При отказе клиента в предоставлении информации об индивидуальных особенностях его системы защиты информации аудитору следует:

Отказаться от проведения аудита.
Отметить данный факт в договоре и пересмотреть план аудита.
Собрать необходимую информацию альтернативными способами.
Выдать положительное аудиторское заключение, основанное на доступной информации.

К сожалению, у нас пока нет статистики ответов на данный вопрос, но мы работаем над этим.