Contrariando o que fora mencionado no item, as responsabilidades legais do auditor podem sobrepor-se ao dever de confidencialidade em algumas situações, permitindo-lhe que comunique tais fatos aos órgão reguladores ou fiscalizadores, segundo os itens 43 e A65, da NBC TA 240. Veja:
Comunicações às autoridades reguladoras e de controle
43. Caso o auditor tenha identificado ou suspeite de fraude, deve determinar se há responsabilidade de comunicar a ocorrência ou suspeita a um terceiro fora da entidade. Embora o dever profissional do auditor de manter a confidencialidade da informação do cliente possa impedir que tais informações sejam dadas, as responsabilidades legais do auditor podem sobrepor-se ao dever de confidencialidade em algumas situações(ver itens A65 a A67).
Comunicações às autoridades reguladoras e de controle (ver item 43)
A65. O dever profissional do auditor de manter a confidencialidade das informações do cliente pode impedir que ele relate a fraude a uma parte fora da entidade cliente. Contudo, a responsabilidade legal do auditor e, em certas circunstâncias, o dever de confidencialidade pode ser passado por cima por estatuto, lei ou tribunais de direito.No Brasil, o auditor de instituição financeira tem o dever de relatar a ocorrência de fraude a autoridades de supervisão. Em outros segmentos o auditor também tem dever de relatar distorções nos casos em que a administração e os responsáveis pela governança deixam de adotar ações corretivas. [grifo nosso]