Как правило, разработанные аудитором рекомендации направлены на:

Полное устранение всех выявленных рисков.
Уменьшение рисков до приемлемого остаточного уровня.
Приоритет мероприятий по обеспечению защиты организационного уровня.
Внедрение конкретных программно технических средств защиты информации.

К сожалению, у нас пока нет статистики ответов на данный вопрос, но мы работаем над этим.