风险评估程序包括：（1）询问管理层和被审计单位内部其他人员；（2）分析程序（3）观察和检查。 了解内部控制术语风险评估程序，所以，一般也包括：（1）询问被审计单位人员；（2）观察特定控制的运用；（3）检查文件和报告；（4）穿行测试（观察和检查的结合）。 控制测试是实质性程序的一种，所以其使用的审计程序的类型一般有：询问、观察、检查和重新执行。二者的区别在于穿行测试和重新执行。 二者本身很多程序都是可以在不同阶段使用的。不必纠结这个问题。