A gestão de fornecedores hospitalar — vendor management ou SRM (Supplier Relationship Management) no vocabulário corporativo — entrou em 2026 numa fase de maturidade regulatória que não existia há cinco anos. Três vetores convergiram. Primeiro, a Lei 12.846/2013 (Anticorrupção) consolidou-se como linha vermelha em contratação pública e privada, com o Decreto 8.420 e os programas de integridade corporativa auditados por terceira parte. Segundo, a ISO 37001:2016 (Sistemas de Gestão Antissuborno) virou pré-requisito para contratos com operadoras grandes, fundos de impacto e licitações públicas. Terceiro, o risco de cadeia (third-party risk) entrou nas matrizes de risco corporativo (COSO ERM, ISO 31000) como categoria autônoma, depois da onda de incidentes 2021-2024 envolvendo transportadores irregulares, tratadores sem licença ambiental e prestadores com histórico de fraude.
Para o hospital, isso significa que gestão de fornecedores deixou de ser função administrativa para virar vetor de risco de governança. E o PGRSS está exatamente no centro dessa transformação — porque transportador de RSS, tratador de resíduo e fornecedor de cabine de fluxo laminar são exatamente os tipos de prestador que a regulação anticorrupção e a auditoria de risco passaram a olhar com lupa.
Por que o PGRSS é o ponto sensível do vendor management
O contrato de coleta de RSS hospitalar tem três características que o tornam risco terciário elevado: valor anual significativo (em hospital de médio porte, R$ 500 mil a R$ 3 milhões/ano), periodicidade alta (coleta diária ou semanal, não pontual) e dependência operacional (interrupção paralisa o serviço em 48 horas). Essas três características o colocam no quadrante de risco máximo da matriz “valor x criticidade” do SRM moderno.
A regra prática: hospital que opera contrato de PGRSS sem due diligence formal (documental e de campo), sem cláusula de auditoria, sem plano de contingência e sem monitoramento de KPI está exposto a três riscos simultâneos — descumprimento regulatório (RDC 222), fraude (descarte irregular pelo tratador) e responsabilidade solidária (Lei 12.305 PNRS).
Tabela: ferramentas de SRM aplicadas ao PGRSS
| Ferramenta | Tipo | O que mede / cobre | Norma referência |
|---|---|---|---|
| Due diligence documental | Pré-contratação | Licença sanitária, ambiental, CNPJ ativo, certidões | RDC 222 + CONAMA 358 |
| Due diligence de campo | Pré-contratação | Visita à transportadora, ao tratador, ao destino | ISO 37001 + 12.846 |
| Cláusula contratual de auditoria | Contrato | Direito de auditoria periódica do contratante | ISO 37001 |
| KPIs operacionais | Execução | Pontualidade coleta, integridade carga, MTR | RDC 222 |
| KPIs financeiros | Execução | Custo por kg, custo por leito-dia, índice reajuste | Controladoria |
| KPIs de risco | Execução | Não conformidade reportada, autuação ambiental | ERM |
| SLA (Service Level Agreement) | Contrato | Prazo de resposta, resolução de incidente, RTO | ISO 22301 |
| Plano de contingência | Contrato | Transportador backup, plano de pico de demanda | ISO 22301 + RDC 222 |
| Pulse survey ao prestador | Execução | Satisfação operacional do contratante | Maturidade SRM |
| Compliance check anual | Auditoria | Lei 12.846 + ISO 37001 + LGPD | Auditoria interna |
A leitura horizontal da tabela mostra que o vendor management hospitalar moderno opera com dez ferramentas distintas que cobrem o ciclo pré-contratação, execução e auditoria periódica. O hospital que contrata por menor preço sem rodar due diligence falha em pelo menos sete dessas ferramentas — e fica exposto.
A due diligence de tratador como ponto crítico
O tratador de RSS — incinerador, autoclavagem, microondas — é o elo mais distante e menos visível da cadeia de PGRSS. O hospital pode operar contrato com transportadora idônea que, por sua vez, terceiriza o tratamento para empresa irregular. O resultado: o hospital cumpre formalmente a RDC 222 (gera MTR, recebe comprovante) mas, no campo, o resíduo termina em aterro irregular ou queimado a céu aberto. Em fiscalização, há responsabilidade solidária do gerador sob Lei 12.305 (PNRS).
A due diligence de campo do tratador inclui: visita à unidade, conferência da licença ambiental (LO emitida pelo órgão estadual), conferência do alvará sanitário, conferência do equipamento (incinerador funcionando, autoclave calibrada), conferência do fluxo de pesagem e registro, conferência da destinação final (aterro licenciado, lançamento de efluentes regulado).
Para o serviço que estrutura essa frente, a Seven Resíduos atua como parceiro técnico que entrega transparência operacional auditável da cadeia de tratamento — licenças, KPIs, comprovantes — alimentando dashboards de SRM, ERM e compliance hospitalar.
Três perfis: como diferentes hospitais operam vendor management de PGRSS
Hospital privado de capital aberto: opera SRM maduro com due diligence formal anual, cláusula de auditoria ativa, KPIs operacionais e financeiros mensais, SLA com penalidades. PGRSS é categoria de risco no comitê de auditoria.
Hospital filantrópico de médio porte: opera SRM em transição. Tem contrato escrito com cláusulas básicas, mas sem due diligence de campo regular. Implementa ISO 37001 quando exigido por edital de licitação ou por credor.
Hospital privado regional: opera SRM informal. Contrata por relacionamento histórico ou menor preço. Adota due diligence só após primeiro incidente operacional ou autuação ambiental.
Três erros recorrentes em vendor management de PGRSS
- Contratar transportador sem visita à unidade do tratador. O contrato pode ser idôneo no papel e fraudulento no campo. Visita é parte da due diligence — não é luxo.
- Não exercitar a cláusula de auditoria contratual. Cláusula que existe mas nunca é usada perde efeito jurídico em caso de incidente. Auditoria periódica (anual) é parte do ciclo SRM.
- Confundir SLA com cláusula de penalidade financeira. SLA é compromisso operacional + monitoramento + plano de melhoria. Cláusula de multa isolada não estrutura governança.
O horizonte 2027: SRM consolidado com ESG e auditoria de cadeia
A próxima onda inclui integração de SRM com reporte ESG (Scope 3 da cadeia terceirizada), auditoria de cadeia em blockchain com rastreabilidade de carga em tempo real, e certificação ISO 37001 em rede de fornecedores estratégicos como pré-requisito de contrato. Cada movimento exige PGRSS estruturado no SRM desde já.
Para aprofundar, leia o post sobre BCM hospitalar e o artigo sobre ERM hospitalar, além do panorama geral de conformidade RDC 222. Como referência, a Lei 12.846/2013 (Anticorrupção) e a norma ISO 37001:2016 são leitura essencial.
Quer estruturar SRM hospitalar com due diligence auditável de PGRSS? Fale com a Seven Resíduos e receba diagnóstico de cadeia de fornecedores.
