你未来的自己会感谢你保持这些记录整洁：

• 银行对账单、试算表和月末结算清单。
• 工资登记簿和税务和福利汇款的确认。
• 已提交的销售税/增值税申报表的副本及其付款收据。
• 来自访问审查的屏幕截图或导出以及对所采取的任何补救措施的说明。
• DSR 和安全事件的日志，以及其关闭的证据。
• 完全签署的合同、董事会同意和更新的期权登记账。
• 培训完成报告和签署的员工政策确认。
• 已发布的 COI 的副本、任何索赔通知以及与保险经纪人的沟通。

司法管辖区说明（模式，而非建议）​

合规性细节因地点而异，但一些模式是常见的：

• 工资税： 你的存款时间表（例如，在美国每月或半周）通常取决于你的历史税收责任。你的工资提供商会告知你所需的频率，但你仍应每月确认存款。
• 销售税/增值税/商品及服务税： 申报频率通常基于销售量。新的卖家可能会从每月申报开始，并且随着业务的变化，以后可以转移到季度或年度。维护每个司法管辖区的门户、税号、申报频率和截止日期的简单登记册。
• 退休计划： 员工缴款必须在工资日期后尽快存入。不要持有这些资金。
• 数据与隐私： 如果你发布更改你收集或处理个人数据方式的新产品功能，你必须在同月更新你的处理记录 (ROPA) 和公开披露（如你的隐私政策）。
• 股权： 做出特殊税务选择（如美国的 83(b) 选择）的员工通常有非常严格的截止日期（例如，自授予之日起 30 天）。运行每月扫描以确保已提醒所有最近的受赠人注意这些截止日期。

常见陷阱（和快速修复）⚠️​

• 自动续订陷阱： 忘记及时取消一项主要合同。
  • 修复： 跟踪所有主要供应商的续订和终止通知窗口。在通知截止日期前 45-60 天设置日历提醒。
• 无人拥有的门户： 唯一拥有政府税务门户登录名的人离开公司。
  • 修复： 将所有监管机构门户登录名和多因素身份验证 (MFA) 设备/应用程序集中在一个安全的共享系统（如企业密码管理器）中。避免单人依赖。
• 影子工具： 团队开始使用一个新的 SaaS 工具，而没有安全或法律审查。
  • 修复： 实施一个简单的供应商引入流程，该流程要求对将接触客户或员工数据的任何新工具进行审查。
• 松散的证据： 将合规证据保存在随机文件夹或个人驱动器中。
  • 修复： 将证据（PDF、屏幕截图、导出）直接存储在你项目管理工具中的相关任务中 以及 以清晰命名的、注明日期的文件夹结构（例如，Compliance/2025/2025-08/）。
• 访问蔓延： 前雇员或承包商仍然可以访问系统。
  • 修复： 强制执行最小权限原则。作为每月访问审查的一部分，养成立即取消所有休眠帐户的习惯。

模板：每月合规清单 (CSV)​

将以下文本复制到文本文件中，将其另存为 compliance.csv，然后将其导入到你最喜欢的电子表格或项目管理工具中以开始使用。

代码片段

Area,Task,Trigger,Relative Due,Owner,Evidence,Notes
Corporate,Review cap table & option ledger,Month start,Business Day 3,Legal/Finance,Updated ledger export,"Queue any consents"
Corporate,Sweep legal@ and registered agent mail,Month start,Business Day 2,Legal,PDF scans of notices,"Triage/assign"
Tax & Payroll,Run payroll & remit withholdings,Each payroll,Within 2 business days,People Ops/Finance,Payroll register & remittance receipts,"Match pay period"
Tax & Payroll,Deposit employer payroll taxes,Assigned cadence,Per assigned due date,Finance,Deposit confirmations,"Provider portal export"
Tax & Payroll,Sales/VAT/GST return & payment,Monthly filer,Per jurisdiction,Finance,Filed return & payment receipt,"Maintain jurisdiction register"
Tax & Payroll,Review nexus/PE exposure,Month end,Business Day 5,Finance/Legal,Updated nexus matrix,"Headcount/contractor map"
Tax & Payroll,Tag R&D-eligible costs,Month end,Business Day 5,Finance,Workpaper snapshot,"Cost classification notes"
Employment,Reconcile headcount vs HRIS,Month start,Business Day 3,People Ops,Headcount report,"New hire/term packets complete"
Employment,Deposit retirement plan contributions,Each payroll,Within plan timeframe,People Ops/Finance,Deposit confirmations,"Avoid late deposits"
Employment,Reconcile benefits invoices,Monthly invoice,Business Day 7,People Ops/Finance,Invoice & payment,"Credits/refunds tracked"
Employment,Training completion sweep,Month end,Business Day 7,People Ops,Training report,"Schedule make-ups"
Equity,Collect executed grant paperwork,When grants issued,Within 30 days,People Ops/Legal,Executed docs,"Track any tax elections"
Security,Access reviews (prod/code/data/finance),Month start,Business Day 10,Security/Eng,Access exports & remediation log,"Deprovision dormant"
Security,Vendor/DPA review for new tools,New vendors,Within 10 days,Legal/Security,DPA & risk notes,"Sub-processor list updated"
Privacy,DSR/consumer requests log review,Ongoing,Monthly summary,Legal/Privacy,DSR log,"SLA compliance"
Privacy,Update ROPA/DPIA if changed,When features change,Month end,Privacy/Product,Updated registers,"Link to PRDs"
IT/Backups,Backup & restore test snapshot,Monthly,Business Day 10,IT,Test report,"Include RTO/RPO notes"
Finance,Close books & reconcile accounts,Prior month,Business Day 5,Finance,Close checklist & TB,"Lock period"
Finance,AR collections run,Month start,Business Day 7,Finance,Collections notes,"Top delinquent list"
Finance,AP/vendor review & approvals,Week 2,Weekly cadence,Finance,AP aging & approvals,"Spot unusual vendors"
Finance,Revenue recognition & MRR/ARR tie,Month end,Business Day 6,Finance,Rev rec memo & ties,"Contract list"
Licenses,License/permit calendar sweep,Month start,Business Day 5,Legal/Ops,Calendar export,"Upcoming renewals"
IP,Trademark watch & domain review,Month end,Business Day 7,Legal/IT,Watch notices & DNS snapshot,"Auto-renew check"
Insurance,COI issuance & claims log,Month end,Business Day 7,Ops/Finance,COIs & claims notes,"Notify carriers if needed"
Board/Investors,Monthly update to investors,Month end,Business Day 5,CEO/Founder,Update email/PDF,"KPIs, cash, hiring, asks"
Records,Archive evidence to data room,As tasks close,Same day,All owners,Dated PDFs/exports,"Use YYYY-MM folders"

如何在 30 分钟内实施 🚀​

1. 使用上面的部分在你的任务管理器中创建一个“每月合规”项目。
2. 添加具有明确所有者和相对截止日期的定期任务（例如，“该月的第 3 个工作日”）。
3. 在完成任务时，直接附加证据，并将其保存到注明日期的云存储文件夹中。
4. 创建一个简单的“司法管辖区登记册”电子表格，其中列出你运营的每个州/国家/地区，以及帐户 ID、门户链接、申报频率和截止日期。
5. 安排一次性会议与你的会计师和法律顾问一起审查日历，并根据你的具体情况调整任何频率。

当你的公司发生变化时，更新日历​

合规日历是一个活文档。当你的业务达到关键里程碑时，重新审视并更新它：

• 增长： 推出新产品线、扩展到新地区或更改你处理资金流动的方式。
• 人员： 员工人数大幅增长、在新地区雇用承包商或改变你的雇佣模式。
• 财务与运营： 承担具有契约的债务、接受 SOC 或 ISO 认证，或与具有特定合规要求的大型企业客户签约。
• 公司： 更改你的股权计划、进行二级交易或刷新你的期权池。

底线： 稳定的每月节奏将合规性从混乱的救火演变为可预测、可管理的过程。这种纪律保留了你公司未来筹款和并购的选择权，并使年终审计和报告变得轻松。保持列表简短，证据整洁，所有者明确。