{"id":2371,"date":"2026-06-12T23:00:00","date_gmt":"2026-06-13T02:00:00","guid":{"rendered":"https:\/\/sevenresiduosaude.com.br\/blog\/?p=2371"},"modified":"2026-06-12T23:00:00","modified_gmt":"2026-06-13T02:00:00","slug":"vendor-management-hospitalar-srm-sla-iso-37001-anticorrupcao-due-diligence-pgrss","status":"publish","type":"post","link":"https:\/\/sevenresiduosaude.com.br\/blog\/vendor-management-hospitalar-srm-sla-iso-37001-anticorrupcao-due-diligence-pgrss\/","title":{"rendered":"Vendor Management: PGRSS SRM ISO 37001 Anticorrupcao"},"content":{"rendered":"<p>A gest\u00e3o de fornecedores hospitalar \u2014 <strong>vendor management<\/strong> ou <strong>SRM (Supplier Relationship Management)<\/strong> no vocabul\u00e1rio corporativo \u2014 entrou em 2026 numa fase de <strong>maturidade regulat\u00f3ria<\/strong> que n\u00e3o existia h\u00e1 cinco anos. Tr\u00eas vetores convergiram. Primeiro, a <strong>Lei 12.846\/2013 (Anticorrup\u00e7\u00e3o)<\/strong> consolidou-se como linha vermelha em contrata\u00e7\u00e3o p\u00fablica e privada, com o Decreto 8.420 e os programas de <strong>integridade corporativa<\/strong> auditados por terceira parte. Segundo, a <strong>ISO 37001:2016 (Sistemas de Gest\u00e3o Antissuborno)<\/strong> virou pr\u00e9-requisito para contratos com operadoras grandes, fundos de impacto e licita\u00e7\u00f5es p\u00fablicas. Terceiro, o <strong>risco de cadeia (third-party risk)<\/strong> entrou nas matrizes de risco corporativo (COSO ERM, ISO 31000) como categoria aut\u00f4noma, depois da onda de incidentes 2021-2024 envolvendo transportadores irregulares, tratadores sem licen\u00e7a ambiental e prestadores com hist\u00f3rico de fraude.<\/p>\n<p>Para o hospital, isso significa que <strong>gest\u00e3o de fornecedores deixou de ser fun\u00e7\u00e3o administrativa para virar vetor de risco de governan\u00e7a<\/strong>. E o PGRSS est\u00e1 exatamente no centro dessa transforma\u00e7\u00e3o \u2014 porque transportador de RSS, tratador de res\u00edduo e fornecedor de cabine de fluxo laminar s\u00e3o exatamente os tipos de prestador que a regula\u00e7\u00e3o anticorrup\u00e7\u00e3o e a auditoria de risco passaram a olhar com lupa.<\/p>\n<h2>Por que o PGRSS \u00e9 o ponto sens\u00edvel do vendor management<\/h2>\n<p>O contrato de coleta de RSS hospitalar tem tr\u00eas caracter\u00edsticas que o tornam <strong>risco terci\u00e1rio<\/strong> elevado: <strong>valor anual significativo<\/strong> (em hospital de m\u00e9dio porte, R$ 500 mil a R$ 3 milh\u00f5es\/ano), <strong>periodicidade alta<\/strong> (coleta di\u00e1ria ou semanal, n\u00e3o pontual) e <strong>depend\u00eancia operacional<\/strong> (interrup\u00e7\u00e3o paralisa o servi\u00e7o em 48 horas). Essas tr\u00eas caracter\u00edsticas o colocam no quadrante de risco m\u00e1ximo da matriz &#8220;valor x criticidade&#8221; do SRM moderno.<\/p>\n<p>A regra pr\u00e1tica: hospital que opera contrato de PGRSS sem <strong>due diligence formal<\/strong> (documental e de campo), sem <strong>cl\u00e1usula de auditoria<\/strong>, sem <strong>plano de conting\u00eancia<\/strong> e sem <strong>monitoramento de KPI<\/strong> est\u00e1 exposto a tr\u00eas riscos simult\u00e2neos \u2014 descumprimento regulat\u00f3rio (RDC 222), fraude (descarte irregular pelo tratador) e responsabilidade solid\u00e1ria (Lei 12.305 PNRS).<\/p>\n<h2>Tabela: ferramentas de SRM aplicadas ao PGRSS<\/h2>\n<table>\n<thead>\n<tr>\n<th>Ferramenta<\/th>\n<th>Tipo<\/th>\n<th>O que mede \/ cobre<\/th>\n<th>Norma refer\u00eancia<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Due diligence documental<\/td>\n<td>Pr\u00e9-contrata\u00e7\u00e3o<\/td>\n<td>Licen\u00e7a sanit\u00e1ria, ambiental, CNPJ ativo, certid\u00f5es<\/td>\n<td>RDC 222 + CONAMA 358<\/td>\n<\/tr>\n<tr>\n<td>Due diligence de campo<\/td>\n<td>Pr\u00e9-contrata\u00e7\u00e3o<\/td>\n<td>Visita \u00e0 transportadora, ao tratador, ao destino<\/td>\n<td>ISO 37001 + 12.846<\/td>\n<\/tr>\n<tr>\n<td>Cl\u00e1usula contratual de auditoria<\/td>\n<td>Contrato<\/td>\n<td>Direito de auditoria peri\u00f3dica do contratante<\/td>\n<td>ISO 37001<\/td>\n<\/tr>\n<tr>\n<td>KPIs operacionais<\/td>\n<td>Execu\u00e7\u00e3o<\/td>\n<td>Pontualidade coleta, integridade carga, MTR<\/td>\n<td>RDC 222<\/td>\n<\/tr>\n<tr>\n<td>KPIs financeiros<\/td>\n<td>Execu\u00e7\u00e3o<\/td>\n<td>Custo por kg, custo por leito-dia, \u00edndice reajuste<\/td>\n<td>Controladoria<\/td>\n<\/tr>\n<tr>\n<td>KPIs de risco<\/td>\n<td>Execu\u00e7\u00e3o<\/td>\n<td>N\u00e3o conformidade reportada, autua\u00e7\u00e3o ambiental<\/td>\n<td>ERM<\/td>\n<\/tr>\n<tr>\n<td>SLA (Service Level Agreement)<\/td>\n<td>Contrato<\/td>\n<td>Prazo de resposta, resolu\u00e7\u00e3o de incidente, RTO<\/td>\n<td>ISO 22301<\/td>\n<\/tr>\n<tr>\n<td>Plano de conting\u00eancia<\/td>\n<td>Contrato<\/td>\n<td>Transportador backup, plano de pico de demanda<\/td>\n<td>ISO 22301 + RDC 222<\/td>\n<\/tr>\n<tr>\n<td>Pulse survey ao prestador<\/td>\n<td>Execu\u00e7\u00e3o<\/td>\n<td>Satisfa\u00e7\u00e3o operacional do contratante<\/td>\n<td>Maturidade SRM<\/td>\n<\/tr>\n<tr>\n<td>Compliance check anual<\/td>\n<td>Auditoria<\/td>\n<td>Lei 12.846 + ISO 37001 + LGPD<\/td>\n<td>Auditoria interna<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>A leitura horizontal da tabela mostra que o vendor management hospitalar moderno opera com <strong>dez ferramentas distintas<\/strong> que cobrem o ciclo pr\u00e9-contrata\u00e7\u00e3o, execu\u00e7\u00e3o e auditoria peri\u00f3dica. O hospital que contrata por menor pre\u00e7o sem rodar due diligence falha em pelo menos sete dessas ferramentas \u2014 e fica exposto.<\/p>\n<h2>A due diligence de tratador como ponto cr\u00edtico<\/h2>\n<p>O tratador de RSS \u2014 incinerador, autoclavagem, microondas \u2014 \u00e9 o <strong>elo mais distante e menos vis\u00edvel<\/strong> da cadeia de PGRSS. O hospital pode operar contrato com transportadora id\u00f4nea que, por sua vez, terceiriza o tratamento para empresa irregular. O resultado: o hospital cumpre formalmente a RDC 222 (gera MTR, recebe comprovante) mas, no campo, o res\u00edduo termina em aterro irregular ou queimado a c\u00e9u aberto. Em fiscaliza\u00e7\u00e3o, h\u00e1 <strong>responsabilidade solid\u00e1ria do gerador<\/strong> sob Lei 12.305 (PNRS).<\/p>\n<p>A due diligence de campo do tratador inclui: <strong>visita \u00e0 unidade<\/strong>, <strong>confer\u00eancia da licen\u00e7a ambiental<\/strong> (LO emitida pelo \u00f3rg\u00e3o estadual), <strong>confer\u00eancia do alvar\u00e1 sanit\u00e1rio<\/strong>, <strong>confer\u00eancia do equipamento<\/strong> (incinerador funcionando, autoclave calibrada), <strong>confer\u00eancia do fluxo de pesagem e registro<\/strong>, <strong>confer\u00eancia da destina\u00e7\u00e3o final<\/strong> (aterro licenciado, lan\u00e7amento de efluentes regulado).<\/p>\n<p>Para o servi\u00e7o que estrutura essa frente, a <a href=\"https:\/\/sevenresiduos.com.br\/\">Seven Res\u00edduos<\/a> atua como parceiro t\u00e9cnico que entrega <a href=\"https:\/\/sevenresiduos.com.br\/servicos\/\">transpar\u00eancia operacional audit\u00e1vel da cadeia de tratamento<\/a> \u2014 licen\u00e7as, KPIs, comprovantes \u2014 alimentando dashboards de SRM, ERM e compliance hospitalar.<\/p>\n<h2>Tr\u00eas perfis: como diferentes hospitais operam vendor management de PGRSS<\/h2>\n<p><strong>Hospital privado de capital aberto:<\/strong> opera SRM maduro com due diligence formal anual, cl\u00e1usula de auditoria ativa, KPIs operacionais e financeiros mensais, SLA com penalidades. PGRSS \u00e9 categoria de risco no comit\u00ea de auditoria.<\/p>\n<p><strong>Hospital filantr\u00f3pico de m\u00e9dio porte:<\/strong> opera SRM em transi\u00e7\u00e3o. Tem contrato escrito com cl\u00e1usulas b\u00e1sicas, mas sem due diligence de campo regular. Implementa ISO 37001 quando exigido por edital de licita\u00e7\u00e3o ou por credor.<\/p>\n<p><strong>Hospital privado regional:<\/strong> opera SRM informal. Contrata por relacionamento hist\u00f3rico ou menor pre\u00e7o. Adota due diligence s\u00f3 ap\u00f3s primeiro incidente operacional ou autua\u00e7\u00e3o ambiental.<\/p>\n<h2>Tr\u00eas erros recorrentes em vendor management de PGRSS<\/h2>\n<ol>\n<li><strong>Contratar transportador sem visita \u00e0 unidade do tratador.<\/strong> O contrato pode ser id\u00f4neo no papel e fraudulento no campo. Visita \u00e9 parte da due diligence \u2014 n\u00e3o \u00e9 luxo.<\/li>\n<li><strong>N\u00e3o exercitar a cl\u00e1usula de auditoria contratual.<\/strong> Cl\u00e1usula que existe mas nunca \u00e9 usada perde efeito jur\u00eddico em caso de incidente. Auditoria peri\u00f3dica (anual) \u00e9 parte do ciclo SRM.<\/li>\n<li><strong>Confundir SLA com cl\u00e1usula de penalidade financeira.<\/strong> SLA \u00e9 compromisso operacional + monitoramento + plano de melhoria. Cl\u00e1usula de multa isolada n\u00e3o estrutura governan\u00e7a.<\/li>\n<\/ol>\n<h2>O horizonte 2027: SRM consolidado com ESG e auditoria de cadeia<\/h2>\n<p>A pr\u00f3xima onda inclui <strong>integra\u00e7\u00e3o de SRM com reporte ESG<\/strong> (Scope 3 da cadeia terceirizada), <strong>auditoria de cadeia em blockchain<\/strong> com rastreabilidade de carga em tempo real, e <strong>certifica\u00e7\u00e3o ISO 37001 em rede de fornecedores estrat\u00e9gicos<\/strong> como pr\u00e9-requisito de contrato. Cada movimento exige PGRSS estruturado no SRM desde j\u00e1.<\/p>\n<p>Para aprofundar, leia o post sobre <a href=\"https:\/\/sevenresiduosaude.com.br\/blog\/\">BCM hospitalar<\/a> e o artigo sobre <a href=\"https:\/\/sevenresiduosaude.com.br\/blog\/\">ERM hospitalar<\/a>, al\u00e9m do panorama geral de <a href=\"https:\/\/sevenresiduosaude.com.br\/blog\/\">conformidade RDC 222<\/a>. Como refer\u00eancia, a <a href=\"https:\/\/www.planalto.gov.br\/\">Lei 12.846\/2013 (Anticorrup\u00e7\u00e3o)<\/a> e a <a href=\"https:\/\/www.iso.org\/standard\/65034.html\">norma ISO 37001:2016<\/a> s\u00e3o leitura essencial.<\/p>\n<p><strong>Quer estruturar SRM hospitalar com due diligence audit\u00e1vel de PGRSS?<\/strong> <a href=\"https:\/\/sevenresiduos.com.br\/contato\/\">Fale com a Seven Res\u00edduos<\/a> e receba diagn\u00f3stico de cadeia de fornecedores.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>SRM, SLA, due diligence, ISO 37001 e Lei 12.846 mudaram o vendor management hospitalar. Veja o impacto sobre PGRSS.<\/p>\n","protected":false},"author":3,"featured_media":2370,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[3211,3210,3209,3208],"class_list":["post-2371","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-compliance-legislacao","tag-anticorrupcao","tag-iso-37001","tag-srm","tag-vendor-management"],"_links":{"self":[{"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/posts\/2371","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/comments?post=2371"}],"version-history":[{"count":1,"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/posts\/2371\/revisions"}],"predecessor-version":[{"id":4407,"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/posts\/2371\/revisions\/4407"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/media\/2370"}],"wp:attachment":[{"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/media?parent=2371"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/categories?post=2371"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sevenresiduosaude.com.br\/blog\/wp-json\/wp\/v2\/tags?post=2371"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}