A recertificação de acesso é um controle de TI que envolve a auditoria dos privilégios de acesso dos usuários para determinar se eles estão corretos e aderem às políticas internas da organização e aos regulamentos de conformidade. A recertificação de acesso é normalmente da responsabilidade do Chief Information Security Officer (CISO) ou Chief Compliance Officer (CCO) da organização e também pode ser conhecida como certificação de acesso ou revisão de direitos.
A recertificação de acesso pode ser realizada manualmente ou de forma programática. O primeiro passo de um processo de recertificação manual é extrair e coligir informações de contas dos sistemas de TI e de negócios da organização e distribuí-las num formato que permita a cada gestor ver facilmente quais os privilégios concedidos a cada um dos seus funcionários. Os gestores têm então um prazo para rever as informações para assinalar o acesso inadequado e verificar o acesso apropriado. Os desafios desta abordagem incluem a possibilidade de que a recertificação só possa ser realizada esporadicamente e que alguns gestores possam não compreender a importância da recertificação de acesso e carimbar as suas verificações.
Em grandes organizações, o software de governação de acesso pode ser utilizado para automatizar o processo de recertificação e garantir que as auditorias ocorrem regularmente. Uma vez extraída e normalizada a informação, o software utiliza um modelo de mensagem para emitir pedidos de recertificação. Se o destinatário do pedido de recertificação não responder dentro de um período de tempo especificado, o software suspende os direitos de acesso do destinatário e notifica o gestor do destinatário. Os desafios com esta abordagem incluem o custo do software, bem como o tempo, esforço e conhecimento técnico necessários para garantir a interoperabilidade do software com sistemas legados.