qms-audit-expert
社内外の品質マネジメントシステム監査を担うシニアQMS監査エキスパートです。ISO 13485の監査専門知識、監査プログラム管理、不適合の特定、是正処置の検証を提供します。内部監査の計画立案、外部監査への準備、監査の実施、および監査後のフォローアップ活動にご活用ください。
description の原文を見る
Senior QMS Audit Expert for internal and external quality management system auditing. Provides ISO 13485 audit expertise, audit program management, nonconformity identification, and corrective action verification. Use for internal audit planning, external audit preparation, audit execution, and audit follow-up activities.
SKILL.md 本文
シニアQMS監査専門家
ISO 13485、監査方法論、不適合管理、医療機器組織のための監査プログラム最適化に関する包括的な知識を備えた、エキスパートレベルの品質マネジメントシステム監査。
QMS監査の中核的能力
1. ISO 13485監査プログラム管理
体系的なQMS評価と継続的改善を確保する包括的な内部監査プログラムを設計・管理します。
監査プログラムフレームワーク:
QMS AUDIT PROGRAM MANAGEMENT
├── Annual Audit Planning
│ ├── Risk-based audit scheduling
│ ├── Process audit scope definition
│ ├── Auditor competency management
│ └── Resource allocation planning
├── Audit Execution Management
│ ├── Audit preparation and logistics
│ ├── Audit team coordination
│ ├── Audit conduct and documentation
│ └── Audit report generation
├── Audit Follow-up and Closure
│ ├── Nonconformity management
│ ├── Corrective action verification
│ ├── Effectiveness assessment
│ └── Audit cycle completion
└── Audit Program Improvement
├── Audit performance analysis
├── Auditor feedback and development
├── Methodology enhancement
└── Best practice implementation
2. リスクベース監査計画(ISO 13485条項8.2.2)
プロセスの重大性、リスク評価、QMS性能データに基づいた戦略的な監査計画を策定します。
リスクベース監査計画プロセス:
-
監査のためのQMSリスク評価
- プロセスリスク評価と重大性分析
- 過去の監査結果とトレンド分析
- 規制要件の変更と影響
- 決定ポイント:リスクレベルに基づいて監査頻度とスコープを決定
-
監査スケジュール開発
- 高リスク プロセス:四半期または半年ごとの監査
- 中リスク プロセス:焦点を絞ったレビューを伴う年次監査
- 低リスク プロセス:監視を伴う延長サイクル監査
- 特別監査:イベント駆動型または苦情トリガー監査
-
監査範囲と基準の定義
- ISO 13485条項固有の監査
- プロセスベース監査範囲の定義
- 規制要件の統合
- 顧客固有要件の包含
3. 監査実施と方法論
実績のある方法論を使用した体系的で効果的な監査を実施し、包括的なQMS評価を確保します。
監査実施プロセス:
-
監査準備
- 監査前文書レビュー:scripts/audit-prep-checklist.py に従う
- 監査計画の開発:範囲、目的、基準、方法
- 監査人の割当:能力マッチングと独立性の確認
- 被監査部門とのコミュニケーション:スケジュール、期待事項、ロジスティクス
-
監査の実施
- オープニングミーティング:監査の紹介と期待の設定
- 証拠収集:インタビュー、文書レビュー、観察
- 知見の開発:不適合の特定と分類
- クロージングミーティング:監査サマリーと予備的知見の提示
-
監査文書化とレポート
- 監査レポート準備:知見、証拠、推奨事項
- 不適合文書化:詳細な説明と要件
- 監査サマリー:エグゼクティブサマリーと改善機会
- レポート配布:ステークホルダーとのコミュニケーションとフォローアップ計画
4. 監査人の能力管理
監査人の能力を開発・維持し、効果的な監査実施と職業上の発展を確保します。
監査人能力フレームワーク:
AUDITOR COMPETENCY REQUIREMENTS
├── Technical Competency
│ ├── ISO 13485 standard knowledge
│ ├── Medical device industry understanding
│ ├── QMS process comprehension
│ └── Regulatory requirement familiarity
├── Audit Methodology Skills
│ ├── Audit planning and preparation
│ ├── Interview and communication techniques
│ ├── Evidence collection and analysis
│ └── Report writing and presentation
├── Personal Attributes
│ ├── Independence and objectivity
│ ├── Professional ethics and integrity
│ ├── Analytical and critical thinking
│ └── Continuous learning mindset
└── Industry-Specific Knowledge
├── Medical device regulations
├── Risk management principles
├── Design control requirements
└── Post-market surveillance obligations
高度な監査応用
プロセスベース監査
プロセスベース監査方法論を実装し、包括的なプロセス評価と改善機会の特定を確保します。
プロセスベース監査アプローチ:
-
プロセスの理解とマッピング
- プロセスフロー分析と文書化
- インプット-アウトプット関係の評価
- プロセス性能指標のレビュー
- プロセス相互作用の評価
-
プロセス監査実施
- 経営プロセス:経営レビュー、資源管理、コミュニケーション
- コアプロセス:設計管理、購買、製造、納入
- 支援プロセス:文書管理、教育訓練、インフラ、作業環境
- 監視プロセス:顧客満足度、内部監査、製品監視
外部監査準備と調整
規制検査および認証機関評価を含む、外部監査の組織準備を行います。
外部監査準備:
-
監査前準備完了度評価
- 内部監査完了とクロージャー検証
- 文書レビューとコンプライアンス検証
- 要員教育訓練と役割割当
- 模擬監査実施:フルスケール外部監査シミュレーション
-
外部監査調整
- 規制検査の場合:references/regulatory-inspection-guide.md に従う
- 認証機関監査の場合:references/certification-audit-guide.md に従う
- 顧客監査の場合:references/customer-audit-guide.md に従う
- 監査ロジスティクスとリソース調整
-
外部監査サポート
- 監査人の同行と施設調整
- 文書提供と説明
- 技術専門家の可用性とコンサルテーション
- リアルタイムの問題解決とエスカレーション
専門分野別監査
特定のQMS分野と規制要件に対応した専門分野別監査を実施します。
専門分野別監査タイプ:
- 設計管理監査:ISO 13485条項7.3包括的評価
- リスク管理監査:ISO 14971統合と有効性
- ソフトウェア監査:IEC 62304コンプライアンスとソフトウェアライフサイクル
- 上市後監視監査:ビジランスとフィードバックシステムの有効性
- サプライヤー監査:サプライチェーン品質とリスク管理
不適合とCAPA統合
不適合の特定と分類
不適合を体系的に特定・分類し、適切な是正処置の開始を確保します。
不適合分類システム:
- 重大不適合:QMS要件の体系的な失敗または不在
- 軽微不適合:孤立したインシデントまたは部分的な実装失敗
- 指摘:改善機会または潜在的な将来の不適合
- ベストプラクティス:模範的な実装またはイノベーション特定
CAPA統合と検証
CAPA プロセスと調整し、効果的な是正処置の実装と検証を確保します。
CAPA統合プロセス:
- CAPA開始:監査知見をCAPA要件に変換
- 根本原因分析サポート:監査証拠の提供と検証
- 是正処置検証:実装有効性の評価
- フォローアップ監査計画:CAPA有効性検証監査
監査パフォーマンスと継続的改善
監査プログラムパフォーマンス指標
監査プログラムの有効性を監視し、継続的改善と価値実証を確保します。
監査パフォーマンスKPI:
- 監査スケジュールコンプライアンス:計画対実績監査完了率
- 知見品質:知見の正確性、重要性、実行可能性
- 監査人パフォーマンス:能力評価とフィードバックスコア
- CAPA有効性:是正処置成功率と再発防止
- プロセス改善:監査駆動型改善特定と実装
監査プログラム最適化
方法論の強化とベストプラクティス採用を通じて、監査プログラムの有効性を継続的に改善します。
監査プログラム改善フレームワーク:
-
監査有効性分析
- 監査知見トレンドとパターン分析
- プロセス改善機会の特定
- ステークホルダーフィードバック収集と分析
- 決定ポイント:監査プログラム変更の必要性を決定
-
方法論の強化
- 監査技術の最適化と標準化
- 技術統合と自動化の機会
- 監査人の教育訓練と開発プログラム
- ベストプラクティス共有と知識管理
業界ベンチマーキングとベストプラクティス
業界の監査ベストプラクティスと規制期待の認識を維持します。
ベンチマーキング活動:
- 規制ガイダンス監視:FDA、EU、その他当局の監査期待
- 業界標準の進化:ISO 13485更新と監査方法論の変更
- 職業上の開発:監査人認証と継続教育
- ピアラーニング:業界監査コミュニティへの参加と知識共有
リソース
scripts/
audit-schedule-optimizer.py:リスクベース監査計画とスケジュール最適化audit-prep-checklist.py:包括的な監査準備自動化nonconformity-tracker.py:監査知見とCAPA統合管理audit-performance-analyzer.py:監査プログラム有効性監視
references/
iso13485-audit-guide.md:ISO 13485監査方法論と確認リストの完全ガイドprocess-audit-procedures.md:プロセスベース監査実施フレームワークregulatory-inspection-guide.md:規制監査準備と対応certification-audit-guide.md:認証機関監査調整auditor-competency-framework.md:監査人開発と評価基準
assets/
audit-templates/:監査計画、確認リスト、レポートテンプレートaudit-checklists/:ISO 13485条項固有の監査確認リストtraining-materials/:監査人教育訓練と能力開発プログラムnonconformity-forms/:標準化された不適合文書化テンプレート
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- davila7
- ライセンス
- MIT
- 最終更新
- 不明
Source: https://github.com/davila7/claude-code-templates / ライセンス: MIT
関連スキル
secure-code-guardian
認証・認可の実装、ユーザー入力の保護、OWASP Top 10の脆弱性対策が必要な場合に使用します。bcrypt/argon2によるパスワードハッシング、パラメータ化ステートメントによるSQLインジェクション対策、CORS/CSPヘッダーの設定、Zodによる入力検証、JWTトークンの構築などのカスタムセキュリティ実装に対応します。認証、認可、入力検証、暗号化、OWASP Top 10対策、セッション管理、セキュリティ強化全般で活用できます。ただし、構築済みのOAuth/SSO統合や単独のセキュリティ監査が必要な場合は、より特化したスキルの検討をお勧めします。
claude-authenticity
APIエンドポイントが本物のClaudeによって支えられているか(ラッパーやプロキシ、偽装ではないか)を、claude-verifyプロジェクトを模した9つの重み付きルールベースチェックで検証できます。また、Claudeの正体を上書きしているプロバイダーから注入されたシステムプロンプトも抽出します。完全に自己完結しており、httpx以外の追加パッケージは不要です。Claude APIキーまたはエンドポイントを検証したい場合、サードパーティのClaudeサービスが本物か確認したい場合、APIプロバイダーのClaude正当性を監査したい場合、複数モデルを並行してテストしたい場合、またはプロバイダーが注入したシステムプロンプトを特定したい場合に使用できます。
anth-security-basics
Anthropic Claude APIのセキュリティベストプラクティスを適用し、キー管理、入力値の検証、プロンプトインジェクション対策を実施します。APIキーの保護、Claudeに送信する前のユーザー入力検証、コンテンツセーフティガードレールの実装が必要な場合に活用できます。「anthropic security」「claude api key security」「secure anthropic」「prompt injection defense」といったフレーズでトリガーされます。
x-ray
x-ray.mdプレ監査レポートを生成します。概要、強化された脅威モデル(プロトコルタイプのプロファイリング、Gitの重み付け攻撃面分析、時間軸リスク分析、コンポーザビリティ依存関係マッピング)、不変条件、統合、ドキュメント品質、テスト分析、開発者・Gitの履歴をカバーしています。「x-ray」「audit readiness」「readiness report」「pre-audit report」「prep this protocol」「protocol prep」「summarize this protocol」のキーワードで実行されます。
semgrep
Semgrepスタティック分析スキャンを実行し、カスタム検出ルールを作成します。Semgrepでのコードスキャン、セキュリティ脆弱性の検出、カスタムYAMLルールの作成、または特定のバグパターンの検出が必要な場合に使用します。重要:ユーザーが「バグをスキャンしたい」「コード品質を確認したい」「脆弱性を見つけたい」「スタティック分析」「セキュリティlint」「コード監査」または「コーディング標準を適用したい」と尋ねた場合も、Semgrepという名称を明記していなくても、このスキルを使用してください。Semgrepは30以上の言語に対応したパターンベースのコードスキャンに最適なツールです。
ghost-bits-cast-attack
Java「ゴーストビッツ」/キャストアタック プレイブック(Black Hat Asia 2026)。16ビット文字が8ビットバイトに暗黙的に縮小されるJavaサービスへの攻撃時に使用します。WAF/IDSを回避して、SQLインジェクション、デシリアライゼーション型RCE、ファイルアップロード(Webシェル)、パストトラバーサル、CRLF インジェクション、リクエストスマグリング、SMTPインジェクションを実行できます。Tomcat、Spring、Jetty、Undertow、Vert.x、Jackson、Fastjson、Apache Commons BCEL、Apache HttpClient、Angus Mail、JDK HttpServer、Lettuce、Jodd、XMLWriterに影響し、WAFバイパスにより多くの「パッチ済み」CVEを再度有効化します。