Bruno Zagheti ...o colega se prontificou a responder aqui e tu ainda reclama? Se não gostou da resposta dele, coloque uma melhor ao invés de ficar só reclamando da boa vontade dos outros.
De qualquer forma, a NBC TA 240, em seu item 43 (e A65, dentre outros) responde a questão:
Comunicações às autoridades reguladoras e de controle
43. Caso o auditor tenha identificado ou suspeite de fraude, deve determinar se há responsabilidade de comunicar a ocorrência ou suspeita a um terceiro fora da entidade. Embora o dever profissional do auditor de manter a confidencialidade da informação do cliente possa impedir que tais informações sejam dadas, as responsabilidades legais do auditor podem sobrepor-se ao dever de confidencialidade em algumas situações (ver itens A65 a A67).
A65. O dever profissional do auditor de manter a confidencialidade das informações do cliente pode impedir que ele relate a fraude a uma parte fora da entidade cliente. Contudo, a responsabilidade legal do auditor e, em certas circunstâncias, o dever de confidencialidade pode ser passado por cima por estatuto, lei ou tribunais de direito. No Brasil, o auditor de instituição financeira tem o dever de relatar a ocorrência de fraude a autoridades de supervisão. Em outros segmentos o auditor também tem dever de relatar distorções nos casos em que a administração e os responsáveis pela governança deixam de adotar ações corretivas.