Добрый день, помогите, пожалуйста, разобраться в вопросах закрепления (оформления) состояния информационной безопасности (ИБ).

В настоящее время есть ряд компаний, которые оказывают свои услуги в области обеспечения ИБ.
В качестве декларируемых услуг существуют два основных типа предложений
1. Аудит состояние ИБ на соответствие …. (некоему стандарту)  
2. Некий «анализ рисков», экспертная оценка и т. д. состояния ИБ с точки зрения аудитора.

Если я правильно понимаю, то:
В первом случае на выходе в случае устранения выявленных замечаний, или их отсутствия, заказчик получает некий аттестат соответствия стандарту … (и то не обязательно)
Во втором экспертную оценку, подкрепленную исключительно именем компании аудитора.

Вопросы:
1. Требования к компании осуществляющей аудит, какими лицензиями должен обладать аудитор? (чем стоит поинтересоваться заказчику)

2. В случае если ИБ компании удовлетворяла стандартам и имела даже соответствующий аттестат и все ж таки «влипла». Плюс независимая экспертная оценка не выявила нарушений в ходе эксплуатации систем и т.д. (т.е. заказчик действовал исключительно в рамках условий «стандарта безопасности»). Каковы шансы, возникшие финансовые потери разделить с кем-то еще?