脆弱性診断における認可制御の不備

IPAのWeb健康診断仕様で定義される「認可制御の不備、欠落」についての質問です。
この脆弱性はブラックボックステストである脆弱性診断で確実に見つけられるものなのでしょうか？

認可制御の不備はXSSやSQLインジェクションと比較して、非常に多くのパターンがあると思われます。
例えばIPAの提示した例の中にある「パラメータのIDや番号を権限のないものに変更する」で見つかる不備なら発見可能だと思いますが、「ある画面からのみ脆弱性が発現する」「事前にある処理をしてIDを変更すると脆弱性が発現する」など、複数の条件を満たすことで脆弱性が発現するケースもあるはずです。
このような脆弱性をブラックボックステストである脆弱性診断で見つける場合は、あらゆるケースを網羅する必要があり、事実上不可能なのではないでしょうか？
見つけられない場合は、依頼者にどのように説明するべきなのでしょうか？

脆弱性診断について調べていて気になりました。よろしくお願いします。