A gestão de riscos enterprise — ERM, na sigla inglesa — deixou de ser linguagem exclusiva de banco de investimento. Em 2026, qualquer hospital de médio porte que pretende manter rating de seguradora competitivo, captar dívida no mercado privado ou pleitear acreditação internacional precisa demonstrar governança de risco estruturada segundo padrões reconhecidos. E os padrões que dominam a conversa institucional são três: o framework COSO ERM 2017, a norma ISO 31000:2018 e — para quem captou via debênture ou tem operações financeiras relevantes — os princípios de Basel III adaptados ao setor.
A entrada desses frameworks no vocabulário hospitalar acontece num momento específico: comissionados clínicos, comitês de auditoria e conselhos fiscais começam a exigir stress test de operação, Value-at-Risk (VaR) e Conditional VaR (CVaR) aplicados a cenários de queda de receita, paralisação de pronto-socorro e incidente sanitário grave. O serviço de gestão de resíduos, antes invisível na matriz de risco, passa a aparecer com peso próprio quando a análise considera multa de R$ 50 milhões por descarte irregular, suspensão de licença operacional e exposição reputacional em redes sociais.
A matriz COSO aplicada ao hospital de 2026
O framework COSO ERM 2017 organiza o risco em cinco componentes: governança e cultura, estratégia e definição de objetivos, performance, revisão e informação, comunicação e reporte. Aplicado ao hospital, o componente “performance” é onde a gestão de resíduos entra com força — porque é onde se mede o risco operacional (falha em coleta, transporte ou destinação), o risco regulatório (multa, suspensão de licença) e o risco reputacional (vazamento de incidente para imprensa).
A ISO 31000:2018, por sua vez, é mais abstrata e enxuta: princípios, framework e processo. O processo prescreve sete passos — comunicação e consulta, definição do escopo, identificação, análise, avaliação, tratamento, monitoramento e revisão. O hospital que combina COSO (estrutura) com ISO 31000 (processo) consegue rastreabilidade auditável tanto para o conselho quanto para a Vigilância Sanitária.
Tabela: frameworks de risco e aplicação hospitalar
| Framework | Origem | Aplicação no hospital | Métricas-chave |
|---|---|---|---|
| COSO ERM 2017 | Auditoria/governança corporativa | Estrutura de comitês e reporte ao conselho | Heatmap de risco residual |
| ISO 31000:2018 | Internacional, processo | Identificação e tratamento iterativo | Risco inerente vs. residual |
| Basel III (adaptado) | Bancário | Capital econômico para risco operacional | VaR 99% / CVaR 97,5% |
| Stress Test | Bancário/corporativo | Cenário extremo de receita-impacto | Perda em cenário 1-em-100-anos |
A narrativa que liga as quatro linhas é simples: o hospital identifica os riscos via ISO 31000, organiza a governança via COSO, quantifica o impacto financeiro via VaR/CVaR e testa a resiliência via stress test. O ciclo é trimestral no mínimo, e cada iteração devolve insumo para revisão da matriz de risco e para alocação de orçamento de mitigação.
Onde a gestão de resíduos entra na matriz ERM
O risco de gestão de resíduos hospitalares aparece em pelo menos quatro categorias da matriz COSO:
- Risco regulatório: RDC 222/2018, NR-32, CONAMA 358 e legislação estadual e municipal. A não conformidade gera multa, suspensão de alvará e — em casos graves — interdição de unidade.
- Risco operacional: falha de coleta, contaminação cruzada de coletores, acidente com perfurocortante, exposição ocupacional. Cada incidente alimenta a base de dados de stress test.
- Risco reputacional: vazamento de imagem de coletor cheio em corredor, denúncia anônima ao Ministério Público, matéria em portal de notícias. Em 2026, com a velocidade das redes sociais, o impacto reputacional supera frequentemente o impacto financeiro direto.
- Risco financeiro: custo de coleta acima do orçado por sazonalidade clínica (p. ex., picos de procedimentos cirúrgicos eletivos pós-greve médica resolvida). VaR mensal do contrato de coleta passa a ser linha de orçamento.
Para o hospital que ainda não estruturou esse pedaço da matriz, a Seven Resíduos atua como parceiro técnico que entrega indicadores prontos para alimentar dashboards de ERM — volumes por grupo, taxa de não conformidade, custo por leito-dia e tempo médio de coleta. Esses números são exatamente os insumos que o comitê de risco precisa para rodar VaR mensal sobre o contrato de coleta de resíduos hospitalares.
Três perfis: como diferentes hospitais implementam ERM
Hospital filantrópico de alta complexidade (mais de 400 leitos): já tem comitê de risco, auditoria interna e CFO com background financeiro. ERM está estruturado, e gestão de resíduos é mais um vetor na matriz. O desafio é integrar dados operacionais do PGRSS com o sistema corporativo de risco — projeto típico de seis a doze meses.
Rede hospitalar privada de capital aberto: opera ERM por exigência regulatória da CVM e de credores. Gestão de resíduos entra como linha auditada no relatório de sustentabilidade, e o stress test inclui cenário de incidente sanitário com paralisação de unidade por 30 dias.
Hospital privado regional (100-250 leitos): começa do zero. Contrata consultoria externa, estrutura comitê multidisciplinar com diretor médico, financeiro, jurídico e de operações. Implementa COSO simplificado em 12 meses e calibra VaR sobre receita anual no segundo ano.
Três erros recorrentes em ERM hospitalar
- Confundir gestão de risco com gestão de seguros. Apólice cobre evento; ERM previne, mitiga e quantifica. Hospital que delega ERM ao broker de seguros perde a dimensão operacional do risco.
- Não envolver gestão de resíduos no comitê de risco. O diretor de operações entra; o gerente de PGRSS fica de fora. Resultado: o stress test ignora cenário de incidente ambiental, que é justamente onde o risco residual é mais alto.
- Rodar VaR sem dado operacional confiável. O modelo precisa de série histórica de pelo menos 24 meses por categoria de risco. Hospital que não coleta dado de não conformidade não tem como calibrar o modelo.
O próximo passo: integração com ESG e sustentabilidade
O reporte ESG (Environmental, Social, Governance) já é exigido por credores e investidores institucionais em 2026. A gestão de resíduos hospitalares aparece no pilar E (Environmental), e a métrica que ganha tração é emissão de CO2-equivalente por leito-dia considerando incineração, transporte e destinação final. Integrar PGRSS ao ERM e ao reporte ESG no mesmo ciclo de governança é o movimento que separa o hospital top-quartile da média do setor.
Para aprofundar, leia o post sobre governança hospitalar e LGPD e o artigo sobre conformidade RDC 222, além do panorama geral de PGRSS para hospitais brasileiros. Como referência regulatória, o framework COSO ERM 2017 e a ISO 31000:2018 são leitura essencial.
Quer que sua matriz de risco enterprise inclua gestão de resíduos com indicadores auditáveis? Fale com a Seven Resíduos e receba um diagnóstico ERM-ready do seu PGRSS.
