Não muda muito quando você muda para um DVCS. A grande diferença é que a cópia do código-fonte na estação de trabalho de todo desenvolvedor agora também é seu próprio repositório.
Eu duvido que haja muita razão para a TI se preocupar com isso. Só porque git e mercurial são distribuídos, não significa que você estará implementando / entregando diretamente da área de trabalho de algum desenvolvedor. Ainda é possível - e quase certamente necessário - continuar usando alguns repositórios centrais que todo mundo verifica, para testes, controle de qualidade e eventual lançamento.
Se a TI está monitorando o código-fonte nas estações de trabalho dos desenvolvedores ou não, nada realmente muda. Você ainda vai colocar o histórico de alterações nos repositórios centrais assim que eles forem enviados, o que eu suspeito que eles estejam realmente preocupados.
O que você ganha com isso, do ponto de vista de TI, é que você não está atingindo os repositórios centrais a cada poucos minutos (ou segundos!) sempre que os desenvolvedores fazem um commit. Os desenvolvedores podem terminar de trabalhar em algo e, em seguida, aumentá-lo apenas quando estiver pronto, mas ainda terão controle de versão completo em sua estação de trabalho sem ter que acessar a rede quase tanto.
Por fim, você precisa conversar mais detalhadamente com a TI sobre a natureza exata dos problemas de conformidade dos quais eles estão falando. Isso pode ser qualquer coisa, desde gerenciamento de propriedade intelectual, ISO 9000 ou algumas leis / regulamentações governamentais.
(Para todos: sinta-se à vontade para melhorar esta resposta; esta não é minha área de especialização ...)