Het USM-procesmodel omvat alle activiteiten die van een dienstverlener moet uitvoeren om in control te zijn van de dienstverlening. Auditen, als onderdeel van de dienstverlening, valt daar dus ook onder.
Een audit heeft als doel om iets te verifiëren: een toets tegen een vooraf vastgesteld ijkpunt. Dat kan bijvoorbeeld een kwaliteitseis zijn, in de zin van "de geregistreerde inhoud van iets moet kloppen met de werkelijkheid". Zulke audits hebben dan bijvoorbeeld betrekking op de inhoud van een register (bijvoorbeeld een knowledge base). Een audit kan ook betrekking hebben op een extern eisenstelsel zoals een ISO-norm. Dan wordt er getoetst of de organisatie wel voldoet aan de controls uit die ISO-norm. Een audit kan ook betrekking hebben op een toets tegen interne eisen, zoals een beleidsstuk: dan toetst de organisatie of zij haar eigen keuzes correct naleeft. Afhankelijk van de aard van die audit kan de handeling 'auditen' op twee plaatsen in het USM-procesmodel worden herkend: als een OPS-activiteit en als een RIM-activiteit.
Auditen als OPS-activiteit
Audits kunnen heel planmatig worden uitgevoerd. De kennismanager die verantwoordelijk is voor kennisregisters (knowledge bases) kan een regelmatig herhaalde audit (laten) uitvoeren op de inhoud van die registers. De BIR valt ook onder die registers, dus een regelmatige audit van de inhoud van de BIR op juistheid, tegen het ijkpunt 'de werkelijkheid', kan gepland worden als een OPS-handeling en dus op de OPS-kalender staan. Zo'n register kan ook worden getoetst tegen de eis volledigheid: het ijkpunt is dan de vastgelegde scope van het register, en de audit bestaat uit een toets waarmee je vaststelt of alle elementen uit die scope wel in het register zijn vastgelegd. Audits kunnen op allerhande registers worden uitgevoerd, als een toets op allerhande vereiste kenmerken van zo'n register.
Een audit kan ook betrekking hebben op andere onderdelen uit de beheerde infrastructuur, zoals 'de medewerkers'. Zo kan bijvoorbeeld een regelmatige audit worden uitgevoerd op de vraag of elke medewerker wel een Verklaring Omtrent Gedrag (VOG) heeft vastgelegd. OPS-audits kunnen dus betrekking hebben op tal van objecten en op tal van criteria.
Deze planmatige OPS-audits kunnen ook worden geïnterpreteerd als een vorm van monitoring. De werking van een beheerde infrastructuurcomponent (BIC) wordt dan getoetst. Juistheid en volledigheid zijn dan de uitwerkingen van die werking.
De OPS-audits worden gepland als onderdeel van de invoering van de betreffende BIC. In die wijziging worden de eisen aan de functionaliteit en het functioneren van die BIC vastgelegd, en wordt uitgewerkt wat er nodig is om die gewenste functionaliteit en het functioneren te borgen. Dat wordt dan vastgelegd in het invoeringsplan dat in OPS wordt gerealiseerd. Onderdeel van dat invoeringsplan kan zijn dat er gedurende de lifecycle van deze BIC op regelmatige tijden audits worden uitgevoerd op de werking van die BIC (functionaliteit en het functioneren).
Als er bij de audit een afwijking wordt geconstateerd tussen de beoogde werking en de vastgestelde werking, dan kan de auditor besluiten een incident te melden, waarna de melding het bijbehorende pad in het USM-procesmodel volgt.
Op deze manier kan auditen in een reactieve context worden geplaatst: de audit wordt uitgevoerd als een reactie op de invoering van een dienst (c.q. een daarvoor noodzakelijke BIC) en valt onder de reguliere werkzaamheden van de dienstverlener.
Auditen als RIM-activiteit
In een proactieve interpretatie kan een audit worden gezien als een activiteit in de RIM-processtap 'Identificeren risico's':
RIM wacht niet tot risico’s worden aangemeld, risico’s worden ook actief ‘gezocht’. Dat betekent dat een serviceorganisatie in deze eerste stap regelmatig potentieel kwetsbare delen van de dienstverlening onderzoekt op nieuwe bedreigingen en potentieel kansrijke sectoren onderzoekt op verbeterkansen (risico-inventarisaties), en ook bestaande risico’s opnieuw onderzoekt (risico-scans). Zulke scans en inventarisaties houden rekening met het belang van onderdelen van de dienstverlening. Dat betekent een hoofdrol voor borging bij cruciale onderdelen en voor potentie bij innovatie. [Bron: par. 6.5.1, pag. 149, in De USM-methode, versie 3]
In deze activiteit wordt het onderzochte deel van de dienstverlening ook gewoon getoetst tegen een vooraf gesteld ijkpunt: de eerder genoemde interne of externe kwaliteitseis in de vorm van een ISO-norm of een intern beleidsstuk, of een nog algemener ijkpunt zoals 'verwachte, correcte werking'. In deze proactieve vorm richt de audit zich vooral op de negatieve kant van het begrip risico: de bedreiging.
De in de audit vastgestelde afwijkingen van het gehanteerde ijkpunt zijn dan delta's, die worden geïnterpreteerd als potentiële bedreigingen, oftewel risico's. Elke delta (bedreiging, risico) wordt vervolgens onderzocht en geprioriteerd in de RIM-stap Classificeren, waarna er gezocht wordt naar de oorzaak en de mogelijke maatregelen, conform het RIM-proces.
De audit in deze proactieve context kan een meer onderzoekend karakter hebben dan de planmatige, operationele audit die in OPS werd uitgevoerd op een register. In beide gevallen is er echter sprake van een audit.