Den fælles rapporteringsstandard (CRS) udgivet af OECD kræver, at rapporterende finansielle institutioner (FI'er) indhenter skatteidentifikationsnummeret (TIN) for visse kunder. Dette stiller FI'er over for en række praktiske udfordringer. De vigtigste bekymringsområder er valideringen af opnåede TIN'er, og hvordan man håndterer kunder, der hævder at være ude af stand til at give et TIN. Desværre behandler regulatorer ikke dette emne i detaljer. Derfor bør rapporterende FI'er ikke kun overveje regulatoriske krav, men også operationelle og strategiske aspekter, når de udvikler politikker og implementerer de nødvendige processer.
Generelt skal rapportering FI'er under CRS indhente TIN for alle kontoindehavere og kontrollerende personer, som er bosat i en indberetningspligtig jurisdiktion. Visse jurisdiktioner (f.eks. Tyskland og Singapore) har dog udvidet omfanget af TIN-indsamlingen i deres lokale CRS-implementering og kræver, at alle udenlandske kunders egencertificeringer inkluderer et TIN uanset skattemæssigt hjemsted. For Singapore gælder denne forpligtelse endda til indenlandske kunder. På samme måde kan nogle FI'er vælge at indhente TIN'er fra alle kunder, snarere end kun dem, der er bosat i en indberetningspligtig jurisdiktion, som en del af en bredere tilgang eller i forventning om, at jurisdiktioner bliver rapporterbare på et senere tidspunkt.
Begrænsede undtagelser fra kravet om at opnå et TIN er angivet under CRS. For det første, når kundens jurisdiktion for skattemæssigt hjemsted ikke udsteder TIN'er til sine beboere. For det andet, når den nationale lovgivning i klientens jurisdiktion med skattemæssig bopæl ikke kræver indsamling af et TIN. Selvom det ikke udtrykkeligt er nævnt i CRS, er der flere situationer, hvor en klient ikke kan angive et TIN. For eksempel, mens de fleste jurisdiktioner generelt udsteder TIN'er, gør de det muligvis ikke til visse grupper af beboere (f.eks. mindreårige). Desuden kan nye beboere endnu ikke have fået deres TIN, når de blev bedt om at oplyse det.
Hvis en klient ikke er i stand til at oplyse et TIN, bør rapporterende FI'er bede klienten om rimeligt at forklare dette forhold og, afhængigt af forklaringen, indsamle TIN'et på et senere tidspunkt. For de fleste jurisdiktioner, der er forpligtet til at implementere CRS, angiver OECD-portalen, om de generelt udsteder TIN'er, som kan bruges af de rapporterende FI'er til at bekræfte rimeligheden af sådanne forklaringer. Desværre berører vejledningen på OECD-portalen ikke situationer, hvor visse grupper af beboere ikke er tildelt et TIN. Tilsvarende, hvis TIN-indsamling udvides til at omfatte alle udenlandske beboere (f.eks. som i Tyskland eller Singapore), er OECD-portalen utilstrækkelig, da den mangler information om ikke-deltagende jurisdiktioner. I disse situationer skal rapporterende FI'er beslutte, om de vil bruge andre kilder og udføre den nødvendige forskning. Alternativt kan de beslutte ikke at gå ud over oplysningerne på OECD-portalen og stole på kundernes krav.
Et andet interessant spørgsmål er, om og hvordan et TIN, når det først er opnået, skal valideres af den rapporterende FI. OECD CRS's ofte stillede spørgsmål gør det klart, at rapporterende FI'er ikke er forpligtet til at "bekræfte formatet og andre specifikationer for et TIN", som kunden angiver. Rapporterende FI'er er dog forpligtet til at udføre en "rimelighedstest" på alle selvcertificeringer, de opnår. Indberettende FI'er må ikke stole på en selvcertificering, hvis de ved eller har grund til at vide, at selvcertificeringen er forkert eller upålidelig, det vil sige, hvor en rimeligt forsigtig person ville sætte spørgsmålstegn ved kravet. Hvis en klient angiver, at hans TIN for eksempel er "123456" eller "abcdef", ville den rapporterende FI sandsynligvis have grund til at vide, at selvcertificeringen er forkert. Som sådan skal der stadig udføres en grundlæggende validering.
Ikke desto mindre ønsker rapporterende FI'er måske at gå videre og bekræfte formatet af de opnåede TIN'er. Som rapporterbare personer vil indberettes, uanset om et TIN er registreret, er dette med til at forbedre kvaliteten af de transmitterede data og kan forhindre senere administrative bestræbelser, når de modtagende jurisdiktioner vender tilbage med spørgsmål vedrørende specifikke klienter, for hvem der er indberettet et forkert TIN. Derudover forhindrer implementering af TIN-valideringsprocesser nu en byrdefuld afhjælpningsøvelse, hvis de regulatoriske krav blev skærpet i fremtiden. Endelig er det normalt også et generelt krav i henhold til databeskyttelseslovgivningen at sikre, at oplysningerne i filen er korrekte. For eksempel foreskriver Schweiz dette i artikel 5 i den føderale lov om databeskyttelse (Bundesgesetz über den Datenschutz).
For rapporterende FI'er, der beslutter at anvende disse ekstra bestræbelser og validere TIN-formatet, er OECD-portalen sandsynligvis den første ressource, der tages i betragtning. Imidlertid mangler ikke kun TIN-oplysningerne for visse jurisdiktioner, hvor informationen er tilgængelig, er den af varierende kvalitet og ikke struktureret ensartet. Derfor kan rapporterende FI'er muligvis bringe oplysningerne fra OECD-portalen til et mere omfattende format, for at de kan bruges af driftsholdene eller som input til deres it-systemer.
Selv for jurisdiktioner, der giver detaljerede oplysninger om TIN'er, kan validering desuden skabe yderligere udfordringer. Hvis en jurisdiktion f.eks. bruger forskellige identifikationsnumre, og klienten ikke er klar over, hvilket nummer der betragtes som TIN til CRS-formål, kan det være nødvendigt med besværlige opfølgende diskussioner og yderligere instruktioner.
Mens nogle grundlæggende "rimelighedstest" er obligatoriske, er der ingen omfattende krav eller løsning til TIN-validering. Således kan validering i øjeblikket kun udføres på grundlag af "best indsats", og rapporterende FI'er bør nøje balancere de potentielle fordele og udfordringer, når de beslutter sig for, hvordan denne komponent af CRS skal håndteres.