A tabela de roteamento é usada primeiro. A ASA precisa descobrir qual interface o pacote vai sair. Praticamente tudo depende dessa interface (regras de NAT, mapas de criptografia, ACLs de saída quando usadas), portanto, é absolutamente necessário procurar primeiro.
Quando a interface de saída é conhecida, o ASA passa por (nesta ordem) ACLs, inspeciona, isenções NAT, NAT, VPN.
Aqui está a parte complicada sobre o relacionamento entre a tabela de roteamento e a VPN. Qualquer pacote que será configurado através de um túnel interage de fato com a tabela de roteamento duas vezes: primeiro quando não é criptografado e o firewall determina a interface e, em seguida, em formato criptografado quando o firewall a envia para seu par de VPN. Obviamente, a segunda rota é procurada com base no roteamento do peer VPN e não nos cabeçalhos IP do pacote original, então pode ser diferente.
BTW, você pode entender tudo isso melhor se você executar o Packet Tracer no ASDM.