É possível? Claro.
Com base em produtos similares (AIDE, Integrit), há alguma configurabilidade em relação ao que é verificado. (Eu usei esses produtos, que descreveram seu arquivo de configuração como sendo similar ao Tripwire, então é provável que funcionem de maneira semelhante). Se as datas não estão sendo verificadas e as alterações que são verificadas são revertidas, a contagem pode cair.
Por exemplo, se as permissões estiverem marcadas e um dia um arquivo for invertido para "somente leitura", isso poderá ser sinalizado como uma alteração. Se isso causou um problema para um usuário final, que reclamou, a alteração pode ter sido revertida. O próximo relatório não notará uma alteração nas permissões.
Eu não esperaria que isso acontecesse muito. Se isso acontecesse, provavelmente seria uma minoria de atualizações. Você está, de fato, relatando apenas 7 mudanças de 90. Isso parece estar dentro do âmbito de ser comumente crível.
Agora, considerando se isso é exatamente o que aconteceu no seu caso, talvez não possamos responder a isso sem mais detalhes (como o que é sua configuração e quais violações estão sendo relatadas). Compartilhar esses detalhes pode, ou não, envolver o compartilhamento de informações que não devem ser compartilhadas. Parte disso pode depender de quão sensível é a informação. No entanto, se você quiser detalhes mais precisos, isso pode ser necessário.