SEC 2026 Exam Priorities: What You Need to Know 

Speaker 1: 

Welcome back to the Deep Dive. Today we're tackling the regulatory roadmap that's really going to define the next year for financial firms. We're talking about the SEC's 2026 examination priorities. 

Speaker 2: 

That's right. 

Speaker 1: 

If you work in finance or even if you just follow how markets are policed, this is your guide to where the pressure is really building. 

Speaker 2: 

Yeah. We're deep diving into the official communications from the division of examinations, and our mission really is to distill what matters. Where should advisors, broker dealers, and investment companies expect to see intense scrutiny? 

Speaker 1: 

And the tone here is, well, it's anything but relaxed. You have the acting director, Keith Cassidy, saying the SEC is responding to the, and I'm quoting here, increasingly complex and changing financial and regulatory environment. 

Speaker 2: 

And that word complex. That's the key, isn't it? It's the central theme. Running through all of this. 

Speaker 1: 

It really is. 

Speaker 2: 

What stands out to me right away is this unifying requirement. It basically ties all eight focus areas together. Firms have to strengthen, and this is a crucial part, thoroughly document their controls, everything, technology, data security, operational resilience. It's not enough to say you have a firewall anymore. You have to prove it works and prove you know what to do when it fails. 

Speaker 1: 

That documentation piece feels like the hidden cost of compliance this year. It's a huge shift, and I think if there's one core takeaway from our whole conversation today is that the SEC sees technology automation, and especially AI as a potential source of major systemic risk. 

Speaker 2: 

Let's start right there. Then with the tech stack, because the first three areas are so tightly linked, they really formed the bedrock of the whole 2026 agenda. 

Speaker 1: 

Absolutely. Foundationally, we have focus area one, technology, cybersecurity, and operational resilience. For years, the focus was sort of on perimeter defense, right? Stopping the bad guys from getting in. 

But now it's broadened out so much to ensuring operational resilience, 

Speaker 2: 

Right? It's the difference between say, fire prevention and having a disaster recovery plan that you've actually physically tested. Regulators want to see real preparedness for worst case scenarios. Not just cyber threats, but system failures, vendor risks, that 

Speaker 1: 

Vendor risk piece. 

Speaker 2: 

Yeah, 

Speaker 1: 

That feels huge now, doesn't it? 

Speaker 2: 

Oh, it's massive because think about it. Firms lean so heavily on cloud providers, specialized software, all these outsource services. If one of your key vendors has an outage, the SEC wants proof that your business can just pivot, that you can keep serving clients 

Speaker 1: 

Without any meaningful disruption. 

Speaker 2: 

Exactly. The source material is all about continuous monitoring and showing your work on vendor due diligence. They're basically asking, prove to us, you understand your supply chain, 

Speaker 1: 

And so often those breaches, they come back to data, which brings us right to focus. Area two, safeguarding customer information and data governance. This is always a priority, but the stakes just feel so much higher. Now. 

Speaker 2: 

They are. I mean, data protection is way beyond simple encryption now it's about who can see what and when. Firms have to show they're managing customer info securely. Sticking to all the privacy rules, and this is key controlling internal access. 

Speaker 1: 

I wonder if the biggest risk they're seeing isn't some external hacker, but maybe the internal threat, the employee with too much access. That's 

Speaker 2: 

A massive focus. Insider threats are so much harder to detect without really solid governance policies. So the SEC is looking for documented controls that restrict access on a strict need to know basis. 

Speaker 1: 

Okay, so this is where the conversation turns to the future and what feels like the highest area of new scrutiny. Focus area three oversight of emerging technologies, automation and ai. Everyone's adopting it 

Speaker 2: 

And the regulators are playing catch up, but they're catching up fast. 

Speaker 1: 

So what are they looking for? 

Speaker 2: 

Well, they get the benefits of AI for efficiency, sure, but their focus is 100% on risk. They're demanding proof that firms have robust supervision in place for any automated tool that's involved in decision-making. 

Speaker 1: 

So let's say a firm uses an AI model to create investment recommendations. What does that oversight look like? In practice? 

Speaker 2: 

It means two things. First, you need clear disclosures. The client and the regulator have to understand how the machine works. Second, and this is the real game changer. You need thorough testing 

Speaker 1: 

That idea of thorough testing for an AI algorithm. That's huge. That's more than just checking the output after the fact, right? It sounds like they want firms to stress test these models before they even go live. 

Speaker 2: 

Precisely. You have to prove you've identified and mitigated regulatory risks at the design phase. So if your model spits out a recommendation that say, creates an undisclosed conflict of interest, the firm's still on the hook. It's a demand for proactive predictive testing. 

Speaker 1: 

And who decides what's thorough? That's the question. If the SEC has an issue specific guidelines, firms are kind of defining it for themselves, and 

Speaker 2: 

That ambiguity itself is a risk. You have to document. You have to detail your testing methodology, your metrics, the results it makes AI governance a risk management challenge, not just a tech one. 

Speaker 1: 

It's like the SEC is saying, innovate all you want, but your compliance controls better, innovate faster. That's 

Speaker 2: 

A great way to put it. Now, if we pivot a bit from the, let's call it the technological plumbing, we can move into client trust and transparency. These are the perennial priorities, but they get a whole new sense of urgency in this automated world, 

Speaker 1: 

Which brings us to focus area four conflicts of interest, fees, and fiduciary obligations. This is where advisors and broker dealers are always under the microscope, 

Speaker 2: 

And you can really break it down into three things. They're looking at one, how do you manage conflicts of interest, especially if you sell your own products. Two, are you totally transparent about fees, no hidden costs? 

Speaker 1: 

And the third piece is that core fiduciary duty for an RIA. That standard is incredibly high. So how do they check if a recommendation is really in the client's best interest? If an AI had a hand in it? 

Speaker 2: 

And that's where the two halves of these priorities just slam together. Fiduciary duty means best interest, not just suitability. So if an AI tool suggests a product that makes the firm a lot of money, but a cheaper, simpler one would've worked just as well, 

Speaker 1: 

You better have a good documented reason for why you chose the more expensive one. 

Speaker 2: 

Exactly. It's about showing objective decision making, no matter what tech you're using 

Speaker 1: 

And how you communicate. All of this is through marketing focus area five, marketing disclosures and communications oversight. 

Speaker 2: 

Absolutely. The regulators are laser focused on accuracy and consistency. Can you back up every single claim you make in a press release or in your marketing materials? 

Speaker 1: 

The sources specifically call out two areas for extra scrutiny here, E, SG, and complex strategies. Why the extra attention there? 

Speaker 2: 

Well, that's a huge signal for ESG. The risk is greenwashing. The metrics are they're not standardized. So firms are under pressure to prove their sustainable fund actually hold sustainable things. The potential for exaggeration is just so high. 

Speaker 1: 

So you have to be able to show your work, show exactly how you filter investment 

Speaker 2: 

Precisely, and the same logic applies to complex strategies. Think certain crypto products or leveraged funds, the complexity for the investor means the firm has an even greater responsibility to be crystal clear about the risks. Okay, 

Speaker 1: 

So we've covered the digital side and the client interface. 

Let’s shift now to the operational mechanics. The structural integrity of the market itself, 

Speaker 2: 

Right into the plumbing of the system, starting with how trades actually get executed. 

Speaker 1: 

Focus area six is trading practices and best execution. What's new here for 2026? 

Speaker 2: 

The big thing is the continued high volume of retail investors with so much automated order routing. The SEC wants to be sure that the retail investor is still getting the best possible price and execution speed. 

Speaker 1: 

So it's about fairness, especially with things like payment for order flow. 

Speaker 2: 

Exactly. They're reviewing order routing, execution, quality and oversight of higher risk products. The key word is oversight. Firms have to show they're actively monitoring their execution quality and fixing any problems. 

Speaker 1: 

Okay. Moving up the chain, we get to focus area seven, investment company governance and risk management. This is for your mutual funds ETFs, and 

Speaker 2: 

This is all about internal integrity, especially for funds that are holding less liquid assets or using complex strategies. The SEC is really focused on liquidity risk, 

Speaker 1: 

Meaning can the fund actually meet redemptions if a lot of investors want their money back at once, 

Speaker 2: 

Right? If you hold assets that are hard to sell quickly, like private credit, you need to prove you can handle that. So they'll be looking at board oversight, how you value those assets and how clear your risk disclosures are. 

Speaker 1: 

And finally, we get to focus area eight, which is foundational, but always changing a ML. And financial crime controls 

Speaker 2: 

Anti-money laundering. Yeah, this is always a requirement, but the focus now is less on if you have a program and more on if it's effective and tailored. 

Speaker 1: 

So it can't be a generic one size fits all checklist. 

Speaker 2: 

Not at all. A brokerage dealing in digital assets needs a much more sophisticated program than a small local advisor. It has to be tailored to your specific business, your clients, your geographic risk, and again, the documentation is critical, 

Speaker 1: 

Which brings us full circle. We've gone through all eight pillars, cyber ai, best execution, AML. If you had to summarize the single overarching regulatory message for 2026, what is it? 

Speaker 2: 

When you step back and look at it? The unifying thread is this demand for sophisticated, documented, and constantly monitored risk controls. The SEC is reacting to complexity, especially from AI by demanding operational resilience and an audit ready proof at every single step. If you can't prove it, the regulator assumes it didn't happen. The message is documentation and resilience. 

Speaker 1: 

That's a perfect synthesis, and given that intense focus on technology and documented resilience, especially this demand for thorough testing of AI tools, it leaves us with a final thought for you to consider. How does this need for preemptive documented testing really reshape the timeline for adopting new tech in finance? 

Speaker 2: 

It's a huge question. 

Speaker 1: 

Yeah. Does the regulator's expectation of predictive testing over reactive compliance, does it slow down innovation or does it maybe just force better, safer, more trustworthy innovation? Right? For the very beginning, it 

Speaker 2: 

Definitely forces a cultural shift. Risk management has to be part of the development cycle, not an afterthought. Something to think about as you review your own controls. 

Speaker 1: 

That's it for this deep dive into the SEC's 2026 examination priorities. We hope this analysis gives you the clarity you need to navigate what is a very complex landscape. Until next time.