MCP HubMCP Hub
스킬 목록으로 돌아가기

qualify-vendor

pjt222
업데이트됨 Yesterday
7 조회
17
2
17
GitHub에서 보기
기타general

정보

이 스킬은 개발자들이 리스크 분류, 감사 접근법, 계약 검토를 통해 GxP 소프트웨어 또는 서비스 공급자를 평가하는 데 도움을 줍니다. 신규 공급자 선정, 규제 대상 데이터를 위한 클라우드 제공자 온보딩, 또는 정기 재평가 시에 사용됩니다. 주요 기능으로는 평가 설문지 설계, 품질 계약 평가, 지속적인 모니터링 일정 정의 등이 포함됩니다.

빠른 설치

Claude Code

추천
기본
npx skills add pjt222/agent-almanac -a claude-code
플러그인 명령대체
/plugin add https://github.com/pjt222/agent-almanac
Git 클론대체
git clone https://github.com/pjt222/agent-almanac.git ~/.claude/skills/qualify-vendor

Claude Code에서 이 명령을 복사하여 붙여넣어 스킬을 설치하세요

문서

name: qualify-vendor description: > Einen Anbieter oder Lieferanten von GxP-relevanter Software oder Dienstleistungen qualifizieren. Umfasst Anbieter-Risikoklassifizierung, Beurteilungsfragebogen-Gestaltung, Schreibtisch- und Vor-Ort-Auditansaetze, Qualitaetsvereinbarungsbewertung, SLA-Pruefung und Definition des laufenden Ueberwachungsrhythmus. Anzuwenden bei der Auswahl eines neuen Anbieters fuer ein GxP-kritisches System, beim Onboarding eines Cloud-Anbieters fuer regulierte Daten, bei einer regelmaessigen Neubewertung, wenn ein Anbieter-Auditbefund eine Neubewertung erfordert oder wenn EU Annex 11 oder ICH Q10 Lieferantenqualifizierung vorschreibt. locale: de source_locale: en source_commit: 6f65f316 translator: claude-opus-4-6 translation_date: 2026-03-16 license: MIT allowed-tools: Read Write Edit Bash Grep Glob metadata: author: Philipp Thoss version: "1.0" domain: compliance complexity: intermediate language: multi tags: gxp, vendor, qualification, supplier, quality-agreement, compliance

Anbieter qualifizieren

Einen Anbieter von GxP-relevanter Software, Infrastruktur oder Dienstleistungen beurteilen und qualifizieren, um sicherzustellen, dass er die regulatorischen Qualitaetsstandards erfuellt.

Wann verwenden

  • Auswahl eines neuen Anbieters fuer ein GxP-kritisches computergestuetztes System
  • Onboarding eines Cloud-Dienstleisters fuer regulierte Daten
  • Regelmaessige Neubewertung eines bestehenden Anbieters ist faellig
  • Ein Anbieter-Auditbefund erfordert Neubewertung
  • Regulatorische Anforderung fuer Lieferantenqualifizierung (EU Annex 11 §3.4, ICH Q10)

Eingaben

  • Erforderlich: Anbietername, Produkt/Dienstleistung und beabsichtigte GxP-Nutzung
  • Erforderlich: Kriterien fuer die Anbieter-Risikoklassifizierung
  • Erforderlich: Anwendbare regulatorische Anforderungen
  • Optional: Vom Anbieter bereitgestellte Qualitaetsdokumentation (ISO-Zertifizierungen, SOC-Berichte)
  • Optional: Fruehere Anbieter-Auditberichte oder Qualifizierungsunterlagen
  • Optional: Referenzkundenerfahrungen

Vorgehensweise

Schritt 1: Anbieterrisiko klassifizieren

Das Risikoniveau des Anbieters basierend auf dem GxP-Einfluss bestimmen:

# Vendor Risk Classification
## Document ID: VRC-[VENDOR]-[YYYY]-[NNN]

### Risk Classification Criteria
| Factor | Weight | Critical | Major | Minor |
|--------|--------|----------|-------|-------|
| GxP impact | 40% | Directly processes GxP data or affects product quality | Supports GxP processes indirectly | No GxP impact |
| Data access | 20% | Accesses or stores GxP-regulated data | Accesses supporting data only | No data access |
| Substitutability | 15% | Sole source, no alternative | Limited alternatives | Multiple alternatives |
| Regulatory exposure | 15% | Subject to regulatory inspection | May be referenced in submissions | No regulatory exposure |
| Business criticality | 10% | System downtime stops operations | Downtime causes delays | Minimal operational impact |

### Vendor Classification
| Vendor | Product/Service | Risk Score | Classification | Qualification Approach |
|--------|----------------|------------|---------------|----------------------|
| [Vendor name] | [Product] | [Score] | Critical / Major / Minor | On-site audit / Desk audit / Questionnaire only |

### Qualification Approach by Risk
| Risk Level | Qualification Activities | Re-qualification Frequency |
|------------|------------------------|---------------------------|
| **Critical** | Questionnaire + desk audit + on-site audit | Annual |
| **Major** | Questionnaire + desk audit | Every 2 years |
| **Minor** | Questionnaire only | Every 3 years |

Erwartet: Die Anbieter-Risikoklassifizierung steuert einen verhaeltnismaessigen Qualifizierungsaufwand. Bei Fehler: Ist die Risikoklassifizierung strittig, standardmaessig das hoehere Niveau waehlen. Die Unterqualifizierung eines kritischen Anbieters ist ein regulatorisches Risiko.

Schritt 2: Beurteilungsfragebogen gestalten und senden

# Vendor Assessment Questionnaire
## Document ID: VAQ-[VENDOR]-[YYYY]-[NNN]

### Section 1: Company Information
1. Legal name, address, and parent company (if applicable)
2. Number of employees (total and in quality/development)
3. Products and services relevant to this qualification
4. Key customers in the pharmaceutical/life sciences industry

### Section 2: Quality Management System
5. Do you maintain a certified QMS? (ISO 9001, ISO 13485, ISO 27001 — provide certificates)
6. Describe your document control system
7. Describe your change management process
8. Describe your CAPA process
9. How do you handle customer complaints?
10. When was your last external audit? Provide the summary report.

### Section 3: Software Development (if applicable)
11. Describe your software development lifecycle (SDLC)
12. Do you follow GAMP 5, IEC 62304, or other development standards?
13. Describe your testing methodology (unit, integration, system, regression)
14. How do you manage source code (version control, branching, code review)?
15. Describe your release management process
16. How do you handle bug reports and patches?

### Section 4: Data Integrity and Security
17. How do you ensure data integrity (ALCOA+ principles)?
18. Describe your audit trail capabilities
19. Describe your access control model (role-based, attribute-based)
20. Describe your data backup and recovery procedures
21. Have you had any data breaches in the last 3 years? If yes, describe.
22. Provide your most recent SOC 2 Type II report (if available)

### Section 5: Regulatory Compliance
23. Are your products used in FDA-regulated or EU-regulated environments?
24. Can you provide a 21 CFR Part 11 compliance statement?
25. Can you provide an EU Annex 11 compliance statement?
26. Do you provide validation support documentation (IQ/OQ/PQ packs)?
27. How do you notify customers of changes that may affect their validated state?

### Section 6: Support and Service Level
28. Describe your support tiers and response times
29. What is your system availability target (uptime SLA)?
30. Describe your disaster recovery and business continuity plan
31. What is your customer notification process for planned and unplanned downtime?
32. What is your end-of-life/end-of-support policy?

Erwartet: Fragebogen an Anbieter gesendet mit einer Antwortefrist (typischerweise 4-6 Wochen fuer kritische Anbieter). Bei Fehler: Kann oder will der Anbieter den Fragebogen nicht ausfuellen, ist dies selbst ein Risikoindikator. Die Verweigerung dokumentieren und an Einkauf und QA eskalieren.

Schritt 3: Anbieterantworten bewerten

Die Fragebogenantworten pruefen und bewerten:

# Vendor Evaluation
## Document ID: VE-[VENDOR]-[YYYY]-[NNN]

### Response Evaluation Matrix
| Section | Score (1-5) | Key Findings | Acceptable? |
|---------|-------------|-------------|-------------|
| Quality Management System | [Score] | [Summary of findings] | [Yes/No/Conditional] |
| Software Development | [Score] | [Summary] | [Yes/No/Conditional] |
| Data Integrity and Security | [Score] | [Summary] | [Yes/No/Conditional] |
| Regulatory Compliance | [Score] | [Summary] | [Yes/No/Conditional] |
| Support and Service Level | [Score] | [Summary] | [Yes/No/Conditional] |

Score: 1 = Unacceptable, 2 = Significant gaps, 3 = Adequate with conditions, 4 = Good, 5 = Excellent

### Red Flags (automatic escalation)
- [ ] No QMS or expired certification
- [ ] No change notification process to customers
- [ ] No audit trail capability
- [ ] Data breach with no corrective action
- [ ] Cannot provide 21 CFR 11 or EU Annex 11 compliance statement
- [ ] No validation support documentation

Erwartet: Jeder Abschnitt mit klaren Erkenntnissen und einer Gesamtakzeptabilitaetsbestimmung bewertet. Bei Fehler: Sind Antworten unvollstaendig oder ausweichend, Klarstellung anfordern. Anhaltende Nicht-Reaktionsfaehigkeit ist ein Qualifizierungsversagenskriterium.

Schritt 4: Audit durchfuehren (falls erforderlich)

Fuer kritische und schwerwiegende Anbieter ein Schreibtisch- oder Vor-Ort-Audit durchfuehren:

# Vendor Audit Plan
## Document ID: VAP-[VENDOR]-[YYYY]-[NNN]

### Desk Audit (Remote)
| Document Requested | Received? | Assessment |
|-------------------|-----------|------------|
| QMS manual or overview | [Y/N] | [Finding] |
| SDLC documentation | [Y/N] | [Finding] |
| Most recent internal audit report | [Y/N] | [Finding] |
| SOC 2 Type II report | [Y/N] | [Finding] |
| 21 CFR 11 / EU Annex 11 compliance statement | [Y/N] | [Finding] |
| Sample release notes (last 3 releases) | [Y/N] | [Finding] |
| Customer notification examples | [Y/N] | [Finding] |

### On-Site Audit (if critical vendor)
| Area | Activities | Duration |
|------|-----------|----------|
| Quality system | Review QMS documentation, CAPA records, complaint handling | 2 hours |
| Development | Walk through SDLC, code review process, testing evidence | 2 hours |
| Operations | Observe data centre (if applicable), review security controls | 1 hour |
| Support | Review support ticket resolution, SLA compliance metrics | 1 hour |

### Audit Findings
| Finding ID | Area | Observation | Severity | Vendor Response Required? |
|-----------|------|-------------|----------|--------------------------|
| VF-001 | [Area] | [Observation] | [Major/Minor/Obs] | [Yes/No] |

Erwartet: Auditbefunde objektiv mit Schweregradklassifizierung dokumentiert. Bei Fehler: Kann ein Vor-Ort-Audit nicht arrangiert werden, ein gruendliches Schreibtischaudit ergaenzt durch Videokonferenzinterviews durchfuehren.

Schritt 5: Qualitaetsvereinbarung und SLA bewerten

# Quality Agreement Evaluation
## Document ID: QAE-[VENDOR]-[YYYY]-[NNN]

### Quality Agreement Checklist
| Clause | Present? | Adequate? | Comments |
|--------|----------|-----------|----------|
| Roles and responsibilities (vendor vs customer) | [Y/N] | [Y/N] | |
| Change notification (advance notice of changes) | [Y/N] | [Y/N] | [Minimum notice period?] |
| Audit rights (right to audit vendor) | [Y/N] | [Y/N] | [Frequency, scope?] |
| Data ownership and portability | [Y/N] | [Y/N] | [Data return on termination?] |
| Security and confidentiality obligations | [Y/N] | [Y/N] | |
| Regulatory inspection cooperation | [Y/N] | [Y/N] | [Vendor supports regulatory inspections?] |
| CAPA process for quality issues | [Y/N] | [Y/N] | |
| Validation support obligations | [Y/N] | [Y/N] | [IQ/OQ/PQ support?] |
| Subcontractor management | [Y/N] | [Y/N] | [Vendor's subcontractor quality?] |
| Termination and transition support | [Y/N] | [Y/N] | [Data migration support?] |

### SLA Evaluation
| Metric | Vendor Commitment | Industry Benchmark | Acceptable? |
|--------|------------------|-------------------|-------------|
| Availability (uptime) | [e.g., 99.9%] | 99.5% - 99.99% | [Y/N] |
| Response time (critical issues) | [e.g., 1 hour] | 1-4 hours | [Y/N] |
| Resolution time (critical issues) | [e.g., 4 hours] | 4-24 hours | [Y/N] |
| Planned maintenance notification | [e.g., 5 days] | 5-14 days | [Y/N] |
| Data backup frequency | [e.g., Daily] | Daily minimum | [Y/N] |
| Disaster recovery RTO | [e.g., 4 hours] | 4-24 hours | [Y/N] |

Erwartet: Qualitaetsvereinbarung und SLA-Bedingungen vor Vertragsunterzeichnung auf Angemessenheit geprueft. Bei Fehler: Fehlen kritische Qualitaetsvereinbarungsklauseln, deren Aufnahme verhandeln. Keinen Anbieter ohne angemessene Auditrechte und Aenderungsbenachrichtigung qualifizieren.

Schritt 6: Qualifizierungsentscheidung treffen

# Vendor Qualification Report
## Document ID: VENDOR-QUALIFICATION-[VENDOR]

### Qualification Summary
| Criterion | Result |
|-----------|--------|
| Vendor risk classification | [Critical / Major / Minor] |
| Questionnaire assessment | [Score/5] |
| Audit results (if applicable) | [Satisfactory / Satisfactory with conditions / Unsatisfactory] |
| Quality agreement | [Adequate / Needs revision] |
| SLA | [Adequate / Needs revision] |

### Qualification Decision
| Decision | Meaning |
|----------|---------|
| **Qualified** | Vendor meets all requirements; proceed with procurement |
| **Conditionally qualified** | Vendor meets most requirements; specific conditions must be met within defined timeline |
| **Not qualified** | Vendor does not meet requirements; do not proceed |

**Decision:** [Qualified / Conditionally Qualified / Not Qualified]
**Conditions (if applicable):** [List specific conditions with deadlines]

### Ongoing Monitoring
| Activity | Frequency | Responsible |
|----------|-----------|-------------|
| Performance metrics review | Quarterly | System owner |
| Quality agreement compliance | Annual | QA |
| Re-qualification audit/assessment | [Per risk level] | QA |
| Regulatory update review | As needed | Regulatory affairs |

### Approval
| Role | Name | Signature | Date |
|------|------|-----------|------|
| Quality Assurance | | | |
| System Owner | | | |
| Procurement | | | |

Erwartet: Klare Qualifizierungsentscheidung mit dokumentierter Begruendung und laufendem Ueberwachungsplan. Bei Fehler: Lautet die Entscheidung "Nicht qualifiziert", die spezifischen Maengel dokumentieren und an den Einkauf kommunizieren. Alternative Anbieter identifizieren.

Validierung

  • Anbieterrisiko mit dokumentierter Begruendung klassifiziert
  • Beurteilungsfragebogen deckt QMS, Entwicklung, Sicherheit, Compliance und Support ab
  • Anbieterantworten mit bewerteten Erkenntnissen ausgewertet
  • Audit fuer kritische und schwerwiegende Anbieter durchgefuehrt
  • Qualitaetsvereinbarung auf alle erforderlichen Klauseln geprueft
  • SLA gegenueber regulatorischen und geschaeftlichen Anforderungen bewertet
  • Qualifizierungsentscheidung mit Genehmigungsunterschriften dokumentiert
  • Laufender Ueberwachungsplan mit Haeufigkeit und Verantwortlichkeiten definiert

Haeufige Stolperfallen

  • Einkauf vor Qualifizierung: Das Unterzeichnen eines Vertrags vor Abschluss der Qualifizierung entfernt den Verhandlungsspielraum fuer Qualitaetsvereinbarungen und schafft eine Compliance-Luecke.
  • Fragebogen ohne Verifizierung: Die Selbstbeurteilung des Anbieters ohne Pruefung zu akzeptieren ist ungenuegend. Schluessige Behauptungen durch Audits, Referenzpruefungen oder Dokumentenpruefu ng verifizieren.
  • Keine Aenderungsbenachrichtigungsklausel: Ohne vertragliche Aenderungsbenachrichtigung kann ein Anbieter sein Produkt oder seine Dienstleistung auf eine Weise aendern, die den validierten Zustand beeinflusst, ohne Kenntnis des Kunden.
  • Qualifizierung als Einmalereignis: Anbieterqualifizierung ist ein kontinuierlicher Prozess. Regelmaessige Ueberwachung, Neubewertung und Leistungsbeurteilung sind fuer anhaltende Compliance unentbehrlich.
  • Unterauftragnehmer ignorieren: Vergibt der Anbieter kritische Dienstleistungen (z. B. Hosting, Entwicklung) an Unterauftragnehmer, muss auch die Qualitaet des Unterauftragnehmers bewertet werden.

Verwandte Skills

  • design-compliance-architecture — identifiziert, welche Anbieter Qualifizierung benoetigen
  • conduct-gxp-audit — Anbieteraudits folgen derselben Methodik wie interne Audits
  • prepare-inspection-readiness — Anbieterqualifizierungen werden haeufig waehrend Inspektionen angefordert
  • manage-change-control — Anbieter-initiierte Aenderungen erfordern eine Aenderungskontrollbewertung
  • perform-csv-assessment — die Anbieterqualifizierung informiert den Validierungsansatz fuer das Produkt des Anbieters

GitHub 저장소

pjt222/agent-almanac
경로: i18n/de/skills/qualify-vendor
0
agentsagentskillsai-assisted-developmentclaude-codeskillsteams

연관 스킬

llamaguard

기타

LlamaGuard는 폭력 및 혐오 발언 등 6가지 안전 범주에서 LLM 입력과 출력을 조정하기 위한 Meta의 70-80억 파라미터 모델입니다. 94-95% 정확도를 제공하며 vLLM, Hugging Face 또는 Amazon SageMaker를 사용해 배포할 수 있습니다. 이 기술을 사용하여 AI 애플리케이션에 콘텐츠 필터링 및 안전 가드레일을 손쉽게 통합하세요.

스킬 보기

cost-optimization

기타

이 Claude Skill은 리소스 적정화, 태깅 전략, 지출 분석을 통해 개발자들이 클라우드 비용을 최적화할 수 있도록 지원합니다. AWS, Azure, GCP에서 클라우드 비용을 절감하고 비용 거버넌스를 구현하기 위한 프레임워크를 제공합니다. 인프라 비용을 분석하거나, 리소스를 적정화하거나, 예산 제약을 충족해야 할 때 사용하세요.

스킬 보기

quantizing-models-bitsandbytes

기타

이 스킬은 bitsandbytes를 사용하여 LLM을 8비트 또는 4비트 정밀도로 양자화하며, 최소한의 정확도 손실로 50-75%의 메모리 감소를 달성합니다. 제한된 GPU 메모리에서 더 큰 모델을 실행하거나 추론을 가속화하는 데 이상적이며, INT8, NF4, FP4와 같은 형식을 지원합니다. 이 스킬은 HuggingFace Transformers와 통합되어 QLoRA 학습 및 8비트 옵티마이저를 가능하게 합니다.

스킬 보기

dispatching-parallel-agents

기타

이 Claude Skill은 3개 이상의 독립적인 문제를 동시에 조사하고 해결하기 위해 다중 에이전트를 배치합니다. 공유 상태나 의존성 없이 해결 가능한 무관련 장애 시나리오에 맞게 설계되었습니다. 핵심 기능은 병렬 문제 해결로, 각 독립 문제 영역마다 하나의 에이전트를 할당하여 효율성을 극대화합니다.

스킬 보기