Skip to main content

创业公司融资全生命周期:从创立到 IPO 的工程路线图

一份把融资这件事掰开揉碎讲给"刚入门的工程师 / 大一学生"听的逐阶段手册:每一轮钱进来之后要造什么、招什么人、技术要做到什么程度、审计要交哪些材料、最容易在哪些地方翻车。

阅读前须知

这篇文章在讲什么?

简单说,就是回答一个问题:一家公司从"两个人在咖啡馆里写代码"一路走到"在纳斯达克敲钟",中间到底要经过哪些关卡,每个关卡要交什么作业?

你可以把它想象成一个 RPG 游戏:每一轮融资就是一个 Boss 关,过不了就 Game Over(公司倒闭或者融不到下一轮)。这篇文章就是给你每个关卡的通关攻略——要带什么装备(技术、合规)、要招什么队友(团队配置)、Boss 长什么样(投资人会查什么)、过关之后会进入下一关(下一轮)。

几个必须先认识的关键词

如果你完全没接触过创业和投资,这几个词会在全文反复出现,先记住它们:

  • VC(Venture Capital,风险投资):专门投早期高风险公司的钱。他们给你钱,换你公司的股份,赌你将来能做大上市,他们好把手里的股份高价卖掉。
  • 融资轮次(Pre-Seed → Seed → A → B → C → IPO):就像游戏的关卡编号,越往后公司估值越高、融的钱越多、投资人要求越严。Seed = 种子轮(刚发芽),A/B/C = 第几轮(长大成树),IPO = 上市(果子可以卖了)。
  • 估值(Valuation):投资人觉得你整个公司现在值多少钱。估值越高,同样拿一笔钱你出让的股份越少。
  • 稀释(Dilution):每融一轮钱,创始人手里的股份占比就会被"稀释"变少。比如原来你 100%,融 A 轮出让 20%,就剩 80%。
  • MRR / ARR:Monthly/Annual Recurring Revenue,月度/年度经常性收入。SaaS(按月订阅的软件)公司最看重的指标,相当于"每个月稳定能收多少钱"。
  • PMF(Product-Market Fit,产品市场契合):通俗讲就是"你做出来的东西真的有人愿意掏钱用,而且用户用了就离不开"。这是 Seed 轮到 A 轮之间最关键的一道坎。
  • SOC2 / SOX / ITGC:各种"合规审计"的名字。SOC2 是给 SaaS 公司的安全审计,SOX 是上市公司必须过的财务审计,ITGC 是 SOX 里专门查"你的 IT 系统有没有漏洞"的部分。后面会详细讲。
  • Burn Multiple(燃烧倍数):你每年烧掉多少钱 ÷ 同期新增多少 ARR。数字越小越好,说明"花的钱都变成了收入"。大于 2 就是烧钱太凶,小于 1 是优秀。

本文的假设和参考标准

本文假设你是一名工程/技术背景的创始人(或联合创始人),正在 SaaS(订阅制软件)硬科技 赛道做一家靠 VC 钱长大的公司。所有数据基于 2023–2026 年市场实践,以美国 NASDAQ / 中国科创板 / 香港 HKEX 的上市标准作为"通关终点"参考。

2025–2026 市场温度计

读完这一段你就知道现在融资市场"冷还是热":

  • 2025 年全球 VC 总共投出去了大约 $104.7B(B = Billion = 10 亿,所以是 1047 亿美元)。
  • Series A(A 轮)公司的中位估值 $48M(4800 万美元),比前一年涨了 9%;创始人平均要出让 17.9% 的股份。
  • BVP Cloud 100(全球 Top 100 的云公司)加起来总估值 $820B,同比涨 25%——头部公司依然很值钱。
  • AI 公司达到 $100M ARR 只需要 5.7 年,而传统 SaaS 公司要 7.5 年——所以现在 AI 赛道速度比传统软件快得多。
  • Seed 轮走到 A 轮,中位要花 616 天(差不多 1 年 8 个月),不是融完种子马上就能 A 轮。

贯穿全文的三条铁律

无论你处在哪个阶段,这三条原则都适用:

  1. 每一个技术决策,都要为 18 个月后的需要服务,不要只看眼前。 举个例子:Pre-Seed 时你为了快,所有用户密码明文存数据库——18 个月后到 A 轮审计,这一个决定可能让你返工 3 个月。
  2. 技术债务(technical debt)可以欠,但必须"还得起、算得清"。 就像信用卡欠款,欠一点没事,但你必须随时知道"欠了多少、什么时候还、用什么还"。欠到失控就是公司技术崩盘的开始。
  3. 安全和合规是"乘法因子",不是"可选项"。 早期省掉的每一块钱合规成本,B 轮之后会以 10 倍代价还回来——可能是一个被客户取消的百万美元合同,也可能是 IPO 被推迟 6 个月。

总览:时间 × 团队 × 资金 × 技术阶段

下面这张大表是全文的"地图",先把每一关的全貌看一眼。看不懂的术语别慌,后面每一关都会单独展开讲。

阶段创立后时间团队规模融资额估值范围技术成熟度核心工程目标
Bootstrap/Ideation0–6 月1–300–50KPoC验证技术可行性
Pre-Seed6–18 月3–8100K100K–1M1M1M–5MMVP第一个能用的产品
Seed12–30 月8–25500K500K–5M5M5M–25MAlpha→GA找到 PMF,架构可撑到 A 轮
Series A24–48 月25–805M5M–25M30M30M–150MGA→Scale企业级质量上线,SLA 可用
Series B36–60 月80–25020M20M–80M150M150M–500MScale→Multi多租户/多地域/多产品线
Series C48–84 月250–1000+50M50M–200M+500M500M–3B+Multi→Platform平台化,开放 API,审计就绪
Pre-IPO60–120 月500–5000+100M100M–1B+1B1B–10B+IPO-ReadySOX/ITGC 合规,GAAP 审计通过
IPO7–15 年1000+Public上市

几个术语翻译

  • PoC(Proof of Concept,概念验证):一个粗糙的 demo,证明"这条路走得通",但不一定有人用。
  • MVP(Minimum Viable Product,最小可用产品):功能最少但能让真实用户用起来的版本。就像造车,先造一辆能跑的自行车,别一开始就造法拉利。
  • PMF(Product-Market Fit):见前面的关键词解释——产品真的被市场需要。
  • GA(General Availability,正式发布):产品不再是内测版,任何用户都能注册使用。
  • SLA(Service Level Agreement,服务等级协议):你跟客户承诺"每月至少 99.9% 的时间系统是好的",达不到要赔钱。
  • Scale / Multi / Platform:从"能服务一批用户"→"能服务多地域多类用户"→"别人能在你的产品上开发自己的产品(平台)"。
  • 多租户(Multi-tenancy):一套系统同时服务很多客户(租户),但彼此数据完全隔离,A 客户看不到 B 客户的东西。

一、Bootstrap / Ideation(0–6 个月)

一句话理解这一关:你和合伙人窝在某个地方写代码,零收入,靠存款或兼职活下来。目标是搞清楚"这个东西到底做得出来吗?有没有人想要?"——还谈不上融资。

团队构成

角色人数职责
CEO / CTO(通常同一人)1写代码 + 见用户 + 做决策
联合创始人(可选)0–2互补技能:销售/领域专家/设计师

技术目标

交付物要求不需要担心的事
PoC/技术原型能跑通核心路径,用户可以试代码质量、测试覆盖率
核心算法验证用真实数据跑通一次端到端性能优化、边缘情况
技术选型文档1 页纸说明为什么选这个技术栈详细架构设计文档

术语翻译

  • PoC(概念验证):一个非常粗糙的版本,只是为了证明"我们想做的这个东西技术上是能实现的"。比如你想做一个 AI 自动写代码的工具,PoC 就是写一个能跑通一次"输入需求 → 输出代码"的脚本,哪怕只能处理一种很简单的需求。
  • 核心路径:用户用你这个产品最关键的那一条流程。比如外卖 App 的核心路径就是"下单 → 商家接单 → 骑手取餐 → 送达"。
  • 端到端:从输入到输出整条链路一次跑通,中间不靠人工救场。
  • 技术栈(Tech Stack):你用什么编程语言、什么数据库、什么框架——这一整套组合。
  • 测试覆盖率:你写的自动化测试覆盖了多少比例的代码。早期不用追求高,但要知道有这个概念。

判定能否进入下一阶段的工程问题

  • 核心功能的技术可行性已确认(不是"理论上可行",是跑通过代码)
  • 选定的技术栈在招人市场上能找到工程师
  • 云服务账单能控制在 00–500/月(AWS Activate / GCP Startup 免费额度)
  • 至少和 20 个目标用户做过深度技术演示/对话
  • 创始人中有至少 1 人可以全职写代码

风险清单

风险概率影响缓解措施
选错技术栈选最主流、最好招聘的栈,不追求技术 novelty
造了没人要的产品致命每周至少见 3 个潜在用户,不要闭门写代码
联合创始人纠纷致命股权 vesting 4年+1年 cliff,书面协议
过早引入复杂架构一个 MySQL + 一个 API Server 就够

术语翻译

  • Vesting 4 年 + 1 年 cliff:合伙人的股份不是第一天就全给,而是分 4 年慢慢"解锁"。第一年结束时(cliff,悬崖期)才一次性给满 1/4,之后每个月给一点。这样如果合伙人第三个月就跑路了,他拿不到任何股份,避免"占着股份不干活"。
  • Novelty(新颖性):技术够不够新、够不够酷。早期不要追这个,要追"能不能招到人、能不能快速跑起来"。

二、Pre-Seed(6–18 个月)

一句话理解这一关:你拿到了第一笔外部钱(几十万到一百万美元,通常来自天使投资人或小型基金),招了 3–8 个人,目标是把产品从"demo"做成"真实用户能用的 MVP"。这一关是最容易"过度工程化"的阶段——记住你只需要能跑,不需要跑得漂亮。

团队扩展

角色何时招薪资范围(粗略)
全职工程(CTO 之外)第 1–3 位,全栈或后端80K80K–150K + 0.5–2% equity
设计师第 4–5 位(可先用兼职/外包)60K60K–100K
不需要的人专职 PM、专职 QA、DevOps、专职销售

术语翻译

  • 全栈工程师(Full-stack):既能写前端(用户看到的界面),也能写后端(服务器、数据库)的工程师。早期最值钱,因为一个人能干两个人的活。
  • Equity(股份/期权):公司分给员工的股份。早期公司工资低,靠给股份吸引人才——赌的是将来公司上市后这些股份很值钱。
  • PM(Product Manager,产品经理):决定"做什么功能、不做什么功能"的人。Pre-Seed 阶段创始人自己就能干,不用专门招。
  • QA(Quality Assurance,质量保证):专门测试产品找 bug 的人。早期工程师自己测就行。
  • DevOps:专门管部署、服务器、自动化的角色。早期用云服务托管平台(Vercel/Railway)就够,不用招专职。

技术交付物

交付物具体要求
MVP — V1.0用户能独立完成核心流程,不需要你手把手教
数据管道(最小)日志、事件、关键行为埋点(用 Amplitude/PostHog/自建)
CI/CDGitHub Actions 自动部署到 staging
Monitoring基础告警(Sentry/PagerDuty 免费版)
数据库单 PostgreSQL/MySQL 实例,写清楚 schema 注释
API 设计RESTful or GraphQL,有基本 versioning(/v1/)

术语翻译

  • MVP(最小可用产品):见前面。关键是"用户能独立用起来"——如果你每次都要站在用户旁边教他怎么点,那还不是 MVP。
  • 埋点(Tracking/Instrumentation):在产品的关键位置"埋"上记录代码,比如"用户注册"、"用户付费"、"用户点了哪个按钮",这样你才能知道用户在产品里干了什么。
  • CI/CD(持续集成 / 持续部署):你提交代码后,机器自动跑测试、自动打包、自动发布到服务器。不用人工去服务器上敲命令部署。GitHub Actions 是最常用的免费工具。
  • Staging 环境:一个和正式环境(production)几乎一样的"预演舞台"。新代码先在 staging 上跑一遍确认没问题,再发到 production(真实用户在用的版本)。
  • Monitoring(监控):系统自动盯着你的服务,一出错就发警报。Sentry 盯代码报错,PagerDuty 盯服务器宕机——出问题就打电话/发短信给你。
  • API:你的产品提供给外部(或前端)调用的"接口"。简单说就是"别人怎么用代码和你的产品对话"。
  • Versioning(/v1/):API 的版本号。第一版叫 /v1/,将来改了不兼容的改动就出 /v2/,这样老用户不会被你一改就搞挂。

投资人检查清单

维度SaaS 标准消费/平台标准
产品可用性10+ 用户可在无帮助下 onboarding50+ DAU(自然增长)
技术团队全职 ≥2 人,能力互补同左
部署频率至少每周一次同左
技术债务承认且可量化(如"重构需要 4 周")同左
代码仓库私有且有 commit 历史证明持续迭代同左
云基础设施有 staging/production 环境隔离同左

术语翻译

  • SaaS(Software as a Service):订阅制软件,用户按月/年付费使用。比如 Notion、Figma、Slack 都是 SaaS。
  • DAU(Daily Active Users,日活):每天打开你产品的真实用户数。投资人看这个判断产品有没有人用。
  • 自然增长:不花钱打广告,靠口碑、搜索来的用户。投资人最看重这个——说明产品本身有吸引力。
  • Onboarding:新用户第一次用你产品的引导流程。"无帮助 onboarding"意思是用户自己就能注册、上手,不需要客服手把手教。
  • Commit 历史:每次代码改动都会留下记录(commit)。投资人会看你代码仓库的 commit 历史,判断你们是不是真的在持续干活,而不是临时抱佛脚。

通关标准 → 进入 Seed

  • 至少 1 个付费客户(或 10+ 个高度活跃用户)在持续使用
  • 核心功能确实解决了用户"不做就难受"的问题(定性证据)
  • 产品可在一个全新环境中 30 分钟内部署成功
  • 技术产出的 velocity 在改善(不是越来越慢)
  • 基础安全措施:HTTPS、密码加密存储、数据库备份

说人话:你做出一个真的有人在用、并且愿意掏钱(或天天来用)的产品。系统能稳定跑,不用你天天救火。基本安全措施到位(别裸奔)。

风险清单

风险概率详解
过早优化"我们先用 Kubernetes"——你不需要。一个 DigitalOcean droplet 就够了
工程师只写代码不碰用户每个工程师每周必须见(或至少看记录)1 个用户
MVP 堆太多功能删掉 50% 的功能,剩下的那些才是用户真正要的
技术栈碎片化前后端统一语言/框架,不要一个人用 Go 另一个用 Rust

术语翻译

  • 过早优化:在产品还没几个用户的时候,就花大精力搞"高并发、高可用、微服务"这种大公司才需要的东西。就像刚学会做饭就在家里装米其林后厨——纯属浪费。
  • Kubernetes(K8s):管理大量服务器的工具。只有当你有几十上百个服务时才用得上。Pre-Seed 阶段用它就是给自己挖坑。
  • Velocity(速度):团队产出功能的速度。如果越做越慢,通常是技术债务在拖后腿。

三、Seed(12–30 个月)

一句话理解这一关:你拿到了几百万美元,团队扩张到 8–25 人。这一关的核心任务只有一个——找到 PMF(产品真的被市场需要)。如果到 Seed 结束还没找到 PMF,公司基本就到此为止了,没有 A 轮投资人会救你。技术上的目标是"系统能撑住 10 倍用户而不崩"。

团队扩展

角色何时招关键词
全栈 ×2–3立即能独立完成 feature,不依赖别人解释
前端专项第 1–2 个前端 engineer产品 UX 复杂度上来了
DevOps/SRE不招——仍然用托管服务(Railway/Vercel/AWS RDS)除非你在做 infra 产品
安全工程师不招——用 SaaS 安全扫描工具
QA不招——engineer 自己写测试

术语翻译

  • SRE(Site Reliability Engineer,站点可靠性工程师):专门保障系统稳定运行、不宕机的工程师。Seed 阶段还不招,因为用云服务托管(RDS = AWS 托管数据库)就够。
  • Infra 产品(Infrastructure,基础设施):卖给其他公司的技术基础设施,比如数据库服务、日志服务。这种产品对稳定性要求极高,所以得早点招 SRE。

技术交付物

交付物Seed 前期Seed 后期
产品版本V1.0 → V2.0 功能闭环V2.0 → V3.0 完善
测试覆盖率≥40% 后端关键路径≥60% 后端 + 核心前端
部署每日部署到 stagingCI → Staging → Manual → Prod
监控/告警核心 API 错误率 + P95 延迟+ 业务指标(注册转化率等)
数据库单节点 + 每日备份读写分离讨论(但大概率不需要)
安全基础安全扫描加第三方 pen test
隐私合规Privacy Policy + ToSGDPR/CCPA 准备
文档README + API docs内部 Oncall runbook

术语翻译

  • P95 延迟:95% 的请求在多少毫秒内返回。比如 P95 = 200ms 意思是"95% 的请求 200 毫秒内就处理完了,只有 5% 慢于这个数"。比"平均延迟"更能反映真实体验,因为平均会被极端值拉偏。
  • 读写分离:数据库分成"主库"(写数据)和"从库"(读数据),减轻主库压力。一般 Seed 期还不需要,A 轮才考虑。
  • Pen test(Penetration Test,渗透测试):请专业安全公司模拟黑客攻击你的系统,找出漏洞。Seed 后期应该做一次。
  • GDPR / CCPA:欧盟 / 加州的隐私保护法律。如果你的用户在这两个地区,就必须遵守,否则会被罚巨款。要求包括"用户可以要求删除自己的数据"等。
  • Oncall runbook:值班手册——系统半夜挂了,值班工程师照着这本手册一步步操作就能救回来,不用打电话问别人。

投资人检查清单

维度标准
技术团队5–8 人,至少 1 位 staff-level engineer
产品PMF 确认——定性(用户推荐 NPS >40)+ 定量(留存 >90%)
增长MoM 增长可归因到具体产品改进,不是靠运气
系统稳定性99%+ uptime(每月停机 <7h)
代码仓库monorepo 或 ≤3 个 repo,CI 全自动
On-call有 on-call 轮值表,每个 engineer 都能独立处理

术语翻译

  • Staff-level engineer:资深到能独立负责一个完整技术方向、带项目但不一定是 manager 的工程师。比 senior 再高一档。
  • NPS(Net Promoter Score,净推荐值):问用户"你有多大意愿把我们推荐给朋友?"打分 0–10。9–10 分是"推荐者",0–6 分是"贬损者"。NPS = 推荐者% − 贬损者%。>40 就是好产品。
  • 留存(Retention):用户注册后过了一段时间还在用你的产品的比例。留存 >90% 意思是"100 个用户一个月后还有 90 个在用"——非常强。
  • MoM(Month-over-Month,环比):这个月比上个月增长多少。MoM 增长 15% 意思是这个月比上个月多 15%。
  • Uptime:系统在线时间的比例。99% = 每月最多宕机约 7 小时;99.9% = 每月最多宕机 43 分钟;99.99% = 每月最多宕机 4.3 分钟。每多一个 9,难度指数级上升。
  • Monorepo:所有代码放在一个仓库里(vs 拆成多个 repo)。小团队用 monorepo 更省事。

2025 市场数据:Seed→A 中位间隔已达 616 天(CRV 2025)。MRR 40K40K–80K 是 A 轮的甜蜜点。CAC Payback <12 个月为优秀,12–18 个月可接受,>18 个月危险。LTV/CAC 至少 3:1,5:1 为强。

这段数据翻译成人话

  • 从 Seed 到 A 轮平均要花 1 年 8 个月,别想着种子轮一融完马上就能 A 轮。
  • A 轮投资人想看到你每月稳定收 4–8 万美元(MRR 40K40K–80K)。低于这个数,说明 PMF 还不够强。
  • CAC Payback(获客成本回收期):你花 100 块拉来一个客户,这个客户要用多久才能让你赚回这 100 块。小于 12 个月是好样的,超过 18 个月就是"拉一个亏一个"。
  • LTV/CAC:一个客户一辈子给你贡献多少钱(LTV)÷ 拉他花了多少钱(CAC)。至少要 3:1,意思是"花 1 块拉来的人,一辈子至少给你贡献 3 块"。

通关标准 → 进入 Series A

  • PMF 确认:至少一个细分市场用户"用了就离不开"
  • 可复制的增长引擎:知道 $1 输入产出多少,且能重复
  • **MRR $50K+(SaaS)**或等价指标
  • 系统可撑 10x 用户量:数据库慢查询 ≤100ms for 99%+
  • 监控系统能回答:为什么昨天的转化率下降了?(不是靠猜)
  • 数据 pipeline 跑通:从埋点 → 数仓 → BI 看板的端到端

说人话:你找到了"用户用了就离不开"的状态,而且知道怎么稳定地拉来更多用户(不是靠运气)。每月稳定进账 5 万美元以上。系统能扛住用户翻 10 倍。你不再是"靠猜"做决定,而是"靠数据"。

风险清单

风险详解
架构塌方最常见:单表数据超过 5000 万行还没分库/优化索引。解决方法:PostgreSQL 分区表 + Redis 缓存 + 读写分离
工程师文化差Seed 期只招"能写代码的",A 轮发现所有人都是 junior
粗放增长融了 $3M 就开始砸钱买量,发现 LTV/CAC <1。种子期的增长必须"可解释"
没有 on-call生产挂了 2 小时没人知道——你们在靠运气跑
技术债务不可计量不知道欠了多少,重构永远"下个月做"

术语翻译

  • 单表 5000 万行:数据库里一张表塞了 5000 万条记录,查询开始变慢。这时候要做"分区"(把一张大表拆成几张小表)或者加"索引"(给数据建目录,查得更快)。
  • Redis 缓存:把常用数据临时存在 Redis(一个超快的内存数据库)里,下次要的时候直接拿,不用再去慢吞吞的主数据库查。
  • Junior / Senior / Staff:工程师的等级。Junior 是新手,Senior 是熟手,Staff 是能独当一面的高手。Seed 期招太多 junior,到 A 轮会发现没人能挑大梁。

四、Series A(24–48 个月)

一句话理解这一关:你拿到了 500 万到 2500 万美元,团队涨到 25–80 人。A 轮是分水岭——之前你证明"产品有人要",现在你必须证明"这个生意能做大、能赚钱"。技术上的核心任务是:把产品升级到"企业级"质量,拿到 SOC2(安全审计),让大客户敢买你的东西。A 轮是很多公司"从作坊变成公司"的转折点。

团队扩展

角色何时招关键要求
VP Engineering融完钱第一个月管过 30+ 人团队的,不是最会写代码的
Senior/Staff Engineer ×3–5一个月内能带项目、能做技术 review
前端/后端按需持续按 feature team 方式组队
第一个 Security Engineer融后 3 个月内做过 SOC2/ISO27001 更好
Site Reliability Engineer第 1–2 个99.9% SLA 需要专项
Technical PM第 1–2 个不是转行的,是真做过 engineering
QA Lead第 1 个建立自动化测试框架

术语翻译

  • VP Engineering(工程副总裁):CTO 之下、管所有工程师的高管。A 轮之前 CTO 一个人又能写代码又能管人,A 轮之后团队大了,需要专门的 VP Eng 来管人、管流程,让 CTO 专心做技术决策。
  • Feature team(功能团队):按"做一个完整功能"来组队,每个队里有前端、后端、设计、测试,而不是按"前端组、后端组"来分。这样做事更快。
  • Security Engineer(安全工程师):专门防守黑客、做安全审计的人。A 轮必须有第一个,因为大客户买你东西之前会查你有没有安全认证。
  • Technical PM(技术型产品经理):懂技术的产品经理。那种"从销售转行过来的、不懂代码的 PM"在技术公司里很危险。

技术交付物

交付物具体要求
SOC2 Type I融完 6–12 个月内拿到。Security/Availability/Confidentiality
SLA 99.9%每月停机 <43 分钟
CI/CD 全自动代码合并 → 自动测试 → staging → canary → production,人工审批点清晰
Infra as CodeTerraform/Pulumi,不要再手点控制台
审计日志所有 CRUD 操作记录,不可删除,管理员操作双人审批
SSOSAML/OIDC,至少支持一个 enterprise IdP
数据库是否分库/分表取决于数据量,但必须跑过 10x 压力测试
安全认证SOC2 Type I 首选,其次 ISO27001,定期 3rd party pen test
Data Pipeline从埋点→ETL→数仓→BI 可视化,不再靠工程师手写 SQL 出报表
Feature Flag必须有,用于灰度发布和 kill switch

术语翻译

  • SOC2:见开头关键词。这是 SaaS 公司卖给大企业客户必须有的"安全资格证书"。没有它,很多大客户根本不会跟你签合同。Type I 是"某一时间点合规",Type II(B 轮要拿)是"持续 6–12 个月合规"。
  • CRUD:Create / Read / Update / Delete,数据的"增删改查"。审计日志要记录每一次增删改查是谁干的、什么时候干的、改了什么。
  • 双人审批:敏感操作(比如删用户数据、改生产配置)不能一个人说了算,必须两个人同意才能执行。防止内鬼和误操作。
  • SSO(Single Sign-On,单点登录):大企业员工用一个账号登录所有公司系统。SAML/OIDC 是实现 SSO 的两种技术标准。企业客户要求你的产品支持 SSO,不然他们的 IT 部门不让买。
  • IdP(Identity Provider,身份提供商):管理员工账号密码的系统,比如 Okta、Azure AD、Google Workspace。
  • Infra as Code(基础设施即代码,IaC):以前开通服务器要去 AWS 控制台手动点击(手点控制台),现在用代码(Terraform/Pulumi)描述"我要 3 台服务器、2 个数据库",一执行就自动建好。好处是可重复、可审计、不会"只有某个人知道怎么配"。
  • Canary(金丝雀发布):新代码先只发给 1% 的用户,观察没问题再逐步扩大到 100%。像煤矿里放金丝雀试毒一样,先小范围试探。
  • ETL(Extract-Transform-Load):把数据从各处"抽取"出来、"转换"成统一格式、"加载"进数据仓库,供分析用。
  • 数仓(Data Warehouse):专门存历史数据、做报表分析的大数据库,和生产数据库分开,免得跑分析报表把生产系统拖慢。
  • BI(Business Intelligence):可视化数据看板,比如"这个月收入多少、哪个功能用得最多"。Tableau、Metabase 都是 BI 工具。
  • Feature Flag(功能开关):一个功能做完了但可以先"关着",需要时再"打开"。好处:可以只给部分用户开放(灰度),出问题可以一键关掉(kill switch)不用重新发版。

SOC2 时间线:传统手动准备需 3–6 个月,合规自动化平台(Vanta/Drata/Secureframe/Sprinto)可将 audit readiness 压缩到数周。企业客户已要求实时持续监控(continuous monitoring 2024 年增长 28%)。

SaaS 运营基准:早期 SaaS(<3MARR)年化LogoChurn10153M ARR)年化 Logo Churn 10–15%;成长期降至 5–8%;Enterprise 目标 &lt;5%(KeyBanc 2025)。Rule of 40 在 A 轮应 ≥30%。A 轮 SaaS 中位 ARR/员工约 150K–200K,Top quartile &gt;300K。

这段基准数据翻译成人话

  • SOC2 手动准备要 3–6 个月,但用 Vanta/Drata 这类合规自动化平台可以缩短到几周——它们会自动连上你的 GitHub、AWS、HR 系统,实时检查你有没有违规,而不是等审计师手动一项项查。
  • Logo Churn(客户流失率):每年有多少比例的客户取消了订阅。早期 10–15% 是正常的(每 100 个客户一年走 10–15 个),成熟期要降到 5% 以下。
  • Rule of 40:增长率% + 利润率% ≥ 40。比如你增长 50% 但亏损 10%,那 50−10=40,刚好及格。这是 SaaS 公司的"健康度体检指标"。
  • ARR/员工:每人每年创造多少收入。A 轮公司中位 15–20 万美元/人,最优秀的那 25% 能做到 30 万+/人。越高说明公司越"高效"。

SOC2 Type I 必须准备的材料

类别具体内容
信息安全政策访问控制、加密、事件响应、BCP/DR
入职/离职流程账号开通、权限回收、设备回收的 SOP
代码变更管理PR review 强制、CI 门禁、部署审批链
资产管理员工设备清单、加密要求、MDM
风险管理识别、评估、处理、监控的可重复流程
供应商审查第三方 SaaS 的隐私/安全审查
HR 安全背景调查、保密协议、安全培训

术语翻译

  • BCP/DR(Business Continuity Plan / Disaster Recovery):业务连续性计划 + 灾难恢复方案。通俗说就是"如果地震/火灾/服务器全挂了,我们怎么在最短时间内恢复运营"。审计师会查你有没有这个方案,以及有没有真的演练过。
  • SOP(Standard Operating Procedure,标准操作流程):每件事的"操作说明书"——新人来了照着做就不会出错。
  • PR review(Pull Request 评审):工程师写完代码不能直接合并,要发一个"请求(PR)"让另一个工程师审查(review)一遍才能合并。这是防止 bug 和安全漏洞进入生产环境的第一道防线。
  • CI 门禁:代码合并前,CI 系统自动跑测试,测试不过就不让合并——像门口的保安,不达标不让进。
  • MDM(Mobile Device Management,移动设备管理):远程管理员工电脑/手机的系统。员工离职时可以一键清除公司数据、远程锁机。
  • 背景调查:招人前查应聘者有没有犯罪记录、学历造假等。SOC2 要求对能接触敏感数据的岗位做背景调查。

投资人检查清单

维度标准
ARR1M1M–5M+
增长率YoY 3x+
NDR(Net Dollar Retention)>100%,最好 >120%
Gross Margin>70%
Burn Multiple<2x
工程团队20–50 人,有 manager 层级
SOC2至少 Type I in progress
架构审查已做过一次外部架构 review

术语翻译

  • YoY(Year-over-Year,同比):和去年同一时期比。YoY 3x 意思是"今年的收入是去年的 3 倍"。
  • NDR(Net Dollar Retention,净收入留存):去年这批客户,今年还在不在?他们有没有升级多付钱?有没有流失少付钱?NDR >100% 意思是"即使不拉一个新客户,老客户今年给你付的钱也比去年多"——这是 SaaS 的圣杯。>120% 是优秀。
  • Gross Margin(毛利率):收入减去直接成本(服务器、带宽、客服)后剩多少。SaaS 毛利率通常很高(>70%),因为软件复制成本几乎为零。如果低于 70%,要么是你服务器烧太多,要么是人力成本太高。
  • Burn Multiple:见开头关键词。每年烧的钱 ÷ 新增 ARR。小于 2 是及格,小于 1 是优秀,大于 2 是烧钱太凶。
  • Manager 层级:A 轮开始,工程师不能全向 CTO 汇报(管不过来),需要有中间层 manager——每组 5–8 人有一个 manager。

2025 市场数据:Series A 中位估值 48M+948M(+9% YoY),中位轮次规模 5M–15M,中位稀释17.915M,中位稀释 17.9%(CRV 2025)。AI-native 公司 Burn Multiple 可做到 &lt;1.5x,传统 SaaS 中位 1.6x。营收靠前的公司 ARR/员工已超 580K(High Alpha/OpenView 2025)。

翻译:A 轮公司平均估值 4800 万美元,平均出让 17.9% 股份融 500–1500 万美元。AI 公司因为增长快,烧钱效率比传统 SaaS 更好(Burn Multiple 更低)。最猛的公司每人每年能创造 58 万美元收入。

通关标准 → 进入 Series B

  • 销售团队可以独立出单(不依赖创始人和工程师)
  • 产品支撑 10x 用户量不发生架构崩塌
  • SOC2 Type I 拿证
  • 基础设施 100% IaC 管理
  • 监控/告警/on-call 体系成熟(MTTD <5min, MTTR <30min)
  • 故障有 postmortem,不搞 blame 文化但确保学到教训
  • 技术 debt 有 backlog,至少 20% 的 sprint 容量分配给偿还

术语翻译

  • 独立出单:销售员自己就能把产品卖出去,不需要创始人或工程师陪着见客户、讲解技术。如果每单都要 CTO 出马,公司就无法规模化。
  • MTTD(Mean Time To Detect,平均发现时间):从故障发生到你发现它,平均要多久。小于 5 分钟是目标——说明你的监控告警够灵敏。
  • MTTR(Mean Time To Restore,平均恢复时间):从故障发生到系统恢复正常,平均要多久。小于 30 分钟是目标。
  • Postmortem(事后复盘):每次故障之后写一份报告:"发生了什么、为什么发生、怎么解决的、以后怎么防止"。Blameless(不追责)文化很重要——如果不追责,大家才敢如实报告;如果一故障就开除人,下次出事大家就会隐瞒。
  • Sprint:敏捷开发的一个周期,通常 2 周一个 sprint。
  • Backlog:待办事项清单。"技术 debt 在 backlog 里"意思是技术债务被记在清单上,不会"忘掉"。
  • 20% sprint 容量给偿还债务:每个 sprint 留出 1/5 的时间专门修旧代码、重构,不是 100% 都做新功能。否则技术债会越滚越大。

风险清单

风险详解
SOC2 拖了 6 个月最常见原因:公司之前没有写任何政策文档,从零开始补。缓解:Pre-Seed 就可以开始写简单的安全政策
"牛人"文化破坏团队VP Eng 只招自己以前的同事,排挤现有团队
微服务过早拆分团队只有 20 个人时拆了 15 个微服务——部署、调试、监控成本爆炸
监控只盯着 infra不看业务指标,用户悄悄流失了一个季度才发现

术语翻译

  • 微服务(Microservices):把一个大系统拆成很多小服务,每个独立部署。好处是各服务独立、好扩展;坏处是拆太碎会导致部署复杂、排查问题极难。20 人的团队拆 15 个微服务 = 灾难。经验法则:微服务数量 ≈ 团队人数 ÷ 5
  • Infra 监控 vs 业务监控:Infra 监控看"CPU 使用率、内存、服务器状态";业务监控看"注册量、付费转化率、用户活跃度"。只盯 infra 会出现"服务器一切正常,但用户早跑光了"的情况。

五、Series B(36–60 个月)

一句话理解这一关:你拿到了 2000–8000 万美元,团队 80–250 人。A 轮你证明了"能赚钱",B 轮你要证明"能规模化地赚钱"——把生意从"服务一个地区、一类客户"扩展到"多地区、多产品线、多类型客户"。技术上的核心任务是:拿到 SOC2 Type II(持续合规版),系统支持多地域部署,开放 API 让别人集成你的产品。

团队扩展

角色要求
VP Engineering从"只管 engineering"升级到"和产品、销售、CS 协同"
CTO(如果之前是创始人兼任)选择:要么专心做 CTO,要么引入 VP Eng 后你做真正的技术战略
CISO / Head of Security自己建安全团队,不再外包
SRE 团队至少 3–5 人,支持多地域
平台工程团队至少 3 人,负责内部工具、开发者体验

术语翻译

  • CS(Customer Success,客户成功):帮客户用好产品、防止流失的团队。和"客服"不同——客服是"客户有问题找你",CS 是"你主动盯着客户有没有用好、要不要续费"。
  • CISO(Chief Information Security Officer,首席信息安全官):公司最高级别的安全负责人。B 轮公司有几十个大客户,每个都在查你的安全,必须有专职 CISO。
  • 平台工程团队(Platform Engineering):给公司内部其他工程师造工具的团队。比如造一个"新员工第一天就能提交代码"的自服务系统、造一个监控面板模板。提升全公司工程师的效率。

技术交付物

交付物要求
SOC2 Type II不再是 point-in-time,是持续 6–12 个月的 observation window
多地域部署至少 2–3 个 region,15min 内 failover
Multi-tenancy隔离达到企业级,单一租户故障不影响其他
API public开放 API + 文档 + SDK,外部开发者可集成
数据安全DLP、加密密钥管理(KMS)、数据分类分级
Incident Response正式的 IR 流程 + 外部 IR firm on retainer
Disaster RecoveryDR plan + 年度演练,RPO <1h, RTO <4h
开发者工具链Gradle/Bazel/Nx 等,monorepo 有可重复的构建系统

术语翻译

  • SOC2 Type I vs Type II:Type I 是"审计师某一天来看,你合规"——像驾考前一天突击洗车。Type II 是"审计师连续盯着你 6–12 个月,你一直合规"——像交警跟车半年看你有没有违章。Type II 含金量高得多,B 轮必须拿。
  • Region(地域):云服务商的物理数据中心区域,比如"美东"、"欧洲"、"亚太"。多地域部署就是你的系统同时在多个区域运行,某个区域挂了用户感觉不到。
  • Failover(故障转移):主系统挂了,自动切到备用系统。15 分钟内 failover 意思是"用户最多感觉卡顿 15 分钟,然后自动恢复"。
  • API public(开放 API):把你的产品能力通过接口开放出去,让别的公司/开发者能在他们的产品里用你的功能。比如 Stripe 的支付 API 让无数 App 能收款。
  • SDK(Software Development Kit,软件开发包):给开发者用的"工具包",里面封装好了调用你 API 的代码,开发者不用从零写。
  • DLP(Data Loss Prevention,数据防泄露):防止敏感数据(用户密码、信用卡号)被拷贝、外发、截图的系统。
  • KMS(Key Management Service,密钥管理服务):统一管理所有加密密码(密钥)的系统。加密数据的"钥匙"本身也要加密保管,不能随手放。
  • 数据分类分级:把数据按敏感程度分级,比如"公开"、"内部"、"机密"、"绝密",不同级别有不同的访问权限和加密要求。
  • IR firm(Incident Response Firm,事件响应公司):专门处理安全事件的"消防队"——被黑了、数据泄露了,他们第一时间来救火、调查、修复。on retainer 意思是"每月付固定费用,随时待命"。
  • RPO(Recovery Point Objective):能容忍丢失多长时间的数据。小于 1h 意思是"最多丢最近 1 小时的数据"。靠频繁备份实现。
  • RTO(Recovery Time Objective):能容忍停机多长时间。小于 4h 意思是"灾难发生后 4 小时内必须恢复服务"。
  • Bazel/Nx:大型 monorepo 的构建工具。代码库大到几百 G 时,改一行代码重新编译全部要几个小时,这些工具能"只编译改动过的部分",把时间从几小时缩到几分钟。

SOC2 Type II 额外要求

类别具体内容
持续合规监控安全控制不是一次性检查,是持续 running,有告警
证据自动收集用 compliance automation 工具(Vanta/Drata/Secureframe)
供应商持续审查不是"签合同那天审查",是定期 re-review
员工安全培训至少每年一次,含钓鱼演练
渗透测试独立的第三方,至少每年一次
漏洞管理SLA:Critical 7 天修复,High 30 天修复

术语翻译

  • 持续合规监控:Vanta/Drata 这类工具 7×24 小时自动检查你有没有违规(比如"有没有人没开双因素认证"),一违规立刻告警。不再是"审计前一个月突击整改"。
  • 钓鱼演练(Phishing Simulation):公司故意发假钓鱼邮件给员工,看谁会点。点了的就送去培训。这是训练员工安全意识的标准做法。
  • 漏洞 SLA(Service Level Agreement):给漏洞修复定死线。Critical(致命级)7 天内必须修,High(高危)30 天内必须修。不能"发现了就放着"。

通关标准 → 进入 Series C

  • 多地域收入占比 >10%(不依赖单一地区)
  • 第二产品线贡献 >10% 收入
  • SOC2 Type II 或 ISO27001 拿证
  • 高管团队完整,CEO 不再管一线
  • 盈利路径清晰(18–24 个月)

说人话:你的收入不只靠一个地区(避免某个国家政策一变你公司就完了),不只靠一个产品(鸡蛋不放一个篮子)。安全认证拿到 Type II 这种硬通货。高管团队各司其职,CEO 不用事必躬亲。投资人能看到"照这个趋势,18–24 个月后能盈利"。

风险清单

风险详解
服务网格过载从 5 个服务拆到 50 个,但编排层没跟上
数据一致性事故跨服务跨区域的事务问题——需要 elaborate saga 或 2PC 方案
安全团队变成 blockerCISO 说"不行"但工程师绕过——需要 security champions program
管理层内耗VP Eng 和 CTO 职责重叠,互相抢活/甩锅

术语翻译

  • 服务网格(Service Mesh):管理大量微服务之间通信的基础设施。服务少的时候不需要,服务多了就要用它来管理"谁跟谁通信、怎么加密、怎么限流"。但如果配置不当,反而成了新的复杂度来源。
  • 数据一致性:跨多个服务、多个地域时,同一笔数据可能在多个地方有副本。如果某个地方更新了、另一个没更新,就会出现"数据不一致"——比如用户改了密码,美东服务器生效了但欧洲服务器没生效。
  • Saga / 2PC(两阶段提交):解决跨服务事务的两种方案。Saga 是"把一个大事务拆成一串小事务,每步失败就回滚前面成功的";2PC 是"先问所有人能不能做,所有人说能,再一起做"。各有利弊。
  • Security Champions Program(安全先锋计划):在每个工程团队里选一个人当"安全代表",让他懂安全、在团队内推动安全实践。这样安全就不再是"CISO 一个人的事",而是"每个团队都有人管"。

六、Series C(48–84 个月)

一句话理解这一关:你拿到了 5000 万到 2 亿+ 美元,团队 250–1000+ 人。这一关是为上市做最后的准备。技术上要做的是:平台化(让别人在你的产品上开发)、开始 SOX 合规准备(上市公司财务审计)、跑通 GAAP 审计(正规会计标准)。你不再只是"做一个产品",而是在"经营一个可审计、可上市的企业"。

团队特征

  • Engineering 200–800 人
  • 有 Platform、Product、Infra、Security 四个大组,每组有自己的 manager
  • CTO/VP Eng 主要精力在:技术战略、组织设计、外部技术品牌(conference talks, blog)

说人话:工程团队已经大到要分四大块——做产品的、做内部平台的、做基础设施的、做安全的。CTO 不再写代码,主要工作是"想清楚技术往哪走、怎么组织这几百人、对外代表公司技术形象(去大会演讲、写技术博客)"。

技术交付物

交付物要求
SOX 准备财务系统 ITGC 合规,变更管理有审计 trail
平台化开放 API、Webhook、Marketplace、Partner Integration
多产品线不同产品独立 deploy、独立 on-call、独立发布节奏
数据治理数据分类、数据访问审批、GDPR right-to-delete 自动化
内部平台自服务开发者门户,新员工 1 天内可提交代码到 prod
ML/AI 合规如果是 AI 产品,Model Governance、Bias Testing、Explainability
GAAP 审计Big Four 审计已在进行中,至少 1 年审计历史

术语翻译

  • SOX(Sarbanes-Oxley Act,萨班斯法案):美国 2002 年通过的法律,要求上市公司建立严格的财务内控,防止做假账。技术上的体现是 ITGC——审计师要查你的 IT 系统有没有漏洞能让有人篡改财务数据。
  • ITGC(IT General Controls,IT 通用控制):SOX 审计的核心。查三件事:(1) 代码变更有没有审批记录;(2) 谁能访问生产数据库、怎么审批的;(3) 服务器运维操作(备份、批处理)有没有人盯着。
  • 审计 trail(审计轨迹):每一笔操作都能往上追溯到"谁、什么时候、为什么做的"。不能有"查不到是谁干的"的情况。
  • Webhook:当你的产品里发生某件事(比如收到一笔付款),自动给外部系统发一个通知。让外部系统能"实时知道"你的产品发生了什么。
  • Marketplace(应用市场):让别人在你的平台上开发插件/应用并卖给你的客户。像 Shopify 的 App Store。
  • Partner Integration(合作伙伴集成):和其他公司的产品打通,比如你的 CRM 能直接和客户的邮件系统对接。
  • GDPR right-to-delete:欧盟法律要求"用户有权要求删除自己的所有数据"。几百万人用你的产品时,手动删不现实,必须做到"用户一点删除,所有系统里的数据自动清除"。
  • Model Governance(模型治理):AI 公司必须有的——管理 AI 模型的版本、训练数据、评估结果,确保模型不会做出歧视性、有害的决策。
  • Bias Testing(偏见测试):测试 AI 模型有没有对某些群体(种族、性别)不公平。比如招聘 AI 不能因为性别就筛掉女性简历。
  • Explainability(可解释性):AI 做了一个决定(比如拒了某人的贷款),必须能解释"为什么"。不能是黑箱。
  • GAAP(Generally Accepted Accounting Principles,通用会计准则):一套标准的会计规则。上市公司的财报必须按 GAAP 编制,不能自己瞎编。
  • Big Four(四大):全球四大会计师事务所——普华永道(PwC)、德勤(Deloitte)、安永(EY)、毕马威(KPMG)。上市公司必须请他们审计。

ITGC 审计重点

领域审计师会查什么
程序变更管理代码从提交到上线的每一步有审批记录吗?
逻辑访问控制谁能访问生产数据库?怎么审批的?定期 review 吗?
计算机操作备份执行了吗?监控告警有人处理吗?batch job 失败怎么处理?

说人话:审计师要确认三件事——(1) 没人能偷偷改代码上线而不留痕迹;(2) 没人能偷偷登录数据库看/改用户数据而不留记录;(3) 系统的日常运维(备份、定时任务)都有人盯着、出问题有人管。如果这三点做不到,审计师会判定你有"重大控制缺陷"(material weakness),IPO 会被推迟。

通关标准 → 准备 IPO

  • 技术系统有 ≥2 年 GAAP 审计历史
  • 你能在任何时候回答:谁改了生产代码?谁访问了用户数据?
  • International expansion 架构已就绪(GDPR 等合规)
  • CTO 能独立面对买方分析师说明技术栈和研发效率
  • 无未解决的重大安全事件(过去 18 个月)

术语翻译

  • 买方分析师(Buy-side Analyst):机构投资者(基金、投行)里的分析师,在 IPO 前会深挖你的公司——CTO 要能面对他们的刁钻技术问题("你们的架构能不能支撑 10 倍增长?研发效率怎么样?技术债多少?")。
  • 重大安全事件:比如大规模数据泄露、被勒索软件加密了整个系统。如果有这种事还没解决/没善后,IPO 基本无望。

风险清单

风险详解
IPO 审计发现 material weaknessITGC 审计发现财务系统有重大控制缺口 → 推迟 IPO 6–12 个月
技术债集中爆发Scale 到 1000 万用户时,Seed 期写的那坨代码终于扛不住了
关键人离职那个只有他知道 XX 系统怎么跑的 engineer 走了
开放 API 出现安全漏洞合作伙伴因为你的 API 被入侵

术语翻译

  • Material Weakness(重大控制缺陷):审计师给你的最严重评级。意思是"你的内控有重大漏洞,财务数据可能不可靠"。一旦被判定,IPO 必须推迟到修好为止——通常要 6–12 个月。
  • 关键人风险(Key Person Risk):某个系统只有一个人懂,这个人离职 = 系统瘫痪。C 轮公司必须消灭所有"单点知识",做到"任何人离职都有人能接手"。

七、Pre-IPO / IPO

一句话理解这一关:你准备上市了。这一关不是"做出更多功能",而是"证明你的公司经得起公众和监管的审视"——财务数据是真的、内控是严的、技术系统是可审计的。上市后你不再是"几个创始人 + VC 的私事",而是要对全世界的股民和监管机构负责。

上市关键技术门禁

条件NASDAQSTAR 科创板HKEX
SOX 合规必须类似要求
ITGC 审计必须类似必须
GAAP 审计≥2 年(Big Four)≥3 年≥3 年
独立董事≥半数≥1/3≥3 名
审计委员会至少 3 人,全是独立董事必须至少 3 人

术语翻译

  • NASDAQ(纳斯达克):美国最大的科技股交易所,苹果、微软、谷歌都在这上市。
  • STAR 科创板:上海证券交易所的"科技创新板",中国版 NASDAQ,对科技公司更友好。
  • HKEX(港交所):香港交易所,很多中国公司选择在这里上市(比如腾讯、美团)。
  • 独立董事(Independent Director):不在公司任职、和公司没有利益关系的外部董事。法律规定上市公司必须有足够多的独立董事,防止大股东/管理层一手遮天。
  • 审计委员会(Audit Committee):董事会里专门管财务审计的小组,必须全部由独立董事组成。他们监督财报的真实性。

技术 IPO Readiness Checklist

  • 所有财务影响系统已纳入 SOX scope(ERP、计费、支付、合同)
  • ITGC 审计连续 4 个季度 clean(无 material weakness)
  • 代码变更、数据访问、权限变更的全链路审计记录 ≥12 个月
  • 安全事件响应能力:外部 firm on retainer,年度桌面推演
  • 季度预测能力:财务部门能用系统数据准确给出 revenue forecast
  • 披露控制:技术能支撑 10-Q/10-K 的严格时间线
  • 内部控制:授权矩阵清晰,职责分离(不能"同一个人开发+部署+审批")

术语翻译

  • ERP(Enterprise Resource Planning,企业资源计划):管理公司财务、人力、供应链的核心系统。SAP、Oracle 是最常见的。和你的产品是两回事——这是公司内部用的。
  • SOX scope:SOX 审计不是查你所有系统,只查"影响财务数据的系统"——计费、支付、合同管理、ERP。这些系统里的代码变更、数据访问必须全部有审计记录。
  • Clean(无保留意见):审计师给出的最好结论——"查过了,没发现问题"。连续 4 个季度 clean 是 IPO 的硬门槛。
  • 桌面推演(Tabletop Exercise):不是真的被黑,而是"假装被黑了"——一群人坐在桌子边模拟"如果现在数据泄露了,第一步做什么、第二步做什么",演练响应流程。
  • Revenue Forecast(收入预测):财务部门要能预测"下个季度大概收多少钱"。上市公司每季度要发财报,预测准不准直接影响股价。
  • 10-Q / 10-K:美国上市公司必须提交的季度报告(10-Q)和年度报告(10-K)。里面有详细的财务数据。提交有严格截止日期,技术系统必须能按时吐出准确数据。
  • 授权矩阵(Authorization Matrix):一张表写清楚"谁能批准什么级别的操作"。比如"5 万以下经理批,5–50 万 VP 批,50 万以上 CEO 批"。
  • 职责分离(Segregation of Duties):同一件事不能一个人从头做到尾。比如"开发代码的人不能自己审批上线"、"能改财务数据的人不能自己审计"。这是防止内部舞弊的基本原则。

八、工程分阶段投入占比

一句话理解:越往后期,花在"做新功能"上的精力越少,花在"安全合规、还技术债、内部工具"上的精力越多。早期 80% 精力做产品,到 Pre-IPO 只有 35%——剩下的全在维护、安全、合规、平台。

领域Pre-Seed~SeedABCPre-IPO
产品功能开发80%60%45%40%35%
基础设施/SRE5%10%15%15%15%
安全/合规3%10%15%20%25%
技术债务偿还5%10%10%10%10%
内部平台/工具2%5%10%10%10%
开发者体验/DX5%5%5%5%5%

怎么读这张表:每一列加起来 = 100%(一个团队的精力分配)。注意"安全/合规"这一行——从早期的 3% 一路涨到 Pre-IPO 的 25%。这就是为什么说"合规是乘法因子":早期省掉的,后期要用 8 倍的精力补回来。

术语翻译

  • 基础设施/SRE:服务器、网络、数据库、保证系统不宕机的工作。
  • 技术债务偿还:回头修以前为了赶进度"先凑合"写的烂代码。
  • 内部平台/工具:给公司内部工程师造的工具,提升整体效率。
  • 开发者体验/DX(Developer Experience):工程师用顺不顺手——开发环境好不好搭、文档清不清楚、部署麻不麻烦。DX 好,工程师效率高、留得住。

九、各阶段工程 risk checklist 速查

一句话理解:下面这张表是"最容易翻车的地方"的速查表。左边是病,中间是什么时候容易得,右边是症状和药方。

风险高发阶段信号预案
选错技术栈Pre-Seed招聘 3 个月招不到一个人切换到该地区最好招的栈(Node/Python/Go)
没做备份Seed"我们的数据库有备份吧?"——沉默立即启动每日自动备份,并测试还原
架构塌方Seed→AAPI P95 >2s, DB CPU >80% 持续 1 小时在 A 轮融钱前,先做 10x 压测和索引优化
SOC2 无限延期A→B"下个季度开始"说了 3 个季度CEO 在 board meeting 上设死线
微服务过拆分B20 个人、40 个服务合并回 5–8 个 bounded context
安全变成 blockerB→CCISO "不行"而工程师绕过security champions program
ITGC 审计失败C→Pre-IPO审计师发现 material weakness推迟 IPO 6–12 个月,请专门顾问
关键人离职C→Pre-IPO某个系统的唯一专家离职强制要求每个系统 ≥2 人懂

术语翻译

  • 10x 压测(压力测试):模拟当前用户量 10 倍的流量冲击系统,看它会不会崩。在 A 轮融钱之前就该做,不然融完钱用户一涨系统就瘫,投资人会很不满。
  • 索引优化:给数据库加"目录"(索引),让查询从"翻遍整本书"变成"直接翻到目录指的页"。是最简单有效的提速手段。
  • Board meeting(董事会):定期向董事会(投资人代表)汇报的会议。"在 board meeting 上设死线"意思是让董事会施压,逼团队不再拖延。
  • Bounded Context(限界上下文):微服务拆分时的"边界"——每个服务负责一块清晰的业务领域。20 人团队拆 40 个服务太多,应该合并成 5–8 个"各管一块"的服务。

十、创始人角色进化

一句话理解:创始人 CTO 的角色会随阶段剧烈变化——从"一个人写所有代码"变成"管理几百个写代码的人"。最致命的错误是:到了 A 轮还不肯放手,坚持自己写核心代码

阶段CTO/技术创始人角色最小时间分配
Pre-Seed唯一技术负责人:写代码、选栈、定架构80% 写代码,20% 面试/见用户
SeedTech Lead:写核心代码 + 带 2–5 人 + code review50% 写代码,30% review,20% 管理
A从 IC 到 manager:不再写生产代码,开始做技术战略30% 1:1,30% 架构 review,20% 招聘
B真正的 CTO:组织设计、技术文化、外部影响力40% 组织领导,20% 技术战略,20% 外部
C公司技术门面:board 汇报、投资者沟通、conference talks30% board,30% 招聘 VP/Director,20% 架构战略

术语翻译

  • IC(Individual Contributor,个人贡献者):自己干活、不带人的工程师。和"manager(管理者)"相对。CTO 从 IC 转 manager 是最痛苦的转型。
  • Tech Lead(技术负责人):一个小组里技术最厉害、负责技术决策的人。Seed 期 CTO 就是全公司的 Tech Lead。
  • 1:1(一对一沟通):manager 每周和每个下属单独聊 30 分钟——聊工作、聊成长、聊困难。这是管理的基础动作。
  • Code review(代码评审):见前面。Seed 期 CTO 要 review 所有关键代码。
  • 组织设计(Org Design):决定"公司怎么分组、谁向谁汇报、每个组多大"。几百人的公司,组织设计直接决定效率。
  • 技术文化:公司工程师群体的价值观和习惯——"出故障是追责还是复盘""技术决策是独裁还是讨论""追求完美还是追求速度"。

最重要的一条:最迟在 A 轮结束前,创始人 CTO 必须完成"从写代码到管理写代码的人"的转型。 几乎所有"技术死因"的根因都是 CEO 或 CTO 把持所有关键技术决策不放。

为什么这条最重要:很多技术出身的创始人"觉得别人写的代码不如自己",于是到 A 轮了还在亲自写核心代码。结果:(1) 自己成为瓶颈,所有决策都卡在他身上;(2) 招来的牛人觉得没有发挥空间而离职;(3) 公司规模大了但他还是只有一双手。公司不是被对手打死的,是被创始人自己卡死的。

十一、融资里程碑速查表

一句话理解:一张图看懂整个生命周期——每个节点要达到什么、团队多大、关键指标多少。

创立(0) ──── Pre-Seed(6m) ──── Seed(18m) ──── Series A(36m) ──── Series B(48m) ──── Series C(60m) ──── IPO(84m+)
   │               │                │               │                │                │
 PoC 通过         MVP 上线        PMF 确认      SOC2 Type I     SOC2 Type II    GAAP 审计就绪
 技术选型         10+ 真实用户     MRR $50K+     ARR $1M–5M+    ARR $10M–50M+   ARR $100M+
 1-3人            3-8人           8-25人         25-80人         80-250人        250-1000+人

每完成一个"→",技术系统应该在不追求完美的前提下达到该阶段的标准。所有"先融资再补"的技术债务,都必须计入从下一轮钱里列支的"偿还预算"。

怎么读这张时间线:上面是阶段名,中间是这一关必须达到的"里程碑"(milestone,过关的标志),下面是团队规模。时间是从公司创立算起的累计月数。注意这是"中位数"——快的公司更早,慢的更晚,但顺序不会变。

十二、总结:工程视角的一句话

一句话理解:每个阶段要达成的核心,浓缩成一句话。

  • Pre-Seed:知道用户要什么,技术能实现。
  • Seed:有人愿意付钱,系统能撑到 A 轮。
  • A:能卖、能复制卖、系统不出事、开始认真做安全。
  • B:能卖到全世界、系统不成为瓶颈、安全能让大客户签单。
  • C:能统治、能平台化、能过审计、能上市。
  • IPO:能向全世界公开,你的代码、流程、控制经得起市场监管。

用大白话再说一遍整个旅程

你从"两个人在咖啡馆写代码"开始(Bootstrap)→ 拿到第一笔钱做出能用的产品(Pre-Seed)→ 找到"用户用了就离不开"的状态(Seed)→ 证明这生意能做大、能赚钱(A 轮)→ 卖到全世界、卖给大企业(B 轮)→ 变成行业平台、准备上市(C 轮)→ 在交易所敲钟,成为公众公司(IPO)。

每一关都有它的"通关密码"——早期是"产品有没有人要",中期是"系统能不能扛、安全能不能过审",后期是"公司经不经得起公众和监管的审视"。技术决策的每一个选择,都在为 18 个月后的那道关卡做准备。

参考来源

融资阶段与市场数据

来源描述链接
VCJ 50全球 Top 50 VC 排名与募资数据 (2025)venturecapitaljournal.com
CRV - Series A MetricsSeries A 指标与估值 (2026)crv.com/series-a-metrics
CFO Advisors - 10 KPIsSeries A Board Deck 10 大 KPI 与基准 (2025)cfoadvisors.com
PitchBook全球 VC 投资数据pitchbook.com
Crunchbase全球创业公司与融资数据库crunchbase.com

SaaS 基准与成长指标

来源描述链接
High Alpha / OpenView SaaS BenchmarksSaaS 各阶段增长基准 (2025)designrevision.com
BVP Cloud 100云公司 Top 100 基准报告 (2025)bvp.com/atlas
KeyBanc SaaS Survey公开 SaaS 公司运营指标keybanc.com
SaaStrSaaS 融资与增长策略深度内容saastr.com

创业方法论

来源描述链接
Y Combinator Startup SchoolYC 创业课程全集startupschool.org
a16z Podcast / Blog硅谷顶级 VC 内容矩阵a16z.com
Alejandro Cremades融资阶段指南与投资人期望linkedin.com/in/alejandrocremades

安全与合规

来源描述链接
AICPA SOC2 GuideSOC 2 正式审计标准aicpa.org/soc
Vanta - SOC2 Best PracticesSOC2 合规自动化平台指南 (2026)vanta.com
Splunk - SOC2 ChecklistSOC2 合规检查表splunk.com
Baker Tilly - SOX ReadinessIPO 前的 SOX 准备指南 (2024)bakertilly.com

IPO 准备

来源描述链接
Eqvista - IPO ReadinessIPO 准备检查表与时间线eqvista.com
PCAOB Auditing Standards上市公司审计标准pcaobus.org
SEC - EDGAR上市公司公开文件(S-1 实例)sec.gov/edgar

工程实践

来源描述链接
Google SRE Book站点可靠性工程圣经sre.google/books
Incident Response at PagerDutyPagerDuty 事件响应最佳实践response.pagerduty.com
Terraform Best PracticesHashiCorp IaC 最佳实践terraform-best-practices.com

市场数据平台

来源描述链接
Global SWF全球主权财富基金数据globalswf.com
Dealroom欧洲/全球创业公司数据dealroom.co
CB Insights科技市场情报cbinsights.com

免责声明:本文所有数据截至 2026 年中期。融资市场变化迅速,具体阈值请结合当前市场环境判断。投资决策请咨询专业顾问。