Den gemensamma rapporteringsstandarden (CRS) som släppts av OECD kräver att rapporterande finansiella institut (FIs) skaffar vissa kunders Tax Identification Number (TIN). Detta ställer FIs inför ett antal praktiska utmaningar. De huvudsakliga problemområdena är valideringen av erhållna TIN-nummer och hur man hanterar kunder som hävdar att de inte kan tillhandahålla ett TIN. Tyvärr tar inte tillsynsmyndigheterna upp detta ämne i detalj. Därför bör rapporterande FI inte bara ta hänsyn till regulatoriska krav utan även operativa och strategiska aspekter när de utvecklar policyer och implementerar nödvändiga processer.
I allmänhet måste rapportering enligt CRS skaffa TIN för alla kontoinnehavare och kontrollerande personer som är bosatta i en anmälningsbar jurisdiktion. Vissa jurisdiktioner (till exempel Tyskland och Singapore) har dock utökat omfattningen av TIN-insamlingen i sin lokala CRS-implementering och kräver att alla utländska kunder ska intyga sig själv för att inkludera ett TIN oavsett skattehemvist. För Singapore sträcker sig denna skyldighet till och med inhemska kunder. På liknande sätt kan vissa FI:er välja att erhålla TIN från alla kunder, snarare än bara de som är bosatta i en anmälningsbar jurisdiktion, som en del av ett bredare tillvägagångssätt eller i väntan på att jurisdiktioner ska kunna rapporteras vid ett senare tillfälle.
Begränsade undantag från kravet att erhålla ett TIN tillhandahålls under CRS. För det första, när kundens jurisdiktion för skattehemvist inte utfärdar TIN-nummer till sina invånare. För det andra, när den inhemska lagstiftningen i kundens jurisdiktion för skattehemvist inte kräver insamling av ett TIN. Även om det inte uttryckligen nämns i CRS, finns det fler situationer där en klient inte kan tillhandahålla ett TIN. Till exempel, medan de flesta jurisdiktioner i allmänhet utfärdar TIN-nummer, kanske de inte gör det till vissa grupper av invånare (till exempel minderåriga). Dessutom kanske nya invånare ännu inte har fått sitt TIN när de uppmanas att tillhandahålla det.
Om en klient inte kan tillhandahålla ett TIN, bör rapporterande FI:er be klienten att rimligen förklara detta faktum och, beroende på förklaringen, samla in TIN vid ett senare tillfälle. För de flesta jurisdiktioner som har åtagit sig att implementera CRS, anger OECD-portalen om de generellt utfärdar TIN, som kan användas av de rapporterande FI:erna för att bekräfta rimligheten i sådana förklaringar. Tyvärr berör inte vägledningen på OECD-portalen situationer där vissa grupper av invånare inte tilldelas ett TIN. På samma sätt, om TIN-insamlingen utökas till alla utländska invånare (till exempel som i Tyskland eller Singapore), är OECD-portalen otillräcklig eftersom den saknar information om icke-deltagande jurisdiktioner. I dessa situationer måste rapporterande FI:er bestämma om de ska använda andra källor och utföra nödvändig forskning. Alternativt kan de besluta sig för att inte gå längre än informationen på OECD-portalen och lita på klienternas påstående.
En annan intressant fråga är om och hur ett TIN, när det väl erhållits, ska valideras av den rapporterande FI. OECD:s vanliga frågor om CRS gör det klart att rapporterande FI:er inte är skyldiga att "bekräfta formatet och andra specifikationer för ett TIN" som kunden tillhandahåller. Rapporterande FI:er är dock skyldiga att utföra ett "rimlighetstest" på alla självcertifieringar de erhåller. Rapporterande FI:er får inte förlita sig på en egenintyg om de vet, eller har anledning att veta, att egenintyget är felaktigt eller opålitligt, det vill säga där en rimligt försiktig person skulle ifrågasätta det påstående som görs. Om en klient uppger att hans TIN till exempel är "123456" eller "abcdef", skulle den rapporterande FI förmodligen ha anledning att veta att självintyget är felaktigt. Som sådan måste en grundläggande validering fortfarande utföras.
Icke desto mindre kan rapporterande FI:er vilja gå längre och bekräfta formatet på de erhållna TIN:erna. Som rapporterbara personer kommer rapporteras, oavsett om ett TIN finns på fil, bidrar detta till att förbättra kvaliteten på data som överförs och kan förhindra senare administrativa ansträngningar när de mottagande jurisdiktionerna återkommer med frågor angående specifika klienter för vilka ett felaktigt TIN har rapporterats. Dessutom förhindrar implementering av TIN-valideringsprocesser nu en betungande åtgärdande om de regulatoriska kraven skärptes i framtiden. Slutligen är det vanligtvis också ett allmänt krav enligt dataskyddslagarna att se till att informationen är korrekt. Till exempel föreskriver Schweiz detta i artikel 5 i den federala lagen om dataskydd (Bundesgesetz über den Datenschutz).
För rapporterande FI:er som beslutar sig för att tillämpa dessa extra ansträngningar och validera TIN-formatet, är OECD-portalen troligen den första resursen som övervägs. Men inte bara TIN-informationen saknas för vissa jurisdiktioner, där informationen är tillgänglig är den av varierande kvalitet och inte strukturerad enhetligt. Därför kan rapporterande FI:er behöva föra informationen från OECD-portalen till ett mer omfattande format för att den ska kunna användas av operativa teamen eller som input för deras IT-system.
Dessutom, även för jurisdiktioner som tillhandahåller detaljerad information om TIN, kan validering skapa ytterligare utmaningar. Till exempel, om en jurisdiktion använder olika identifikationsnummer och kunden inte är medveten om vilket nummer som anses vara TIN för CRS-ändamål, kan det behövas besvärliga uppföljningsdiskussioner och ytterligare instruktioner.
Även om vissa grundläggande "rimlighetstester" är obligatoriska, finns det inga heltäckande krav eller lösning för TIN-validering. Således kan validering för närvarande endast utföras på basis av "bästa ansträngningar" och rapporterande FI:er bör noggrant balansera de potentiella fördelarna och utmaningarna när de bestämmer sig för hur denna komponent av CRS ska hanteras.