Это показывает лишь направленность и предвзятость проверяющих
Скорее, это вытекает из действующего законодательства.
Это следствие избирательные трактовок, низкой компетентности проверяющих, отработки заранее заготовленных сценариев, следование общепринятым "неписанным" правилам.
Руководитель же несёт ответственность за общую организацию, а не за содержание самовольных действий.
Руководитель отвечает за все, что происходит в его организации, в том числе за действия подчиненных.
Это общепринято, но незаконно.
На самом деле, руководитель должен "отвечать" лишь за
организацию рабочего процесса, а не за самовольные действия нарушителей и не за содержание нарушений.
Например, при
использовании нелицензионного софта, руководитель "отвечает" за то, что допустил сам факт организационно, а не за состав этого софта - что сразу же снимает с него и псевдо- приченённый ущерб (ещё и суммарный).
На самом деле ответственность начинается с самовольных действий, поскольку, очень редко санкционируются незаконные действия. И тут в первую очередь начинается всё с пользователя.
С этой частью согласен, но дальше...
Например, наиболее распространённый вариант для юр.лиц - это приобретение комп. с "лицензионными" Виндоусами (неизвестно как предустановленных), и установкой админом СПО. Что творит в комп. пользователь, обычно не контролируется, поэтому, относится к ответственности пользователя...
Если пользователь может творить с компьтером все, что вздумается, то виноват админ, который оставил возможность произвольно устанавливать ПО и т.д. Можно ,конечно, передавать пользователю ПК вместе с ПО по акту, в котором подробно описан перечень установленного ПО... Но это врядли спасет руководителя в случае обнаружения там контрафакта. В госструктурах руководитель страдает при любом выявленном нарушении в его учреждении.
Вовсе не обязательно, ограничивать пользователя (т.к. сказать - превентивным "лишением свободы", до тех пор, пока не произведено нарушение), нет нигде таких требований, и, в этом случае, полномочия (и ответственность) админа - передаются пользователю. Ограничение прав пользователя это излишняя предосторожность и, возможно, связаная, именно, с указанной выше предвзятой, избирательной трактовкой. Тем более, что обычно пользователь может получить админский доступ даже изнутри незащищённой системы (мне приходилось [санкионированно руководителем] "сбрасывать" неизвестный пароль рута как-то через граб) и, бывает, что не удаётся просто заблокировать загрузку через УСБ, также ещё и с интернета (при наличии) могут помочь.
А по поводу, передачи юзеру комп. с СПО - достаточно устного указания (распоряжения) руководителя, так, что всё остальное - ответственность пользователя.